Artikkel ilmus Ärigeeniuses 06.05.2022
Mõned päevad tagasi sai avalikkus Äripäeva veergudelt lugeda artiklit, kus kajastati Andmekaitse Inspektsiooni karmisõnalist kirja ühele Eesti suurimale kaubandusettevõttele, milles hoiatati ettevõtet rahatrahvi ja kuni 20 miljoni euro suuruse sunniraha rakendamise eest, kui viimane enda tegevust videovalve korraldamisel isikuandmete kaitse alaste nõuetega kooskõlla ei vii. Taustaks tasub teada, et see ei ole esimene ega ilmselt ka viimane kord, kui inspektsioon ettevõtteid videovalvega seotud küsimustes noomib.
Kuigi kirjas toodud jalustrabava sunniraha summa puhul on tegemist seadusest tuleneva ülemmääraga ja praktikas ei ole inspektsioon kordagi ligilähedaseski mahus nõudeid esitanud, ei ole arusaadavalt keegi huvitatud järelevalveasutuse soovimatu tähelepanu alla sattumisest või veel vähem olemast „õnnelik“ esimene, kellele tõeliselt kopsakas trahv või sunniraha määratakse. Seetõttu on just praegu mõistlik aeg juhtkondades ja juriidilistes meeskondades läbi mõelda, kuidas on olukord valvekaamerate kasutamisega meie ettevõttes ja mida teha, et inspektsiooniga sekeldustesse sattumist vältida?
Videovalve korraldamise puhul saab võimalike probleemide tuvastamiseks lähtuda järgmisest viiest küsimusest:
1) Mis on meie ettevõttes videovalve korraldamise õiguslik alus?
Valvekaamerate kasutamine, nagu iga isikuandmete töötlemisega seotud tegevus, vajab õiguslikku alust. Kui ettevõttel ei ole eraldi seadusest tulenevat kohustust videovalve korraldamiseks (nagu see on näiteks hasartmänguseadusest tulenevalt kasiinodel), saab videovalve korraldamiseks sobiv õiguslik alus olla ainult isikuandmete kaitse üldmäärusest (IKÜM) tulenev „õigustatud huvi“. Esmapilgul abstraktsena kõlav alus peab tegelikult olema väga spetsiifiline, nagu selgitatud järgmise kontrollküsimuse juures.
2) Kas oleme koostanud ja avalikustanud õigustatud huvi analüüsi?
Ettevõte peab koostama õigustatud huvi analüüsi, kust peab kindlasti käsitlema kolme asjaolu:
i) Esiteks tuleb konkreetselt kirjeldada, mis on see õigustatud huvi, mille kaitsmiseks valvekaamerate kasutamine vältimatult vajalik on (levinud näitena on selleks ettevõtte vara kaitsmine varguste eest). Inspektsioon on ka eraldi rõhutanud, et valvekaameraid ei tohi kasutada näiteks töötajate jälgimiseks või klientide ostueelistuste väljaselgitamiseks.
ii) Teiseks peab analüüsist selguma, missugused on need andmesubjektide, sh klientide ja töötajate õigused ja huvid, mida videovalve korraldamisega riivatakse.
iii) Kolmandaks peab analüüs sisaldama punktis i ja ii toodud asjaolude kaalumist ehk vastust küsimusele, kas ja kuidas ettevõtte õigustatud huvid andmesubjekti vastavad õigused ja huvid üle kaaluvad ja kuidas ettevõte seejuures IKÜM-st tulenevaid isikuandmete töötlemise põhimõtteid järgib (sh tagab, et salvestisi säilitatakse minimaalselt vajaliku aja vältel).
Õigustatud huvi analüüsiga peab olema nii kliendil kui töötajal võimalik tutvuda, näiteks ettevõtte veebilehe vahendusel ja selle koostamiseks on AKI koostanud ka juhendmaterjali, mis on kättesaadav siin.
3) Kas oleme koostanud ja avalikustanud andmekaitsetingimused?
Andmesubjektile, sh nii kliendile kui töötajale peavad olema kättesaadavaks tehtud, näiteks ettevõtte veebilehe vahendusel, ka olulisemad isikuandmete töötlemisega seotud üksikasjad. Sellisteks detailideks on vastutava töötleja nimi ja kontaktandmed, töötlemise eesmärgid ja õiguslikud alused, teave õigustatud huvide kohta, teave isikuandmete vastuvõtjate või nende kategooriate kohta (kas ja kellele andmeid edastatakse), isikuandmete säilitustähtajad ja teave andmesubjektide õiguste kohta. Kuna töötajate kohta kogutakse enamasti rohkem andmeid kui klientide kohta, tasub läbipaistvuse huvides kaaluda töötajatele eraldiseisvate andmekaitsetingimuste koostamist.
4) Kas oleme videovalve ala teavitussildiga märgistanud?
Kuigi paljud meist ei mõtle regulaarselt sellele, mitme videokaamera pilti me päeva jooksul võisime jääda, tekitab teistel jällegi mõte sellest, et keegi võib neid kusagil jälgida või et kusagil leidub salvestis sellest, kuidas inimene mõne poe ostukontrollis põrus, sest oli kogemata kahe kartuli asemel ainult ühe läbi löönud, ebamugavust ja ärritust. Seetõttu peab iga videovalvealasse sisenev inimene (sh nii klient kui töötaja) olema sellest teadlik, et tal oleks võimalus mitte valvatavale alale siseneda. Selleks on vaja koostada teavitussilt, mille jaoks on inspektsioon loonud mugava veebitööriista, mis on kättesaadav siin.
5) Kas meie ettevõttes on kasutusel logimissüsteem, mis võimaldab kaamerapildi jälgimist ja salvestuste vaatamist kontrollida?
Tagamaks, et videovalvet kasutatakse üksnes lubatud eesmärkidel, tuleb võtta kasutusele tehnoloogilisi meetmeid, mis võimaldavad kaamerapildi ja salvestuste vaatamist kontrollida. Inspektsiooni hinnangul on selleks ainuvõimalik meede süsteemis toimuvate tegevuste logimine ja logide regulaarne kontrollimine. Nii saab kontrollida, et kaamerapilti ja salvestusi on vaadanud ainult selleks õigustatud isikud ja põhjusega.
Kokkuvõtvalt tuleb tõdeda, et videovalve korraldamine on üks intensiivsemaid isikuandmete töötlemise viise ning kõiki selle nüansse ei ole võimalik lühikese küsimustega kokku võtta. Kui aga vastus vähemalt ühele eeltoodud küsimustest oli „ei“ või „ei tea“, peaks see olema ettevõttele äratuskellaks, et videovalvega seotud kohustused korda seada, kaasates selleks vajadusel ka eksperte. Arvestada tuleb ka sellega, et andmekaitsega seotud dokumendid ei ole pärast nende koostamist igaveseks ajaks valmis, vaid neid tuleb mõistliku regulaarsusega üle vaadata ja kontrollida, kas õigustatud huvi või muude oluliste asjaoludega seoses on midagi muutunud, näiteks kas salvestiste säilitustähtajad on jätkuvalt mõistlikud. Ühtlasi ei taga dokumentide koostamine üksi veel nõuetekohasust vaid eeldab regulaarset koolitus- ja teavitustööd, et töötajad kokkulepitud nõudeid ka reaalselt järgiks ning selgitada, et isikuandmete kaitse vaates uudishimu paraku siiski on patt.