Tasakaalu test
Andmekaitsetööriistas on võimalik sooritada isikuandmete töötlemisega seotud tasakaalu testi ja teha väljatrüki vastavalt vajadusele. Sellel lehel olevat teavet on võimalik kasutada selleks, et hinnata, kas õigustatud huvi on isikuandmete töötlemise õige alus.
Teeme teile hea meelega tutvustuse Andmekaitsetööriista eelistest ja kasutamisest, näiteks Teamsi vahendusel. Samuti saate meilt asjatundlikke koolitusi ja konsultatsioone andmekaitse- ja infoturbetöödeks.
Kui soovite abi, võtke meiega julgelt ühendust Xcure kontaktilingil oleva vormi abil või helistage meile.
Vastutava töötleja õigustatud huvi
Isikuandmete töötlemise põhjus võib mõnikord olla vastutava töötleja või kolmanda isiku õigustatud huvi. Õigustatud huvi kui töötlemise alus nõuab andmesubjekti huvide ja õiguste erilist tähelepanemist.
Isikuandmete töötlemine võib olla vastutava töötleja õigustatud huvi siis, näiteks kui vastutava töötleja ja andmesubjekti vahel on mingisugune sisuline seos. See tähendab, et andmesubjekt on näiteks vastutava töötleja klient või tema alluvuses.
Mõned näited olukordadest, kus vastutava töötleja huvi võib olla õigustatud ja võimaldab isikuandmete töötlemist:
- otseturundus
- teaduslikud ja ajalooalased uurimused ning statistika
- isikuandmete edastamine grupi sees halduslikel põhjustel.
Õigustatud huvi ei õigusta töötlemist sellistes olukordades, kus ametiasutused töötlevad andmeid oma tööülesannete täitmiseks.
Üksikisikute huvid ja õigused esikohal
Üksikisikute huvid ja õigused on põhimõtteliselt rohkem kaitstud kui vastutava töötleja huvid ja õigused. Isikuandmeid ei tohi töödelda, kui andmesubjekti huvid või õigused kaaluvad üles vastutava töötleja või kolmanda poole huvid. See võib esineda näiteks siis, kui andmesubjekt on laps.
Vastutava töötleja õigustatud huvide mõju andmesubjekti huvidele ja õigustele moodustab sujuva skaala. Õigustatud huvid võivad varieeruda alates tähtsusetust kuni üsna olulise ja isegi kaalukani ning mõju andmesubjekti huvidele ja õigustele võib muutuda alates vähemolulisest kuni tõsiseni.
Kui vastutava töötleja huvid on väikesed, võivad need andmesubjekti huvid kõrvale tõugata ainult siis, kui nende mõju on veelgi väiksem. Teisalt võivad olulised ja kaalukad huvid õigustada isikuandmete töötlemist või muid mõjusid andmesubjekti huvidele ja õigustele, pakutakse teatavaid garantiisid ja võetakse meetmeid.
Seda, kas huvi saab pidada õigustatuks, saab kindlaks teha nn tasakaalu testi abil. Tasakaalu testis võrreldakse vastutava töötleja või kolmanda poole huve andmesubjekti huvide ja õigustega.
Tasakaalu test: kas õigustatud huvi sobib töötlemise aluseks?
Kui olete vastutav töötleja, peate tasakaalu testi abil hoolikalt hindama, kas õigustatud huvi saab kasutada isikuandmete töötlemise alusena. Läbige kõik viis testi etappi.
Esitage Andmekaitsetööriistale testi kirjalik kirjeldus, mis võimaldab vajadusel näidata, et tegevus vastab andmekaitsemäärusele. On oluline, et salvestate otsuste tegemise etapid. Kui töötlemise eesmärk, olemus või kontekst muutub, tuleb test uuesti sooritada ja värskendada kirjeldust, et see vastaks uuele töötlemisele.
1. Kas õigustatud huvi on kõige sobivam alus töötlemisele?
Isikuandmete töötlemiseks on alati vaja seaduslikku alust. Hinnata tuleb erinevate töötlemisaluste (nõusolek, kokkulepe jne) sobivust planeeritud töötlemistoimingute jaoks.
Kui õigustatud huvi ja sellega seotud andmesubjekti õigused moodustavad töötlemiseks kõige mõjuvama aluse, tuleb minna sammu 2 juurde.
2. Kas põhinõuded on täidetud?
Selleks, et huvi saaks pidada õigustatuks, peab see esmalt vastama järgmistele nõuetele:
- Huvi peab olema seaduslik (vastavalt kohalduvale ELi või riigisisesele õigusele).
- Huvi peab olema selgelt väljendatud, et oleks võimalik hinnata selle tasakaalu andmesubjekti huvide ja õigustega.
- Huvi peab esindama tegelikku ja otsest vajadust. Huvi ei tohi olla spekulatiivne.
Kui kõik tingimused on täidetud, tuleb minna sammu 3 juurde.
3. Kas isikuandmete töötlemine on vajalik?
Tuleb mõelda, kas sama lõpptulemus on võimalik saavutada vahenditega, mis riivavad andmesubjekti eraelu vähem.
Kui see pole võimalik, tuleb jätkata sammuga 4.
4. Kas huvi tõepoolest ületab andmesubjekti huvid ja õigused?
Hinnake isikuandmete töötlemise tegelikku mõju järgmistele küsimustele vastamise teel.
Vastutava töötleja või kolmanda poole huvi
- Milline on vastutava töötleja või kolmanda isiku huvi?
- Mis kasu saadakse isikuandmete töötlemisest?
- Millised on kahjud, kui neid ei töödelda?
Selleks, et huvi lugeda õigustatuks, peab andmete töötlemine olema vajalik näiteks mõne põhiõiguse (nt sõna-, kunsti- ja teadusvabadus, kutsevabadus) kasutamiseks ja sellega proportsionaalses seoses. Õigustatud huvi võib olla ka üldise või laiema kogukonna huvi (näiteks heategevusorganisatsioonid, mittetulundusühingud).
Muud õigustatud huvid võivad sobida näiteks juhul, kui töötlemine on sarnane mõnele kontekstile, mille suhtes võib kohaldada mõnda muud töötlemise alust (nt leping), kuid töötlemine ei kuulu otseselt selle aluse kohaldamisalasse. Samuti on oluline see, kas ELi või riigisiseses õiguses või mõnes muus reguleerivas dokumendis on kindlaks määratud vastutava töötleja õigus töödelda isikuandmeid õigustatud huvi alusel.
Mõju andmesubjektile
- Millistest isikuandmetest on jutt?
- Kuidas isikuandmeid töödeldakse (näiteks suuremahuline töötlemine, koondamine, andmekaevandamine, profileerimine, avaldamine)?
- Kuidas mõjutavad töötlemismeetmed andmesubjekti?
Kuidas mõjutavad töötlemismeetmed andmesubjekti?
Mida tundlikumad andmed on (näiteks isikuandmete erikategooriad või konfidentsiaalsed isikuandmed), seda suuremad võivad olla töötlemise tagajärjed andmesubjektile. Mida negatiivsemad ja ebaselgemad on töötlemise tagajärjed, seda väiksem on tõenäosus, et töötlemist saab pidada õigustatuks. Näiteks võib kahjutute üksikandmete ulatuslik töötlemine ja nende kombineerimine viia selleni, et andmesubjekti kohta avaldub rohkem isikupärast ja tundlikumat teavet.
Andmete töötlemise mõju hindamisel andmesubjektile kaaluge nii konkreetseid kui ka võimalikke tagajärgi. Nende hulka võivad kuuluda näiteks tulevikus tehtud otsused, tegevused või olukorrad, kus töötlemine võib viia üksikisikute diskrimineerimiseni, aga ka emotsionaalsete mõjudeni, näiteks ärritus ja pahameel.
Üldise mõju hindamist mõjutab ka riski realiseerumise tõenäosus ja tagajärgede tõsidus. Tasakaalu testi eesmärk on vältida andmesubjekti seisukohast lubamatut mõju.
- Kas andmesubjekt oskab eeldada, et tema andmeid sellisel viisil kasutatakse?
- Kas on tõenäoline, et andmesubjekt võiks olla oma andmete töötlemise vastu või vähemalt peab seda küsitavaks?
Töötlemine ei tohi olla andmesubjekti seisukohast ettenägematu ja ootamatu. Mida piiravam on andmete kogumise kontekst, seda rohkem on piiranguid nende üldisele töötlemisele.
- Millises suhtes on vastutav töötleja ja andmesubjekt?
- Kas kavatsete töödelda laste isikuandmeid?
- Kas andmesubjekt on muul viisil haavatav?
Pöörake tähelepanu vastutava töötleja suhtele andmesubjektiga. Kas vastutav töötleja esindab üksikisikut, väikest organisatsiooni, suurt ettevõtet või ametiasutust? Näiteks võib suur rahvusvaheline ettevõte püüda oma turgu valitseva seisundi abil õigustada mõnda töötlemistegevust huvidega, mis ei ole tegelikult õigustatud.
Andmesubjekti suhet tuleb üksikasjalikumalt uurida, kui andmesubjekt on laps või kuulub mõnda teise haavatavamasse elanikkonna rühma, mis vajab erilist kaitset. Sellisel juhul tuleb pingutada, et teha kindlaks töötlemise mõju üksikisikutele.
Ajutise tasakaalu määramine
Pärast eri poolte huvide kaalumist on võimalik mõista vastutava töötleja või kolmanda poole huvide kaalukust andmesubjekti põhiõiguste ja -vabaduste suhtes.
Andmekaitsemäärustele vastavad meetmed (näiteks proportsionaalsuse hindamine, avatus ja läbipaistvus) toetavad õigustatud huvi kasutamist töötlemise alusena. Siiski läheb vaja täiendavat hindamist, eriti siis, kui ei ole selge, millises suunas tasakaal kaldub. Hinnake, kas on olemas täiendavad meetmed põhjendamatu mõju vältimiseks andmesubjektile.
Kui andmesubjekti huvid või õigused ei kaalu üles vastutava töötleja huve, tuleb jätkata sammuga 5.
5. Tagada tuleb täiendavad andmekaitsegarantiid
Tasakaalu testi lõpptulemuse mõjutamiseks on võimalik kasutada täiendavaid meetmeid. Tasakaalu testi tulemus sõltub üldisest hinnangust: mida suurem on töötlemise mõju andmesubjektile, seda tugevamaid andmekaitsegarantiisid nõutakse vastutavalt töötlejalt. Nad peavad vähendama mõju andmesubjektidele kindlal ja olulisel viisil.
Vastutava töötlejana on võimalik võtta täiendavaid meetmeid:
- tehnilised ja organisatsioonilised meetmed, millega saab tagada, et andmeid ei kasutata andmesubjektiga seotud otsuste tegemiseks või muudel eesmärkidel (nn funktsionaalne diferentseerimine);
- anonüümimise tehnika laialdane kasutamine
- privaatsuse kaitset suurendavate tehnoloogiate kasutamine (nt mõjuhinnang)
- isikuandmete krüpteerimine.
6. Näidake toimingute seadusele vastavust ja tagage läbipaistvus
Enne isikuandmete töötlemise alustamist täitke Andmekaitsetööriista tasakaalu testi kirjalik kirjeldus. Pidage meeles läbipaistvust ja vajadusel olge valmis andmesubjektile põhjendama, miks antud juhul põhineb isikuandmete töötlemine vastutava töötleja õigustatud huvil.
Andmesubjekt võib esitada vastuväiteid oma andmete töötlemisele
Kui isikuandmete töötlemine põhineb avalikul või õigustatud huvil, on andmesubjektil õigus esitada igal ajal vastuväiteid oma andmete töötlemisele. Andmesubjekti tuleb tema õigusest teavitada hiljemalt siis, kui temaga esimest korda ühendust võetakse. Teave tuleb esitada selgelt ja muust teabest eraldi. Infoühiskonna teenuste jaoks peab olema tehniline lahendus, mille abil andmesubjekt saab automaatselt kasutada vastuväidete esitamise õigust.
Kui andmesubjekt on vastu oma andmete töötlemisele, tuleb töötlemise vajadust uuesti hinnata. Põhimõtteliselt ei ole teil enam luba andmesubjekti isikuandmeid töödelda, välja arvatud
- siis, kui saate näidata, et töötlemiseks on ülekaalukas ja õigustatud põhjus, mis kaalub üles andmesubjekti huvid ja õigused (näiteks avalikes huvides olev ülesanne, mis nõuab teaduslikke ja ajaloolisi uuringuid ning statistikat), või
- töötlemine on vajalik õigusliku nõude koostamiseks, esitamiseks või kaitsmiseks.
Otseturunduse puhul ei tohi pärast vastuväite esitamist isikuandmeid enam töödelda.