Euroopa Andmekaitsenõukogu 2019. aastal avaldatud videojälgimise juhis nutikatele ja traditsioonilistele kaameratele asus biomeetriliste isikuandmete osas võrreldes varasema arusaamaga teisele seisukohale, kuid kaamerate kasutamise reeglid jäid uues videojuhises põhimõtteliselt endiseks.
Uuenenud biomeetria käsitluse järgi kuuluvad eriliigiliste andmete alla liigituvate biomeetriliste isikuandmete hulka nii inimese kohta saadud unikaalne info ilma, et tema isikut nimeliselt tuvastataks kui ka biomeetria töötlemisest saadavad koodid ehk räsi. Varem käsitleti räsi tavaliste isikuandmetena. Meenutuseks, et varasem andmekaitsedirektiiv võimaldas sellist õiguslikku konstruktsiooni, kus räsitud biomeetrilised kujutisi ehk koode või malle oli võimalik käsitletada nn tavaliste, mitte eriliigiliste (varasemalt delikaatsed andmed) isikuandmetena. Selliste isikuandmete töötlemise õiguslik alus sai olla ka isikuga sõlmitud leping.
„Inimeste kordumatuks tuvastamiseks kasutatavast biomeetriast said üheselt eriliigilised isikuandmed.“
Isikuandmete kaitse üldmääruse (IKÜM) rakendumisel olukord aga muutus. Isikute kordumatuks tuvastamiseks kasutatavast biomeetriast said eriliigilised isikuandmed ning kohaldama tuli hakata IKÜM artikkel 9 erisusi, sõltumata sellest, millisel kujul biomeetriat töödeldakse või säilitatakse (nt kujutis, mall, või räsi). Eriliigilisi andmeid ei ole lubatud töödelda lepingu täitmiseks või õigustatud huvi alusel ning ainsaks sobivaks õiguslikuks aluseks sai nõusolek, mille võtmiseks on oma kindlad reeglid.
Muutusest täpsemalt
Biomeetrial põhinevate lahenduste kasutamisel tuleb nüüd lähtuda IKÜM artiklis 6 toodud õiguslikelt alustest, koosmõjus artikkel 9 erisustega. Siseriiklikult võib biomeetria töötlemist täpsustada, aga 2019. aasta jaanuaris jõustunud isikuandmete kaitse seadus (IKS) ega sama aasta märtsis kehtima hakanud isikuandmete kaitse seaduse rakendusseadus organisatsioonidele vajalikku erisätet biomeetria kasutamiseks ei toonud. Sestap ei ole töö- ja kliendisuhetes enam õigust biomeetriat töödelda näiteks ruumidesse ligipääsudel, videovalves või teeninduses ning turunduses, ilma et isik ei oleks andnud selleks vabatahtlikku nõusolekut.
Nõusoleku kui õigusliku aluse kasutamisel ei tohi unustada, et see on isiku vabatahtlik tahteavaldus ja nõusolek peab olema antud eespool toimingut, ehk siis enne, kui sõrmejälg seadmesse loetakse või nägu kaameraga skaneeritakse. Nõusolekut saab kasutada ainult nende töötajate osas, kes on selleks nõus. Teiste töötajate jaoks peab tööandja võimaldama alternatiivseid tuvastusvahendeid (nt kiipkaart).
Nõusoleku kasutamise juures tuleb arvestada, et isik võib selle iga ajal tagasi võtta. Põhimõtteliselt tuleb arvestada, et kui tööandja kasutab ruumidesse ligipääsuks või tööajaarvestuseks biomeetrial põhinevat lahendust nõusoleku alusel, on see igal hetkel tagasipööratav ehk teadmata pikkusega ajutine lahendus.
Oluline on rõhutada, et biomeetrilisteks andmeteks loetakse kõiki inimese unikaalseid füüsilisi, füsioloogilisi ja käitumuslikke omadusi ka siis, kui ei ole nimeliselt teada, kellele biomeetria kuulub. Näiteks ei ole nõusolekuta lubatud olukord, kus kaubandusettevõte soovib biomeetrilise tehnoloogiaga jälgida, milline on iga poodi siseneja liikumisharjumus, suutes eristada inimese täpsusega, milliste kaubakategooriate juurde ning millises järjekorras konkreetne ostleja läheb.
Inspektsioon on juhtinud seadusandja tähelepanu biomeetrilise andmetöötlusega seonduvale õiguslikult ebakindlale olukorrale ja vajadusele kehtestada täiendavad siseriiklikud normid. Seni, kuni seda tehtud ei ole, on Eestis võimalik biomeetrilisi isikuandmeid töödelda ainult avalikul sektoril kindlate toimingute raames. Näiteks on võimalik biomeetriat töödelda isikut tõendavate dokumentide seaduse alusel toodud eesmärgil ja olukorras. Erasektor saab biomeetrilisi isikuandmeid töödelda ainult nõusoleku alusel.
- Kommenteerimiseks logi sisse või registreeru