Isikuandmete säilitamisest ettevõtte õiguste kaitseks

Inspektsiooni menetlusse jõudis mitme juhtumi kaudu küsimus, kui pikk saab olla klientide isikuandmete säilitamise tähtaeg äriühingu õiguste kaitseks. Näiteks oli üks äriühing sätestanud isikuandmete säilitamise tähtajaks 10 aastat ning viidanud seejuures tsiviilseadustiku üldosa seaduse (TsÜS) § 146 lõikele 4, mille kohaselt on nõuete aegumistähtaeg kümme aastat, kui kohustatud isik rikkus oma kohustusi tahtlikult.

Äriühing viitas sellele, et tal on vajalik säilitada kliendilepingutega seotud tõendeid 10 aastat pärast lepinguliste suhete lõppemist, sest klientidel on TsÜS § 146 lõikest 4 tulenevalt võimalus kohtusse pöörduda põhjusel, et äriühing on tahtlikult kliendi õigusi rikkunud või oma lepingujärgsed kohustused täitmata jätnud. Inspektsioon seadis sellise isikuandmete üldise säilitamise tähtaja kahtluse alla ning menetluse raames vähendas äriühing isikuandmete üldist säilitamistähtaega kolmele aastale.

„Inspektsioon seadis sellise isikuandmete üldise säilitamise tähtaja kahtluse alla ning menetluse raames vähendas äriühing isikuandmete üldist säilitamistähtaega kolmele aastale.“

Esmalt tuleb rõhutada, et igasuguseks isikuandmete töötlemiseks (sh andmete säilitamiseks oma õiguste kaitseks), peab olema õiguslik alus. Õiguslik alus saab seejuures tuleneda isikuandmete kaitse üldmääruse (IKÜM) artiklist 6. Kui vaadata TsÜS § 146, siis nimetatud paragrahv räägib nõude aegumistähtajast ning ei anna otsest kohustust andmete säilitamiseks. Seega, konkreetse juhtumi puhul, sai õiguslikuks aluseks olla IKÜM artikkel 6 lg 1 punkt f (õigustatud huvi), millele andis kaalu TsÜS § 146.

Selleks, et andmetöötleja saaks õigustatud huvi alusel andmeid töödelda, on ta kohustatud muuhulgas läbi viima huvide kaalumise, hindamaks kas ja millises ulatuses on andmete säilitamine lubatud. Õigustatud huvi alusel andmete töötlemisel tuleb hinnata selle vajadust igal konkreetsel juhul eraldi, seda nii andmetöötlejal kui ka vajadusel inspektsioonil. Kas ja mis ulatuses on see lubatud, võib sõltuda nii andmetöötleja põhjendustest, tegevusvaldkonnast, töödeldavate andmete hulgast kui ka muudest olulistest teguritest.

Kui lähtuda TsÜS § 146 lõikest 1, siis tegemist on konkreetse sättega, mille kohaselt tehingust tuleneva nõude aegumistähtaeg on kolm aastat. Nimetatud säte puudutab kõiki inimesi, kes on andmetöötlejaga tehingu teinud, sh kõiki kliente, kes kasutavad mingit konkreetset teenust või on soetanud kauba. Siinjuures ei kahtle inspektsioon isikuandmete säilitamise vajalikkuses äriühingu õiguste kaitseks, kuid andmete säilitamise aeg tuleb inimesele lähtuvalt IKÜM artiklitest 12-14 siiski selgelt ja arusaadavalt teatavaks teha.

Pikemaks kui kolmeks aastaks säilitamine nõuab kaalukat põhjust

Olukorras, kus aga kõikide klientide andmeid soovitakse äriühingu õiguste kaitseks säilitada üldkorras üle kolme aasta, tuleb teha andmetöötlejal väga kaalukas ja põhjalik hindamine selle osas, kas pikem andmete säilitamine sellisel eesmärgil on reaalselt vajalik ja proportsionaalne eesmärgi täitmiseks.

Kui lähtuda andmete säilitamisel TsÜS § 146 lõikest 4 ning 10 aastasest andmete säilitamisest, siis nimetatud aluse üheks oluliseks tingimuseks on see, et kohustatud isik on rikkunud oma kohustusi tahtlikult. Ehk nii äriühingul kui ka kliendil on võimalik viidata ja kasutada nimetatud alust kohtus üksnes juhul, kui üks osapooltest on tahtlikult rikkunud oma kohustusi. Lisaks nagu ka eelnevalt märgitud, peab andmete säilitamise aeg olema reaalselt vajalik.

Selleks, et vajalikkust saaks hinnata, peab andmetöötleja õigustatud huvi olema seaduslik ning piisavalt selgelt sõnastatud. Seega on oluline, et andmetöötlejal oleks eelnevalt tehtud põhjalik hindamine, mis põhineb tegelikel ja konkreetsetel asjaoludel ning mille alusel on võimalik inspektsioonil hinnata ja veenduda selles, milline andmete säilitamisaeg on antud juhul reaalselt vajalik.

See, et klientidel on teoreetiliselt võimalik 10 aasta jooksul nõudeid esitada, kui äriühing on tahtlikult oma kohustusi rikkunud, võib olla üheks argumendiks andmete säilitamise osas, kuid inspektsiooni hinnangul ei ole ainuüksi nimetatud põhjendus piisav. Siinjuures on oluline, et võimalikud (kohtu)vaidlused seoses äriühingu poolse tahtliku rikkumisega oleksid ka piisavalt tõenäolised.

„Olukorras, kus kõikide klientide andmeid soovitakse äriühingu õiguste kaitseks säilitada üldkorras üle kolme aasta, tuleb teha andmetöötlejal väga kaalukas ja põhjalik hindamine selle osas, kas pikem andmete säilitamine sellisel eesmärgil on reaalselt vajalik ja proportsionaalne meede eesmärgi täitmiseks.“

Samuti tuleb rõhutada, et olukorras, kus konkreetse kliendiga on tekkinud lepingu ajal või kolme aasta jooksul peale lepingu lõppemist mingisugune probleem (konfliktiolukord), kus äriühing põhjendatult leiab, et tegemist on või võib olla kas äriühingu või kliendi tahtliku rikkumisega, on võimalik tugineda õigustatud huvi alusel andmetöötlusele ning sellega seoses viidata ka TsÜS § 146 lõikele 4.

Minimaalsuse põhimõte

Siinjuures oleks võimalik põhjendada võimalikku (kohtu)vaidluse tekkimist, kuid sellisel juhul puudutaks pikem andmete säilitamine üksnes konkreetset klienti. Kui aga lepingu ajal või kolme aasta jooksul peale lepingu lõppemist ei ole kliendi ja äriühingu vahel toimunud mitte ühtegi kaheldavat situatsiooni ning klient ei ole äriühinguga ka kordagi ühendust võtnud (nt mingisugust nõuet esitanud), on inspektsiooni hinnangul väga vähe tõenäoline, et äriühingul võiks olla vajalik konkreetse inimese andmeid oma õiguste kaitseks üle kolme aasta säilitada.

Igas olukorras, kus kõikide klientide andmeid soovitakse äriühingu õiguste kaitseks säilitada üldkorras üle kolme aasta, tuleb teha andmetöötlejal väga kaalukas ja põhjalik hindamine selle osas, kas pikem andmete säilitamine sellisel eesmärgil on reaalselt vajalik ja proportsionaalne meede eesmärgi täitmiseks.

Iga andmetöötleja peab ennekõike ise hindama ja põhjendama, millises ulatuses (sh ajalises ulatuses) on andmetöötlejal andmete säilitamine reaalselt vajalik.