Mittetulundusühingutel ja korteriühistutel tuli korrastada oma andmetöötlust

Mittetulundusühingute andmetöötluse õiguslikud alused tulevad kas seadusest või isiku vabatahtlikust nõusolekust. Inspektsioonini jõudsid mitmed märgukirjad, kus mittetulundusühinguna tegutsev spordiklubi on töödelnud isiku andmeid sotsiaalmeedias või veebilehel ilma tema nõusolekuta, mis on isiku õiguste rikkumine. Aastaraamatus pöörab inspektsioon tähelepanu juhtumile, kus korraga oli ohus 10 000 isiku privaatsus ja enamus nendest olid alaealised.

Nutisport.ee

Seda lugu kajastades alustame, et inspektsioon tunnustab väga kahe matemaatikaõpetaja tänuväärset ettevõtmist, millest on saanud isegi õppevahend. Kuid iga hea tahte juures sündinud algatus võib anda vastupidised tagajärgi, kui ei pööra inimeste turvalisusele tähelepanu. Seega tuli ühe meediaväljaande märgukirja põhjal algatada järelevalvemenetlus 10 000 kasutajakontoga nutisport.ee veebilehe üle, kuna inspektsioon tuvastas  mitmeid andmeturbelisi puudujääke ning andmetöötlejal puudus õiguslik alus laste andmete avaldamiseks.

Kuna sellise veebilehe pidamine ei vastanud isikuandmete kaitse reeglitele, tegi inspektsioon ettepaneku see esmalt isikute privaatsuse kaitseks kiiresti sulgeda, mida andmetöötleja tegi. Alustatud järelevalvemenetluse käigus selgus, et tegemist oli äärmiselt ebaturvalise andmetöötlusega. Näiteks sai kontot luua suvalise aadressiga ja konto loomise paroolid edastati lahtise e- mailiga. Veebilehel avaldatud andmetele pääsesid ligi kõrvalised isikud, kes said vaadata laste isikuandmeid ja võistlustulemusi.

„Alla 13-aastste isikute kontode loomise ja andmete töötlemise üle peavad otsustama seaduslikud esindajad.“

Isikuandmete kaitse üldmääruse (IKÜM) artikkel 8 ja isikuandmete kaitse seaduse (IKS) § 8 lõike 1 alusel on infoühiskonna teenuste pakkumiseks lapse isikuandmete töötlemine lubatud ainult juhul, kui laps on vähemalt 13-aastane. Seega alla 13-aastaste isikute kontode loomise ja andmete töötlemise üle peavad otsustama seaduslikud esindajad.

Inspektsioon tegi andmetöötlejale rikkumise lõpetamiseks ettepanekuid. Edaspidi peavad olema võistlustulemused edastatud nii, et need on nähtavad vaid osalejatele ning ei ole leitavad otsingumootoritele, sh ei ole nähtavad teades asukoha võrgulinki. Samuti peaks ka sel juhul oleme täidetud nõue, et avaldamine toimuks seaduslike esindajate teadmisel ja nõusolekul ning neid oleks teavitatud õigusest nõuda isikustatud kujul mitteavaldamise võimalust, nt asendades lapse nimi initsiaaliga.

Lisaks seadis inspektsioon nõudeks muuta kasutajakontode loomise ja haldamise keskkond turvaliseks, sh kehtestada nõuded parooli(salasõna) keerukusele. Lisaks peaks see hõlmama kasutajatele võimalust oma paroolide muutmiseks ja nende sellest teavitamist ning kasutajakonto loomisel meiliaadressi autentimist. Oluliseks nõudeks rikkumise lõpetamiseks sai samuti ettepanek avaldada veebilehel andmekaitsetingimused.

Järelevalvemenetlus nutisport.ee veebilehe üle lõppes peale kõikide nõuete täitmist.

Korteriühistud

Korteriühistute peale tehtud kaebused tulid paljudel juhtudel sisesuhetest. Inspektsioon pööras tähelepanu, et üldreegel korteriühistu liikmete andmete avaldamisel on see, et sisesuhtes (ühistu liikmete vahel) on isikuandmete avaldamine lubatud ning välissuhtes (kolmandatele isikutele) on selleks vajalik eelnev isiku nõusolek. Tähelepanu tuleb juhtida ka sellele, et ka korteri omanike nimede avaldamine trepikojas vms ühisruumis on seadusega vastuolus, sest sinna on võõrastel juurdepääs. Keelatud on avaldada ka ainult korterinumber, kuna selle järgi on omanike nimed tuvastatavad kas kinnistusraamatust või muust avalikust registrist.

Korteriühistu saab töödelda ainult korteriomanike andmeid (sh mitte üürnike andmeid) ja seda minimaalses mahus ehk ainult ühistu tööks vajalikke andmeid. Kõikide korteriga seotud teemade eest vastutab korteri omanik või tema poolt ametlikult volitatud isik ning ühistul ei ole alust koguda kolmandate isikute andmeid või andmeid, mis kahjustavad ülemääraselt kolmandaid isikuid ja ei ole ühistu tööks vajalikud. Parkimise korraldamiseks ei ole ühistul vaja teada, kes on millise auto omanikuks või kasutajateks, sh veel koopiad autodokumentidest. Inspektsioon juhib tähelepanu asjaolule, et ükski isik ei saa anda kellegi kolmanda isiku eest nõusolekut tema andmete töötlemiseks (kolmanda isiku andmed tehnilises passis). 

Oluline on märkida, et ka ühistu peab jälgima, et ühistu liikmeid tuleb enne isikuandmete edastamist volitatud töötlejale teavitada (nt kui ühistu kasutab väljapoolt raamatupidamisteenust jms) ja sõlmida tuleb volitatud töötlejatega alati leping.