Isikuandmete säilitamine 10 aastat uute pettuste avastamise eesmärgil

Inspektsiooni menetluses oli rahusvaheline juhtum, kus sõidujagamisteenust pakkuv ettevõte jagas sõiduteenuse osutajatele (ettevõtte klientidele) soovituskoode, mille alusel on võimalik kutsuda uus inimene ettevõtte kliendiks ning saada tänu sellele ühekordne boonus. Üks klientidest aga kasutas soovituskoodi enda kahe seadme vahel, ehk kutsus ise ennast ettevõtte platvormiga (taas)liituma. Ettevõte blokeeris kliendi  konto ning klient ei saanud oma kontoga ettevõtte teenuseid kasutada. Juhtumist lähtuvalt pidas ettevõte vajalikuks säilitada inimeste isikuandmeid uute pettuste avastamise eesmärgil 10 aastat ning ei rahuldatud inimese taotlust kustutada tema andmed peale kliendisuhte lõppemist.

Miks inspektsioon aastaraamatus selles juhtumist kõneleb, on põhjusel, et inimesel on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, kui isikuandmete töötlemiseks enam alust ei ole (vt isikuandmete kaitse üldmäärus (IKÜM) artikkel 17 lg 1). Näiteks, kui andmed on kogutud teenuse osutamise raames, kuid teenuse osutamine  konkreetsele inimesele on lõpetatud, ei ole isikuandmete töötlemiseks õiguslikku alust ning need tuleb kustutada, kui ei esine  ühte IKÜM artikkel 17 lõikes 3 toodud ajaoludest.

IKÜM artikkel 17 lg –s 3 on toodud järgnev – lg 1 ja 2 ei kohaldata sel määral mil isikuandmete töötlemine on vajalik:

a) sõna – ja teabevabaduse õiguse teostamiseks;

b) selleks, et täita vastutava töötleja suhtes kohaldatava liidu või  liikmesriigi õigusega ette nähtud juriidilist kohustust;

Selgituseks, et isikuandmete töötlemine (sh andmete säilitamine) nimetatud punkti (b) alusel on lubatud juhul, kui isikuandmete töötlemise kohustus tuleneb eriseadusest (nt raamatupidamise seadus § 12 lõige 1). Seejuures võib andmeid sellisel juhul töödelda ka üksnes eriseaduses sätestatud eesmärgil (nt üksnes säilitamise eesmärgil). Mis puudutab aga tsiviilseadustiku üldosa seaduse (TsÜS) §-i 146, siis nimetatud paragrahvist tuleneb nõude aegumistähtaeg ning sellest ei tulene otsest kohustust (seadusjärgset kohustust) andmete säilitamiseks.  Lisaks ei viidanud ettevõte ka mõnele teisele eriseadusele, millest tuleneks seadusjärgne kohustus 10-aastasele andmete töötlemisele, sh mis annaks õiguse/kohustuse säilitada andmeid 10 aastat pettuste avastamise või ennetamise eesmärgil. Samuti ei ole sellist eriseadust teada ka inspektsioonile. 

c) rahvatervise valdkonnas avaliku huviga seotud põhjustel;

d) avalikes huvides toimuva arhiveerimise, teadus – või ajaloouuringute või statistilisel eesmärgil;

e) õigusnõuete koostamiseks, esitamiseks või kaitsmiseks

Selgituseks, et nimetatud punkt (e) on kohaldatav üksnes juhul, kui isikuandmete töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Selleks, et inimesel ja järelevalveasutusel oleks võimalik eeltoodut hinnata, tuleb ettevõttel tõendada, et andmetöötlus on konkreetse inimese osas vajalik ning andmetöötlus vastab seejuures ka IKÜM artiklites 5 ja 6 sätestatud nõuetele.

Antud juhtumis ei sobinud andmete töötlemise alusteks IKÜM artikkel 17 lg 3 punktid a, c ja d. Punk e alusel andmete töötlemine nõuab õigustatud huvi analüüsi. Ettevõte küll saatis inspektsioonile õigustatud huvi analüüsi, kuid see põhines pettuste tuvastamisel ja ärahoidmisel. Nimetatud eesmärgil ei ole aga õigustatud isikuandmeid 10 aastat säilitada. Seega puudus inspektsioonil ettevõte analüüs, mis õigustaks 10-aastast andmete säilitamist. Samuti oli inspektsioonil kahtlusi selles, et 10-aastane andmete säilitamine saaks konkreetset rikkumist silmas pidades olla vajalik ja õigustatud.

Inspektsioon leidis, et pettuste avastamise, ennetamise ja/või edaspidiste pettuste vältimiseks ei ole ettevõttel õigust/kohustust andmeid 10 aastat töödelda (sh säilitada, kasutada).

Menetluse käigus ettevõte kustutas kaebuse esitaja isikuandmed, välja arvatud dokumendid, mille säilitamise kohustus tuleneb raamatupidamise seadusest.
Selle kaasuse vaates on oluline rõhutada, et andmetöötlejal on üldjuhul kohustus kustutada isikuandmed, kui andmeid ei ole enam vaja sellel eesmärgil, millega seoses need koguti. Kui aga andmesubjekti kustutamise taotlust ei rahuldata, on andmetöötlejal kohustus tõendada nii inimesele kui ka vajadusel järelevalveasutusele, millisel IKÜM artikkel 17 lõikes 3 sätestatud õiguspärasel põhjusel andmetöötlust jätkatakse. Seejuures ei piisa tõendamisel üksnes viitest õigusakti sättele, vaid andmetöötlejal on kohustus tõendada, et viidatud säte on kohaldatav konkreetse juhtumi ja konkreetse andmesubjekti osas.