Praktikute töölaualt

Koroonaviirus tõi inspektsiooni arvukalt selgitustaotlusi töötajate terviseandmete töötlemise teemal. Küsiti nii tervishoiuasutustest, koolidest, tootmis- kui meelelahutusettevõtetest ja mujaltki. Inspektsioon sai anda selgitusi lähtuvalt kehtivast siseriiklikust õigusest. Isikuandmete kaitse üldmäärus (IKÜM/üldmäärus) lubab töösuhte raames terviseandmeid töödelda niivõrd kuivõrd see on lubatud liikmesriigi õigusega, millega on kehtestatud ka asjakohased kaitsemeetmed.

Viimastel aastatel on üheks enim käsitletavaks teemaks olnud andmekaitse töösuhetes ning muutusi ei toonud ka 2020 aasta. Inspektsiooni poole pöörduti eelkõige seoses videovalve korraldamisega, kuid ka töötaja andmetele ligipääsu ja e-posti aadressi sulgemisega seonduvate küsimustega.

Koroonaviirus tõi haridusvaldkonda uue olukorra ning vaatamata digipädevusele ja tehnilisele valmisolekule tuli kõigil lühikese aja jooksul minna distantsõppele, mis tõi hulgaliselt kaasa ka andmekaitselisi küsimusi. Inspektsioon andis kõigile koolidele suuniseid ning sügisel toimus ka videoseminar haridusasutustele. Distantsõppele minemisel tuli esmalt selgitada, millisel õiguslikul alusel toimub videotunni andmetöötlus ning kümneid teisi juurdepääsu ja salvestamisega seotud küsimusi, mis lühikäsitluses jõuavad ka aastaraamatusse.

Möödunud aastal ei saanud otsa spämmimisega seotud mured.  Inimeste kaebustest peegeldus, et probleemiks olid jätkuvalt erinevate füüsiliste isikute e-posti aadresside saamine ning nendele e-kirjade saatmine ilma eelneva nõusolekuta. Tihtipeale ei jaganud andmetöötlejad ka selgitusi, kust on saadud tema e-posti aadress ning millisel õiguslikul alusel talle e-kiri saadeti. 

Möödunud aasta menetluspraktikas oli mitmeid juhtumeid, mil ettevõte avalikustas oma võrgulehel inimeste nimesid ja võlgnevuse summasid. Aastaraamatus kirjeldab inspektsioon menetlusotsuseni jõudmise käiku reisikorraldaja juhtumi näitel, sest põhimõte võlaandmete töötlemisel on alati üks ja seesama.

Inspektsiooni menetluses oli rahusvaheline juhtum, kus sõidujagamisteenust pakkuv ettevõte jagas sõiduteenuse osutajatele (ettevõtte klientidele) soovituskoode, mille alusel on võimalik kutsuda uus inimene ettevõtte kliendiks ning saada tänu sellele ühekordne boonus. Üks klientidest aga kasutas soovituskoodi enda kahe seadme vahel, ehk kutsus ise ennast ettevõtte platvormiga (taas)liituma. Ettevõte blokeeris kliendi  konto ning klient ei saanud oma kontoga ettevõtte teenuseid kasutada.

Inspektsioon on saanud aastate jooksul sadu murelikke pöördumisi inimestelt, kes on leidnud internetiotsingu tulemustest linke majandusinfoportaalidele (infoportaalid), mis on avalikustatud nende isikuandmeid.

Koroonapandeemia aasta kasvatas inimeste teadlikkust oma terviseandmete osas ning seetõttu osati rohkem jälgida ka patsiendiportaali logisid, mis pani küsima kas vaatamiseks on ikka olnud põhjust.

Inspektsioon sai ka möödunud aastal suurel hulgal nördinud inimeste pöördumisi naabrite videovalve pärast. Konflikti põhjustab enamasti kas teadmatus, kes jälgib või tuntav riive privaatsusele.

„Maja on kaasaomandis ja ühel päeval paigaldas naaber valvekaamera ilma et minult küsiks.“ 

„Kaamerad jälgivad spordiplatsi, aga ma ei tea kelle kaamera see on.“

Eelmise aasta novembri viimasesse päeva jääb e-apteekides teise inimese retseptiinfo avaldamise peatamise otsus, mille tagajärg tõi n-ö välja ühe digilahenduse anatoomia ja näitas, kui keeruline võib olla lahenduse leidmine, kui protsessis on palju osapooli. Lahendust ei ole veel leitud käesoleva aastaraamatu väljaandmise ajaks, kuid olulisemad tegevused kuni tänaseni leiavad kirjeldamist selles artiklis.

Lisaks terviseandmete põhjuseta vaatamisele pöörduti inspektsiooni poole tervisega seotud küsimustes veelgi. Üheks olulisemaks näiteks võib tuua pärija poolt isiku terviseandmete küsimise. Sageli ei väljastatud haiglate poolt inimestele nende surnud lähedaste haiguslugusid.

Inspektsioon väljastab lubasid poliitikakujundamise uuringuteks. Möödunud aastal väljastati lubasid 32-l korral.  Loataotluste menetlemise käigus selgus probleem, et teadusuuringute läbiviijad ei taha andmesubjekte uuringutest teavitada. Põhjuseid on selleks mitmeid, alates ebamõistlikult suurest töökoormusest suurte kulutusteni.

Inspektsioon sai möödunud aastal sekkumistaotluse, kus pöörduja soovis selgust, mis roll on AS Tallinna Lennujaamal Kaitsepolitseiametile (KAPO) lennuettevõtte Regional Jet OÜ läbipääsu loa taotlemise ankeetide läbivaatamisel ning kas selleks on olemas õiguslik alus. 

Isikuandmete kaitse üldmääruse (IKÜM/üldmäärus) artikkel 21 lg 1 annab andmesubjektile õiguse esitada igal ajal vastuväiteid teda puuduvate isikuandmete töötlemise suhtes, mille töötlemine toimub õigustatud huvi alusel, sh sellele sättele tugineva profiilianalüüsi suhtes.