GDPR, paanika ja töösuhted

Karl Laas | @upsteem.com 

GDPR (EU General Data Protection Regulation) on liikmesriikides otsekohalduv Euroopa Liidu akt. Määrus jõustus 24.05.2016 ning seda hakatakse kohaldama pärast kaheaastast üleminekuaega, alates 25. maist 2018. a.

Seoses peatse GDPR-i jõustumisega on andmekaitseteemad olnud aktuaalsed juba vähemalt viimase poole aasta jooksul. Küll räägitakse määruses ettenähtud kõrgetest trahvimääradest ja täiendavatest ettevõtjatele seatud kohustustest.  Müra taustal on aga meie enda (Eesti) eesmärgid jäänud tähelepanuta ning diskussiooni pole peaaegu tekkinudki.

Mis valdkondadele peaksime siis ilma paanikata keskenduma? Millised on alusküsimused, mis määravad GDPR rakendamise ulatuse?

  1. Määrus on mõeldud füüsiliste isikute õiguste kaitseks isikuandmete töötlemisel. Euroopa Liit kui institutsioon on loodud eesmärgiga tagada isikute, kaupade ja teenuste vaba liikumine. Digitaalsel ajastul tarbivad ka füüsilised isikud kaupu ja teenuseid üle riigipiiride ning andmekaitse sellistes suhetes omandab järjest rohkem tähtsust. Määrus ei reguleeri juriidiliste isikute vahelisi suhteid kaubanduses ega teenuste osutamisel – näiteks seda, kuidas kaks juriidilist isikut vormistavad omavahel tehinguid, tööettevõttu või muid tarnelepinguid. Määrus eeldab, et kohustatud pooleks nõuete täitmisel on juriidiline isik või organisatsioon – see tähendab ka seda, et kui te koostate isiklikuks tarbeks ükskõik milliseid nimekirju, siis määrus nendele ei laiene. Näiteks võite koostada oma isiklikus arvutis nimekirja poliitikutest, keda järgmistel valimistel valida või keda kindlasti mitte valida – see on teie vaba voli.
  2. Andmetöötluse põhjenduseks võib olla ka töötleja juriidiliste kohustuste täitmine. Üldjuhul on vajalik andmesubjekti antud nõusolek andmetöötluseks. Määrus on detailne ja näeb samuti ette terve rea erandeid. Näiteks on loomulikud ja lihtsalt mõistetavad erandid isikuandmete töötlemisel seoses õigusemõistmisega, turvalisuse kaalutlustel või seoses teadusuuringute ja ajakirjanduslike vajadustega. Liikmesriikidel on sellisel puhul ka määruses jäetud väga suured õigused kas oma senise seadusandluse säilitamiseks või uute, määrusega kooskõlas olevate, kuid samas täiendavate reeglite kehtestamiseks sellistes valdkondades. Muuhulgas tuleb tähele panna, et kui andmesubjekt ei ole tuvastatav või see ei ole töötluse eesmärk, ei kohaldu määrus üldse.
  3. Liikmesriigid otsustavad isikuandmete töötlemise üle töösuhetes. Vastavalt määruse artikkel 88-le on liikmesriikidel väga laialdased õigused reguleerida isikuandmete töötlemist töösuhetes. Seejuures ei ole küsimuses ainult nn töölepingute raames kogutud isikuandmete töötlemine. Määrus toob eraldi välja valdkonnad, mis on seotud värbamise, juhtimise, töö korraldamise ja kavandamisega, võrdsuse ja mitmekesisuse, töötervishoiu ja ohutuse, kliendi ja/või tööandja vara kaitsega, hüvitistega ning töösuhte lõppemise või alustamisega. Liikmesriigi seadustes tuleb valida kohased meetmed säilitamaks andmesubjekti inimväärikus ning kaitsta tema põhiõigusi. Täiendatud regulatsioonist tuleb Euroopa Komisjoni informeerida.

Kokkuvõtvalt oleme täna olukorras, kus üldise paanika taustal, mis tõepoolest puudutab igat internetipoodi või tarbijamänge korraldavat ettevõtet, ei ole Eesti seadusandja veel pööranud piisavat tähelepanu GDPR-ist tulenevate valdkondade reguleerimisele, kus meil ka praktiline reguleerimise vajadus on. Näiteks kuidas võib tööandja anda üle oma töötajate nimekirju andmetöötlejale, kes tegeleb palkade maksete või arvestusega? Kuidas reguleerida isikuandmete üleandmist töötajate testimisel, värbamisnimekirjade loomisel jne.

Hetkel käib ka Eesti oma uue isikuandmete kaitse seaduse eelnõu menetlemine. Ennekõike selles kontekstis oleks aeg avalikult rääkida küsimusest – milliseid spetsiifilisi regulatsioone me vajame ja tahame?

Tööõiguse valdkonnas on reguleerimist vajavaid küsimusi kuhjaga. Seda enam, et määrus ise toob välja terve rea teemasid, mille raames eriregulatsioone püstitada võib. Määrus nimetab valdkonnad, mis on seotud „/… töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega, tööandja või kliendi vara kaitsega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ning töösuhte lõppemisega …/“ (Art.88 lg.1). Juhtimises ja personalitöös puudutavad need küsimised pea igat alamvaldkonda.

Nii vajavad täpsemat seadusandliku baasi näiteks järgmised praktilised küsimused:

  1. Kas värbamisagentuurid tohivad koostada otsepakkumiste tegemiseks nimekirju võimalikest kandidaatidest, milleks neil on õigustatud huvi, kuid puudub andmesubjektide nõusolek? Kaua selliseid nimekirju säilitada tohib ning kas isikutel on õigus teada, et ta on sellises nimekirjas?
  2. Kuidas töölepingutes fikseerida isikuandmete töötlemine ja üleandmine tööandja partneritele – töötervishoiu ettevõtetele, koolitajatele, audiitoritele, jne.?
  3. Kui tööandja partner kasutab oma tegevuse raames tööandjalt saadud isikuandmeid töötajate kohta, siis mis tingimustel on ta kohustatud nimetatud andmeid töötajale otse välja andma, hävitama ja/või töötlemise lõpetama?
  4. Kui juhtimisfunktsiooni täitmisel on organisatsioonis koostatud nimekiri edutatavatest või premeeritavatest töötajatest - kas andmesubjektil on õigus nõuda informatsiooni tema kuulumise kohta sellesse nimekirja?
  5. Kas töösuhetes on erisusi andmete säilitustähtaegade puhul, kui need on seotud näiteks turvakaamerate salvestustega ning kas nendele laienevad samad õigused, mis GDPR alusel eraõiguslikes suhetes, nagu näiteks õigus olla unustatud.

Seoses GDPR-iga kaasevate mitmete uute füüsilise isiku õigustega vajavad just eriti need uuendused lahtimõtestamist ka tööseadusandluse valguses. Näiteks:

  1. Töösuhtes andmetöötluseks antav luba andmetöötluseks – milline see on ja mis ulatuses?
  2. Kogutud andmetest koopia andmine töötajale töösuhtes – mis ulatuses ja kas kõik andmed?
  3. Tööandja õigus või kohustus andmeid edasi anda näiteks järgmisele tööandjale?
  4. Füüsilise isiku õigus andmete ülekandmiseks – kas ka ühe tööandja juurest teise juurde?
  5. Õigus olla unustatud – kuidas see rakendub töösuhetes?

Eesti siseriikliku õigusega on võimalik kõiki neid teemasid mõistlikult, efektiivselt ja meie oludele vastavalt ning kooskõlas meie tööandjate ja töötajate huvidega reguleerida. Tehkem siis seda.

Seoses uue isikuandmete kaitse seaduse eelnõuga on kooskõlastusringil valdkonna täpsemat reguleerimist nõudnud juba näiteks Eesti Advokatuur, Eesti Infotehnoloogia ja Telekommunikatsiooni Liit, Eesti Pangaliit, Haridus- ja Teadusministeerium, Majandus- ja Kommunikatsiooniministeerium ja teised.

Tänases menetlusetapis on Justiitsministeerium asunud seisukohale, et enamusi tõstatatud küsimustest arutatakse IKS rakendusseaduse kooskõlastusringi käigus. Mõni üksik teema on edastatud Sotsiaalministeeriumile. Kui tahta siseriiklik diskussioon läbi viia enne GDPR-i jõustumist, siis selleks meil aega napib. Igal juhul on võimalik ja hädavajalik üleskerkinud sõlmküsimuste üle vähemalt diskussioon tekitada. Jõudu selleks ka Justiitsministeeriumile!



Täiendused alates 19.04.2018


Nagu teada, AKI avaldanud 23.03.2018 justiitministri esitatud:

IKS rakendusseaduses nähakse ette järgmine ebapiisav täpsustus:

§ 91. Töölepingu seaduse muutmine Töölepinguseaduse § 41 lõige 2 muudetakse ja sõnastatakse järgmiselt: „(2) Tööandja peab tagama töötaja isikuandmete töötlemise vastavalt õigusaktides sätestatule.“.

AKI senine seisukoht antud teemale on toodud vastuses IKS rakendusseaduse kooskõlastusele kirjas 16.04.2018 nr 1.2.-4/17/2490 ning on väljavõttena alljärgnev:

40. Eelnõu § 91 - töölepingu seaduse muutmine 40.1. Eelnõuga muudetakse töölepinguseaduse § 41 lõiget 2 ning viidatakse üldisemalt kohustusele, et isikuandmete töötlemine peab vastama õigusaktidele. 40.2. Selline üldine ning abstraktne viide ei ole piisavalt selge, kuidas on tööandjal lubatud töötaja isikuandmeid töödelda. Näiteks tuleks töösuhete kontekstis eraldi ära reguleerida ka jälgimisseadmestike (töökorralduslikud kaamerad, turvakaamerad, GPS-seadmed, arvutiprogrammid töötajate tegevuse kontrollimiseks jne) kasutamine. Sel teemal olen ka varasemalt esitanud oma seisukohad.
(viide
http://www.aki.ee/sites/www.aki.ee/files/elfinder/article_files/jum_oigusraamistiku_kontseptsiooni_markused.pdf)

AKI viitab oma põhjendustele, mis on toodud dokumendis Andmekaitse Inspektsiooni peadirektori seisukohad uue andmekaitseõiguse kontseptsiooni asjus (koostatud Justiitsministeeriumis 27.04.2017), tööõigut käsitlevale osale, mille käesolevalt ära toome.

Esmalt viidatakse dokumendi lk 6 senisele õiguslikule regulatsioonile:

Senine regulatsioon koosneb lisaks IKS üldpõhimõtetele kahest Töölepinguseaduse normist:

-       § 11 kohaselt ei või töölesoovijalt küsida infot, mille suhtes tööandjal puudub õigustatud huvi,

-       § 28 lg 2 p 11 kohaselt tööandja austab töötaja eraelu ega kontrolli töökohustuste täitmist viisil, mis riivab ta põhiõigusi.

Järgnevalt tuuakse ära AKI juhi seisukohad, mis osas tuleks GDPR art 88 täiendada:

a)     töötaja ja kolmandate isikute sõnumisaladus vajab kaitset, see on mh ka Eesti põhiseaduse nõue;

b)     tööandja õigus töödelda töötaja delikaatseid ehk eriliiki isikuandmeid – määruse art 9 (2) b sätestab, et „isikuandmete eriliikide töötlemine on lubatud, kui see on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liikmesriigi õigusega, milles kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks“. Seetõttu soovitan TLS-s täpsustada:

-       kas ja mida võib tööandja nõuda kandideerimisprotsessis (vt inspektsiooni töösuhetes isikuandmete töötlemise juhise p 2.1.4 ja 2.1.5) – andmed haiguste kohta vs arstitõend, arstlikkusse kontrolli saatmine;

-       kas ja mis tõendit on tööandjal õigus nõuda TLS § 38 ja 42 juhtudel;

-       et tööandjal ei ole õigust nõuda lisaks töövõimetuslehele muid terviseandmeid arstilt ega haigekassalt;

-       joobeseisundi, sh narkojoobe (regulaar)kontrolliks ning jäädvustamiseks (st tõendamiseks) lubatud meetmed;

-       muu kontrollimise käigus eriliiki isikuandmete töötlemine – nt isiklike asjade läbivaatus (ravimid käekotis), IT-vahendite monitooring;

-       missuguse sisuga dokumenti võib tööandja nõuda puudega inimeselt puude tõendamiseks (vt inspektsiooni juhise p 3.2.5. viimane lõik) - mida võib tööandja nõuda töölepingu ülesütlemisel TLS § 91 lg 3 alusel;

-       karistusandmete töötlemine – mis vajab ka Justiitsministeeriumi hinnangul niikuinii ülevaatamist.

Senine regulatsioon töösuhetes delikaatsete isikuandmete töötlemise osas on piisav töötervishoiukontrolli ning tööõnnetuste uurimise ning rasedate eriõiguste osas.

Senine diskussioon suhtlusvõrgustikes meie tõstatatud teemal on näidanud, et reguleerimist vajaks näiteks küsimus pöördumisõigusest – kas füüsiline isik võib pöörduda andmepäringutega ka otse volitatud töötleja poole või mitte. Loe täpsemalt siit.  

 


Viiteid:

  • Isikuandmete kaitse üldmäärus AKI leheküljel LINK
  • Määrus Veebitekstina LINK
  • EU GDPR – määruse EL-i infolehekülg LINK
  • Eesti Isikuandmete kaitse seaduse eelnõu menetlemine eelnõude süsteemis LINK
  • Ülevaade andmekäitluse kultuuri muudatustest IT College WIKI-s LINK


Kommenteeri:

Email again:



Otsi blogist:




Küsin täpsemalt! 



Kontakt:


Karl Laas
CEO ja co-founder
+372 53 468213
karl.laas@upsteem.com
Skype: karl_laas
 

Liitu uudiskirjaga

Oleme koostööd teinud: