Nüüd on see käes. Alates homsest (25.mai 2018) hakkab kehtima Euroopa isikuandmete kaitse üldmäärus, mida inglise keeles tähistatakse lühendiga GDPR – General Data Protection Regulation. Määrus on otsekohalduv, mis tähendab seda, et 1995.aasta oktoobrikuust pärinev andmekaitsedirektiiv 95/46/EÜ ja sellele tuginenud Isikuandmete kaitse seadus muutuvad kehtetuks.  Hea uudis on see, et kõik senised andmekaitsedirektiivi põhimõtted on endiselt ajakohased, kuid sellest olenemata toob GDPR endaga kaasa muudatusi.

GDPR-i eesmärk on ajakohastada ja ühtlustada kõigis Euroopa Liidu liikmesriikides isikuandmete käsitlemise nõuded. Ehk teisisõnu tõmmatakse uue määrusega joon alla põhjendamatule isikuandmete kogumisele, ebaturvalisele töötlemisele ja talletamisele. Uute nõuete eiramise või rikkumise korral on rahaline karistus sätestatud lausa kosmilisena – kuni 20 miljonit eurot või 4% globaalsest käibest.

Ka tööandja on GDPR-i kontekstis andmetöötleja, kes töötleb ja talletab erinevaid isikuandmeid. Uue määruse valguses tuleb töötajate isikuandmetega ümber käia äärmiselt hoolikalt ja tähelepanelikumalt kui kunagi varem. Aga kuidas siis täpsemalt?

Alusta kaardistusest ja teavita

GDPR-i üks põhimõte on läbipaistvus – see tähendab, et töötajatel on õigus teada, mis andmeid tööandjal nende kohta on, mida nendega tehakse, kus andmeid hoitakse ja kellel on nendele ligipääs. Selle info andmiseks peab tööandjal esmalt endal olema selge ülevaade ja kaardistus kogu andmestikust ning selle töötlemise ja hoiustamise viisidest.

Seega, kaardistamisel soovitame läbi mõelda järgmised küsimused:

1. millistel eesmärkidel ja milliseid isikuandmeid me töötleme?
2. kuidas me tagame andmete kvaliteeti ja töötlemise turvalisust?
3. kui kaua me andmeid säilitame ja kuidas me seda teeme?
4. millistes süsteemides me isikuandmeid töötleme?
5. kes omavad isikuandmetele ligipääsu?

Kuivõrd on töötajatel õigus teada, mis andmeid tööandjal nende kohta on, tasub teada, kuidas tööandjana õigesti teavitada. GDPR-is on kirjeldatud, et teavitus isikuandmete töötlemiseks tuleb vormistada kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt. Teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt.

Töötaja nõusolek

GDPR tõstab varasemast jõulisemalt esile nõusoleku, mis on olulisim isikuandmete töötlemise alus. Seadusega on lubatud ainult nende isikuandmete töötlemine, mis on vajalikud tööülesannete täitmiseks – muud isikuandmed eeldavad töötaja nõusolekut.

Tööandjal peab olema võimalik tõestada, et töötaja on olnud andmete töötlemisega nõus. Seepärast soovitame kasutada kirjalikku taasesitamist võimaldatavat vormi. Samuti tasub nõusoleku puhul teada, et töötajal on õigus igal ajal oma nõusolek tagasi võtta. Kui nii läheb, ei mõjuta see enne tagasivõtmist tehtud andmete töötlemise seaduslikkust.

“Õigus olla unustatud”

GDPR näeb uuendusena ette õigust olla unustatud (vt määruse artikkel 17). See tähendab, et töötajal on õigus nõuda tööandjalt tema andmete kustutamist, kui:

1. isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
2. töötaja võtab töötlemiseks antud nõusoleku tagasi;
3. töötaja esitab vastuväite isikuandmete töötlemise suhtes;
4. või isikuandmeid on töödeldud ebaseaduslikult.

Süvenedes esimesse punkti, mis puudutab töötaja õigust nõuda isikuandmete kustutamist sel eesmärgil, et neid ei ole enam  vaja (näiteks töösuhe on lõppenud), siis on oluline teada, et see õigus on siiski piiratud tööandja seadusliku kohustusega teatud andmeid säilitada.

Töötaja andmete ülekandmine

GDPR-i sätestab uuendusena andmete ülekandmise õiguse ühelt töötlejalt teisele. Ennekõike tähendab see seda, et andmesubjektil (töötajal) on varasemast rohkem võimu oma andmete üle. See tähendab, et töötajal on õigus saada enda kätte andmeid, mida ta ise on vastutavale töötlejale (tööandjale) esitanud.

Samuti on töötajal õigus tööandjalt nõuda tema kohta kogutud andmete esitamist teisele töötlejale struktureeritud ja digitaalsel kujul. GDPR näeb ette, et andmeid tuleb edastada struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul, aga see ei tähenda seda, et erinevad andmete töötlejad peaksid tingimata kasutama ühilduvaid süsteeme. Samuti ei ole ette antud konkreetset vormingut.

Mõistagi ei kuulu siinkohal ülekandmisele need andmed, mille tööandja on kogunud paberile või mis on tehnilselt ülekandmatud; ega ka need andmed, mis sisaldavad ärisaladusi. Sellegipoolest, andmed olgu korrastatud, struktureeritud ning talletatud digitaalsel kujul, mis võimaldab andmestiku teisaldamist ühest süsteemist teise.

Ole GDPR-iga kursis!

Kui Sa tunned, et eelolev ei vasta kõigile Su küsimustele ja tahaksid värske määruse raames olla kindel näiteks nendes küsimustes:

1) Kui ma värban, siis milliseid andmeid ja missugustest allikatest võib kandidaatide kohta koguda?

2) Kas ja kuidas ma võin kandidaatide andmeid kasutada ja säilitada?

3) Kas ja mil määral tuleb praeguseid töölepinguid GDPR-iga seoses muuta?

4) Millal ja mis andmed tuleb töösuhte lõppemisel kindlasti säilitada ja mis andmed hävitada?

5) Millal on võimalik andmete kustutamisest keelduda?

6) Kas me peame määrama andmekaitseametniku?

7) Missugused võivad olla rikkumise tagajärjed ja meetmed?

… siis võta meiega julgelt ühendust.  Aitame hea meelega nõu ja jõuga!