FOCUS GDPR ja töötajad: milline on õigusraamistik?

Õiguslik jälgimine – mai 2019.

Kaks hiljutist juhtumit, mis puudutasid suurt veebiraamatupoodi, tekitavad küsimusi töötajate vabaduse kohta ettevõtte klientide isikuandmete töötlemisel.

Kuigi andmetöötlust reguleerivad nüüd üksikasjalikult seadused ja arvukad suunised – olgu need siis CNIL-i või Euroopa Andmekaitsenõukogu (EDPB) omad –, tekitab ettevõtte enda vastutus endiselt palju küsimusi.

Milline on tööandja vastutus seoses sellega, kuidas tema töötajad isikuandmeid töötlevad? Silmas tuleks pidada mõnda põhimõtet:

Isikuandmete kaitse üldmääruse (GDPR) ulatus on lai.[1] Isikuandmete automatiseeritud töötlemine hõlmab tõepoolest toiminguid, mida tehakse andmetega ettevõtetes traditsiooniliselt kasutatava tarkvara abil: näiteks andmebaasid, e-post, arvutustabelid, aga ka vajaduse korral tekstitöötlustarkvara abil tehtavat andmetöötlust.

Töötajate tegude eest lasub tsiviilseadustiku2, aga ka isikuandmete kaitse üldmääruse kohaselt üldiselt tööandja vastutusel, kuna tööandja on andmetöötleja: just tööandja määratleb seaduse tähenduses töötlemise vahendid ja eesmärgid3.

Samal põhjusel vastutab tööandja turvarikkumise korral isegi siis, kui see tuleneb töötaja tegevusest, sest just tööandjal on kohustus kaitsta oma ettevõttes andmeid.

Kui tööandja vastutab kolmandate isikute ees, saab ta loomulikult võtta meetmeid ebaseaduslikult tegutsenud töötaja vastu, eelkõige usalduse rikkumise või pettuse eest, ning määrata distsiplinaarkaristuse või isegi vallandamise. Petturlik juurdepääs automatiseeritud andmetöötlussüsteemile või selle osale tervikuna või osaliselt on samuti kriminaalkuritegu.

Tööandja vastutusest sõltumatult võib töötaja kanda ka oma vastutust nii tööandja kui ka kolmandate isikute ees: töötaja, kes kaldub kõrvale tööandja antud juhistest ja taotleb oma eesmärke, muutub ise töötlemise eest vastutavaks seaduse tähenduses (vt Euroopa töörühma analüüsi artikli 29 6 kohta – nüüd Euroopa Andmekaitsenõukogu).

Sama kehtib ka juhul, kui ta rikub ettevõtte IT-eeskirju, kasutades andmeid oma huvides.

Kokkuvõtteks on tööandja jaoks oluline võtta järgmised ettevaatusabinõud:

• Määrake täpselt töötlemise eesmärgid ja vahendid ning juhtige see raamistik töötajate tähelepanu.
• Laske neil allkirjastada töölepingule lisatud konfidentsiaalsusklausel ja IT-harta.
• Kaasake andmekaitseametnik ja töönõukogu nende dokumentide ettevalmistamisse.

Nendel ettevaatusabinõudel on kahetine eelis: need kaitsevad paremini inimesi, kelle andmeid töödeldakse, ja selgitavad tööandja vastutust kuritarvituste korral.

Tuleb märkida, et ka töötajad saavad kasu oma privaatsuse ja isikuandmete kaitsest töökohal. See on edasiste arengute teema.

Ja ka:

Prantsusmaal:

15. aprillil avaldas CNIL oma tegevusaruande ja teatas, et keskendub oma tulevastes auditites üksikisikute õiguste austamisele, alaealiste andmete töötlemisele ning vastutuse jaotusele vastutava töötleja ja alltöövõtja vahel.

CNIL-il, mida nüüd juhib Marie-Laure Denis, on uus kolledž.

Euroopas:

12. aprillil võttis Euroopa Andmekaitsenõukogu vastu suunised andmete kogumise kohta infoühiskonna teenuste kontekstis, keskendudes eelkõige kliendiga sõlmitud lepingulise suhte kontekstis kogumise õiguslikule alusele (GDPR artikli 6 lõike 1 punkt B). See tekst on avalikul konsultatsioonil kuni 24. maini.

Maailmas:

Nigeeria võtab vastu isikuandmete kaitse üldmäärusega sarnase andmekaitseseaduse.

1 Isikuandmete kaitse üldmääruse artikkel 2.1 ja artikli 4 lõiked 1 ja 2.

2 Vt eelkõige tsiviilseadustiku artikli 1242 lõike 1 ja lõike 5 punkt.

3 Artikkel 4.7) Isikuandmete kaitse üldmäärus.

4 Artikkel 32 GDPR.

5 Karistusseadustiku artikkel 323-1.

6 Lehekülg 16