Andmekaitse uute reeglite mõju personalitööle

Rödl & Partner Advokaadibüroo vandeadvokaat Alice Salumets
Rödl & Partner Advokaadibüroo vandeadvokaat Alice Salumets

Isikuandmete kaitse üldmäärus jõustus 25. mail 2018 ja esimene nn andmekaitsetorm on möödas, mistõttu on õige aeg üle korrata peamised isikuandmete töötlemise põhimõtted, mis võrreldes isikuandmete kaitse seadusega ei ole oluliselt muutunud.

Isikuandmete töötlemise õiguslik alus

Kuni 25. maini 2018 oli tööandja jaoks isikuandmete töötlemise seaduslikuks aluseks isikuandmete kaitse seaduse § 14 lõike 1 punkt 4, mille kohaselt on isikuandmete töötlemine lubatud andmesubjekti nõusolekuta, kui isikuandmeid töödeldakse andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks.

Üldmääruse artikli 6 lõige 1 toob ära isikuandmete töötlemise alused, sealhulgas vajaduse töödelda isikuandmeid lepingu täitmiseks või sõlmimise ettevalmistamiseks. Seega võimaldab ka üldmäärus, sarnaselt isikuandmete kaitse seadusega, töödelda töölepingu täitmiseks vajalikke töötajate isikuandmeid ilma isiku eraldi antud nõusolekuta.

Andmed, mida tööandja võib töödelda töölepingu täitmise raames

Isikuandmete töötlemise õigus töölepingu täitmise raames ei anna tööandjale õigust töödelda igasuguseid isikuandmeid. Üldmääruses on esitatud isikuandmete töötlemise põhimõtted: seaduslikkus, eesmärgipärasus, minimaalsus, andmekvaliteet, säilitamistähtaeg, turvalisus ning vastutus ja läbipaistvus. Tulenevalt neist põhimõtetest võib tööandja töödelda üksnes neid andmeid, mis on vajalikud töölepingu täitmiseks. Sellisteks andmeteks on muuhulgas, kuid mitte ainult: töötaja nimi, isikukood, aadress, palga- ja puhkusearvestuse alusandmed, teatud juhtudel ka haridusandmed, kui tööandjal on vajadus tõestada kolmandatele isikutele töötaja haridust. Samuti näiteks töötaja antud informatsioon, mis on vajalik eriliiki puhkuste andmiseks. Tööandjal on õigus töödelda ka isiku andmeid, mis on seotud töölepingu lõpetamisega, sh töölepingu erakorralise lõpetamisega.

Andmeid, mis töötaja on avaldanud tööle kandideerimise ajal (näiteks informatsioon hariduse, töökogemuse, hobide, isikuomaduste kohta) võib säilitada kuni 1 aasta alates konkursi läbiviimisest. Üheaastane tähtaeg tuleneb võrdse kohtlemise seadusest, mille kohaselt aegub kahju hüvitamise nõue ühe aasta jooksul arvates päevast, millal kannatanud isik kahju tekkimisest teada sai või pidi teada saama. Pärast seda tähtaega võib töötaja ja ka teiste isikute poolt kandideerimise ajal avaldatud informatsiooni säilitada üksnes juhul, kui isik on andnud selleks eraldi kirjaliku nõusoleku. Seega ilma isikute nõusolekuta ei tohi tööandja endale koguda nn CV-de andmebaasi, mida vajadusel kasutada.

Isikuandmete töötlemine muudel juhtudel

Juhul, kui isikuandmeid ei töödelda töölepingu täitmise raames või seaduses toodud kohustuse täitmiseks (näiteks kogutakse andmeid töötajale soodustuste andmiseks), saab seda teha üksnes isiku nõusolekul. Oluline on siin meeles pidada, et ka sellisel juhul peab isikuandmete töötlemine olema minimaalne ja eesmärgipärane. Lihtsalt niisama informatsiooni kogumine oma töötajate kohta ei ole lubatud. Samuti ei tohi töötaja keeldumine saada töötaja jaoks töösuhtes takistuseks ega tuua endaga kaasa töötajale negatiivseid tagajärgi.

Nõusoleku küsimisel tuleb lähtuda järgmistest põhimõtetest:

- nõusoleku andmist peab suutma tõendada, seega on soovitatav see saada kirjalikult või elektrooniliselt;

- nõusoleku vormil ei tohi olla eeltäidetud lahtreid. Isik peab ise saama märkida oma valikut;

- isikuandmete töötlemise tingimused on toodud ära selges ja arusaadavas keeles;

- isikut informeeritakse tema õigustest seoses isikandmete töötlemisega;

- isikut informeeritakse sellest, kes on vastutav töötleja, ja esitatakse tema kontaktandmed;

- eraldi on välja toodud isiku õigus igal ajal isikuandmed töötlemiseks antud nõusolek tagasi võtta.

Oluline on rõhutada, et töötajal ei ole võimalik nõuda nende isikuandmete töötlemise lõpetamist, mis on tööandjale vajalikud oma lepingust või seadusest tulenevate kohustuste täitmiseks. Küll aga on töötajal see õigus muudel eesmärkidel kogutud andmete osas. Seega on alati soovitatav töötajale selgitada, et kui ta nõuab selliste isikuandmete töötlemise lõpetamist, mis on otseselt seotud töölepingu või seadusest tuleneva kohustuse täitmisega, siis toob see kaasa võimatuse täita töölepingut.

Isikuandmete säilitamine tööandja poolt

Üldmäärusest tulenevalt tohib isikuandmeid säilitada üksnes nii kaua, kui see on vajalik eesmärgi täitmiseks, milleks isikuandmeid töödeldakse. Teatud juhtudel annab seadus tähtajad, kui kaua tuleb isikuandmeid sisaldavaid dokumente säilitada:

- kandideerimistega seotud dokumendid – 1 aasta alates konkursi lõppemisest;

- tööleping – 10 aastat alates töösuhte lõppemisest;

- raamatupidamise algdokumendid (nt puhkuse- ja palgaarvestus) – 7 aastat alates selle majandusaasta lõpust, kui majandustehing algdokumendi alusel raamatupidamisregistris kirjendati.

Muudel juhtudel peab tööandja ise hindama ja suutma põhjendada, milline on vajalik tähtaeg konkreetse eesmärgi täitmiseks. Seejuures võivad olla abiks järgmised küsimused:

- kui kauaks ma vajan isikuandmeid, et saavutada oma eesmärk?

- kas ma olen seadusest tulenevalt kohustatud neid andmeid säilitama?

- kas ma pean neid andmeid säilitama, et kaitsta ennast võimalike nõuete eest? Kui jah, siis milliste võimalike nõuete eest? Milline on nõuete aegumistähtaeg?

- Kas ja millises ulatuses on mul arhiveerimiskohustus? Kui kaua peavad andmed olema arhiveeritud?

Soovitatav on töötajat alati selgelt ja arusaadavalt informeerida, et tema isikuandmeid säilitatakse kuni eesmärgi saavutamiseni ja kuni seaduses toodud teatud isikuandmeid sisaldavate dokumentide säilitamise tähtajad on möödunud.

Vastutava ja volitatud töötleja vaheline isikuandmete töötlemise leping

Töösuhtes on tööandja isikuandmete vastutav töötleja. Kui tööandja tellib raamatupidamisteenust või muud personaliga seotud teenust kolmandalt isikult (nn volitatud töötlejalt), siis on oluline, et oleks sõlmitud isikuandmete töötlemise leping. Üldmäärus näeb ette kaheksa kohustuslikku tingimust, mis peavad olema isikuandmete töötlemise lepingus kokku lepitud:

- andmete töötlemine toimub üksnes vastutatav töötleja dokumenteeritud juhtiste alusel;

- volitatud töötleja peab järgima konfidentsiaalsusnõuet;

- volitatud töötleja peab tagama, et kasutusele on võetud kõik vajalikud meetmed isikuandmete turvaliseks töötlemiseks;

- teise volitatud töötleja kaasamine saab toimuda üksnes siis, kui selleks on saadud kirjalik luba;

- volitatud töötleja peab abistama vastutavat töötlejat tema taotlustele vastamise kohustuse täitmiseks;

- volitatud töötleja peab abistama vastutavat töötlejat isikuandmete turvalisuse meetmete rakendamisel, sh rikkumistest informeerimisel;

- pärast töötlemise lõpetamist peab volitatud töötleja kustutama või tagastama kõik isikuandmed;

- volitatud töötleja peab tegema kättesaadavaks teabe, mis on vajalik tõendamaks eelnimetatud kohustute täitmist, sh tagama juurdepääsu auditi tegemiseks.

Oluline on rõhutada, et vastutus võimaliku rikkumise eest lasub siiski tööandjal kui vastutaval isikuandmete töötlejal. Seetõttu on isikuandmete töötlemise lepingus soovitatav kokku leppida ka volitatud töötleja vastutus vastutava töötleja ees.

Kokkuvõtteks

Tööandjale, kes on täitnud isikuandmete kaitse seaduses toodud isikuandmete töötlemise põhimõtteid, üldmäärus suuri muudatusi kaasa ei too, kuna need põhimõtted on samaks jäänud. Seoses uue üldmäärusega on siiski soovitatav tööandjana muu hulgas analüüsida,

- milliseid isikuandmeid kogutakse;

- kas selliste andmete kogumine on vajalik;

- kuidas ja kus isikuandmeid säilitatakse;

- kuidas on tagatud isikuandmete säilitamise turvalisus;

- kui kaua isikuandmeid säilitatakse;

- kellel on juurdepääs isikuandmetele;

- kas volitatud töötlejaga on sõlmitud isikuandmete töötlemise leping.

Osale arutelus

  • Alice Salumets, Rödl & Partner Advokaadibüroo vandeadvokaat

Toetajad:

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Raamatupidajat sotsiaalmeedias

RSS
Palgakalkulaator
Maksuvabastus (kuu)
Maksuvabastus (aasta)

Toetajad:

Veebiseminarid 24/7

Valdkonna tööpakkumised

MAXIMA EESTI OÜ otsib PEARAAMATUPIDAJAT

Fontes PMP OÜ

22. oktoober 2018

Uudised

Tööriistad