Nõusolekuta ei tohi firmad töötajate nimesid veebilehele panna

Advokaadibüroo Sorainen vandeadvokaat Carry Plaks ja jurist Mihkel Miidla arutlevad aripaev.ee õigusblogis, kas uus isikuandmete kaitse seadus on kooskõlas terve mõistusega.

Aasta alguses jõustunud isikuandmete kaitse seadus (IKS) on tekitanud palju segadust ja kära, kohati tundub nagu oleks varemkehtinud isikuandmete kaitse süsteem pea peale keeratud.

Iroonilisel kombel oli uue IKS-i eesmärgiks parandada varasema, juba 2003. aastal jõustunud, isikuandmete kaitse seaduse rakendamisel ilmnenud kitsaskohad. Enamgi veel, nii kehtiva kui ka 2003. a isikuandmete kaitse seaduse aluseks on Euroopa Parlamendi ja nõukogu direktiiv nr 95/46/EÜ.

Põhjendatult tekib küsimus eelpool kirjeldatud vastuolu tekke kohta - kuidas sai "asja" parandamine tekitada nii suure segaduse? Miks ei ole riik rakendanud olemasolevat kogemust või seda edasi arendanud?

Oleme jõudnud ajajärku, kus ettevõte ei tohi ilma inimese nõusolekuta märkida veebilehel oma töötajate nimesid ega muid andmeid, sest võib-olla soovib töötaja oma ameti enda teada hoida.

Sünnipäevaõnnitlused raadios on olnud teemaks – nende lubatavus on tegelikult vägagi küsitav (ERR.ee: andmekaitse inspektsioon lähtub edaspidi tervest mõistusest 03.10.2008. Priit Pullerits on avanud veel ühe tahu (blog, Aitab märklauaks olemisest! 08.10.2008) - sportlaste tulemusi ei tohiks nimeliselt avaldada – needki ju isikuandmed.

Võlgnike, roolijoodikute ja muude kurikaelte andmed on juba mõnda aega olnud rangelt konfidentsiaalseks infoks, kuigi üsna ilmselt rikkumiste osas see preventiivselt ei toimi.

Nimetatud probleemid taanduvad siiski õiguse tõlgendamisele ja tõlgendajale, sest IKS iseenesest on oma sisu ja struktuuri poolest loogiline ja enamasti arusaadav. Kohati tundub, et IKS-i sätteid üritatakse rakendada kõikvõimalikele isikuandmetega seotud olukordadele.

Seejuures ei hinnata, kas konkreetne isikuandmete töötlemine ulatub seaduse reguleerimisalasse või kas IKS-i sätete kohaldamine on üleüldse mõistlik. Probleemi lahendamist ei muuda kuidagi lihtsamaks ka asjaolu, et "töötlemine" on seaduses väga laialt defineeritud. Jääb mulje, et seaduse rakendamisel on ära unustatud isikuandmete kaitse eesmärk – s.o üksikisiku kaitse, eelkõige tema eraelu puutumatuse tagamine. Isikuandmete kaitse (ega ka isikuandmete kaitseta jätmine) ei tohi aga muutuda eesmärgiks iseeneses.

IKS-i rakendamisel on oluline leida sobiv tasakaal ja vältida äärmusi – ühelt poolt ei tohi IKS-i tõlgendamine muutuda liialt laiendavaks ja teiselt poolt jällegi liialt kitsendavaks.

Arvestades tehnoloogia arengut peab isikuandmete kaitse valdkonnas eksisteerima tõesti teatav dünaamika, kuid seejuures ei tohi nõustuda ebamõistlike tõlgendustega IKS-i sätete rakendumise kohta.

Siinkohal lasub Andmekaitse Inspektsioonil, kui riiklikul järelevalveasutusel, väga vastutusrikas roll, kuna vastavalt IKS-ile on tal muuhulgas pädevus kontrollida IKS-is sätestatud nõuete täitmist, teostada järelevalvet ja anda soovituslikke juhiseid IKS-i rakendamiseks. Nimetatud pädevuste raames kerkib paratamatult esile vajadus tõlgendada IKS-i norme ja tuleb leida tasakaal.

01.01.2009. a peavad kõik isikuandmete töötlejad lõplikult viima uue IKS-iga vastavusse ka selliste andmete töötlemise, mis on kogutud enne IKS-i jõustumist. Tahaks loota, et sellega kaasneb vähem segadust kui IKS-i jõustumisel – ühtlasi saab see olema heaks võimaluseks hinnata, kas uus seadus täidab oodatud eesmärki.