Vandeadvokaat Priit Põld ja jurist Liis Leedo: isikuandmete säilitamisel peab olema eesmärk

Artikkel ilmus 18. juunil 2024 Postimehes.

Läbimõtlemata isikuandmete kogumine ja säilitamine võib põhjustada nii ettevõtetele kui ka inimestele, kelle andmed on kogutud, suuri probleeme. Selleks, et riske maandada, peavad ettevõtted isikuandmete kogumisel paika panema ka nende säilitusperioodid, kirjutavad Priit Põld ja Liis Leedo advokaadibüroost COBALT. 

Ettevõtted töötlevad igapäevaselt oma äritegevuse käigus väga suurt hulka isikuandmeid. Samas tekitab tihti segadust, kui kaua tohib isikuandmeid säilitada, olgu need paberkandjal, arvutis digitaalsel kujul, e-kirjadena postkastis või mõne teenusepakkuja pilveplatvormis.

Probleem tõusetub, kui alles hoitakse rohkelt digiprügi ning lekivad kümneid aastaid säilitatud isikuandmed, mida tegelikult poleks olnud vaja säilitada. Nii juhtus näiteks hiljutise laia kõlapinda tekitanud andmelekke puhul. Ei ole harvad ka olukorrad, kus ettevõtted ei kustutagi kogutud isikuandmeid, sest mine tea, millal neid võib vaja minna.

Jättes kõrvale halvima stsenaariumi ehk andmelekke, on andmekaitsenõuete täitmata jätmise korral muidugi ka trahvirisk. Näiteks käesoleva aasta märtsis teatas Soome andmekaitseombudsman, et määras internetipoele Verkkokauppa.com 856 000 euro suuruse trahvi, kuna ettevõte ei olnud paika pandud kliendikontodega kogutud isikuandmete säilitamisperioode ja säilitas isikuandmeid tähtajatult.

Säilitamine on isikuandmete töötlemine nagu ka näiteks vaatamine, edastamine, kopeerimine ning  muutmine ning sellisele töötlemisele kohaldub isikuandmete kaitse üldmäärus (IKÜM, rohkem tuntud kui GDPR). IKÜMist tulenevalt peab vastavalt paika pandud säilitusperioodidele perioodi lõpus isikuandmed ära kustutama või anonüümima, nii et nende andmetega ei oleks enam inimene tuvastatav.

Küsimusele, kui kaua võib isikuandmeid säilitada, ei ole tihtipeale võimalik üheselt vastata, sest kõik sõltub sellest, milleks on konkreetseid isikuandmeid vaja. Selle teadmisega kaugele ei jõua, seega selgitame reegleid täpsemalt.

Eesmärk peab olema selge

Isikuandmete vastutav töötleja ehk see, kes otsustab, mis eesmärgil ja vahenditega isikuandmeid töödelda, peab järgima IKÜMi põhimõtteid. Üheks neist on isikuandmete säilitamise piirangu põhimõte, mis tähendab, et isikuandmeid võib säilitada seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse. Teisisõnu, kui sel eesmärgil, milleks isikuandmeid koguti, neid enam vaja pole, tuleb otsustada, kas andmed kustutada, anonüümida või leida mõni muu eesmärk ja sobiv õiguslik alus andmete säilitamiseks.

Andmetöötluse eesmärki peab suutma selgitada iga vastutava töötleja rollis olev isik, vastates küsimusele, et miks ta andmeid töötleb. Näiteks selleks, et müüa e-poes kaupa, on vaja töödelda isikuandmeid ostja kohta, et talle arve esitada ning kaup kohale toimetada. Paralleelselt peab muidugi järgima ka muid IKÜMi põhimõtteid, sh võimalikult väheste andmete kogumise põhimõtet, mis tähendab, et isikuandmeid võib koguda vaid selles ulatuses, mis on vajalik eesmärgi saavutamiseks. Eeltoodud e-poe näite puhul on ilmselt ostja nime, e-posti aadressi, telefoninumbri küsimine vajalik, kuid koduse aadressi küsimine saaks kõne alla tulla üksnes juhul, kui ostja soovib kauba tarnet kulleriga koju.

Säilitamisel peab olema õiguslik alus

Isikundmete säilitamise vajadus ja tähtajad on enamasti vastutava töötleja enda määrata, kuid see võib konkreetselt tuleneda ka kohustusena mõnest eriseadusest. Siis on kõik üsna lihtne – seadus ütleb ette, kui kaua tuleb andmeid säilitada. Kui see periood on möödas ja muu eesmärk andmete säilitamiseks puudub, tuleb isikuandmed kustutada või muuta need anonüümseks. Näiteks raamatupidamise seadus sätestab, et raamatupidamise algdokumente tuleb säilitada seitse aastat või töölepingu seadus sätestab, et töölepinguid tuleb säilitada kümme aastat.

Sageli aetakse segamini kohustusena pandud tähtajad muude seaduses olevate tähtaegadega. Näiteks tsiviilseadustiku üldosa seaduses (TsÜS) on sätestatud erinevad nõuete aegumistähtajad: tehingute puhul on selleks üldjuhul kolm aastat, kuid tahtliku rikkumise puhul kümme aastat. Miks on seda oluline teada? Jätkates e-poe näitega – kui kaup on müüdud, tekib järgmine küsimus, et kui kaua võib e-poe tellimuse täitmiseks kogutud andmeid säilitada? Siin peakski mõtlema, mille jaoks on vajalik andmeid säilitada pärast seda, kui kaup on müüdud? Vastuseks saab olla ilmselt, et kaitsta end võimalike õigusnõuete vastu, mis võivad ostjal tekkida. Seega tuleme tagasi TsÜSi põhimõtete juurde, kuid siin peame silmas pidama, et TsÜS ei pane meile ega ostjale mingeid kohustusi. Tegemist on vaid õigusega.

Kui andmete säilitamise kohustus ei tulene mõnest õigusaktist, siis peab vastutav töötleja ise vastavalt töötlemise eesmärgile paika panema säilitusperioodi ning seda väga selgelt põhjendama. Enamasti saab õiguslikuks aluseks olla IKÜMis sätestatud õigustatud huvi, kuid enne, kui sellele tugineda, tuleb seda põhjalikult kaaluda. Selleks tuleb panna ühele kaalulausile ettevõtte huvid (nt ärihuvid) või mõne kolmanda isiku huvid ja teisele kaalulausile inimese õigus privaatsusele. Seda, kas eeltoodud TsÜSi näite puhul on andmete säilitamine õigustatud kolm või kümme aastat, sõltub konkreetsetest asjaoludest, mida õigustatud huvi kaalumisel tuleb arvesse võtta.

Niisamuti tuleks läbi mõelda absoluutselt kõik isikuandmed ning asukohad, kus andmeid säilitatakse, sealhulgas e-postkastides, teenuseosutajate andmebaasides, arhiivides jms ning ka seal töödeldavatele andmetele kohaldada säilitusperioode.

Millest alustada?

Säilitusperioodide paika panemisel soovitame alustada andmetöötluse kaardistamisest ehk kirja panna võimalikult detailselt muuhulgas isikuandmete töötlemise, sh säilitamise eesmärgid, kelle andmeid töödeldakse ning milliseid isikuandmeid töödeldakse.

Kui töödeldavate isikuandmete kaardistus on tehtud:

• tuleb eesmärkide lõikes vaadata, kas mõni õigusakt (nt ennist mainitud raamatupidamise seadus) sätestab kohustusliku dokumentide (isikuandmete) säilitustähtaja;
• kui sellist õigusakti pole, tuleb vastavalt andmetöötluse eesmärgile hinnata, kas esineb õigustatud huvi isikuandmete säilitamiseks ja kui pikk oleks sel juhul säilitusperiood, mis ei riiva liialt inimese, kelle andmeid säilitatakse, õigust privaatsusele.