GDPR

Isikuandmete töötlemine töösuhetes

Kristel Tiits Kristel Tiits

Isikuandmete kaitse üldmääruse (edaspidi üldmäärus) peamine eesmärk on anda üksikisikule nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul võimalus kontrollida, milliseid andmeid tema kohta töödeldakse.

Üldmääruse regulatsioon laieneb samuti töösuhetele, kus tööandja töötleb töötaja isikuandmeid.

Meeldetuletuseks – mis on isikuandmed?

Isikuandmeteks loetakse kõiki andmeid otseselt või kaudselt tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad tema füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust. Isikuandmetena käsitletakse kõiki andmeid, mis on füüsilise isikuga seostatavad otseselt või kaudselt. Vastavalt üldmäärusele jagunevad isikuandmed üldisteks ja eriliiki andmeteks. Üldised isikuandmed on näiteks nimi, isikukood või sünniaeg, elukoht, inimese pilt, sh turvakaamera salvestis, jne.

Eriliiki isikuandmed on sellised andmed, millest ilmnevad rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused, geneetilised andmed, biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta.

Isikuandmete töötlemine töösuhetes

Isikuandmete töötlemiseks peab tööandja sätestama töötlemise eesmärgi ehk määratlema, milleks on vaja isikuandmeid töödelda ja millisel õiguslikul alusel andmeid töödeldakse.

Töösuhetes on töötaja isikuandmete töötlemise õiguslikke aluseid kaks – lepingu täitmiseks ja tööandja juriidilise kohustuse täitmiseks. Tööandja on töötaja isikuandmete vastutav töötleja ja peab tagama, et isikuandmeid töödeldakse kooskõlas kehtiva üldmääruse ja muude kohalduvate aktidega.

Isikuandmete töötlemine värbamisel

Millises ulatuses võib värbamisel töödelda kandidaadi isikuandmeid? Kas taustakontrolli tegemiseks on vaja küsida kandidaadi nõusolekut? Kas sotsiaalmeediat võib kasutada töösoovija kohta info leidmiseks? Need on mõned paljudest küsimustest, mis tekivad isikuandmete töötlemisega juba enne töösuhte algust.

Tööandja võib töödelda isikuandmeid, mida töösoovija on tööandjale värbamisprotsessis esitanud ehk CV ja kaasnevad dokumendid (näiteks soovitused endiselt tööandjalt, haridust tõendavad dokumendid jms).

Töötaja taustakontrolli tegemise eeldused

Kas tööandjal on õigus koguda infot töölesoovija või töötaja kohta sotsiaalmeedia vahendusel või mitte? Siinkohal tuleb jälgida, et kasutatakse ainult asjakohaseid kanaleid ja töösoovija enda poolt avalikustatud infot. Kui inimene on avaldanud informatsiooni enda kohta avalikul veebilehel või blogis ja info tuleb välja tavalise internetiotsingu käigus, siis tööandjal eraldi nõusolekut küsida ei ole vaja. Sama kehtib ka töötaja Facebooki profiili uurimisel, ja on lubatav senikaua, kui piirdutakse vaid avalikult avaldatud andmete vaatamisega. Kui tööandja aga võtab ühendust töösoovija või olemasoleva töötaja sõbra või tuttavaga soovituste ja/või tagasiside saamiseks, siis see eeldab töötaja eelnevalt nõusolekut.

Tööandjal on otstarbekas juba töökuulutuses viidata ettevõtte privaatsusteatele, mis selgitab, kuidas ettevõte värbamise protsessis isikuandmeid töötleb – milline on töötlemise eesmärk, töötlemise õiguslik alus ja ka andmete säilitamise tähtajad. Värbamisprotsessis kogutud CV-d on soovitatav alles hoida üks aasta peale värbamise lõppu, sest vastavalt võrdse kohtlemise seadusele on töösoovijal õigus vaidlustada tööle mitte valituks osutumine näiteks diskrimineerimise alusel. Seega on tööandjal õigustatud huvi säilitada andmeid kuni vaidlustustähtaja lõpuni.

Töötaja nõusolek isikuandmete töötlemiseks töösuhetes

Nõusolek on ainult üks üldmääruses sätestatud isikuandmete töötlemist võimaldavast õiguslikest alustest. Nõusolek töötaja andmete töötlemiseks  töösuhtes on üksikutel juhtudel kasutatav, sest töötaja allub tööandja juhtimisele ja kontrollile ning töötaja nõusolek ei oleks ei vabatahtlik ega sama lihtsalt tagasi võetav. Nagu eespool öeldud, on töösuhtes isikuandmete töötlemise õiguslikuks aluseks  lepingu või tööandja juriidilise kohustuse täitmine.  

Nõusolek on oma olemuselt igal ajal tagasi võetav, mistõttu ei ole korrektne olukord, kus töötaja on andnud nõusoleku oma isikuandmete töötlemiseks töölepingu sõlmimise eesmärgil. Töölepingu sõlmimisel töödeldakse töötaja isikuandmeid lepingu täitmiseks, mis tähendab, et töötlemiseks on seaduslik alus ja nõusoleku küsimine oleks eksitav. 

Kirjeldatud olukorras jääb töötajale mulje, et ta saab oma nõusoleku igal ajal tagasi võtta ning juhul kui töötaja sellise nõusoleku tagasi võtab, siis on tööandjal seadusest tulenevad kohustused isikuandmeid siiski töödelda. Näiteks olukorras, kus  töötaja töösuhte lõpetamisel võtab oma nõusoleku tagasi ja soovib, et tööandja tema mis tahes isikuandmed kustutaks. Tööandjal on aga seadusest tulenev kohustus säilitada töölepingut 10 aastat ja töötlemise tegelik õiguslik alus on hoopis tööandja juriidilise kohustuse täitmine, mitte nõusolek.  

Nõusolekut töösuhetes saab kasutada reguleerimaks sisekorralduslikke küsimusi, näiteks töötaja nõusolek pildi avaldamiseks kodulehel, töötaja sünnipäeva avaldamine siseveebis või infotahvlil, laste jõulupaki tarvis töötaja lapse isikuandmete töötlemine jms.

Värbamisprotsessis kogutud CV-de säilitamiseks selleks, et näiteks vakantsete ametikohtade tekkimisel temaga ühendust võtta, tuleb küsida töösoovija nõusolek.

Tööandja peab veenduma, et käitub õigesti

Kokkuvõttes on tööandjal oluline viia ennast kurssi kehtiva isikuandmete kaitse regulatsiooniga, et tagada isikuandmete korrektne töötlemine ettevõttes ja vältida mis tahes kulukaid vaidlusi.

Tööandja on töötaja isikuandmete vastutav töötleja ning tööandjal lasub kohustus teavitada töötajat töötlemise eesmärgist, töötlemise õiguslikest alustest ja säilitamise tähtaegadest. Siinkohal soovitame üle vaadata ettevõttes kehtestatud  töökorralduse reeglid, kus peaksid eelnimetatud põhimõtted ja töötlemise eesmärgid olema lahti kirjutatud ja töötajale tutvustatud. Sealhulgas tuleks tööandjal sätestada, millisel juhul on tööandjal näiteks õigus kontrollida töötaja kasutusse antud e-posti sisu või kuidas on korraldatud ligipääsuõiguste turvaline jagamine. Väga oluline on ka töötajate koolitamine, kuidas isikuandmeid turvaliselt töödelda ja milliseid töötaja isikuandmeid tööandja töötleb.