Isikuandmete töötlemine ja sellega seotud regulatsioonid ei ole alati kõige selgemini arusaadavad, mistõttu võib järgnev illustreeriv näide aidata nii mõnelgi lugejal andmetöötlusest ja sellega seotud nõuetest paremini aru saada.
08:00 – kandideerimine tööle, CV ja motivatsioonikirja esitamine. Tööandja teeb eelvaliku kandidaatide hulgast. Andmetöötluse õiguslikuks aluseks on lepingueelsed läbirääkimised inimese taotlusel. Kandidaatide isikuandmeid võib tööandja säilitada kuni aasta.
08:30 – taustauuring ja töövestlus. Taustauuringut võib teha töötaja nõusolekul. Kui töökoha osas on seaduses sätestatud erinõuded (nt lastega töötamine), siis on taustauuringu tegemise aluseks juriidilise kohustuse täitmine. Andmeid võib säilitada üks aasta alates kandideerimisest.
09:00 – vaimse võimekuse või erialatesti tegemine. Andmetöötluse aluseks on töötaja nõusolek. Säilitamine kuni aasta tööle mittevõtmise otsuse tegemisest. Kui inimene võetakse tööle, siis võib teste säilitada töölepingu perioodil.
09:30 – töölepingu sõlmimine, töötaja palgaandmed ja hüved. Isikuandmete töötlemise õiguslikuks aluseks on lepingu täitmine. Tööandja peab töölepingu säilitama töötamise ajal ja kümme aastat alates töölepingu lõppemisest (enne 2009. a sõlmitud töölepinguid 50 aastat).
10:00 – isikuandmete edastamine raamatupidamisele. Raamatupidaja edastab isikuandmed Maksu- ja Tolliametile. Töötlemise õiguslikuks aluseks on töölepingu ja juriidilise kohustuse täitmine. Andmed säilitatakse raamatupidamise seaduses kehtestatud perioodil ehk seitse aastat.
10:30 – tööarvuti ja kontode seadistamine. Tööandjal on ligipääs töötaja arvutile, e-kirjadele, telefonikõnede eristamisele ja pilveteenuste kontodele. Andmetöötluse aluseks töölepingu täitmine ja õigustatud huvi. Andmeid saab säilitada töösuhte ajal ja vaidluste korral kuni nõuete aegumiseni (üldjuhul kolm aastat).
11:00 –töötajale luuakse sotsiaalmeedia konto. Andmetöötlus (nt töötaja profiilifoto lisamine) toimub lepinguliste kohustuste täitmiseks, aga seda juhul kui konto loomine on vajalik tööülesannete täitmiseks. Kui kontot ei ole vaja töölepinguliste ülesannete täitmiseks, siis tööandja võib konto luua ainult töötaja nõusolekul.
11:30 – uue töötaja tutvustamine kolleegidele. Tööandja ei tohi koguda töötaja kohta isiklikku laadi informatsioon (nt hobid ja lemmikloomad). Kui töötaja avaldab sellise teabe töökaaslastele, siis on see isiklik tegevus.
12:00 – videojälgimine, sõiduki GPS seade ja uksekaart. Videojälgimine fikseerib isikukujutise (nägu ja keha). Uksekaardisüsteem logib tööle tulemise ja lahkumise ning GPS-seade võimaldab jälgida töötaja asukohaandmeid. Andmetöötluse õiguslikuks aluseks on tööandja õigustatud huvi. Isikuandmete säilitamise tingimusi saab kirjeldada töökorralduse reeglites.
12:30 – ligipääs tööandja andmebaasidele. Töötaja saab konto ja paroolid andmebaasidele, mille kaudu on võimalik tutvuda klientide isikuandmetega. Töötaja poolt isikuandmete töötlemise õiguslikuks aluseks on töölepingu täitmine. Andmete töötlemise tingimused on sätestatud töökorralduse reeglites või infoturbejuhises.
13:00 – pildistamine tööandja turundusmaterjalide jaoks. Isikuandmete töötlemise õiguslikuks aluseks on töötaja nõusolek. Selliseid fotosid võib tööandja säilitada töösuhte ajal.
13:30 – töötaja nime lisamine veebilehele ning teavituse avaldamine koos fotoga. Andmetöötluse aluseks on õigustatud huvi, kui töötaja töökoht eeldab avalikkusega ja klientidega suhtlemist. Kui töökoht ei ole seotud avalikkusega ega eelda klientidega suhtlemist, siis foto võib veebilehel avaldada vaid töötaja nõusolekul.
14:00 – tööõnnetus, mille käigus tekkisid töötajale kehavigastused. Tööandjal on kohustus teavitada Tööinspektsiooni ja ning koostada raport (teave kehavigastuste kohta on töötaja eriliiki isikuandmed). Andmetöötlus toimub juriidilise kohustuse täitmiseks. Andmete säilitamise tähtaeg 55 aastat.
14:30 – töövõimetus, rasedus- ja sünnituspuhkus. Tööandja edastab vastavad andmed Sotsiaalkindlustusametile. Isikuandmete kogumise ja töötlemise aluseks on juriidilise kohustuse täitmine.
15:00 – seminari läbiviimine ja intervjuu meediale. Seminari materjalides tutvustatakse töötajat ja lisatud on töötaja foto. Ettekanne salvestatakse ja tehakse veebis üldsusele kättesaadavaks. Andmetöötluse õiguslikuks aluseks on lepinguliste kohustuste täitmine. Andmeid säilitatakse kuni tööandjal on õigustatud huvi materjale teha üldsusele kättesaadavaks.
15:30 – arenguvestlus. Andmetöötluse õiguslikuks aluseks on töölepingu täitmine ning andmeid võib säilitada töösuhte ajal. Peale töölepingu lõppemist peab tööandja arenguvestluse andmed kustutama.
16:00 – töötervishoiukontroll. Tööandja juriidilise kohustuse täitmine, andmeid säilitatakse 10 aastat lepingu lõppemisest. Tööandja ei saa töötervishoiuarstilt töötaja terviseandmeid, vajadusel annab arst soovitusi töökeskkonna parandamiseks.
16:30 – kohtutäitur nõuab tööandjalt võlgnevuse kinnipidamist töötasust. Avaldatakse töötaja eraelulisi andmeid (nt elatisraha maksmise kohustus). Andmetöötluse õiguslikuks aluseks on tööandja juriidilise kohustuse täitmine. Tööandja säilitab kohtutäituri dokumendid sarnaselt raamatupidamisdokumentidele.
17:00 – töötaja näitab puhkusefotosid. Töötaja isiklik tegevus. Tööandja ei tohi selliseid andmeid kasutada töösuhtes (salvestada tööandja serveris, jagada veebis jne).
17:30 – töövaidlus töövaidluskomisjonis. Töötaja isikuandmed võib avaldada komisjonile, kui see on vajalik vaidluse lahendamiseks ja tööandja õiguste kaitsmiseks. Andmetöötluse õiguslikuks aluseks on juriidilise kohustuse täitmine (töövaidluse lahendamise seadus) ja õigustatud huvi (tööandja huvide kaitsmine). Isikuandmete säilitamine on võimalik kuni nõuete aegumiseni.
18:00 – värbamisteenuse päring tööandjale. Tööandja võib kolmandale isikule isiklikku laadi teavet anda töötaja nõusolekul. Erialaste oskuste kohta võib anda tööandja anda teavet, kui see on vajalik töötaja sobivuse hindamiseks uues töökohas (õigustatud huvi).
18:30 – jõulupidu kolleegidega, filmimine ja fotod. Isiklik tegevus, seega tööandja ei saa selliseid materjale kasutada oma tegevuses. Kui jõulupeo fotod või ühispilt avaldatakse tööandja sotsiaalmeedia kontol, siis on selle jaoks vaja kõigi töötajate nõusolekut.
19:00 – lahkumisavaldus tööandjale, arvuti ja e-kirjade konto üleandmine. Tööandja peab andma töötajale võimaluse isiklike failide (nt perepildid) eemaldamiseks tööarvutist ja serverist. Sellega väldib tööandja riski, et eraeluline teave satub tööandja valdusesse. Kui töötaja ei ole isiklikke faile kustutanud, siis tööandja peab failid seadmetest ise eemaldama.
19.30 – töölepingu lõpetamise fakti avaldamine. Kui see on vajalik avalikkuse, klientide või koostööpartnerite teavitamiseks, siis võib tööandja teavitada, et töötajaga on tööleping lõpetatud. Isikuandmete avaldamise aluseks on õigustatud huvi. Lahkumise põhjust ei saa tööandja avaldada, kui see riivaks inimese privaatsust (nt töötaja ütleb töölepingu üles tervislikel põhjustel).
Advokaadibüroo Hedman Partners