Isikuandmete kogumisel tuleb küsida nii palju, kui vaja ja nii vähe, kui võimalik
Peagi jõustuva GDPR-i raames oleme oma blogis võtnud fookusesse isikuandmete töötlemist ja kaitset puudutavad teemad. Viimases postituses kirjutasime pikemalt, millistel õiguslikel alustel tohib isikuandmeid koguda ja muul viisil töödelda. Loe lähemalt Creditinfo blogist.
Tänases postituses vaatame üle need isikuandmete töötlemise põhimõtted, mis määravad muuhulgas, kui palju ja milliseid isikuandmeid andmetöötleja üldse koguda tohib.
Eesmärgikohasuse põhimõte
Enne igasugust isikuandmete kogumist tuleb andmetöötlejal väga selgelt kindlaks määrata, millisel õiguspärasel eesmärgil andmeid kogutakse. Kui andmed on kogutud mingil kindlal eesmärgil, võib neid hiljem ka töödelda üksnes vastavuses selle konkreetse eesmärgiga. Töötlemise eesmärgist tuleb andmesubjekti enne andmete kogumist teavitada.
- Näiteks: Veebipood küsib lepingu sõlmimisel tarbijalt tema e-posti aadressi, et saata sellele arve kauba eest tasumiseks. Hiljem kasutab veebipood sedasama aadressi ka ostjale turunduspakkumuste tegemiseks. Sellisel eesmärgil ei ole pood aga algselt oma kliendilt e-posti aadressi küsinud. Seega on tegemist isikuandmete (e-posti aadressi) mitte-eesmärgipärase töötlemisega.
Minimaalsuse põhimõte
Andmete kogumisel ei tohi andmetöötleja minna ahneks, vaid peab järgima minimaalsuse põhimõtet ja koguma ning töötlema üksnes neid andmeid, mis on asjakohased ja vajalikud. Andmetöötleja ei tohi koguda andmeid suhtumisega „kogun igaks juhuks, äkki kunagi läheb vaja“.
Töötleja peab hindama, kas isikuandmeid on eesmärgi saavutamiseks üldse vaja, ja kui on, siis milliseid isikuandmeid vaja on. Kui eesmärki on võimalik saavutada ka ilma isikuandmeid töötlemata, ei ole isikuandmete töötlemine põhjendatud. Kindlasti ei tohi ära unustada ka seda, et kui soovitud eesmärk on täidetud, tuleb isikuandmed reeglina kustutada. Andmed võib jätta kustutamata üksnes juhul, kui nende säilitamiseks on muu õiguslik alus – nt seadus kohustab andmetöötlejat seadusega määratud tähtaja jooksul andmeid hoidma. Siinjuures tuleb jällegi silmas pidada seda, et neidsamu andmeid, mida seadusega ettenähtud aja jooksul säilitatakse, ei tohi kasutada uue eesmärgi täitmiseks.
Nende põhireeglite kõrval sätestab uus isikuandmete kaitse üldmäärus ka teatud erandid, mis võimaldavad isikuandmeid töödelda ka muul eesmärgil, kui see, milleks andmeid algselt koguti.
- Näiteks: Veebipoest kauba ostmisel tellib klient kauba kodu lähedal asuvasse pakiautomaati. Tellimuse vormistamisel küsib pood infot ka kliendi elukoha ja postiaadressi kohta. Et klient on valinud kauba kojusaatmise asemel kauba tarne pakiautomaati, ei ole poel tellimise täitmiseks tegelikult kliendi elukoha– ega ka postiaadressi vaja. Vaadeldaval juhul rikub veebipood isikuandmete töötlemisel minimaalsuse põhimõtet, kuna kogub mitteasjakohaseid andmeid.mõelda, kas töötlemise eesmärgi saavutamiseks on neid andmeid üldse vaja ja kas neid on vaja just sellisel hulgal.”
“Enne, kui asute isikuandmeid töötlema, tasub veel kord rahulikult mõelda, kas töötlemise eesmärgi saavutamiseks on neid andmeid üldse vaja ja kas neid on vaja just sellisel hulgal.”