Jaga:
Autor: Johanna Rähn, jurist, advokaadibüroo Hedman Partners • 23. juuli 2020
Jaga:
Sisuturundus

Isikuandmete kaitse keset näotuvastust ja sõrmejäljelugejaid

Hedman Partners jurist Johanna Rähn.
Foto: Hedman Partners
Üha enam koguvad populaarsust ja muutuvad kättesaadavamaks turvameetmed, mis kasutavad isiku tuvastamiseks inimese näokuju, sõrmejälge või silmaiirist ehk biomeetrilisi andmeid. Mida peaks ettevõtja kaaluma enne biomeetrilisi andmeid kasutavate turvalahenduste kasutuselevõtmist, selgitab Hedman Partners jurist Johanna Rähn.

Biomeetrilised andmed on isiku eksimatut tuvastust lubavad andmed – näiteks inimese näokuju, sõrmejäljed või silmaiirise tuvastus. Selliseid andmeid peetakse eriliigilisteks ehk tavalisest tundlikumateks andmeteks, kuna võivad valedel eesmärkidel kasutades inimese privaatsusõigusi väga oluliselt rikkuda.

Kusjuures peetakse inimese biomeetrilisteks andmeteks nii inimese kohta saadud unikaalset infot ilma tema isikut nimeliselt tuvastamata kui ka biomeetria töötlemisest saadavaid koode ehk räsi. Kuigi andmekaitse on oluline ka vähemtundlike andmete koha pealt, peab biomeetriliste andmete kogumisel ja töötlemisel olema eriliselt hoolikas.

Vaikimine pole nõusolek

Isikuandmete kaitse õiguse kohaselt on biomeetriliste andmete töötlemine ilma isiku nõusolekuta lubatud ainult mõjuval põhjusel, näiteks avaliku turvalisuse huvides või teadustööks. Isiku selgesõnalisel nõusolekul on võimalik biomeetriliste andmete töötlemine ka muudel eesmärkidel.

Seotud lood
Eestis varastatakse rohkem ideid kui tooteid
Kas linnukeste märkimine annab nõusoleku isikuandmete töötlemiseks?

Biomeetriliste andmete töötlemiseks antud nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline. Näiteks töösuhtes ei saa töötaja nõusolekut pidada reeglina vabatahtlikuks, kuivõrd tööandja-töötaja dünaamika on ebavõrdne ja töötaja võib tunda teatavat survet enda isikuandmete töötlemisega nõustuda.

Seega tuleks näiteks kontoris, kuhu tahetakse paigaldada sõrmejäljelugejaga turvalukk, pakkuda töötajatele reaalset teist alternatiivi, mille valimine ei tooks kaasa negatiivseid tagajärgi töötajale – näiteks säilitama võimaluse ka uksekaardiga tööle pääseda.

Teistsugune olukord on näiteks spordiklubides, kus spordiklubi ja kliendi vahel ei ole alluvussuhet ja kliendil on võimalus vabalt teenusepakkujat vahetada. Sellises olukorras võib spordiklubi kasutada sissepääsuks inimese biomeetrilisi andmeid, kui selleks on antud selgesõnaline nõusolek. Samal põhimõttel kasutatakse mitmetes veebiteenustes, näiteks finantsteenuste puhul, biomeetrilisi andmeid isikutuvastsuseks.

Samas tuleb silmas pidada, et tundlike isikuandmete töötlemisel tuleb sellest inimest teavitada ja saada selleks asjakohane nõusolek. Nõusolekuvormi ei tohiks n-ö ära peita teenuse üldtingimustesse või lugeda nõustumiseks teavituslehe lõppu kerimist.

Nõusoleku andmise tuvastatavuse tagamiseks peaks inimene tegema selleks eraldi liigutuse, näiteks märkima linnukese eraldi nõusolekuvormi, mis käsitleb konkreetsete andmete töötlemist. Nõusoleku küsimise ja hilisema tõendamise kohustus on alati andmetöötlejal, kes peab andmete, eriti tundlike andmete puhul kandma vastutust ka selle eest, kui andmeid hiljem kuritarvitatakse.

Riskide maandamine

Biomeetriliste andmete, muuhulgas ka näotuvastuse kasutamisega kaasnevad kõrgendatud riskid. Enne biomeetriliste andmete kasutamist tuleks esmalt kaaluda, kas sama tulemust ei ole võimalik saavutada vähem sekkuvate meetmete abil ja seda, kuidas tagada, et andmeid kogutakse nii vähe ja hoitakse nii lühikest aega kui vähegi võimalik.

Seejuures on oluline märkida, et tundlikemate andmete puhul võivad rikkumise korral andmesubjektidele tekkivad võimalikud kahjud olla märkimisväärselt suured, mistõttu on enne uute tehnoloogiate kasutuselevõttu või teenusega turuleminekut oluline riske realistlikult kaaluda ning võimalikult palju maandada.

Näiteks töösuhtes ei saa töötaja nõusolekut pidada reeglina vabatahtlikuks, kuivõrd tööandja-töötaja dünaamika on ebavõrdne ja töötaja võib tunda teatavat survet enda isikuandmete töötlemisega nõustuda.
Johanna Rähn, Hedman Partners jurist

Isikuandmete kaitse nõuete mittejärgimine võib kaasa tuua trahvi, mille suurus Euroopa Liidu õiguse kohaselt võib olla kuni 20 miljonit eurot või 4% globaalsest käibest, kumb iganes on kõrgem. Siiani on suurimaks trahviks 2019. aastal British Airwaysile määratud 230 miljoni euro suurune trahv 2018. aastal toimunud andmelekke eest.

Biomeetria kasutamine võib isikutuvastusprotsesse oluliselt mugavamaks ja kiiremaks muuta ning olla seetõttu hea lahendus teenuste või töökorralduse uuendamiseks. Seejuures on aga oluline, et ettevõtted oleksid seda hoolikamad, mida tundlikumaid andmeid kogutakse ja töödeldakse, tagades seejuures, et inimesel endal oleks võimalik kontrollida seda, kuhu ja kellele tema andmeid edastatakse.

...

Ole kursis Eesti start-up'ide uudistega - telli FoundME iganädalane uudiskiri SIIT!

Tarmo Virki
foundME.io tegevtoimetaja
Telefon: +372 5644562
Rain Jüristo
foundME.io reklaamimüügi projektijuht
Telefon: +372 5182875
AS Äripäev
Vana-Lõuna 39/1, 19094 Tallinn
Telefon: +372 667 0111