Õigustatud huvi tuvastamine

1.       Mis on isikuandmete töötlemise eesmärk?

Ammende Hotell OÜ (edaspidi ka “hotell” või “vastutav töötleja”) on paigaldanud koridoridesse, parklasse, sissepääsude juurde ja üldkasutatavatele aladele kaamerad, mille vaatevälja võivad jääda kliendid ja töötajad. Isikuandmete töötlemise eesmärk on kaitsta hotelli vara, samuti tagada hotelli töötajate ja külastajate turvalisus. Hotell soovib tagada, et hotelli territooriumile ei siseneks isikud, kellel selleks õigust ei ole (st, nad ei ole hotelli töötajad ega külastajad). Samuti soovib hotell tagada, et külastajad ja töötajad järgivad hotelli sisekorraeeskirju.

2.       Kas isikuandmete töötlemine on vajalik selleks, et saavutada üht või mitut organisatsioonilist eesmärki?

Hotelli vara kaitsmine, samuti oma töötajate ja külaliste turvalisuse tagamine teenib hotelli kui organisatsiooni huve. Hotell peab tagama ohutu töökeskkonna oma personalile. Samuti on hotellil vaja tagada ohutu viibimiskeskkond oma külalistele, nii nende kaitseks kui ka hotelli maine kaitseks.  Samuti on hotelli jaoks oluline kaitsta enda vara, mille hävimine tooks hotelli jaoks kaasa majanduslikku kahju.

3.       Kas GDPR, e-privaatsuse määrus või mõni kohalik õigusakt tunnustab kõnealust isikuandmete töötlemise toimingut kui legitiimset tegevust, tingimusel, et eelnevalt on teostatud positiivse tulemusega kaalumistest?

GDPRi põhjenduspunktis nr 47 on mainitud, et pettuste vältimiseks rangelt vajaliku isikuandmete töötlemise puhul võib tugneda õigustatud huvile. Antud juhul ei ole tegemist otseselt pettuste ärahoidmisega, vaid eesmärgiks on nii hotelli töötajate ja külastajate ohutuse tagamine kui ka hotelli vara kaitse tagamine, samuti sisekorraeeskirjade rikkumiste tuvastamine. Need eesmärgid on samas sarnased pettuste ärahoidmise eesmärgiga.

Vajalikkuse test

1.       Miks on isikuandmete töötlemise toiming vastutava töötleja jaoks oluline?

Isikuandmete töötlemise toiming on vastutava töötleja jaoks oluline, sest vastutava töötleja jaoks on oluline oma külastajate ja töötajate turvalisuse tagamine.

2.       Kas eesmärgi saavutamiseks on olemas mingeid muid viise?

Hotelli vara kahjustamise ärahoidmiseks või peatamiseks, samuti hotelli töötajaid ning külastajaid ohustava tegevuse ärahoidmiseks või peatamiseks ei ole tõhusamaid viise. Videovalve võimaldab jälgida teatud alasid reaalajas, ning sekkuda kohe, kui on näha, et rikkumine toime pannakse.

Kaalumistest

1.       Kas andmesubjekt võib eeldada kõnealust isikuandmete töötlemist?

Andmesubjekt võib eeldada kõnealust töötlemist. Nii hotelli töötajaid kui ka hotelli külastajaid võib pidada GDPRi põhjenduspunkti nr 47 tähenduses isikuteks, kellega vastutaval töötlejal on “asjakohane ja sobiv suhe”. Sellisel juhul tuleb pigem asuda seisukohale, et andmesubjekt võib eeldada, et vastutav töötleja töötleb tema isikuandmeid. Lisaks võib andmesubjekt eeldada, et teda võidakse üldkasutatavatel aladel kaameraga jälgida, kuna kaamerate kasutamine turvalisuse tagamiseks on üsna levinud.

2.       Kas isikuandmete töötlemine lisab andmesubjekti poolt tarbitavale teenusele või tootele lisandväärtust?

Jah. Nii hotelli töötajate kui ka külastajate huvides on see, et hotell oleks turvaline koht, kus ei rikuta sisekorraeeskirju. See tagab töötajatele ohutu ja rahuliku töökeskkonna. Samuti aitab see hotelli külastajate jaoks tagada ohutut ja meeldivat kliendikogemust.

3.       Kas on tõenäoline, et isikuandmete töötlemine mõjutab andmesubjekti õigusi negatiivselt?

On risk, et kõnealune isikuandmete töötlemine võib mõjutada andmesubjekti õigusi negatiivselt. Kaameraga tehtavate salvestiste peale võib jääda tundlikku informatsiooni. Vastutav töötleja on taganud teavitussiltide olemasolu, et andmesubjekt saaks aru, et teda jälgitakse kõnealuses ruumis kaameraga. Siiski on risk, et salvestise peale võib tundlikku informatsiooni jääda.

4.       Kas töötlemine võib tõenäoliselt põhjustada andmesubjektile ootamatut kahju või ebamugavust?

Nagu eelmise küsimuse vastusena sai selgitatud, on risk, et kaamerasalvestise peale võib jääda tundlikku informatsiooni. On võimalik, et andmesubjekt ei pane tähele silti, mis kaamera olemasolust teavitab. Samas on see risk, mida ei saagi täielikult kõrvaldada. Vastutav töötleja on teinud kõik endast oleneva, et andmesubjekte kaameraga jälgimisest teavitada.

5.       Kas vastutavale töötlejale saaksid osaks negatiivsed tagajärjed, kui isikuandmete töötlemist ei toimuks?

Juhul, kui kõnealust isikuandmete töötlemist ei toimuks, on risk, et vastutav töötleja ei suuda ära hoida enda vara kahjustamist või ohu tekkimist enda töötajatele ja külastajatele. Samuti on sellisel juhul risk, et vastutav töötleja ei avasta piisavalt kiiresti sisekorraeeskirjade rikkumisi, mis võib omakorda tekitada ohu töötajatele või külastajatele.

6.       Kas isikuandmete töötlemine on selle isiku huvides, kelle isikuandmeid töödeldakse?

Jah. Turvaline keskkond on mitte ainult vastutava töötleja, vaid ka hotelli töötajate ja külastajate endi huvides.

7.       Milline on töödeldavate isikuandmete olemus? Kas GDPR sätestab selliste isikuandmete jaoks teatud erilise kaitse?

Töödeldakse teavet. Mis jääb kaamera vaatevälja. Kuivõrd tegemist on isikute reaalajas kaamerate jälgimisega, eksisteerib võimalus, et kaamerasalvestisele jääb tundlikku teavet. Seda riski on püütud maandada sellega, et enne kaameraga jälgitavale alale sisenemist näeb isik teavitust kaamera kasutamise kohta. Kaameratega jälgitakse ainult sissepääsusid, parklat koridore ja muid üldkasutatavaid alasid. Ei jälgita puhkeruume ega muid ruume, kus tundlikuma teabe salvestamine võib olla tõenäolisem.

8.       Kas töötlemine piiraks või kahjustaks üksikisiku õigus?

Isiku kaameraga jälgimist peetakse pigem üsna riivavaks isikuandmete töötlemise toiminguks. Tegemist on riivega isiku eraelu puutumatuse osas.

9.       Kas isikuandmed on kogutud otse andmesubjektilt või on need kogutud kaudselt?

Isikuandmeid kogutakse otse andmesubjektilt (vastutav töötleja on see isik, kes andmesubjekti kaameraga jälgib).

10.   Kas isiku ja organisatsiooni vahelises suhtes esineb olukord, kus ühel on rohkem võimu kui teisel?

Vastutava töötleja puhul on tegemist hotelliga, st eraõigusliku juriidilise isikuga, mitte avalik-õigusliku juriidilise isikuga, kes saaks andmesubjekti suhtes võimupositsioonil olla. Kliendi ja hotelli vahel ei ole olukorda, kus ühel on rohkem võimu kui teisel. Hotell on eatud mõttes võimupositsioonil oma töötajate suhtes. Tööandja ja töötaja vahel on nn subordinatsioonisuhe. teatud mõttes võimupositsioonil oma töötajate suhtes. Tööandja ja töötaja vahel on nn subordinatsioonisuhe.

11.   Kas kõnealust isikuandmete töötlemise toimingut võib pidada liialt riivavaks või ebasobivaks, eriti arvestades vastutava töötleja ja andmesubjekti vahelist suhet?

Kaamerate kasutamist koridorides, sissepääsudes, parklas ning üldkasutatavatel aladel turvalisuse tagamise eesmärgil ei saapidada liialt riivavaks või ebasobivaks. Kaameraga eelnimetatud alade jälgimine aitab vastutaval töötlejal tõhusalt rikkumise avastada ja/või ära hoida.

12.   Kas andmesubjektile on esitatud teavitus isikuandmete töötlemise kohta? Kas teavituses on piisavalt selgelt kirjeldatud, kuidas isikuandmeid töödeldakse?

Jah, andmesubjektile on esitatud teavitus isikuandmete töötlemise kohta. Vastutaval töötlejal on olemas privaatsuspoliitika, kus on kirjeldatud seda, kuidas hotell töötleb oma klientide ja töötajate isikuandmeid. Privaatsuspoliitika on kättesaadav vastutava töötleja veebilehel. Lisakson ka eraldi videovalve teostamise tingimused, kus on kirjeldatud, mis eesmärkidel kaameraid kasutatakse, kui kaua salvestisi säilitatakse, kuidas saab andmesubjekt taodelda salvestistega tutvumist jm. Videovalve tingimused on samuti kättesaadavad hotelli veebilehel.

13.   Kas andmesubjektil, kelle isikuandmeid töödeldakse, on võimalik teostada kontrolli isikuandmete töötlemise üle ning töötlemisele vastu vaielda?

Jah. Vastutav töötleja on privaatsuspoliitikas andnud andmesubjektidele teabe, mille esitamist nõuavad üldmääruse artiklid 13-14. Privaatsuspoliitikas on loetletud andmesubjekti õigused. Lisaks on andmesubjektile on privaatsuspoliitikas selgitatud, kuidas saab andmesubjekt vastutava töötlejaga ühendust võtta, et enda õigusi teostada. Lisaks on hotelli videovalve tingimustes kirjas, kuidas saab andmesubjekt vastutava töötleja poole pöörduda selleks, et teostada enda õigusi seoses videosalvestistega (nt paluda salvestisega tutvumist).

14.   Kas isikuandmete töötlemise ulatust on võimalik vähendada, selleks, et töötlemine oleks andmesubjekti jaoks vähem riivav?

Vastutav töötleja on andmesubjekti põhiõiguste- ja vabaduste kaitseks rakendanud erinevaid meetmeid, mida on kirjeldatud järgmises lahtris.

Kaitsemeetmed

Selleks, et vähendada riivet andmesubjekti põhiõiguste ja vabaduste osas, on vastutav töötleja rakendanud järgmisi meetmeid: 1) andmesubjekti on teavitatud videovalve tingimustest; 2) vastutav töötleja on paigutanud ruumidesse kaameraga jälgimisele osutavad teavitussildid; 3) vastutav töötleja on hoolikalt läbi mõelnud, kuidas käib andmesubjekti päringutele vastamine, sh olukorras, kus andmesubjekt näiteks soovib tutvuda salvestisega, millele ta on jäädvustatud või kui andmesubjekt taotleb salvestise kustutamist; 4) vastutav töötleja on kehtestanud tähtajad videosalvestiste säilitamisele. salvestisi säilitatakse 2 nädalat. Pärast 2 nädala möödumist hakkab videosüsteem automaatselt üle salvestama. Turvaintsidendi korral säilitatakse intsidendiga seotud salvestist kuni intsidendi lahendamiseni; 5) vastutav töötleja on kehtestanud juurdepääsuiirangud – salvestised asuvad virtuaalserveris, kuhu on juurepääs vaid ettevõtte tegevjuhil personaalsete kasutajatunnuste ja paroolidega.

Analüüsi järeldus

Arvestades ülaltoodut, tuleb järeldada, et kaamerate kasutamine koridorides, sissepääsudes, parklas ning üldkasutatavatel aladel, tuvastamaks võimalikke ohte turvalisusele ja tuvastamaks sisekorraeeskirjade rikkumisi, on üldmääruse artikkel 6 lg 1 punkti f alusel võimalik. Kuigi kaamerate kasutamise puhul on tegemist väga riivava isikuandmete töötlemise toiminguga, rakendab vastutav töötleja antud juhul meetmeid, mis tagavad töötlemise läbipaistvuse andmesubjekti jaoks ning andmesubjekti põhiõiguste ja -vabaduste kaitse (vt punktis D loetletud meetmeid).

Analüüsi lõppjäreldus: Vastutav töötleja saab kasutada kaameraid turvalisuse tagamise eesmärgil, tuginedes isikuandmete töötlemise õigusliku alusena õigustatud huvile (üldmääruse art 6 lg 1 punkt f).

Allkirjastaja: Sven-Erik Volberg

Ametikoht: Hotellijuht

Kuupäev: 28.09.2020

Kaalumisotsuse ülevaatamise kuupäev: 26.09.2020