Eelmisel aastal korraldati Eestis üle 9000 riigihanke eeldatava kogumaksumusega üle 8 miljardi euro. Sellise mahu juures ei ole vaidlused midagi erakordset, kuid uue trendina kerkib üha enam nende keskmesse andmekaitse. Kõige sagedamini puudutab see IT- ja ehitusvaldkonna hankeid, kirjutab advokaadibüroo RASK riigihangete valdkonna juht Keidi Kõiv.
Riigihangetes hõlmavad lepingulised suhted väga sageli ka isikuandmete kogumist ja töötlemist. Paraku on teadlikkus isikuandmete kaitse põhimõtetest ja nende järgimisest aga sageli puudulik. Praktikas nähtub, et hanketingimustes seatakse pakkujatele kohustusi, mis ei ole kooskõlas kehtiva õigusega.
Hanketingimused peavad olema selged, täpsed ja ühemõttelised. Need põhimõtted kohalduvad ka andmekaitsele. GDPR-i põhjendustes on eraldi rõhutatud, et andmete töötlus peab toimuma avalikult ning samu nõudeid tuleb järgida ka riigihangete korraldamisel.
Seetõttu tuleb hankedokumentide koostamisel põhjalikult läbi mõelda kõik andmetöötlusega seotud aspektid. Kui lepingu täitmine eeldab isikuandmete kogumist või töötlemist, tuleb hinnata, kas hankijal on selleks üldse õiguslik alus. Nimelt ei ole andmete töötlemine tellija vaba voli, vaid iga isikuandmete töötlemine peab tuginema selgele õiguslikule alusele.
Kui õiguslik alus ei tulene otseselt mõnest seadusest, peab andmete töötlemine põhinema mõnel muul lubatud alusel, mille olemasolu tuleb eelnevalt hinnata ja põhjendada. Paraku näitab praktika, et kõik hankijad ei ole selle nüansiga kursis. Seetõttu kohtab hankedokumentides sageli andmetöötlusega seotud nõudeid, mis seadusega kooskõlas ei ole.
Hiljuti riigihangete vaidlustuskomisjoni menetlusse jõudnud Eesti Vabariigi Riigieelarve Infosüsteemi loomise ja juurutamise hankega seotud vaidluses leidis hankija, et tal on õigus töödelda isikuandmeid pakkuja meeskonna taustakontrolliks, tuginedes isikuandmete kaitse üldmääruse sättele, mis annab vastutavale töötlejale õiguse töödelda isikuandmeid õigustatud huvi korral (GPDR artikkel 6, lõige 1, punkt f).
Selline seisukoht on aga põhimõtteliselt väär. GDPR-i põhjendustes on selgelt välja toodud, et nimetatud alust ei kohaldata olukorras, kus isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.
Riigi infosüsteemide loomine ja turvanõuete tagamine on vaieldamatult avaliku ülesande täitmine. Seda tõlgendust on kinnitanud ka Andmekaitse Inspektsioon, rõhutades, et nimetatud õiguslikule alusele ei saa avalik sektor lepingute täitmisel üldjuhul tugineda.
Viidatud vaidluses leidis hankija muu hulgas, et tal on õigus teostada taustakontrolli ka isikuandmete kaitse üldmääruse sätte alusel, mis lubab isikuandmete töötluse andmesubjekti nõusolekul konkreetsel eesmärgil (GPDR artikkel 6, lõige 1, punkt a).
Probleem seisnes aga selles, et hankedokumentides ei olnud määratletud konkreetset eesmärki, töödeldavate andmete viisi, koosseisu ega ulatust. Selle asemel nägi lepingu projekt ette kohustuse, et töövõtja peab hankima oma töötajatelt vastava nõusoleku. Selline lahendus tekitab aga rea õiguslikke probleeme.
Töölepingu seadusest tuleneb tööandjale kohustus järgida töötajate isikuandmete töötlemisel andmekaitse nõudeid. Nõusolek peab olema vabatahtlik ning tööandja ei saa töötajat selle andmiseks sundida, eriti olukorras, kus ei ole selge, milleks ja millises ulatuses nõusolekut küsitakse. Seetõttu ei ole sellise kohustuse panemine töövõtjale õiguspärane.
Andmekaitse Inspektsioon on rõhutanud, et riigiasutus ei saa üldjuhul tugineda isikuandmete töötlemisel nõusolekule. Põhjuseks on asjaolu, et alati, kui vastutav töötleja on avaliku sektori asutus, esineb vastutava töötleja ja andmesubjekti vahelistes suhetes tasakaalustamatus.
Sellest tulenevalt on riigiasutusel riigihanke läbiviimisel isikuandmete töötlemise õiguslikuks aluseks isikuandmete kaitse üldmääruse kaks punkti (GDPR, artikkel 6, punk c või punkt e). Mõlemal juhul eeldab määrus aga lisaks, et isikuandmete töötlemise alus on kehtestatud täiendavalt ka Euroopa Liidu või liikmesriigi õigusega. Eestis tuleneb selline alus vaid politsei- ja piirivalve seadusest, kuid seda ei saa rakendada kaugeltki mitte iga hankija.
Seetõttu ei anna hankeleping iseenesest hankijale õigust isikuandmete töötlemiseks. Samuti ei saa hankija panna töövõtjale kohustust töödelda isikuandmeid viisil, milleks puudub õiguslik alus või mis oleks töövõtjale endale keelatud.
Viimastel aastatel on esinenud ka hankeid, kus tööde tellija soovib kontrollida pakkuja töötajate tegevust valvekaamerate abil. Sellise nõude seadmisel tuleb aga hoolikalt hinnata selle proportsionaalsust ja õiguspärasust.
Kui eesmärki on võimalik saavutada vähem riivavate meetmetega, ei ole õigustatud kasutada valvekaameraid töötajate töö tegemise jälgimiseks. Valvekaamerad on reeglina paigaldatud vara ja isikute kaitseks, mitte töötajate töösoorituse kontrollimiseks.
Sellises olukorras ei ole ka töövõtjal õigust kasutada valvekaameraid töötajate jälgimiseks. Samuti ei saa hankija sellist õigust hanketingimustega ei üle kanda ega kunstlikult luua.
Kokkuvõttes ei ole andmekaitse temaatika riigihangetes formaalsus, vaid sisuline küsimus, mis mõjutab nii konkurentsi, lepingute täitmist kui ka osapoolte vastutust. Seetõttu peaks alati enne tingimuste kehtestamist vastama kolmele küsimusele: milliseid andmeid töödeldakse, mis eesmärgil ning millisel õiguslikul alusel. Kui nendele küsimustele selgeid vastuseid ei ole, siis ei pruugi probleem olla mitte pakkujas, vaid hanketingimustes endis.
Riigihangetes hõlmavad lepingulised suhted väga sageli ka isikuandmete kogumist ja töötlemist. Paraku on teadlikkus isikuandmete kaitse põhimõtetest ja nende järgimisest aga sageli puudulik. Praktikas nähtub, et hanketingimustes seatakse pakkujatele kohustusi, mis ei ole kooskõlas kehtiva õigusega.
Mida ja milleks töödeldakse ning kas selleks on õiguslik alus?
Hanketingimused peavad olema selged, täpsed ja ühemõttelised. Need põhimõtted kohalduvad ka andmekaitsele. GDPR-i põhjendustes on eraldi rõhutatud, et andmete töötlus peab toimuma avalikult ning samu nõudeid tuleb järgida ka riigihangete korraldamisel.
Seetõttu tuleb hankedokumentide koostamisel põhjalikult läbi mõelda kõik andmetöötlusega seotud aspektid. Kui lepingu täitmine eeldab isikuandmete kogumist või töötlemist, tuleb hinnata, kas hankijal on selleks üldse õiguslik alus. Nimelt ei ole andmete töötlemine tellija vaba voli, vaid iga isikuandmete töötlemine peab tuginema selgele õiguslikule alusele.
Kui õiguslik alus ei tulene otseselt mõnest seadusest, peab andmete töötlemine põhinema mõnel muul lubatud alusel, mille olemasolu tuleb eelnevalt hinnata ja põhjendada. Paraku näitab praktika, et kõik hankijad ei ole selle nüansiga kursis. Seetõttu kohtab hankedokumentides sageli andmetöötlusega seotud nõudeid, mis seadusega kooskõlas ei ole.
Avalikul sektoril ei saa üldjuhul olla andmete töötlemiseks õigustatud huvi
Hiljuti riigihangete vaidlustuskomisjoni menetlusse jõudnud Eesti Vabariigi Riigieelarve Infosüsteemi loomise ja juurutamise hankega seotud vaidluses leidis hankija, et tal on õigus töödelda isikuandmeid pakkuja meeskonna taustakontrolliks, tuginedes isikuandmete kaitse üldmääruse sättele, mis annab vastutavale töötlejale õiguse töödelda isikuandmeid õigustatud huvi korral (GPDR artikkel 6, lõige 1, punkt f).
Selline seisukoht on aga põhimõtteliselt väär. GDPR-i põhjendustes on selgelt välja toodud, et nimetatud alust ei kohaldata olukorras, kus isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.
Riigi infosüsteemide loomine ja turvanõuete tagamine on vaieldamatult avaliku ülesande täitmine. Seda tõlgendust on kinnitanud ka Andmekaitse Inspektsioon, rõhutades, et nimetatud õiguslikule alusele ei saa avalik sektor lepingute täitmisel üldjuhul tugineda.
Iga hankija ei tohi teostada töövõtja töötajate taustakontrolli
Viidatud vaidluses leidis hankija muu hulgas, et tal on õigus teostada taustakontrolli ka isikuandmete kaitse üldmääruse sätte alusel, mis lubab isikuandmete töötluse andmesubjekti nõusolekul konkreetsel eesmärgil (GPDR artikkel 6, lõige 1, punkt a).
Probleem seisnes aga selles, et hankedokumentides ei olnud määratletud konkreetset eesmärki, töödeldavate andmete viisi, koosseisu ega ulatust. Selle asemel nägi lepingu projekt ette kohustuse, et töövõtja peab hankima oma töötajatelt vastava nõusoleku. Selline lahendus tekitab aga rea õiguslikke probleeme.
Töölepingu seadusest tuleneb tööandjale kohustus järgida töötajate isikuandmete töötlemisel andmekaitse nõudeid. Nõusolek peab olema vabatahtlik ning tööandja ei saa töötajat selle andmiseks sundida, eriti olukorras, kus ei ole selge, milleks ja millises ulatuses nõusolekut küsitakse. Seetõttu ei ole sellise kohustuse panemine töövõtjale õiguspärane.
Andmekaitse Inspektsioon on rõhutanud, et riigiasutus ei saa üldjuhul tugineda isikuandmete töötlemisel nõusolekule. Põhjuseks on asjaolu, et alati, kui vastutav töötleja on avaliku sektori asutus, esineb vastutava töötleja ja andmesubjekti vahelistes suhetes tasakaalustamatus.
Sellest tulenevalt on riigiasutusel riigihanke läbiviimisel isikuandmete töötlemise õiguslikuks aluseks isikuandmete kaitse üldmääruse kaks punkti (GDPR, artikkel 6, punk c või punkt e). Mõlemal juhul eeldab määrus aga lisaks, et isikuandmete töötlemise alus on kehtestatud täiendavalt ka Euroopa Liidu või liikmesriigi õigusega. Eestis tuleneb selline alus vaid politsei- ja piirivalve seadusest, kuid seda ei saa rakendada kaugeltki mitte iga hankija.
Seetõttu ei anna hankeleping iseenesest hankijale õigust isikuandmete töötlemiseks. Samuti ei saa hankija panna töövõtjale kohustust töödelda isikuandmeid viisil, milleks puudub õiguslik alus või mis oleks töövõtjale endale keelatud.
Töötajate kaamerast jälgimine ei ole õiguspärane
Viimastel aastatel on esinenud ka hankeid, kus tööde tellija soovib kontrollida pakkuja töötajate tegevust valvekaamerate abil. Sellise nõude seadmisel tuleb aga hoolikalt hinnata selle proportsionaalsust ja õiguspärasust.
Kui eesmärki on võimalik saavutada vähem riivavate meetmetega, ei ole õigustatud kasutada valvekaameraid töötajate töö tegemise jälgimiseks. Valvekaamerad on reeglina paigaldatud vara ja isikute kaitseks, mitte töötajate töösoorituse kontrollimiseks.
Sellises olukorras ei ole ka töövõtjal õigust kasutada valvekaameraid töötajate jälgimiseks. Samuti ei saa hankija sellist õigust hanketingimustega ei üle kanda ega kunstlikult luua.
Kokkuvõttes ei ole andmekaitse temaatika riigihangetes formaalsus, vaid sisuline küsimus, mis mõjutab nii konkurentsi, lepingute täitmist kui ka osapoolte vastutust. Seetõttu peaks alati enne tingimuste kehtestamist vastama kolmele küsimusele: milliseid andmeid töödeldakse, mis eesmärgil ning millisel õiguslikul alusel. Kui nendele küsimustele selgeid vastuseid ei ole, siis ei pruugi probleem olla mitte pakkujas, vaid hanketingimustes endis.