Kutse andjate märtsikuu mõttekojas räägiti isikuandmete töötlemisest – sellest, mille kohta peab küsima taotlejalt nõusolekut, mis juhtudel piisav teavitamisest, kuidas isikuandmeid kaitsta, säilitada ja hävitada.
Kutsekoja kutsesüsteemi suunajuht Maris Saarsalu tõi välja, et isikuandmed on andmed, mis võimaldavad isikut otseselt või kaudselt tuvastada (isiku nimi, e-maili aadress, telefoninumber jne). Isikuandmete kaitse on isiku põhiõigus ja see peab olema tagatud.
Isikuandmete töötlemine on igasugune isikuandmetega tehtav toiming, sealhulgas andmete kogumine, salvestamine, korrastamine, muutmine, kasutamine, avalikustamine, andmetele juurdepääsu võimaldamine, päringute ja väljavõtete tegemine, edastamine, kustutamine, säilitamine.
Kutse andjale saavad kutse taotlemise käigus teatavaks erinevad andmed isiku kohta. Need kogunevad nii kutsetaotluste kui ka taotlejate hindamise kaudu (nt juhtumianalüüsi, eneseanalüüsi või kirjaliku testi käigus).
Nõusolek peab olema teadlik ja informeeritud
Andmekaitse Inspektsiooni jurist Kadri Levand selgitas, et kui isik tuleb kutset taotlema, siis ei pea talt küsima nõusolekut nende andmete kogumiseks, mis on kutse andmise korrast tulenevalt vältimatult vajalikud. Küll aga peab teda isikuandmete töötlemise tingimustest teavitama. Taotleja peab aru saama, milliseid andmeid tema kohta kogutakse, kes on andmete töötleja ehk vastutav isik, kas andmetele on juurdepääs ka kolmandatel isikutel, kui kaua andmeid säilitatakse, millised andmed edastatakse kutseregistrile ning millised on taotleja õigused.
Levand soovitas, et isikuandmete töötlemise tingimusteed oleks taotleja jaoks lihtsalt leitavad ja kättesaadavad näiteks kutse andja kodulehel.
Eraldi nõusolekut on vaja küsida nende tegevuste osas, mis ei ole otseselt vajalikud kutse andmiseks. Näiteks kutsetunnistuse omaniku andmete avaldamine kutseregistris või mingi info lisamine kutse andja kodulehele. Seejuures ei piisa kutse taotlejatelt jah-ei vastuste kogumisest, vaid isik peab andma teadliku informeeritud nõusoleku: talle peab olema selge, millised andmed, kus ja mis eesmärgil avaldatakse, kaua neid seal hoitakse ja kuidas ta saab oma nõusoleku otsust muuta.
Andmeid peab kaitsma
Maris Saarsalu sõnul on kutse andja kohustus tagada tema käsutuses olevate isikuandmete kaitse organisatoorsete (kellele on ligipääs andmetele), füüsiliste (kas arvuti, kus hoitakse andmed, asub lukustatavas ruumis) ja infotehniliste (tulemüür, autentimine) vahenditega.
Erinevate menetluskeskkondade (Dropbox, Google Drive) turvalisust tuleb hinnata vastavalt töödeldavatele isikuandmetele kutse andjal endal.
Oluline on jälgida isikuandmete säilitamise tähtaega ning andmeid hävitades veenduda, et need oleks jäädavalt kustutatud ka arvuti vahemälust, serverist jne.
Täiendavalt soovitas Saarsalu silmas pidada, et suhtlus kutse taotlejaga käiks läbi kutse andja elektroonse aadressi, mitte mõne töötaja isikliku või nimelise meili kaudu, nii et teisele osapoolele oleks üheselt selge, et ta suhtleb organisatsiooniga.