Hispaania isikuandmete kaitse järelevalveasutus AEPD (Agencia Española de Protección de Datos) määras 11.12.2024 5 000 euro suuruse trahvi töötajate pildi ja muude isikuandmete ebaseadusliku avaldamise eest.

AEPD asus seisukohale, et töötajad ei andnud GDPR artikli 4 (11) nõuetele vastavat nõusolekut pildile jäädvustamisele ning CV avaldamisele ettevõtte kodulehel.

Menetlus algas õigusteenuste osutamise ettevõtte  Roca & Asociados töötaja kaebuse põhjal. Ettevõte kui töötajate isikuandmete vastutav töötleja kinnitas, et andmesubjekt oli andnud nõusoleku oma foto ja elulooandmete väljavõtete firma kodulehel avaldamiseks. Firma IT spetsialist oli saatnud töötajatele pildistamise ettevalmistamise kohta e-kirja järgmise sisuga: „Homme pildistame uusi töötajaid, kes seda soovivad“ ning lisanud ka lingi varasemate fotode stiilinäidistega.

Vastutava töötleja kinnitusel teavitati andmesubjekti võimalusest oma fotot enne vaadata. Oma argumentatsiooni toestas vastutav töötleja ka väitega, et andmesubjekt oli samad andmed enda kohta ise varem avaldanud oma LinkedIn’i profiilil.

Järelevalveasutus leidis, et vastavalt GDPR artiklile 4(11) ning selgituspunktidele 32 ja 42 peab andmesubjekti eelnevalt asjakohaselt teavitama ning ka ta peab isikuandmete töötlemisega nõustuma. AEDP uurimine ei leidnud andmesubjekti selgesõnalist nõusolekut isikuandmete avaldamiseks firma kodulehel.

AEDP hinnangul vastutav töötleja üksnes eeldas andmesubjekti nõusolekut, samas kui nõusolek tähendab andmesubjekti poolset tegevust. Täpsemalt sätestab GDPR artikkel 4(11), et andmesubjekti nõusolek on „vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.“

Allikas:

www.aepd.es/documento/ps-00526-2023.pdf