Nõusolek on isikuandmete kaitse üldmääruse (GDPR) artikli 6 üks kuuest õiguslikust alusest ja artikkel 7 sätestab, millal see on kehtiv. Kehtiv nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline ning väljendatud selge kinnitava tegevusega. Vaikimist, eeltäidetud kastikest ega tegevusetust ei loeta nõusolekuks. Vastutav töötleja peab suutma nõusolekut tõendada ja andmesubjekt peab saama selle igal ajal sama lihtsalt tagasi võtta, kui ta selle andis. Oluline on mõista, et nõusolek ei ole alati parim õiguslik alus – sageli sobivad paremini leping või õigustatud huvi, sest nõusoleku saab tagasi võtta. See juhend selgitab kehtiva nõusoleku tingimusi, nõusoleku tagasivõtmist ja tõendamist ning toob konkreetsed sõnastuse näited.
Kehtiva nõusoleku neli tingimust
Artikli 4 punkt 11 ja artikkel 7 näevad ette neli tingimust:
- Vabatahtlik. Andmesubjektil peab olema reaalne valik. Nõusolek ei ole vabatahtlik, kui teenuse osutamine on seatud sõltuvusse nõusolekust, mida teenuse jaoks ei ole vaja (art. 7 lg 4). Tööandja ja töötaja vahel on nõusolek harva vabatahtlik ebavõrdse suhte tõttu.
- Konkreetne. Nõusolek antakse iga kindla eesmärgi jaoks eraldi. Mitut eesmärki ei tohi ühte üldnõusolekusse koondada.
- Teadlik. Andmesubjekt peab enne nõusoleku andmist teadma vastutava töötleja isikut, töötlemise eesmärke, andmete liike ja õigust nõusolek tagasi võtta.
- Ühemõtteline. Nõusolek antakse selge kinnitava tegevusega – linnukese märkimine, nupu vajutamine. Eeltäidetud kastike ega vaikimine ei kõlba.
Eriliigiliste andmete (art. 9) töötlemiseks nõusoleku alusel peab nõusolek olema selgesõnaline – see tähendab sõnaselget kinnitust, mitte üksnes kinnitavat tegevust.
Nõusoleku tagasivõtmine ja tõendamine
Andmesubjektil on õigus nõusolek igal ajal tagasi võtta ja see peab olema sama lihtne kui nõusoleku andmine (art. 7 lg 3). Kui nõusoleku sai anda ühe klõpsuga, ei tohi tagasivõtmine nõuda kirja saatmist. Tagasivõtmine ei mõjuta enne seda toimunud töötlemise seaduslikkust.
Vastutav töötleja peab suutma tõendada, et andmesubjekt on nõusoleku andnud (art. 7 lg 1). Praktikas tähendab see nõusoleku salvestamist: kes, millal, mille kohta ja millise sõnastuse alusel nõusoleku andis. Nõusoleku tagasivõtmisel tuleb töötlemine lõpetada ja kui muud alust ei ole, andmed kustutada.
Praktilised sõnastuse näited
Uudiskirja tellimine (kehtiv):
☐ Soovin saada [Ettevõte OÜ] uudiskirja uute toodete ja pakkumiste kohta oma e-posti aadressile. Nõusoleku saan igal ajal tagasi võtta iga kirja jaluses oleva lingiga.
Turunduslik profileerimine (eraldi konkreetne nõusolek):
☐ Nõustun, et [Ettevõte OÜ] analüüsib minu ostuajalugu, et saata mulle isikustatud pakkumisi.
Eriliigiliste andmete töötlemine (selgesõnaline nõusolek):
☐ Annan selgesõnalise nõusoleku, et [Kliinik OÜ] töötleb minu terviseandmeid teenuse osutamiseks. Olen teadlik, et võin nõusoleku igal ajal tagasi võtta.
Kehtetu näide (mida vältida):
☑ Nõustun andmete töötlemisega turunduse, profileerimise ja andmete edastamisega partneritele. (Eeltäidetud kastike, mitu eesmärki koos, ebamäärane – kehtetu.)
Nõusoleku sõnastus tuleb siduda privaatsuspoliitikaga, kus selgitatakse töötlemist täpsemalt, ja iga nõusolekul põhinev töötlemine tuleb märkida töötlemise registrisse.
Millal mitte kasutada nõusolekut
Nõusolek ei ole alati parim alus. Kui töötlemine on teenuse osutamiseks vajalik, on sobivam alus leping (art. 6 lg 1 punkt b); kui töötlemine tuleneb seadusest, siis juriidiline kohustus (punkt c). Nõusolekut tuleks kasutada seal, kus andmesubjektil on reaalne valik – näiteks turundus, valikuline profileerimine, mittevajalikud küpsised. Vale õigusliku aluse valik on levinud viga; alternatiivid tasub läbi mõelda juba lõimitud andmekaitse etapis.
Tööriist nagu Legiscope aitab dokumenteerida iga töötlemise õiguslikku alust ja jälgida nõusolekute tõendamist.
Levinud vead
- Eeltäidetud kastikesed. Kehtetu; nõusolek nõuab aktiivset kinnitavat tegevust.
- Mitme eesmärgi koondamine ühte üldnõusolekusse rikub konkreetsuse nõuet.
- Teenuse sidumine mittevajaliku nõusolekuga rikub vabatahtlikkust.
- Tagasivõtmise raskendamine – kui andmine on ühe klõpsuga, ei tohi tagasivõtmine nõuda enamat.
- Nõusoleku tõendamise puudumine – salvestamata nõusolekut ei saa hiljem tõendada.
Nõusolek ja küpsised
Kõige levinum koht, kus organisatsioonid nõusolekuga kokku puutuvad, on veebilehe küpsised ja jälgimistehnoloogiad. Siin kehtib lisaks GDPR-ile ka ePrivaatsuse regulatsioon: mittevajalike küpsiste (analüütika-, turundus- ja profileerimisküpsiste) paigaldamine nõuab kasutaja eelnevat nõusolekut, mis vastab kõigile GDPR artikli 7 tingimustele. Veebilehe toimimiseks rangelt vajalikud küpsised (näiteks sessiooni- ja turvaküpsised) nõusolekut ei vaja.
Praktikas tähendab see, et küpsiseriba peab vastama samadele nõuetele nagu iga muu nõusolek. Ribal ei tohi olla eeltäidetud kastikesi ega ainult “Nõustun”-nuppu ilma võrdväärse keeldumisvõimaluseta – Euroopa järelevalveasutuste selge seisukoht on, et keeldumine peab olema sama lihtne kui nõustumine. “Nõustu kõigega” ja “Keeldu kõigest” peavad olema võrdselt nähtavad; jälgimine ei tohi alata enne nõusoleku andmist ja nõusoleku peab saama sama lihtsalt tagasi võtta. Euroopa Kohus kinnitas Planet49 lahendis (C-673/17), et eeltäidetud kastike ei väljenda kehtivat nõusolekut. Küpsiste ja jälgimise kohta on täpsemad juhised avaldanud Andmekaitse Inspektsioon.
Küpsiste nõusoleku puhul tuleb ka tõendada ja dokumenteerida, milline nõusolek anti ja millal. Nõusolek tuleb siduda privaatsuspoliitikaga, kus selgitatakse, milliseid küpsiseid ja mis eesmärgil kasutatakse, ning iga nõusolekul põhinev jälgimistoiming tuleb kajastada töötlemise registris. Kui küpsiseriba ja privaatsuspoliitika räägivad erinevat juttu – näiteks poliitika mainib küpsiseid, mida ribal ei ole loetletud – on tegemist läbipaistvuse puudusega, mida järelevalves märgatakse.
Nõusoleku granulaarsus, uuendamine ja aegumine
Kehtiva nõusoleku üks vähem märgatud aspekte on granulaarsus. Kui töötlemine teenib mitut eri eesmärki, tuleb igaks eesmärgiks küsida eraldi nõusolek – andmesubjekt peab saama nõustuda uudiskirjaga, kuid keelduda profileerimisest. Eesmärkide koondamine ühte “nõustun kõigega” nõusolekusse rikub konkreetsuse nõuet. Praktikas tähendab see mitut eraldi kastikest, millest igaüks on tühi ja iseseisvalt märgitav.
Teine praktiline küsimus on nõusoleku kehtivusaeg ja uuendamine. GDPR ei sätesta nõusoleku aegumistähtaega, kuid nõusolek, mida ei ole pikka aega kasutatud või mille kontekst on oluliselt muutunud, võib kaotada oma kehtivuse, sest see ei pruugi enam vastata teadlikkuse nõudele. Hea tava on nõusolekuid perioodiliselt üle vaadata ja vajaduse korral uuendada, eelkõige turunduse ja profileerimise puhul. Kui töötlemise eesmärk muutub, tuleb küsida uus nõusolek – vana nõusolek ei laiene uuele eesmärgile.
Kolmandaks tuleb nõusoleku tõendamine korraldada nii, et hiljem oleks võimalik näidata, kes, millal, mille kohta ja millise sõnastuse alusel nõusoleku andis. See salvestus tuleb siduda töötlemise registriga ning nõusoleku tagasivõtmise korral tuleb töötlemine lõpetada ja andmed vastavalt säilitamise piirangule kustutada. Nõusolekuhaldus ei ole ühekordne toiming, vaid pidev protsess kogu andmete elutsükli vältel.
Korduma kippuvad küsimused
Kas nõusolekut võib eeldada tegevusetuse põhjal?
Ei. Vaikimist, tegevusetust ega teenuse edasist kasutamist ei loeta nõusolekuks. Nõusolek nõuab selget kinnitavat tegevust – aktiivset märkimist või kinnitamist. See tähendab ka seda, et “jätkates lehe kasutamist nõustute küpsistega” ei ole kehtiv nõusolek mittevajalike küpsiste jaoks.
Kas laste andmete töötlemiseks on vaja vanema nõusolekut?
Infoühiskonna teenuste otsepakkumisel lapsele on nõusolek kehtiv, kui laps on vähemalt 16-aastane; noorema lapse puhul peab nõusoleku andma või heaks kiitma vanema hooldusõiguse kandja (art. 8). Liikmesriigid võivad vanusepiiri langetada kuni 13 aastani. Vastutav töötleja peab tegema mõistlikke jõupingutusi, et kontrollida, kas nõusoleku andis lapsevanem.
Kas eeltäidetud linnuke on kehtiv nõusolek?
Ei. Euroopa Kohus on kinnitanud (Planet49, C-673/17), et eeltäidetud kastike ei väljenda kehtivat nõusolekut. Nõusolek nõuab selget kinnitavat tegevust, näiteks kastikese ise märkimist või nupu vajutamist.
Kas tööandja võib tugineda töötaja nõusolekule?
Üldjuhul mitte. Tööandja ja töötaja vahelise ebavõrdse suhte tõttu ei ole töötaja nõusolek reeglina vabatahtlik. Töösuhtega seotud andmete töötlemiseks tuleb enamasti tugineda lepingule, juriidilisele kohustusele või õigustatud huvile, mitte nõusolekule.
Kui kaua nõusolek kehtib?
Nõusolek kehtib, kuni andmesubjekt selle tagasi võtab või kuni töötlemise eesmärk on täidetud. Eraldi aegumistähtaega GDPR ei sätesta, kuid pikalt kasutamata nõusolekut võib pidada aegunuks; seetõttu on hea tava nõusolekuid perioodiliselt uuendada ja pärast eesmärgi täitumist andmed säilitamise piirangu järgi kustutada.
Kokkuvõte
Kehtiv nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline ning väljendatud selge kinnitava tegevusega; eriliigiliste andmete puhul selgesõnaline. Vastutav töötleja peab nõusolekut tõendama ja andmesubjekt peab saama selle sama lihtsalt tagasi võtta. Kasutage konkreetseid, eesmärgipõhiseid sõnastusi, vältige eeltäidetud kastikesi ja mitme eesmärgi koondamist ning salvestage nõusolek tõendamiseks. Enne nõusoleku valimist kaaluge, kas leping või õigustatud huvi ei ole sobivam alus – nõusolek sobib sinna, kus andmesubjektil on reaalne valik. Iga nõusolekul põhinev töötlemine tuleb kajastada töötlemise registris ja selgitada privaatsuspoliitikas.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial