Isikuandmete väärkasutuse eest pole Eestis veel ühtki suurt trahvi tehtud
Andmekaitse inspektsioon (AKI) ei ole siiani määranud ühtki suuremat trahvi isikuandmete lekkimise või muu väärkasutuse eest.
AKI tõdeb oma värskes aastaraamatus, et kuigi ootus Eesti esimese suure trahvi määramiseks oli olemas, ei määranud nad 2019. aastal rikkumiste eest ühtki suurt trahvi. Näiteks jäi rahatrahv määramata Tartu rattaringluse süsteemist toimunud isikuandmete lekkimise eest. AKI piirdus noomitusega.
Tartu linnvalitsus teatas rikkumisest mullu 8. juunil. Selgus, et volitamata isikutel oli võimalik Tartu rattaringluse süsteemis pääseda API kaudu enam kui 20 000 registreerunud kasutaja isiku- ja sõiduandmetele.
Lisaks oli võimalik muuta rattaparklate asukohti, neid kustutada ning lisada juurde uusi parklaid ehk andmetega manipuleerida. Andmetele pääses ligi kahel viisil: avalike veebilinkide kaudu oli nähtav informatsioon kasutajate kohta, mis sisaldas nime, e-posti aadressi, telefoninumbrit, kasutaja ID-d, registreerimise aega ja s staatust (aktiivne või mitteaktiivne). Lisaks oli võimalik näha kasutaja bussikaardi numbrit.
Süsteemi registreerunud kasutaja nägi aga teiste sõiduandmed, nagu millisest peatusest on võetud ratas, tuvastatav oli ka kasutaja läbitud sõiduteekond ja aeg.
Ligipääs andmebaasile avalike veebilinkide kaudu sai küll kiiresti kõrvaldatud, kuid vaatamata sellele alustas inspektsioon 9. juulil järelevalvemenetlusega rikkumisteates esitatud asjaolude väljaselgitamiseks.
Inspektsioon monitooris rattaringluse süsteemi ja tutvus Tartu linnavalitsuse esitatud raportitega ning leidis, et sisuliselt oli tegemist rattaringluse süsteemi turvanõrkusega, mille põhjuseks ei olnud inimlik pahatahtlikkus. Kuna turvanõrkus likvideeriti kiiresti, lõpetas inspektsioon menetluse soovitusega teha enne uue rakenduse lansseerimist põhjalikumat kontrolli.
Sarispämmijast pole jagu saadud
Üheks digiühiskonna probleemiks on saanud elektrooniliste kanalite kaudu otseturustuskirjade saatmine ehk spämmimine.
Kaebusi ja märgukirju spämmi saamise kohta on AKI saanud sadade kaupa juba viimased kaheksa aastat, ent see on aasta-aastalt üha mastaapsemaks probleemiks muutunud. Spämmi saadetakse nii füüsilistele kui ka juriidilistele isikutele kuuluvatele telefoninumbritele nii SMS-sõnumitena kui ka e-kirjadena.
Üks selline sihikindel rikkuja häirib inimesi pelletite müügi teadetega. Inspektsioonile teadaolevalt omab pelletimüüja alates 2013. aastast otseturustuse tegemiseks vähemalt viit juriidilist keha ja üheksat e-posti aadressi. Ta saadab kirju ja sõnumeid ilma vastuvõtja eelneva nõusoleku või kliendisuhteta. Saadetavas e-kirjas olev kommertsteadaannetest loobumise link ei tööta ja kirjades varjatakse nende saatjat ehk pole selge, kelle nimel reklaami üldse tehakse.
Ta on rikkunud pidevalt nii elektroonilise side kui ka isikuandmete kaitse seadust, samuti infoühiskonna teenuse seadust. Isik on keeldunud korduvalt täitmast Inspektsiooni ettekirjutusi ja jätnud makstama sunniraha.
Mida aeg edasi, seda enam on inspektsiooni muutnud murelikuks asjaolu, et sellises õiguslikus olukorras on keeruline ebaseaduslikku tegevust peatada ning seista inimeste õiguse eest mitte saada soovimatuid reklaamteadaandeid.
Rikkumise lõpetamiseks on inspektsioonil võimalik riikliku järelevalve käigus teha otseturustajale esmalt ettekirjutus rikkumise lõpetamiseks ning seejärel selle mittetäitmisel asuda sunniraha rakendama, aga kuna Eestis on äärmiselt lihtne seadustega pahuksisse sattunud juriidiline keha hüljata ja uus teha, siis ei taga sunniraha määramine tulemust, nendib AKI oma aastaraamatus. Vana juriidiline keha jäetakse tankistiks määratud juhatuse liikme käe all sundlõpetamist ootama ning sellisele surnud ettevõttele trahvi või sunniraha määramine tähendab probleemi lahendamise asemel hoopis riigile lisakulu, sest sunniraha sissenõudmiseks peab esmajoones ära maksma kohtutäituri tasu, sõltumata sellest, kas nõuet täita õnnestub või mitte.
Kui siseriiklik õigus võimaldaks teha haldustrahvi, muutuks menetlus ökonoomsemaks ja inspektsioon saab määrata korduvrikkujale trahvi väikese ajakuluga. Eesti õigus aga haldustrahvi võimalust ette ei näe. Sestap nõuab kogu protsess igal rikkumise korral koormavat tõendamis- ja uurimismenetlust ning õiguskorda rikkuv juriidiline isik saab viia juriidilise keha pankrotti enne, kui on võimalik teda sisuliselt vastutusele võtta.
Koolidirektor ei saa koristaja töö kontrollimiseks kasutada turvakaamerat
AKI on saanud mitmeid kaebusi ka haridusvaldkonnast.
Seadus lubab koolis videovalvet kasutada üksnes õpilaste ja koolitöötajate turvalisust ohustava olukorra ennetamiseks ning olukorrale reageerimiseks. Lisaks õpilaste ja kooli töötajate turvalisuse tagamisele võib turvakaameraid kasutada koolis ja muudes lasteasutuses ilma inimeste nõusolekuta siiski ka kooli või lasteasutuse vara kaitseks.
Turvakaameraid ja nende salvestusi ei või kasutada mitte ühelgi teisel eesmärgil, sh töötajate töökohustuste kontrollimiseks, kuna selleks peab tööandja alati kasutama töötajat vähemkahjustavaid viise. Turvakaamerate ainus eesmärk võib olla isikute ja vara kaitse ning turvajuhtumi ilmnemisel võib salvestuse edastada vaid korrakaitseorganile. Muuhulgas ei või turvakaamerate salvestusi näha need, kelle töökohustuste hulka see ei kuulu.
AKI teatel võib nende nõuete rikkumisel koolidirektori, kelle ülesandeks on ka turvakaamerate korra loomine ja selle täitmise tagamine, väärteo korras vastutusele võtta.
Kõrgkool kohustub tagama privaatsuse ka ühiselamus
Inspektsioon on saanud kaebuse endiselt tudengilt, kelle teatel käis õpilaskodu juhataja korduvalt ilma tema teadmata nii tema kui ka teiste üliõpilaste tubades ja tutvus nende isiklike asjadega. Muu hulgas vaatas ta nende isikuandmetega dokumente ja tegi selle kohta tudengile suulisi märkusi. Samas ei varastanud ta midagi.
AKI selgitusel on üliõpilaste ja teiste üliõpilaskodu kasutavate inimeste privaatsuse kaitse ülikooli tagada. Keegi ei tohi käia ühiselamu tubades ja tutvuda toaelanike isiklike asjadega ilma nende endi teadmata. Leping üliõpilaskodu kasutamiseks sõlmitakse ülikooli ja üliõpilase või kellegi kolmanda vahel, mistõttu vastutab ülikool selle eest, et ei toimuks ka õigusliku aluseta isikuandmete töötlemist ega toa kasutamisel rikutaks inimeste privaatsust.
Inspektsioon andis sellest kaebusest teada ülikooli juhtorganile koos soovitusega üle vaadata nii õpilaskodu kasutamiseks sõlmitav leping, sisekorraeeskirjad kui ka õpilaskodu juhatajaga sõlmitud leping.
4500 avaldust
AKI sai möödunud aastal ligi 4500 pöördumist kas märgukirja, kaebuse, selgitustaotluse, teabenõude või nõuandetelefonile helistamisena.
Pöördumisi ühendas kõige sagedamini mure privaatsuse riibe pärast, mis juhtus andmetöötlejate puudulike teadmiste või reeglite ignoreerimise tõttu.
Lisaks ligi 4500 pöördumisele registreeris inspektsioon mullu 115 andmekaitselist turvarikkumist, millest andsid teada andmetöötlejad ise. Alates 25. maist 2018 kehtib selline kohustus kõigile andmetöötlejatele, inspektsioonile tuleb intsidendist teada anda 72 tunni jooksul.
Toimetaja: Merilin Pärli