Dauri Kivipuur: andmekaitsest riigihalduses
Digitaalne revolutsioon on loonud enneolematuid võimalusi, kuid ka uusi ohte. Isiklike andmete kogumine, töötlemine ja edastamine on muutunud paljude organisatsioonide igapäevaseks tegevuseks. Sellega kaasneb ka vajadus kaitsta inimeste põhiõigusi ja vabadusi, kirjutab Dauri Kivipuur.
Me teame, et Eesti on võtnud sihiks ehitada üles tugev e-riik ning jätkata selle arendamist, st pakkuda järjest enam ja laialdasemalt kodanike proaktiivseid avalikke ja sündmusteenuseid. Me oleme harjunud andma e-hääle, kasutama e-kooli ja m-parkimist, vaatama digiloost terviseandmeid ning esitama menetlusdokumente e-toimiku kaudu ja veel palju muud. Peame innovaatilisi e-teenuseid atraktiivseks ka teiste riikide kodanikele ja loodame saada juurde e-residente.
Olen oma praktikas saanud ülesandeks hinnata olemasolevaid e-riigi teenuseid ja teha ettepanekuid olemasolevate teenuste kitsaskohtade lahendamiseks või pakkuda sootuks uusi lahendusi olemasolevatele ühiskondlikele probleemidele.
Nii mõnigi esmapilgul ideaalsena tunduv lahendus jõuab lõpuks ikkagi selle küsimuseni, et kuidas see riigi poolt pakutav teenus ei riivaks kodaniku õigust privaatsusele. Ehk kas ja millisel määral saaks või peaks riik kodanikega suhtlema riigi tehisintellektide kaudu, kogudes teenuse osutamiseks kokku inimese andmed erinevatest riigi andmebaasidest.
Usun, et nii mõnigi ühiskondlik probleem oleks riigi e-teenustega lihtsalt lahendatav, kui me ei seisaks ikka lõppfaasis küsimuste ees, mis puudutavad inimese õigust privaatsusele ja isikuandmete kaitsele.
Järjest enam saab selgemaks seegi, et täielik privaatsus ei ole võimalik. "Õigus privaatsusele ehk eraelu puutumatusele on inimõiguste pere üpris noor liige. Kuigi Samuel D. Warren ja Louis Brandeis nõudsid juba 1890. aastal ilmunud Harvard Law Reviews, et seadusandja tunnustaks privaatsusõigust kui "õigust olla üksi", jõudis see põhi õigus rahvusvahelise õiguse tähelepanu keskmesse alles pärast teist maailmasõda." (Tupay, 2016)
Kui mõelda Eesti peale, mida me tunneme kui innovaatilist e-riiki, kus infotehnoloogilised lahendused on riigi toimimise kohalt lahutamatu osa, siis esimese asjana võib tekkida küsimus, kuidas saab riik ühelt poolt pakkuda kvaliteetseid e-teenuseid ning seejuures tagada kodanike isikuandmete ja privaatse info kaitse? Kuidas tagab riik, et delikaatsed isikuandmed ei satuks kolmandate osapoolte kätte või kellegi sellise valdusesse, kellel pole seadusest tulenevat õigust või kohustust neid andmeid näha?
Riik mõistnud, et digitaalsete teenuste juurutamiseks elanikkonna seas peab tekitama ja kasvatama usaldust. Seda usaldust ei tohi seejuures kuritarvitada. Praegu on võimalik kõikidel kodanikel jälgida riigiportaali kaudu, kes ja kuidas on nende andmeid töödelnud. Kitsaskohaks võib aga pidada nõrga kommunikatsiooni olemasolu sellisest võimalusest, sest kaldun arvama, et suur hulk kodanikest üldse ei teagi, et selline võimalus on olemas. Iseenesest on see kindlasti väga positiivne samm, et tagada aus ja läbipaistev riigi toimimine, mis omakorda peaks suurendama usaldust oma riigi vastu.
Andmekaitse vajalikkus
Kui heita pilk Eesti andmekaitse ajaloole, siis esmased selleteemalised õigusaktid jõustusid 1980. aastatel, kui andmete töötlemine muutus igapäevaseks. Eesti esimene isikuandmete kaitse seadus (PDPA) pärineb 1996. aastast.
Seadust on kohandatud vastavalt valdkonna arengutele, aga samaks on jäänud andmete töötlemise võimalikkuse koha pealt isiku vaba tahe ja nõusolek ehk lihtsamalt öeldes saab delikaatset isiklikku teavet, näiteks biomeetrilised andmed, etniline kuuluvus, seksuaalelu, ametiühingusse kuulumine, tervislik seisund, riik kasutada ainult siis, kui andmesubjekt on nende andmete kasutamiseks nõusoleku andnud. Tehnoloogia arenguga muutuvad andmed järjest väärtuslikumaks.
Privaatsus- ja andmekaitsenõuded on digitaalses maailmas opereerimiseks vajalikud. Aga ehk tuleks siinkohal veidi lähemalt rääkida sellest, mida võib andmekaitse all silmas pidada?
Laias laastus saab rääkida kahest erinevast käsitlusest. Esimese poolena saab käsitleda isikuandmete kaitset ehk juba tuntud GDPR, eesti keeles IKÜM ehk siis isikuandmete kaitse üldmäärus. Lisaks on olemas palju eriseadusi, mis isikuandmete kaitset reguleerivad.
Teiselt poolt võivad andmekaitsealased kohustused puudutada ka konfidentsiaalse teabe kaitset, näiteks seadusest tulenev kohustus või lepingust tulenev kohustus kaitsta konfidentsiaalset teavet. Pangasaladuse hoidmine on seadusest tulenev kohustus, aga ärisaladus võib olla kaitstud poolte vahel sõlmitud lepinguga.
Kui liikuda küberturvalisuse teemale, siis seda reguleerib küberturvalisuse seadus (KüTS), mis kohaldub elutähtsate teenuste osutajatele, digitaalsete teenuste osutajatele ja riigi- ning kohaliku omavalitsuste üksustele. Andmekaitse hõlmab andmete turvamist volitamata juurdepääsu eest ning tagab andmete kaitse kadumise või rikkumise eest. Seetõttu hõlmab see nii andmete turvalisust kui ka andmete operatiivset varundamist. Privaatsus viitab seevastu organisatsiooni või isiku õigusele kontrollida oma isiklikke andmeid. (Metcalf, 2014)
Isikuandmete kaitse põhialused
Isikuandmete kaitse üldmääruses (GDPR) on välja toodud andmekaitsepõhimõtted. Need on seaduslikkus, õiglus ja läbipaistvus. See tähendab, et andmetöötlejad peavad kinni pidama regulatsioonidest, mis käsitlevad isikuandmete kogumist ja töötlemist, ning et nad koguvad isikuandmeid eesmärkidel, milleks nad on andmesubjektidelt loa saanud. Eesmärgi piiramine tähendab, et ettevõtted peavad isikuandmeid koguma ainult konkreetsel eesmärgil ning tegema seda nii palju kui vajalik ning nii vähe kui võimalik.
Oluline on ka selgus, millistel eesmärkidel andmeid kogutakse, andmete minimeerimine, mis tähendab, et organisatsioonid võivad töödelda ainult isikuandmeid, mis on vajalikud nende andmetöötluse eesmärkide saavutamiseks. Samuti on isikuandmete täpsus andmekaitse lahutamatu osa.
GDPR ütleb, et ebatäpsete või mittetäielike andmete kustutamiseks või parandamiseks tuleb teha kõik mõistlikud sammud, ehk andmete kustutamist või parandamist 30 päeva jooksul. Ladustamise piirang, mis sunnib isikuandmed kustutama kohe, kui need enam vajalikud pole.
Viimane põhimõte on ausus ja konfidentsiaalsus. GDPR-ist võib lugeda, et isikuandmed peavad olema töödeldud viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotamise, hävitamise või kahjustamise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid. (FRA, 2018)
Meie andmeid töötlevad nii avalik- kui ka erasektor, kuid mida peaksid andmesubjektid oma õiguste kohta teadma?
Euroopa andmekaitseõiguse käsiraamatu kohaselt on igal andmesubjektil õigus saada vastutavalt töötlejalt teavet teda käsitlevate andmete mistahes töötluse kohta (mõningate eranditega). Meil on õigus tutvuda oma isikuandmetega, lasta oma andmeid töötleval vastutajal parandada, paluda andmete kustutamist, piiramist, ülekandmist jne. Rikkumiste korral on järelevalveasutustel õigus määrata määruse rikkumise eest haldustrahve. Olenevalt summa suurusest, kas siis kuni 20 000 000 eurot või ettevõtja puhul lausa neli protsenti kogu tema aastakäibest.
Andmekaitse valdkonna tulevik
Millised võiksid olla arengud tulevikus? E-riik areneb kindlasti edasi. Olen kindel, et töö selles valdkonnas ei lõppe iialgi ja kindlasti toob tulevik infotehnoloogilisi lahendusi, millest me ei oska veel unistadagi.
Kõige selle taustal tunnen isiklikult, et võin usaldada oma riiki ning mul ei ole vähimatki põhjust arvata, et Eesti kuritarvitab kuidagi oma kodanike delikaatseid isikuandmeid korrakaitseks või eraelu puutumatuse rikkumiseks.
Kahtlemata on e-Eesti edulugu, arvestades, et taastasime oma iseseisvuse kõigest 33 aastat tagasi. Järjest enam arendatakse digiriigi kontekstis välja uusi teenuseid. Taasiseseisvunud Eesti väljapaistvaks ja rahvusvaheliselt tunnustatud saavutuseks on olnud innovaatilise infoühiskonna ülesehitamine. Meie väikese ja ressursivaese riigi põhikapitali moodustab meie avatus uutele lahendustele, võimekus mõelda mõeldamatut ja valmidus õppida tundma tundmatut. (Tupay, Mikiver 2015)
Eesti tugevuseks võib pidada sedagi, et koos uute proaktiivsete teenuste loomisega riigi kodanikele peetakse oluliseks privaatsust- ja andekaitseõigust ning eraelu puutumatust, millest lähtuvalt võetakse vastu ka täiendavaid õigusakte. Seegi säilitab ja kasvatab usaldusväärsust riigi ja kodanike vahel, mis võiks olla inspiratsiooniks ja eeskujuks kogu maailmale.
Allikad
- Paloma Krõõt Tupay, P. Õigusest eraelule kuni andmekaitse üldmääruseni ehk tundmatu õigus isikuandmete kaitsele. (2016).
- FRA. 2018. Euroopa Anmekaitseõiguse käsiraamat.
- Katrin Nyman Metcalf, 2014. Privaatsusõigus inimõigusena ja igapäevatehnoloogiad.
- Paloma Krõõt Tupay, Monika Mikiver, E-riik ja põhiõigused. (2015).
Toimetaja: Kaupo Meiel