Igaühel meist on õigus privaatsusele, mille hulka kuulub ka isikuandmete kaitse. Samas on ikka veel selgeks vaidlemata, kas suures isikuamdmete kaitsmise tuhinas ei saa mõnikord kahjustada kodanike muud, sageli olulisemadki huvid.
Viimase kahe nädala jooksul on toimunud üsnagi mitu erinevat konverentsi andmete, eriti aga isikuandmete kaitse teemadel. Samas tundub, et käsitlusala on nii mõnelgi puhul jäänud ebamääraseks. Vaatlekski siin kohal natuke, millised andmed üldse on meie sees ja meie ümber ning milliseid neist ja kelle eest tasuks kaitsta.
Andmeturbe maailmas ei tähenda andmete kaitse ainult nende kellegi eest salajas pidamist. Tegelikult koosneb andmete kaitse kolmest võrdväärsest osast – terviklusest, käideldavusest ja konfidentsiaalsusest. Kahjuks on Eesti õigusruumis selline andmekaitse kolmikjaotus mööda erinevaid seadusi laiali pillutud ning trummi lüüakse eelkõige isikuandmete konfidentsiaalsuse ümber, vihjates sealjuures privaatsuse olulisusele. Samas jäetakse kõrvale andmete käideldavus ja terviklus, mis tekitab olukorra, kus kogutud andmed ei ole mingil põhjusel kättesaadavad (käideldavad) või pole nad mingil põhjusel õiged (terviklikud).
Kui inimene sünnib, saab ta kaasa oma vanemate perekonnanime, vanemad annavad sellele väikesele inimesele lisaks ka eesnime(d). Peale selle saab see väike inimene kaasa ka personaalse identifitseeriva numbri – isikukoodi. Need on sünnijärgselt kaasa saadud tehislikud andmed. Lisaks sellele on väikesel inimesel ka hulk kaasasündinud asju – näiteks geeniandmed ja sõrmejälje ning peopesajäljend, aga ka silmaiirise kujutis, mille järgi on samuti isikut võimalik üsna üheselt tuvastada. Kui palju ja kelle eest on mõtet selliseid andmeid salastada?
Selge on see, et ilma nime ja isikukoodita ei ole väikesel ilmakodanikul võimalik riigiga suhelda. Teda ei ole võimalik rahvastikuregistris arvele võtta, samuti jääb emal saamata riigipoolne toetus. Geeniandmetega ning peopesa- ja sõrmejäljekujutisega on natuke keerulisem. Ühest küljest annavad geeniandmed informatsiooni võimalike pärilike haiguste kohta, teisest küljest aga… annavad geeniandmed informatsiooni võimalike pärilike haiguste kohta. See aga võib mõjutada lapse edasist elukäiku ja suhtumist temasse. Peopesa- ja sõrmejäljekujutis aga võimaldab ainult isikut üheselt tuvastada. Kas ja kui palju seda infot varjama peaks, jääb igaühe enda otsustada. Samas tuleks tähelepanu juhtida sellele, et seoses uue isikuandmete kaitse seaduse vastuvõtmisega muutuvad silmaiirise, peopesa- ja sõrmejäljekujutis delikaatseks informatsiooniks ning igaüks, kes neid isiku tuvastamiseks kasutab, peab ennast registreerima Andmekaitse Inspektsioonis delikaatsete isikuandmete töötlejana.
Mingi aja möödudes kasvab väike inimene suureks inimeseks ja sellega koos kasvab ka tema kohta käivate andmete hulk. Laps käib lasteaias ja koolis ning saab seal suure hulga nii häid kui ka halbu hindeid. Ühest küljest võivad hinded peegeldada inimese vaimseid võimeid, kuid samahästi võivad nad peegeldada ka laiskust, teisest küljest aga ei taha mitte ükski kool võtta endale õpilasi ilma nende tausta ja õpiedukust teadmata. Jällegi tekib küsimus: kelle eest ja kui palju midagi peita. Ilmselt on inimene vahepeal ka mõnda haigust põdenud ning selle käigus on selgunud nii mõnigi allergia. Informatsiooni tervise kohta loetakse delikaatseks infoks ja seda tuleks kõvasti saladuses pidada, samas pole mõne uue haiguse puhul ilma selle eelneva infota võimalik edasist ravi kavandada.
Täiskasvanud inimese küljes on andmeid juba väga massiliselt – töökoht ja palganumber, pangakontod ning nendega seotud maksevahendid ja koodid, kuulumine klubidesse ja organisatsioonidesse, lisaks veel usulised, poliitilised ja maailmavaatelised veendumused… seda nimekirja võib jätkata lõpmatuseni, kuna iga fakt või sündmus jätab mingi jälje ning sellega koos tekivad ka mingid andmed – need moodustavad inimese identiteedi. Kui palju sellest identiteedist peaks olema varjatud ja kui palju avalik?
Esimene asi mida kuidagi avaldada ei taheta on elukoht. Ühest küljest on see muidugi õige – kui inimene harrastab laia eluviisi, siis on see kaugele näha ja selle järgi oskavad vargad ka külla tulla. Samuti on riigil väga lihtne ennast meelde tuletada – hakkavad saabuma sõjaväekutsed ja maksuteatised. Samas jälle ilma inimese tegeliku elukohta teadmata ei oska riik planeerida transpordi arengut aga samuti ka lasteaia- või koolikohtade arvu.
Samas avalikustatakse oma andmeid, sealhulgas ka konfidentsiaalseid täiesti suvalistele isikutele. Tänasel päeval levinud SMS-laenu pettused on võimalikud ainult inimese enda kaasabiga, ehkki see kaasabi on sageli tingitud teadmatusest.
Kahtlemata sellisel teadlikkuse puudujäägil oma süü ka riigil. Konkreetselt andmete turvalise käsitlemise eest vastutavad isikud ei ole osanud või tahtnud selgitada, milleks nad andmeid vajavad ning mis juhtub siis, kui neid andmeid ei ole. Teisest küljest on viga ka poliitikutes, kuna nad ei ole osanud või tahtnud tekitada terviklikku nägemust (poliitikat) riigi jaoks vajalike andmete töötlemisest.
Selle eredaks näiteks on kas või hetkel andmekaitset käsitlevad õigusaktid, mis on mööda erinevaid seadusi laiali ning samas on vastuolulised ja jätavad väga palju nn „halli ala“. Seaduseandjad ise väidavad, et need kohad tuleb selgeks vaielda, samas tuleb märkida, et pretsedenti loovat osapoolt on väga raske leida, kuna konkreetse asjaga seotud tugevat huvigruppi enamasti ei ole ning samuti on iga konkreetne juhtum on niivõrd palju erinev järgnevatest. Samuti loobuvad paljud nõrgemalt varustatud huvigrupid, kuna kõikide asjaolude läbi nämmutamine kõikides kohtuinstantsides on niivõrd kallis ja võtab nii palju aega, et lõppkokkuvõttes oleks andmete töötlemine juba mõttetu.
Loodetavasti on selline olukord möödumas. Selliseks optimismiks annab alust kas või juba fakt, et Justiitsministeerium on ametisse nimetanud nõuniku, kes on vastava ala väga tugev spetsialist. Seni kaua, kuni vastavad poliitikad ning poliitikatel põhinevad seadused välja töötatakse püüab arvutikatse.ee anda oma panust inimeste teadlikkuse tõstmisse.
Privaatsusõigus, andmekaitse, andmeturve jne. Tegemist ei ole sünonüümidega, kuigi neid sellistena paista lastakse. Andmeturbe omavahel põimunud komponendid on tõepoolest terviklus, käideldavus ning enim räägitud konfidentsiaalsus, kuid andmeturve ei ole veel kogu andmekaitse. Vastavale ekslikule arusaamale tuginedes võiks nii riik kui erasektor koguda indiviidi kohta mistahes teavet ning piisaks üksnes nimetatud turbekomponentide tagamisest. Ehk teisisõnu ning lihtsustatult võiks riik/isik x paigaldada kodaniku privaatruumi kaamera tingimusel a) linte ei kompromiteeri/muuda volitamata isikud, b)lintide säilimine on tagatud ning nad on riigile/kodanikule x kättesaadavad ning c) keegi peale riigi/kodaniku x ei näe neid linte.
Enne kui andmete kaitsmisele asuda tuleb selgeks teha, kes ning mis ulatuses ning tingimustel isikutpuudutavat teavet koguda ja kasutada võib. Samuti määratleda turbekomponentide sisutamiseks üliolulised pädevuste ning volituste piirid. Selleks on sisuliselt 2 võimalust: isiku tahe ning avalik huvi.
Isiku tahtest lähtuv isikuandmete töötlemine toimub isiku tahteavalduse ehk nõusoleku alusel. Tahteavalduse saamisele eelneb isiku informeerimine (informeeritud nõusolek, informed consent) andmete töötlemise eesmärgist, töötlejast, muudele isikutele edastamise lubatavusest, juurdepääsu, parandamise jms tingimustest jne. Seos kogutavate andmete hulga ja kogumise eesmärgi vahel peab olema selge ja arusaadav (minimaalsuse printsiip) ehk kingapoe kliendikaardi väljastamiseks ei ole tarvis teada, kas Teil ka koer on või mis oli Teie vanaema silmavärv. Eesmärgipärasuse ja minimaalsuse põhjendamise kohustus on andmete küsijal ning neid küsimusi tasuks üha enam ka küsida.
Avalikust huvist lähtuv isikuandmete töötlemine peab saama selge loa ning piirid seaduse tasandil ehk teisisõnu on seaduseandja kohustus määratleda kes ja millises ulatuses võib kodaniku tahte vastaselt või kodaniku tahet küsimata tema kohta teavet koguda ning kasutada. Kõige ilmekamaks näiteks on siinkohal kriminaalmenetlus. Ei saa ju kahtlustatava nõusoleku taha jääda süüdlase tuvastamine ning karistamine.
Põhimõtted isikuandmete töötlemisele on mõlemal juhul samad: ausus, läbipaistvus, eesmärgipärasus ja minimaalsus. Indiviidil on (väheste eranditega) õigus teada kes, kui palju ning millisel eesmärgil tema kohta teavet omab ning samuti selle teabega tutvuda. Teiste isikute peas olevale informatsioonile nimetet õigus muidugi ei laiene.
Eeltoodu kummutab ka ehk väite, et andmekaitset puudutav regulatsioon tuleks koondada ühte. See tähendaks põhimõtteliselt kogu õiguse koondamist ühte seadusesse. Küll aga tuleb nõustuda autori väitega, et Eesti õigusruum vajab hulgaliselt täpsustusi ning muudatusi ning selles osas ei saa lootma jääda üksnes nutikale ministeeriumi töötajale. Kodanike hääl peab samuti kõvemini kõlama.
Seega jäägem lootma, et meid ei lohutata pelgalt sõnadega-kõik on hea ja turvaline vaid lisaks sellele varustatakse ka selge ja arusaadava teabega selle kohta, kes, mistarvis ning alusel meie kohta teavet korjab ja vahetab.
Parimat
hmm
p.s kas lugeja arvates on arstil tarvis teada sünnitava naise ning tulevase lapse isa haridust, ametit ning nende kooselu kestust. Riik arvab, et on ning käseb arstil vastavat teavet ka koguda.
Kahju muidugi, et nii asjaliku kommentaari kirjutaja ennast identifitseerida ei julge. Vastuseks kommentaaridele…
Isikuandmete kaitse on oluliselt laiem teema, kui üks artikkel eales avada suudaks. Muideks – seesama “nutikas ametnik” kirjutab mulle teadaolevalt selleteemalist doktoritööd. Seega ei saagi see üks artikkle anda mingit ammendavat ülevaadet vaid tema eesmärgiks on esitada andmetöötleja mõtteid ning seeläbi arendada diskussiooni (hetkel kahjuks selline diskussioon puudub).
Andmekaitse ja andmeturve on siiski sünonüümid ning ma ei näe põhjust, miks mingite nüansside lisamisega asju hägustada. Muideks andmete töötlemise seisukohalt taandub privaatsusõiguse tähtsaim põhimõte, andmesubjekti luba, lihtsale käideldavusele – andmeturbe seisukohalt on täiesti ükskõik, mis põhjusel andmed käideldavad ei ole ning seetõttu ei pea ma siinkohal ka õigeks privaatsusõigust liigselt ületähtsustada või -müstifitseerida. Samuti pole siin kohane rääkida infoturbe komponentide sisustamisest. Neid sisustatakse mitte juriidiliste terminitega, vaid nad on juba sisustatud puht praktilistest andmetöötluse kaalutlustest ja eesmärkidest lähtuvalt. Soovitan soojalt lugeda näiteks standardit 17799 (Infoturbe halduse menetluskoodeks).
Muideks siinkohal tuleks ilmselt suurimaks probleemiks lugeda seda, et juristid, töötlejad ja turvajad räägivad kõik eri keeles 🙂
Minu arvates tuleks andmete töötlemist käsitlevad üldseadused koguda kokku ühte punti – see võimaldaks oluliselt vähendada nende seaduste vastuolusid aga samuti ühtlustada mõistestikku ning üldist suunda. Ilmselt on vajalik mingid andmetöötluse erisused sätestada eriseadustega, kuid kui palju neid peaks (võiks) olla? Muideks, AKI peadirektori väitel on 140 erinevat seadust, mis ühel või teisel moel andmete töötlemist reguleerivad?!?
Mis aga puudutab sünnitava naise haridust, siis on riik tellinud ühe uuringu, mis ka seda aspekti käsitleb. Muideks statistika on selline lahe asi, mis võimaldab minevikku ja olevikku uurides prognoosida, kuidas inimesed tulevikus käituda võiks.