Andmekaitse koosneb kolmest lahutamatust komponendist: andmete konfidentsiaalsuse, terviklikkuse ja käideldavuse kaitsest. Jälgides Andmekaitse Inspektsiooni tegevust, samuti lugedes uut isikuandmete kaitse seadust, tundub mulle paraku, et kogu AKI juriidiline, intellektuaalne ja haldussuutlik kapatsiteet võitleb, nii et veri ninast väljas, ainult ühe komponendi, see tähendab konfidentsiaalsuse eest, seda paraku kahe ülejäänud komponendi arvelt.
Et kõigi kolme komponendi olulisus arusaadavam oleks, toon näite. Kui AKI peadirektor Urmas Kukk ütleb Terevisioonis, et nimi ja sünnipäev ei ole delikaatsed isikuandmed (mis on õige), kuid jätab lisamata, et AKI nägemuse kohaselt ei ole ajakirjandusel sellegipoolest õigus sünnipäevaõnnitlusi ilma õnnitletava selgesõnalise nõusolekuta avaldada, ei ole tema esitatud informatsioon terviklik. Ja kui isikuandmete ajalehes avaldamiseks on vaja tolle isiku selgesõnalist nõusolekut (mida on võimalik igal suvalisel hetkel tagasi võtta), ei ole need andmed ka ajakirjanduse jaoks tegelikult käideldavad. Nii nagu ei ole tegelikult käideldav ka informatsioon, mille AKI andis vastuseks Rapla maakonnalehe Nädaline järelpärimisele, milliseid andmeid tohib ajalehes avaldada ja milliseid mitte. Mis kasu on lubadusest anda informatsioon välja 30 päeva pärast, kui sellest juhinduda oli tarvis juba 10 päeva tagasi?
Muide, asjaolu, et kaks nädalat pärast kehtimahakkamist ja 11 kuud pärast vastuvõtmist vajab isikuandmete kaitse seadus, millest AKI oma töös otseselt juhindub, AKi jaoks ikka veel põhjalikumat analüüsi, illustreerib ka minu poolt eelnevalt esitatud väidet AKI juriidilise, intellektuaalse ja haldussuutliku kapatsiteedi kohta 🙂 Ma küll ei tea, kas minuga samadel või mingitel muudel kaalutlustel otsibki Riigikantselei AKI-le uut peadirektorit.
Tegelikult ongi isikuandmete kaitse seadus kirjutatud nii, et seda ei ole võimalik täita. Juba isikuandmete definitsioon
(1) Isikuandmed on mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on.
on keeleline lapsus – isikuandmed on tegelikult sellised andmed, mille põhjal saab isikut tuvastada. Seaduses toodud definitsiooni kohaselt on isikuandmed aga isikuga seostatavad mistahes andmed. Veel ütleb seadus, et
Isikuandmete töötlemine on iga isikuandmetega tehtav toiming,
millele laienevad mõistagi ka isikuandmete töötlemisele rakendatavad piirangud. Põhipiiranguks on muidugi see, et
(1) Isikuandmete töötlemine on lubatud üksnes andmesubjekti nõusolekul, kui seadus ei sätesta teisiti.
Ehk eesti keeles: ükskõik millise isikuga seostatava mistahes informatsiooni töötlemine on lubatud vaid selle konkreetse isiku nõusolekul. Ehk siis kui peaksite millegipärast tegema aerofoto Tallinna linnast, on teil enne päästikule vajutamist vaja saada kõigi kinnistuomanike, sõidukiomanike ning tol hetkel tänaval viibinud jalakäijate nõusolek, sest asute ju töötlema nende elukoha, füüsilise kujutise ja varalise seisukorra kohta käivaid andmeid. Ja kui kõigi nende nõusolek puudub, on AKI-l igati seaduslik õigus teha teile kuni 150 000 krooni trahvi. Trahvi vältida õnnestub ainult juhul, kui teete nimetatud aerofoto isiklikuks otstarbeks või avalikustamise eesmärgil, viimasel juhul aga tuleb kõiki kinnistuomanikke ja jalakäiaid eelnevalt hoiatada, et nood jõuaksid vajaduse korral peitu pugeda või oma kinnistu mujale toimetada:
(8) Kui seadus ei sätesta teisiti, asendab avalikus kohas toimuva heli- või pildimaterjalina jäädvustamise puhul avalikustamise eesmärgil andmesubjekti nõusolekut tema teavitamine sellises vormis, mis võimaldab tal heli- või pildimaterjali jäädvustamise faktist aru saada ja enda jäädvustamist soovi korral vältida. Teavitamiskohustus ei kehti avalike ürituste puhul, mille avalikustamise eesmärgil jäädvustamist võib mõistlikult eeldada.
Lisaks on “andmesubjektil” õigus igal ajal nõuda isikuandmete töötlemise ja avalikustamise lõpetamist. Nii et ajakirjandusel justkui oleks õigus isikustatud infot luua ja avaldada, kuid trahvi võib selle eest saada igal juhul.
Meie isikuandmete kaitse seadusele aluseks olev eurodirektiiv ütleb selgesõnaliselt:
(33) andmeid, mis oma olemuse tõttu võivad rikkuda põhivabadusi või eraelu puutumatust, ei tohiks töödelda ilma andmesubjekti selgesõnalise loata; siiski tuleb selgelt sätestada erandid nimetatud keelust seoses teatavate vajadustega juhul, kui kõnealuseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on seadusjärgne kohustus hoida ametisaladust, või kui sellise töötlemisega tegelevad oma õiguspärase tegevuse raames ühendused või sihtasutused, kelle töö eesmärk on võimaldada põhivabaduste kasutamist;
Mina loen siit küll välja, et käe saab ette panna ainult delikaatsete, mitte mistahes isikuandmete töötlemisele. Samuti peavad oma tööd teha saama teadlased ja statistikud (õnneks on see osaliselt lubatud ka meie seaduses):
(34) liikmesriikidel peab olema lubatud kalduda kõrvale delikaatsete andmete töötlemise keelust ka siis, kui seda õigustavad olulised üldiste huvidega seotud põhjused sellistes valdkondades nagu tervishoid ja sotsiaalkaitse (eriti selleks, et tagada hüvitisenõuete rahuldamise kord ja teenuste kvaliteet ning tasuvus tervisekindlustuse puhul), teadusuuringud ja riiklik statistika; liikmesriikidel on siiski kohustus pakkuda konkreetseid ja sobivaid tagatisi, et kaitsta üksikisikute põhiõigusi ja eraelu puutumatust;
Ehk ei ole nii, et keelame lihtsalt ära – tuleb korraldada nii, et isiku põhiõigused ja eraelu puutumatus oleksid küll kaitstud, kuid ka ühiskond saaks toimida. Direktiivi järgmine punkt aga on IKS-is täidetud puhtformaalselt:
(37) kui isikuandmeid töödeldakse ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvides, eelkõige audiovisuaalsektoris, tuleks teha erand käesoleva direktiivi teatavate sätete nõuetest, kuivõrd see on vajalik selleks, et viia vastavusse üksikisikute põhiõigused ja sõnavabadus, eelkõige Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 10 tagatud õigus saada ja jagada teavet; seetõttu peaksid liikmesriigid kehtestama põhiõiguste tasakaalustatuseks vajalikud erandid ja vabastused, mis puudutavad üldmeetmeid andmete töötlemise seaduslikkuse kohta, meetmeid andmete kolmandatesse riikidesse edastamise kohta ja järelevalveasutuse volitusi;
Aga me ei saa ju kärpida järelvalveasutuse volitusi, eks ole? Ainult AKI-l on õigus otsustada, milliseid andmeid on ajakirjandusel õigus töödelda, ja kui nad ikka arvavad, et sünnipäevaõnnitluste avaldamiseks puudub avalik huvi, siis ei anna nad seda luba mitte. Ehkki eurodirektiiv soovitab vastupidist võimalust:
(49) asjatute haldusformaalsuste vältimiseks võivad liikmesriigid sätestada erandid teatamiskohustusest ja lihtsustada vajalikku teatamist, kui töötlemine tõenäoliselt ei kahjusta andmesubjektide õigusi ega vabadusi ja on kooskõlas meetmetega, mida liikmesriik on võtnud töötlemise piiride täpsustamisel;
Ehk siis veelkord ja kokkuvõtlikult: ei saa lähtuda jäigast positsioonist, et kui on tagatud isikuandmete konfidentsiaalsus, on andmekaitsega kõik korras. Meil tuleb siiski kaitsta eelkõige mitte isikuandmeid, vaid nende andmetega seotud isikut. Ja mõnikord võib just isikuandmete töötlemata jätmine tuua isikule suuremat kahju kui nende konfidentsiaalsuse jäik kaitsmine.
Paraku ei ole konfidentsiaalsuse ja käideldavuse vahel vahetegemine alati lihtne ning takerdub peamiselt loo alguses viidatud juriidilise, intellektuaalse ja haldussuutliku kapatsiteedi taha. Viimast ei pruugi alati jätkuda isegi AKI proffidel, üksikisikust endast rääkimata 🙁
Lapsustest veel:
Vastavalt §4 öeldule on sõrmejälg ja silmaiiris delikaatsed isikuandmed ning nende töötlemine (näiteks autentimise eesmärgil) tuleb AKI-s registreerida (riigiastustes käis isegi vastav ringkiri). Võtame aga näiteks pubi – õlleklaasile jäävad väga selged sõrmejäljed. Kas nõudepesija, kes need jäljed maha peseb on isikuandmete töötleja? Siinjuures tuleb märkida, et ka andmete hävitamine on andmete töötlemine 🙂 Kunagi ammu olen nende lapsuste teemal ka ühe loo kirjtanud http://karulaas.homelinux.org/?q=node/17
Mis aga puudutab tavakodaniku juriidilisse kapasiteeti, siis AKI viimasel konverentsil märgiti, et selle seadusega seotud kohtuasjad võivad ühele osapoolele maksta kuuekohalise summa, kohtukulusid aga hüvitatakse summas 5000 krooni. Eks järeldused võib igaüks ise teha.
Muide, kes tõlgiks mulle ära isikuandmete kaitse seaduse ühe viimastest paragrahvidest:
§ 46. Isikuandmete kaitse seaduse kehtetuks tunnistamine
Isikuandmete kaitse seadus tunnistatakse kehtetuks.
Mis ta siis kehtib või ei kehti? 🙂
Sageli leiab keerulistele küsimustele vastuse küsimise meetodil. Võib ka otsida ja püüda aru saada aga sellega kaob kogu teiste inimeste tüütamise võlu (näiteks klikkides riigiteatajas “eelmine versioon” peale ilmneb §46 “Isikuandmete kaitse seadus (RT I 2003, 26, 158; 2007, 11, 53) tunnistatakse kehtetuks.”, ehk tegemist on vist tekstitoimetaja või parseri kuriteoga).
Eelnõu koostajad leiab Riigikogu eelnõude otsingu abil seletuskirjast mis on lisatud algteksti lõppu (arengud enne Riigikogu on eoigus.just.ee), konreetsel puhul http://web.riigikogu.ee/ems/saros-bin/mgetdoc?itemid=063130007
Üldiselt tasub alati võtta ette seletuskiri, ilma seda lugemata juristidega tuututama minek lõpeb suurema naljaheitmisega sinu aadressil.
Jah mina kah vahel tuututan paragrahvide teemal, aga enamusel puhkudest pärast seda kui olen oma versiooni mõne asjassepuutuva juristiga läbi vaielnud.
Üleüldse, arvutikaitse.ee point on jagada kodanikele – ja ka pressile – adekvaatset ja kontrollitud infot (jah, ma olen olnud juures kui see eesmärk püstitati). Palun avaldage oma poliitilisi seisukohti oma blogides ning katsuks siin püsida väga hästi kontrollitud infi tasemel, eksju? Cheese 🙂
Peeter: antud juhul pole tegemist poliitilise probleemiga vaid konkreetsest õigusaktist tuleneva tehnilise probleemiga – andmed ei ole käideldavad, kuna see seadus on liiga ühekülgne. Muide, ka viimasel AKI konverentsil häiris mind isklikult see, et mõistet “andmete kaitse” kasutati “andmete konfidentsiaalsuse” tähenduses.
Eesti (formaaljuriidilises) õigusruumis ei oma eelnõu ega ka seletuskiri õiguslikku tähendust. Seletuskirja poole pöördutakse üldjuhul alles viimases hädas ja kolmanda astme kohtus. Samas tuleb märkida, et antud seadus ja selle seletuskiri on väga paljud praktilised probleemid üldse tähelepanuta jätnud. Lisaks tuleb öelda, et väga paljudel seadustel ei ole seletuskiri enam säilinud ning selles suhtes on väga tervitatav Justiitsministeeriumi algatus nende säilitamiseks. Minu hinnangul oleks veel parem lahendus, kui võetaks üle EL põhimõtted, kus preambula ongi seaduseandja mõtte seletamiseks ning moodustab koos seaduse endaga ühtse terviku.
Teine probleem on see, et seda seadust on liiga kerge pahatahtlikult tõlgendada ning näiteks “sünnipäevaõnnitluste skandaal” sai alguse justnimelt selle seaduse pahatahtlikust (täpsemini liiga sõna-sõnalisest) tõlgendamisest ühe justiitsministeeriumi ametniku poolt (ka seletuskiri on selle praktilise probleemi tähelepanuta jätnud). Lisaks võib vaadata samal teemal Ülle Madise kirjutatut tänases EPL-is http://www.epl.ee/artikkel/417507
@hillarp – meil ei peetavat heaks tavaks kohtus isegi varasemate Riigikohtu lahendite peale mõelda 🙂 aga Ülle lugu on hea, mulle need põhiseaduslased meeldivad.
Konfidentsiaalsus ja käideldavus ei ole eraldivaadatavad omadused, mistõttu on veider väita, et üht on teenimatult üle tähtsustatud. Mõlema mõiste sisustamise võti peitub tegelikult osapoole õiguste ja volituste mahus. Andmed peavad kättesaadavad olema õigustatud isikutele ja ainult ning teisalt korratakse üle, et õigustamata isikutele ei tohi andmed kättesaadavad olla. Lihtsustatult kogu moos. Kuis siin miskit kilbile tõsta saab jääb jätkuvalt arusaamatuks.
Õigustatud isiku roll saab tuleneda, kas subjekti tahtest või õiguslikust regulatsioonist, mis peab omakorda olema niivõrd selge, et andmesubjektile oleks teada, kes ja millistel tingimustel ja puhkudel võib tema isikut puudutavaid andmeid ilma tema tahteavalduseta töödelda või millistel puhkudel võiks säärast käitumist oodata.
Käideldavus, terviklus ja konfidentsiaalsus ei ela ka oma eraldiseisvat elu ning isikuandmete töötlemisest rääkides tuleb esmalt hinnata kooskõla isikuandmete töötlemise põhimõtetega.
r.r
Ei ole see nii lihtne midagi.
Loe või Petsi viidatud eelnõu seletuskirja – autoritele ei tule pähegi, et isikul võiks olla ka muid huvisid peale isikuandmete konfidentsiaalsuse. Näiteks sünnipäevade loetelu isiklikus arvutis lubatakse ainult seepärast, et niisuguse “eraelu puutumatuse riive” jälitamine ja karistamine oleks ebaotstarbekas, võimalust, et kellelegi meeldiks, kui teda tähtpäeva puhul õnnitletaks, ei ole üldse ette nähtud. Eraelu puutumatus on küll tagatud, kuid selle kvaliteet kannatab 🙂
Ehkki, kui nüüd mõtlema hakata, siis võib sünnipäevi ignoreeriva isiku religioossete vaadete kohta ka üht-teist järeldada, ja see sõidab juba otsapidi delikaatsetesse isikuandmetesse ning isegi põhiseadusesse sisse…
Aga põhimõte jääb seaduses ikka samaks – vaikimisi on kõik keelatud ning lubatud ainult isiku enda või AKI loal (mõnede eranditega).
Ja veelkord – kas oli siis raske kirjutada seadusesse, et isikuandmed on niisugused andmed, mille põhjal füüsiline isik on otse või kaudselt tuvastatav? Praegune definitsioon sai küll segane ja võimaldab pahatahtlikku tõlgendamist.
1) Paljud arvavad, et AKI tegevus ja andmekaitse-teemane seadusandlus on liigse “salajasuse ületähtsustamise” poole kiiva.
2) Kui arvavad, peab sellest ka kirjutama.
3) Kas ka arvutikaitse.ee-s? Miks mitte. Aga sellised hinnangulised artiklid võiks olla eraldi märgistatud. Diskussioon / arvamus märgend juures, et HP juttu lugend koduperenaine paanikasse ei satuks ja AKI peakorteri ette pikettima ei tormaks.
4) Arvutikaitse.ee võiks nüüd temaatilised artiklid kokku linkida. Teha miski “isikuandmete kaitse seadus” alamleht, panna sinna viidad eelnõudele, Ülle Madise artikkel, HP arvamus, jne jne.
Kaur, ma arvan, et intsiaalidega HP tähistasid Sa mind ning seetõttu sooviksin tähelepanu juhtida sellele, et konkeetse artikli autor on Aare ja mitte mina.
Ma ei ole kusagil väitnud (ega loe ka siit artiklist), et isikuandmete konfidentsiaalsus oleks “ületähtsustatud”. Ka konfidentsiaalsus on väga oluline asi. Ma väidan (ja näen ka Aaret väitmas), et andmekaitse teised kaks komponenti – käideldavus ja terviklus – ei ole konfidentsiaalusele järele jõudnud. See tõttu üritavad juristid neid mõisteid iseseisvalt “sisustada” (vaata näiteks RR kommentaari). Minu senine kogemus väidab, et enamasti on tulemus masendav (stiilis “2×2=5”). Selle väga heaks (või halvaks) näiteks on seesama “sünnipäevaõnnitluste teema”.
Ma ei ole väga kindel, et Arvutikaitse.ee on see koht, kus peaks lahkama isikuandmete kaitse seaduse probleeme, kuna selle seaduse puhul (nagu isikuandmete kaitse puhul üldse), on tegemist väga laia ja (osalt seetõttu) ka keerulise teemaga. Mulle millegipärast tundub, et siinne sihtrühm on natuke teine aga ma arvan, et Aare oskab sellel teemal natuke täpsemalt kommenteerida. Samas artiklitest, videolõikudest, raadiosaadetest vms. copi-paste või lingid neile on ka minu arvates väga hea mõte.
Hillarp, tõepoolest pidasin autoriks Sind, mitte Aaret. Vabandan.
Kas pigem erialaspetsidele suunatud artiklid on arvutikaitse.ee teema… Ei tea. “Lihtsas inimeses” peaks vist tekitama kindlustunnet “installi need kolm programmi ja kasuta id-kaarti, siis oled kaitstud”, mitte poleemikaga pead segamini ajama? 🙂
FRED PUSS: Andmekaitsjate liigne agarus või kirjaoskamatus