Aastaraamat 2023

Siin saate alla laadida 2023. aasta aastaraamatu pdf versiooni
Tähtis aeg

Andmekaitse Inspektsioonil on sel aastal sünnipäev – täitub 25 aastat. Tegelikult on andmekaitse Eestis aga pisut vanem kui 25 aastat. Esimene isikuandmete kaitse seadus Eestis võeti vastu juba 1996. aastal ja osakond isikuandmete kaitsega tegelemiseks loodi Siseministeeriumisse aastal 1997. Iseseisva asutusena alustas Andmekaitse Inspektsioon aga tõesti tegutsemist aastal 1999, mistõttu me just 25. sünnipäeva sel aastal tähistame, ehkki tinglikult võiksime tähistada ka isikuandmete kaitse 27. aastapäeva.
Töötasin AKI-s 10 aastat. Arusaadavalt tundsin pärast lahkumist kõige enam puudust vanadest kolleegidest. AKI oli väike kompaktne meeskond, kus igaühel oli oma vastutusportfell. Formaalsetele juhtimistasanditele ja struktuuriüksustele eelistasime mitteformaalseid töörühmi ja isiklikku vastutust. Niivõrd paindlikku ja tõhusat hajusjuhtimise mudelit ja tugevat meeskonnatunnet ei ole ma enne ega pärast näinud.
Asudes Andmekaitse Inspektsiooni peadirektori ametisse, oli mul päris hea ettekujutus, millised on peamised kitsaskohad andmekaitse ja riikliku järelevalve vallas. Kõige olulisemaks ja suuremaks probleemiks oli enamiku suuremate (et mitte öelda kõigi) isikuandmete töötlejate seisukoht, et igasugune Euroopa Liidust tulnud nõue on „üks Euroopa Liidu värk, mis meie kohta ei käi“.
Kuigi tööandjad ei peaks töötajate terviseandmeid üldse töötlema, siis on mõned teemad siiski meile menetlustesse jõudnud. Nii jõudis meie lauale kaasus, milles üks suur Eestis tegutsev ettevõte pakkus töötajatele töötervishoiuteenuse raames lisaks ka eri lisateenuseid (nt kardioloog, psühholoog, vaktsineerimine jms). Tegemist on väga tänuväärse algatusega, mis näitab tööandja hoolivust oma töötajatesse.
2023. alguses määras AKI väärteotrahvi summas 200 000 eurot Ida-Tallinna Keskhaiglale (ITK) põhjusel, et patsientide hävitamisele suunatud terviseandmeid ladustati Magdaleena polikliiniku peaukse kõrval pealt avatud ehitusjäätmete konteineris, mille väravad olid avatud ja konteiner oli järelevalveta. Iga möödakäija sai segamatult konteinerisse astuda, paberites sorida ja neid pildistada. Juhtum viitas isikuandmetega seotud protsesside läbimõtlematusele terves asutuses.
Viimase aja paljude andmelekete ja isikuandmete kaitse alaste rikkumiste valguses on mõistlik tuletada meelde mõningaid lihtsaid, kuid olulisi soovitusi, kuidas igapäevatöös andmetega turvaliselt ümber käia. Küberrünnakud on paraku pigem millal- kui kas-küsimus. See ei tähenda aga, et me ei saaks võtta ennetavaid samme, et oma andmeid kaitsta ja kiirelt reageerida, kui midagi juhtuma peaks. Asutus, kes võtab tõsiselt turvameetmeid, ei suuda mitte ainult kaitsta oma andmeid, vaid on ka usaldusväärne partner ja eeskuju teistele.
Avaliku teabe seadus (AvTS) pärineb aastast 2000 ja on kirjutatud pidades silmas eelkõige asjaajamist paberil. Seetõttu on paljud AvTS-i nõuded täitmiseks väga ajamahukad või suisa võimatud. Näiteks võib tuua § 42 nõude, et juurdepääsupiirangu kehtetuks tunnistamise kohta tehakse märge dokumendile – tänaseks on enamik dokumente digitaalsel kujul ja ka digitaalselt allkirjastatud ning neile ei saa seetõttu lihtsa vaevaga mingit märget lisada ilma, et algsest dokumendist kujuneks uus versioon.
1. Isikuandmed on kõik andmed, mis on seotud füüsilise isikuga.

Mitte alati. Isikuandmed on kõik andmed üksikuna või kogumis, mille kaudu füüsiline inimene on otseselt või kaudselt äratuntav, näiteks nimi, isikukood, asukohateave. Oluline on rõhutada, et ka isikukood on tavaline isikuanne ja selle kasutamisele ei ole seatud rohkem piiranguid kui inimese nime või sünniaja kasutamisele.
Võlgniku vastuväite saamisel ei hinda maksehäireregistrid enamikul juhtudel isiku ülemäärast kahjustamist piisaval määral, piirdudes üksnes arvessevõetavate asjaolude loetlemisega ja jättes konkreetset olukorda puudutavad elulised asjaolud sisuliselt hindamata. Veelgi enam paistab silma maksehäireregistrite komme õigustada ülemäärase kahjustamise tegematajätmist sellega, et isik ei ole vastuväite esitamisel välja toonud, kuidas võlaandmete avaldamine tema õigusi ja vabadusi ülemäära kahjustab, või puudub teave, et maksehäire avaldamine on kaebajale mis tahes kahju toonud.
AKI andis 2022. aasta sügisel välja uue maksehäirete avaldamise juhendi, mille sisu ei olnud maksehäireregistrite pidajatele ja osadele krediidiasutuste katusorganisatsioonidele meeltmööda. Mõned ettepanekud kriitikutelt olid asjakohased või vähemasti andmekaitseõiguse vaatest vastuvõetavad ning seetõttu uuendas AKI 2023. aasta suvel juhendis mõningaid seisukohti. Lisaks kasutatavate mõistete lahtikirjutamisele täpsustas AKI muu hulgas järgnevat:
2023. aastal jätkas AKI panustamist positiivse krediidiregistri väljatöötamisse, mille tulemusena peaks Rahandusministeeriumi eestvedamisel valmima isikute finantskohustustest ülevaadet andev register. Eesmärk on luua preventiivse mõjuga register, mis turuosaliste vahel isikute maksekohustuste osas andmeid vahetades aitaks kaasa vastutustundliku laenamise põhimõtte paremale rakendamisele. Nagu on näha ka Andmekaitse Inspektsiooni järjekindlast praktikast, esineb isikutel laenukohustuste täitmisel raskusi, mis toob kaasa suure maksehäirete avaldamise arvu.
Videovalve kasutamine on ettevõtetes laialdaselt levinud, paraku ka selle väärpraktika, mistõttu tegeles inspektsioon ka 2023. aastal väga paljude tööandjate andmekaitsealase teadlikkuse tõstmisega.
Praegusel ajal on reaalsuseks see, et meie igapäevaelu ümbritsevad kaamerad. Kaamerad on vajalikud, kuna need aitavad meil tagada turvalisust, toetavad meid tõendite kogumisel, võimaldavad meil kiiremini suhelda ja teha tööd kaugtöö vormis. Siiski ei saa vaadata mööda sellest, kuidas mõjub kaameraga töötamine inimese vaimsele tervisele.
Seekordses ülevaates on paslik küsida, kas varasematel aastatel tehtud kodutöö on piisav, et liikuda vastu uutele väljakutsetele, mida meie eraelu kaitse eeldaks kõikvõimalike uute tehnoloogiate kasutamisel. Paraku ei saa sellele väga positiivse tooniga vastata.
2023. aasta novembris koordineeris Andmekaitse Inspektsioon Eestis toimunud Schengeni andmekaitsealast hindamist, mille raames viibisid Eestis Euroopa Liidu liikmesriikide ning Euroopa Komisjoni eksperdid. Eelmine hindamine toimus aastal 2018 ning järgmine toimub vastavalt muudatustele Schengeni hindamise korralduses 7 aasta pärast aastal 2030. Hindamise tulemusena saavad Eesti vastutavad asutused tegevusplaani koos soovitustega võimalike puuduste kõrvaldamiseks.
Sotsiaalmeediaplatvormide populaarsus on viimase kümnendi jooksul hüppeliselt kasvanud nii erasfääris kui ka avalikus sektoris. Kahtlemata on üks populaarsemaid kanaleid Meta (Meta Platforms Ireland Limited) platvormide hulka kuuluv Facebook. Kuivõrd Facebooki kasutavad väga erineva demograafilise ja sotsiaalse taustaga inimgrupid, siis aitab Facebooki lehe kasutamine jõuda potentsiaalselt suurema hulga inimesteni kui seda võimaldavad mitmed alternatiivsed kanalid.
Aasta 2023 osutus andmekaitsetrahvide poolest sündmusterohkeks. Sel aastal saavutati rekord – määrati kõrgeim trahv, mis isikuandmete kaitse üldmääruse all eales määratud on. Iirimaa järelevalveasutus trahvis aprillis Metat 1,2 miljardi euro eest, kuna viimane edastas oma Facebooki teenuse kaudu ilma põhjendatud seadusliku aluseta massiliselt Euroopa Liidu kodanike isikuandmeid Ameerika Ühendriikidesse.
Olulisemad sündmused kahe kümnendi jooksul, mis on mõjutanud inspektsiooni tööd.

Selles huvitavas peatükis on toodud välja inspektsiooni töötajate arv selle algusaastatel ja nüüd.

Samuti on võrreldud erinevaid näitajaid kolme aastakümne näitel 2003, 2013 ja 2023.

Selles peatükis vaatame otsa erinevatele statistilistele numbritele, millega AKI on aastal 2023 tegelenud. 

 
Numbrid on alati väga põnevad.

Alljärgnevalt toome välja ühed põnevad numbrilised näitajad, mis ilmestavad inspektsiooni 2023. aastat.
Siinkohal täname toredaid inimesi, kes andsid oma panuse Andmekaitse Inspektsiooni juubelihõngulisele aastaraamatule.