Aastast peadirektori pilgu läbi

Vaadates tagasi ja ammutades inspiratsiooni Andmekaitse Inspektsiooni varasematest aastaraamatutest, hakkas silma, et juba mitu aastat on alanud sissejuhatus tõdemusega,et möödunud aasta on olnud muutuste aasta. Ja mis seal salata, kardan, et see eessõna algab üsna samamoodi. Mitte niivõrd seepärast, et 2019. aasta oleks olnud sedavõrd suurte muutuste aasta, vaid see hetk ja olukord, kus me täna viibime, on uudne ja murranguline. Ilmselt veel kaks kuud tagasi oleksin alustanud teisiti.

Täna kirjutan neid ridu hoopis teistsugusest maailmast, kui see oli kaks kuud tagasi – kodust, karantiinist, olles osaline ülemaailmse pandeemiaga võitlusest. Nii mõnedki on öelnud, et maailm ei ole enam kunagi selline, milline ta oli enne viirust COVID-19 ning tulevikus hakkamegi rääkima ajast enne ja pärast laastavat viirust. Võibolla tõesti.

Milline oli siis andmekaitse vaatest maailm enne kevadet 2020 ehk siis aastal 2019?

Andmekaitse Inspektsiooni tööd mõjutas 2019. aastal endiselt isikandmete kaitse üldmääruse jõustumine. Ühelt poolt võib juba kummastav tunduda, et me endiselt räägime üldmäärusest kui uuest nähtusest. Ent teisalt tuleb paraku tunnistada, et selle rakendamise väljakutsed ja kardan, et ka sellest tingitud avastamisrõõmu jätkub veel aastateks. Ärgem unustagem siinjuures ka seda, et eestisisene andmekaitseõigus uueneski alles aastal 2019, mil muutuste aluseks olev isikuandmete kaitse seadus vastu võeti.

Et aga meile kui andmekaitseasutusele üldmäärus veel pikalt uudsena näib ja avastamist pakub, on kindlasti tingitud ka Eesti väiksusest – nii mõnigi olukord võib meie lauale jõuda pikema ooteajaga, kui mõnes suurriigis. Olles osaline väga aktiivselt tegutseva Euroopa Andmekaitsenõukogu töös, on näha, et nii mõnigi üldmääruse tõlgendus- ja rakendusraskus on siiski sama suur sõltumata riigi suurusest. Mis kindlasti aga väikeriigi positsiooni keerukamaks teeb, on ressursi piiratus.

Eesti andmekaitseasutus on pea ainuke asutus Euroopa Andmekaitsenõukogu liikmete seas, kes ei saanud (ega ole saanud siiani) lisaressursse uute ülesannetega toimetulekuks. Jätkuvalt oleme ka üks väiksemaid riigiasutusi Eestis. Samal ajal on ainuüksi rahvusvaheline koostöö kasvanud hüppeliselt. Statistiliste numbritega meie tegevustest on võimalik tutvuda käesoleva aastaraamatu leheküljel 61, kust nähtub, et ainuüksi Euroopa ühise andmekaitseasutuste infosüsteemi kaudu saime enam kui tuhat pöördumist, millest üks osa jõudis ka menetlustena inspektorite töölauale. Euroopa andmekaitse asutuste „one stop shop“ koostöö käivitamisest ülepiiriliste juhtumite lahendamiseks on pikemalt juttu leheküljel 19.

Ent mitte statistilised numbrid üksi pole olulised. Rahvusvaheline koostöö oma sisult on väga oluline, sest just sealt tekib suur osa teadmist, kuidas üht või teist üldmääruse sätet või meedet tõlgendada või rakendada. Seda nii teiste asutuste kogemustele tuginedes, andmekaitsenõukogu poolt väljatöötatavate juhendmaterjalide koostamise juures aktiivne osaline olles kui ka osaledes ühiskontrollides.

Täna peame oma ressursi piiratuse tõttu tegema veel väga selgeid valikuid, kuhu ja palju panustada saab. Harva oleme kasutanud võimalust pakkuda end andmekaitsenõukogus raportööriks mõne teema vedamisel. Kahjuks oleme loobunud isegi siis, kui teema oleks meie jaoks ühtviisi huvitav ja vajalik, sest raportööriks ehk eestvedajaks olemine andmekaitsenõukogus tähendab intensiivset tööd, mis saaks toimuda
vaid teiste kohest tegelemist nõudvate tööde arvelt.

Siit edasi jõuame veel ühe juba alates üldmääruse jõustumisest üleval olnud põletava küsimuseni. Kus on trahvid? Nagu näitab aastaraamatu statistika, sisu ning ka vaikus uudistes, ei ole me ühtegi üldmääruse järgset hiigeltrahvi teinud. Siit ja sealt Eesti naaberriikide seast on juba kosta esimestest nn pääsukestest. Nii vaadataksegi ühelt poolt hirmunult, kuid teisalt ka etteheitva ja vahel ka üleoleva pilguga meie otsa, et kus on meie trahvid. Ei ole mullegi teadmata nn linnalegend, et inspektsioon ei oska, taha ega suudagi trahvida. See on osati tõsi, aga osati ka mitte. Ühest küljest on, nagu eespool juba kirjeldatud, meie ressurss piiratud ja seda millega, millal ning kuidas tegeleda, tuleb hoolikalt valida. Nii on ka trahvimisega. Teisalt olen mitmel korral juba välja öelnud ja kordan seda siingi, et minu hinnangul ei sobitu üldmääruse hiigeltrahvid Eesti õigusruumi, kuna need on pigem mõeldud haldustrahvidena, mida meie õigusmaastik ei tunnista.

Öelgu skeptikud mida tahes, aga väärteomenetlus on andmekaitseasjades ebamõistlik ja eesmärgipäratu. Seda nii oma karistusmenetlusele omaste kitsaste reeglite, lühikeste aegumistähtaegade kui ka juriidilise isiku vastutuse korral tõendamisraskustega. Väärteomenetlus sobib hästi näiteks kiiruseületamiste või kalastuslubade olemasolu kontrolliks ja rikkumise korral karistamiseks, aga mitte trahvimaks äriühingut ulatusliku andmelekke võimalikuks saamise eest. Keegi ei oota ju, et trahv tabaks õnnetut IT-poissi, kes nupule vajutas. Trahvi peaks saama ikka organisatsioon, kes oma reeglitega või nende puudumisega ja läbimõtlemata ning ebaturvaliste protsesside tõttu sellel juhtuda lasi. Aga mul on hea meel, et jõudsime ka Justiitsministeeriumiga selles küsimuses üksmeelele ning kui elu pöördub tavalise töörütmi juurde, võetakse see ambitsioonikas plaan, mis juba haldustrahvi ellu kutsumiseks loodud oli, taaskord lauale ja töösse.

Aga selle kõigega ei tahtnud ma sugugi trahviootajatele mõista anda, et me jääme vaikselt haldustrahvi regulatsiooni ootama. Sugugi mitte! Lisaks trahvile on meil suurepärane võimalus kasutada mõjutusmeetmena ka sunniraha instrumenti. Sunniraha määramisel on veel lisaks üks boonus – seda saab teha korduvalt ja ta on suunatud mõjutama andmetöötlejat asju korda tegema. Just see on suund, mida peame oluliseks – õiguspärasele käitumisele suunamine, andmetöötlejateni teadmise viimine, miks on oluline inimeste privaatsust kaitsta.


Teemadespekter on lai  


2020. aasta üheks läbivaks teemaks ja märksõnaks saab kindlasti olema jälgimisseadmed, eelkõige videojälgimisseadmed. Eelmisel aastal valmis ka Euroopa Andmekaitsenõukogu vastavasisuline juhend, mille juurutamine Eestis on meie üks 2020 eesmärke. Ent ka siin on olulisem trahvidest inimeste mõttemaailma muutmine ja muutumine. Et uueks normaalsuseks saaks avatus ja läbipaistvus, ka videojälgimises. Ehkki silte kaamerate kohta on avalikus ruumis näha justkui küll, ei anna need üldiselt infot selle kohta, kellele parasjagu meid jälgiv kaamera kuulub ning kes andmeid töötleb. Selles vallas tuleb teha selge arenguhüpe.

Olles ise reisihuviline, jäi mulle hiljuti suusareisilt tulles silma, et Saksamaa kaubanduskeskuse iga poekese uksel või vaheseinal oli silt selle kohta, kelle kaamera ja mis põhjusel jälgib. Ehkki infot sildil oli omajagu, ei pakkunud see sugugi suuruse poolest konkurentsi poe nimele või seganud vaatevälja nagu tihti on Eestis arvatud. Et kui kogu info sildile panna, ei näe enam poe aknast või uksest väljagi. See ei vasta tõele. Tahtmises on küsimus ja eeskuju on juba võtta küll.

Hiljuti on tõusetunud nii mitmedki teravad andmekaitselised küsimused infotehnoloogia valdkonnast - nagu näiteks mobiilsideandmete kasutus nii riigi kui ka teadusarendajate poolt, terviseandmetel tuginevate mobiilirakenduste arendamine, distantsilt toimuv suhtlus ja selleks kasutatavad e-lahendused – olgu see siis õppetöös, e-meditsiinis või kaugtööl. Kõik need teemad on ühelt poolt väga tehnilised, ent teisalt väga selgelt ja intensiivselt seotud isikuandmete töötluse ja privaatsusega. Just andmete töötlemine infotehnoloogiliste vahendite abil läbiviidavates teadusuuringutes ning infosüsteemide ja e-keskkondade kasutus meditsiini -ja haridusvaldkondade asutustes, oleme markeerinud endale oluliste 2020 märksõnadena. Isegi kõige parimaid lahendusi ühiskonnale pakkudes tuleb arvestada, et ilma andmekaitselise läbimõtlemiseta on lahendus puudulik ning heast ideest saab hoopis kasvulava probleemidele. Kõigepealt tuleb riigil, olles ühe suurema kui mitte suurima andmetöötleja rollis, vastutust tunnetada ja eeskujuks olla. Kindlasti ei ole hea eeskuju kiirustades ja mõtlemata ning mis veelgi olulisem – läbi arutamata seadusmuudatuste sisseviimine näiteks egiidi all, et „kiired ajad vajavad kiireid otsuseid“, kuid teades seejuures hästi, et kellelgi ei tule pärast „kiiret aega“ meelde ajutiste sätete juurde tagasi tulla, et need siiski lõpuni läbi mõelda ja arutada. Nii võib juhtuda, et inimestele mitte üksnes ei jää tunne, et kriisi varjus püütakse sisse viia muudatusi, mis riivavad nende privaatsust ja mis jäävad mõjutama nende elu ka siis, kui kriis möödas, vaid nii võib ka minna.

Üsna sama lugu on innovatsiooni ja IT-arendustega. E-riigis on mõlemad väga vajalikud. Nii mina isiklikult, kuid ka usun, et enamik eestlasi on pigem avatud mistahes uutele lahendustele, mis elu lihtsustavad, sealhulgas tehisintellektidele. Nii mõnigi meist astuks igapäevaelu korraldamise lihtsustamise nimel sammu kaugemale ning tervitaks näotuvastustehnoloogiaid, kui see tema aega aitab kokku hoida, aga me ju tahame olla kindlad, et teenuse osutamise taga ei toimu nähtamatuid andmetöötluse protsesse, mis õõnestavad privaatsust. Seda ka suhtes riigiga. E-riigi areng on väga oluline ja oodatud. Ent mistahes IT arendusi luues ja arendades tuleb silmas pidada, et selle protsessi käigus me ei mängiks inimeste pärisandmetega. Iga arendus olgu läbimõeldud, turvaline ja läbipaistev.

Lõpetuseks tahan tänada oma meeskonda. Nagu öeldud, ei olnud 2019 inspektsioonile lihtne aasta. Konkurents tööjõuturul lõi valusalt ka inspektsiooni töötajaskonda. Samas andis see võimaluse kaasata meie tegemistesse mitmeid uusi ja tegusaid inimesi, kelle esimestest saavutustest saame juba järgnevatel lehtedel lugeda, kuid kes sära silmades ootavad juba uusi väljakutseid aastal 2020. Samas jätab iga õppeprotsess oma jälje – näiteks jõudlusesse. Nii võibolla olid plaanid 2019. aastaks ambitsioonikamad, just järelevalve valdkonnas, kui teoks said. Ent sellegipoolest võib öelda, et oli tegus ja õpetlik aasta ning inspektsioonil tuli tegeleda lisaks igapäevatööle nii mõnegi märgilise tähtsusega projektiga.

Ma tänan koostööpartnereid ja kolleege ministeeriumitest, ametitest, omavalitsustest ning partnerorganisatsioonidest. Samuti tänan avaliku teabe nõukogu liikmeid. Tänan ka kõiki inimesi, kes on meie poole ühel või teisel viisil pöördunud ning tänu kellele on meil lihtsam mõista, kuhu oleme oma sõnumiga jõudnud, milliste edusammude üle võime uhked olla aga ka seda, kuhu oma teravikku edaspidi suunata võiks.

Pille Lehis 

Andmekaitse Inspektsiooni peadirektor

Kuna Eesti õigusruumi ei ole e-privaatsusdirektiivi küpsiste sätet üheselt üle võetud, lähtus inspektsioon kuni oktoobris tehtud kohtuotsuseni isikuandmete kaitse üldnormidest, mille järgi ei olnud vaja võtta kasutajalt nõusolekut, kui veebiküpsiste abil ei toimu inimeste tuvastamist ehk isikuandmete töötlemist. Piisas, kui võrgulehtedel oli teave veebiküpsiste kasutamise kohta. Euroopa Kohtu otsus muutis nii mõndagi.
Oluline on rõhutada, et biomeetrilisteks andmeteks loetakse kõiki inimese unikaalseid füüsilisi, füsioloogilisi ja käitumuslikke omadusi ka siis, kui ei ole nimeliselt teada, kellele biomeetria kuulub. Varasemas andmekaitseõiguses käsitleti räsi näiteks tavaliste isikuandmetena.
Inimeste privaatsus oli inspektsioonile edastatud rikkumisteadete järgi ohus 2019. aastal 115. korral, kuna inspektsioon registreeris aasta jooksul selles arvus intsidente.
Intsidente juhtus nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui haridusteenusteste valdkonnas. Suur osa nendest leidis aset veebiteenuste osutamisel.
Kuigi ootus Eesti esimese suure trahvi määramiseks oli olemas, ei määratud rikkumiste eest 2019. aastal suurt trahvi. Näiteks jäi selline trahv määramata rattaringluse süsteemis toimunud andmekaitselise rikkumise eest, kus piirduti noomitusega. 
Kuni uue isikuandmete kaitse seaduse (IKS) jõustumiseni 15. jaanuaril 2019 andis inspektsioon lubasid kõikidele teadusuuringutele, sõltumata sellest, kas uuringus kasutati tavalisi või eriliigilisi isikuandmeid. Uus IKS muutis teadusuuringuteks lubade väljastamise korda ja lisandus uus teadusuuringu valdkond - poliitikakujundamise eesmärgil tehtavad uuringud.
EBINi asutamisega selgines mitmeid korralduslike küsimusi seoses eriliigiliste andmetega teadusuuringute läbiviimisel. EBINi loomisega ühendati ka varasemalt Sotsiaalministeeriumi juures tegutsenud biomeditsiiniliste ja inimuuringu eetikaga tegelenud komiteed.
Üleeuroopalise isikuandmete kaitse üldmääruse kehtima hakkamisega tõstatusid siseriiklikus õiguses päevakorda jälgimisseadmete kasutamisega seotud õiguslikud küsimused, kuna enam ei olnud võimalik jälgimisseadmete kasutamisel toetuda varasemalt enimkasutust leidnud üldsõnalisele turvalisuse tagamise eesmärgile, mida võimaldas isikuandmete kaitse seadus. Sellega seoses hakati erasektoris kasutama õigusliku alusena õigustatud huvi, kuid seda puudujääkidega.
Igas olukorras, kus kõikide klientide andmeid soovitakse äriühingu õiguste kaitseks säilitada üldkorras üle kolme aasta, tuleb teha andmetöötlejal väga kaalukas ja põhjalik hindamine selle osas, kas pikem andmete säilitamine sellisel eesmärgil on reaalselt vajalik ja proportsionaalne meede eesmärgi täitmiseks.
Alates 2019. aasta 15. jaanuarist jõustunud isikuandmete kaitse seaduses pikenes võlateabe avalikustamiseks lubatud aeg.
Mida aeg edasi, seda enam on inspektsiooni muutnud murelikuks asjaolu, et sellises õiguslikus olukorras on keeruline ebaseaduslikku tegevust peatada ning seista inimeste õiguse eest mitte saada soovimatuid reklaamteadaandeid. Kui siseriiklik õigus võimaldaks teha haldustrahvi, muutuks menetlus ökonoomsemaks ja inspektsioon saab määrata korduvrikkujale trahvi väikse ajakuluga.
Endiselt vajavad paika loksumist teatud protsessid. Andmekaitseasutuste ühiseks proovikiviks osutusid möödunud aastal ülepiirilised menetlused ja omavaheline koostöö.
Andmekaitse Inspektsioon osaleb Euroopa ja ülemaailmse haardega töörühmades ning teeb koostööd mitmete rahvusvaheliste organisatsioonidega, kuid aastaraamatu artiklis toome välja osalemise töörühmades GPEN ja IWGDPT.