Omavalitsuste andmekogude puhul hakkas kahjuks silma põhimääruste halb kvaliteet. Põhimäärused kirjutatakse maha mõne teise pealt, mõistmata, mida selle sätted tähendavad või kas see ka tegelikkusega kokku läheb. Üks silmatorkavamaid on kindlasti omavalitsuste huvihariduse andmekogud. Neisse kogutakse kõikide omavalitsuse territooriumil tegutsevate huviringide ning nendes osalevate laste andmed- kes millises huviringis ja millisel kuupäeval kohal käis. Põhjendatakse seda toetuse andmise kontrollimise vajadusega: kuigi toetust antakse huviringi korraldajale, mitte konkreetsele lapsele, tahetakse kontrollida, kas huviringis osalejate arv vastab tegelikkusele ning ega ühte ja sama last pole samaks kellaajaks mitmesse ringi kirja pandud. Üks omavalitsus aga üllatas sellega, et soovis registri põhjal välja selgitada lapsed, kes üheski huviringis ei käi. Huviringis käimine ei ole kohustuslik ning see ei tähenda, et tegemist oleks abivajava lapsega. Info lapse abivajaduse kohta peaks omavalitsuseni jõudma muul moel.
Huviringi korraldajale toetuse maksmise asjaolude kontrollimise eesmärgil isikustatud andmete kogumine peaks olema viidud miinimumini. Nii näiteks võiks vajalik kontroll toimuda automaatselt igakuiselt ning seejärel võiks andmed anonümiseerida, mis tähendab kõikide tuvastamist võimaldavate andmete hävitamist. Kindlasti pole põhjendatud selliste andmete säilitamine aastaid.
Tallinna linnalt aga ootaks jätkuvalt lemmikloomaregistri põhimääruse kooskõlla viimist registrisse kogutava andmestikuga. Hetkel näeb jätkuvalt põhimäärus ette vaid koerte (ja nende omanike) andmete kogumist.
Mõned üldised tähelepanekud
Avaliku teabe seaduse § 435 järgi tuleb andmekogu põhimääruses välja tuua lisaks andmekoosseisule ka andmeandjad. Andmeandjateks on näiteks teised andmekogud, kust andmeid saadakse. Praktikas nähakse seda kui tüütut kohustust. Tegelikult säästaks asutus seeläbi aga oluliselt palju ressurssi. Nimelt nõuab isikuandmete kaitse üldmääruse (IKÜM) artikkel 14, et kui andmeid ei saada andmesubjektilt, tuleb andmesubjekti andmete saamisest mõistliku aja jooksul teavitada. Ilmselgelt pole praktikas selle normi rakendamiseni jõutud. Teavitama aga ei pea siis, kui andmete saamine on õigusnormis selgelt ette nähtud.
See on tavapärane, et ühel asutusel on oma tööks vaja teise asutuse käest andmeid, mida teine asutus on hoopis muul eesmärgil kogunud. Luues teise asutuse andmekoguga otseühenduse ja saades sealt andmed, peaks sellest andmesubjekti igakordselt teavitama. Igavesti saa IKÜM artiklite 13 ja 14 kohustusi eirata – teavitamiskohustus tuleb paratamatult kõigil asutustel oma tööprotsessidesse juurutada ning sellega harjuda.
Kui aga seaduses või andmekogu põhimääruses andmevahetus selgelt kirja panna, saaks igakordset teavitamiskohustust vältida.
Teine silma hakanud teema möödunud aastast on rahvastikuregistri päringute vale kasutus. Järgnevalt 3 enamlevinud viga.
• Esiteks kasutatakse liiga laia päringut. Kontrollida on vaja vaid infosüsteemis toimingut tegeva inimese andmeid, kuid selleks kasutatakse seotud isikuid hõlmavat päringut. Nii tekib inimese lähikondsetel andmejälgijat vaadates kohe küsimus, miks minu andmeid on vaadanud asutus, kellega mul mingit pistmist pole. Nii teevad asutused endale karuteene.
• Teiseks tehakse rahvastikuregistri päring kohe infosüsteemi sisenemisel, kuigi sisenemiseks seda vaja ei ole. Ehk siis päring tehakse ennatlikult.
• Kolmas probleem on vastupidine – päritakse liiga vähe. Lapse esindusõiguse kontrollimiseks on lisaks lapsevanemaks olekule vaja rahvastikuregistrit kontrollida ka hooldusõiguse olemasolu ja sisu. Vastasel juhul võib juhtuda, et lapse nimel saab toiminguid teha lapsevanem, kellelt on hooldusõigus üldse ära võetud.
Nö karbilahendusena arendatud infosüsteemide või RIHA mõistes standardlahenduste kasutajate puhul on näha, et ei teata, kuidas süsteem tegelikult töötab, rääkimata sellest, et see töötaks kasutaja kui vastutava töötleja juhiste järgi. Nii juhtub, et karbitootena arendatud infosüsteemi kasutades ei saa andmekogu pidaja määrata ise säilitamistähtaegu või kogutavate andmete ulatust. Samuti võib üllatusena selguda, et andmetöötluses kasutatakse allvolitatud töötlejaid kolmandatest riikidest.
Inspektsiooni fookuses on 2021. aastal andmelaod ning avaandmed.
Vaata Sotsiaalteenuste ja -toetuste põhimääruse lisas olevat andmekoosseisu, mis on 11 lehekülge pikk.https://www.riigiteataja.ee/aktilisa/1120/3201/9055/SOM_05032019_m10lisa2.pdf#
- Kommenteerimiseks logi sisse või registreeru