Möödunud aasta oli Euroopa Liidu andmekaitseasutuste ja Euroopa Andmekaitsenõukogu koostöös oluline – teoks sai Euroopa Andmekaitsenõukogu eestvedamisel läbiviidud esimene ühisjärelevalve, mis võttis luubi alla pilveteenuste kasutamise avalikus sektoris. Eri tüüpi pilveteenused on saamas asutuste infosüsteemide osana ja andmetöötluse toetamisel uueks normaalsuseks. Asutused töötlevad juba praegu suures koguses isikuandmeid. Sageli on need väga tundliku iseloomuga. Uute tehnoloogiate kaasamisel andmetöötlusprotsessidesse peab jätkuvalt olema tagatud inimeste üks põhiõigus – õigus eraelu puutumatusele ja isikuandmete kaitsele. Suundumuses, kus roll õiguspärase andmetöötluse tagamisel liigub üha rohkem väliste teenuseosutajate kätte, on väga oluline saada enne aru võimalikest riskidest ja asjakohaste kaitsemeetmete vajalikkusest.
Kokku osales järelevalves 22 andmekaitseasutust üle Euroopa, nende hulgas Eesti Andmekaitse Inspektsioon. Inspekteeriti ligi sadat Euroopa Liidu ja riikide avaliku halduse institutsiooni, mis tegelevad tervishoiu, rahanduse, hariduse, transpordi ja infotehnoloogiaga. Uuringu alus oli liikmesriikide ühiselt koostatud küsimustik, mida sai vastavalt vajadusele ka kohandada. Eelkõige uurisid järelevalveasutused, millised on avaliku sektori asutuste peamised probleemid isikuandmete kaitse üldmääruse järgimisel pilvepõhiste teenuste kasutamisel.
Eestis olid seiresse kaasatud Transpordiamet, Eesti Haigekassa, Haridus- ja Teadusministeerium ning Tallinna Linnavalitsus. Inspektsiooni seire eesmärk oli eelkõige välja selgitada hetkeolukord edaspidiste soovituste andmiseks, mitte alustada sunnimeetmete rakendamisega. Tähelepanu all olid avalikud pilveteenused. Olgu selle näideteks kas kontoritarkvara,
e-post, virtuaalsuhtlus, infosüsteemide turvalisust tagavad teenused (nt pilvepõhised tulemüürid), töökorralduseks või koolitustegevuseks kasutatavad teenused, tagasiside kogumiseks kasutatavad teenused (nt küsitlusvormide loomine), analüütikateenused (nt veebilehtede kasutusstatistika, asutuse tööks vajaliku andmeanalüüsi läbiviimise teenused).
Inspektsioonil on plaanis 2023. aasta esimesel poolel kohtuda kõigi seires osalenud Eesti asutustega. Tutvustame seire käigus välja tulnud nõrku kohti ja selgitame, miks konkreetsetest vajakajäämistest arusaamine on vastutustundliku ja õiguspärase andmetöötluse vaates olulised. Euroopa avaliku sektori pilveteenuste ühisjärelevalve pikemat kokkuvõtet on võimalik lugeda Euroopa Andmekaitsenõukogu kodulehelt.
Üle Euroopa koorusid välja kindlad mustrid, milles asutuste teadlikkus pilveteenuste kasutuselevõtul vajab parendamist. Olulisemad seirejärgsed soovitused on:
1. enne pilveteenuse kasutamist viia läbi andmekaitseline mõjude hindamine;
2. kontrollida korraliselt, kas andmetöötlus vastab mõjuhinnangus toodule;
3. tagada, et asutuse ja pilveteenuse osutaja isikuandmete töötlemise rollid on selgelt ja ühemõtteliselt kindlaks määratud;
4. tagada, et pilveteenuse osutaja tegutseb volitatud töötlejana ainult asutuse nimel ja juhistel. Tuvastama olukorrad, mil pilveteenuse osutaja on iseseisev vastutav töötleja;
5. tagada, et pilveteenuse osutaja soovile kaasata uusi all-volitatud töötlejaid, on asutusel võimalik esitada vajadusel vastuväiteid;
6. tagada, et pilveteenuses toimuv andmetöötlus vastab asutuse eesmärkidele;
7. tagada, et pilveteenuse osutajaga lepingusse astumisel toimub asutuse andmekaitsespetsialisti õigeaegne kaasamine;
8. teha asutuste ülest koostööd pilveteenuse tingimuste läbirääkimisel;
9. tagada, et pilveteenuse hankemenetlus näeb ette vajalikud nõuded isikuandmete kaitse nõuete tagamiseks;
10. teha kindlaks, kas ja mis osas toimub pilveteenuse raames piiriülene andmeedastus ning kas kolmandatesse riikidesse edastamisel on rakendatud täiendavad kaitsemeetmed;
11. hinnata, kas pilveteenuse osutajale kehtivad mõne kolmanda (mittepiisava andmekaitselise tasemega) riigi õigusaktid, mis võimaldavad sellel riigil küsida pilveteenuse osutajalt välja isikuandmeid, mida töödeldakse Euroopa Liidu andmekeskustes.
- Kommenteerimiseks logi sisse või registreeru