Viimaste aastate statistikat silmas pidades on rikkumisteadete arv igal aastal kasvanud. Kui 2020. aastal sai Andmekaitse Inspektsioon 138 rikkumisteadet, siis juba 2021. aastal esitati neid 145 ja 2022. aastal 154. Tavapäraseks on saanud, et rikkumisteated sisaldavad infot inimlikest eksimustest, lohakusest ja teadmatusest põhjustatud rikkumistest. Tunduvalt on kasvanud ka teavitamine küberrünnete tagajärjel toimunud rikkumistest.
2021.-2022. aastal Andmekaitse Inspektsioonile esitatud 299 rikkumisteatest koguni 72 tegi avalik sektor. Olgugi et avaliku sektori rikkumisteated moodustasid veerandi rikkumisteadete koguarvust, siis sellel perioodil oli Andmekaitse Inspektsiooni tähelepanu suunatud just neile. Avalik sektor peab olema eeskujuks erasektorile, mistõttu viidi avaliku sektori osas läbi mitu põhjalikku menetlust.
Kõige kurioossem juhtum toimus Politsei- ja Piirivalveametis, kus patrullpolitseinik salvestas oma telefoniga lõigu politseiauto pardakaamera videost ja jagas seda sotsiaalmeedias. Olgugi et patrullpolitseinik saatis selle vaid mõnele adressaadile, siis lõpuks levis see video igal pool ning selle kustutamine ei olnud võimalik.
Siinkohal on sobilik öelda, et mis on internetis, see jääb internetti. Alustatud järelevalvemenetlustest saab järeldada, et üldiselt on avaliku ja erasektori rikkumised sarnased. Toome välja põhilised ja osalt ka fundamentaalsed vead, millest saavad rikkumised alguse.
1. Andmetöötlejatel puudub ülevaade toimuvast andmetöötlusest, andmete liikumine on kaardistamata ja mõnel juhul ka ebaseaduslik. Samal põhjusel on paljudel andmetöötlejatel koostamata isikuandmete kaitse üldmäärusest kohustuslikud dokumendid (andmekaitsetingimused, lepingud volitatud töötlejatega, õigustatud huvi analüüsid jne) või need on koostatud valesti. Keskseks teguriks on saanud see, et andmetöötlejate arvates on stamp andmekaitsetingimuste avalikustamine veebilehel kooskõlas isikuandmete kaitse üldmäärusega. Tegelikkuses see nii ei ole. Andmekaitsetingimused koostatakse vastavalt enda andmetöötlusele ja see eeldab andmetöötluse kaardistamist ning sellest aru saamist.
2. Andmetöötlejatel puuduvad pädevad spetsialistid (andmekaitse- ja IT-spetsialistid). Kuna avaliku sektori puhul on andmekaitsespetsialisti määramine kohustuslik, siis enamasti määratakse seda rolli täitma isik, kes pole andmekaitsega varasemalt kokku puutunud. On juhtumeid, kus andmekaitsespetsialisti rollis on näiteks asutuse infoturbespetsialist, kellel on juba oma põhikohas ülesandeid küllaga. Seetõttu on näiteks küberrünnakute tagajärjel andmekaitselised kohustused sootuks unustatud ning pärast vabandatakse ja öeldakse, et kiire oli. Isikuandmete kaitse üldmäärus näeb ette selge kohustuse Andmekaitse Inspektsiooni rikkumistest teavitada ja selle mitte tegemisel on mujal Euroopas ettevõtteid trahvitud miljonitesse ulatuvate summadega. Erasektoris puudub andmetöötlejal reeglina teadmine, et neil üldse selline kohustus – määrata andmekaitsespetsialist – eksisteerib. Kui teataksegi, ega siis naljalt ei soovita lisatöökohta luua ja määratakse samamoodi muid ülesandeid täitev isik andmekaitsespetsialistiks. Mõlema sektori puhul tehakse asju linnukese kirja saamiseks, aga see on vale.
3. Eelmises punktis välja toodud puudus põhjustab selle, et andmetöötleja infosüsteemid ei saa pidevat tähelepanu, sest ei ole inimest, kes neid hooldaks ja hindaks. Kui infosüsteemid on uuendamata, siis on häkkeritel eriti mugav isikuandmeid varastada. Andmetöötlejad peaksid oma infosüsteeme auditeerima pidevalt ning tegema pisemaid kontrolle iga kvartal, et välistada nende vananemise tõttu esile kerkivate turvanõrkuste ärakasutamist.
4. Mitmes menetluses tuli nii avaliku kui erasektori praktikast välja asjaolu, et volitatud töötlejatega olid isikuandmete kaitse üldmäärusest tulenev leping sõlmimata. Mõningatel juhtudel oli see küll sõlmitud, kuid ei vastanud isikuandmete kaitse üldmääruse artikli 28 tingimustele.
5. Andmetöötlejad on vastutavate töötlejatena võtnud kasutusele mitu teenusepakkujat, kes on volitatud töötleja rollis. Andmekaitse Inspektsioon avastas mitmes menetluses, et isegi kui volitatud töötlejaga oli leping sõlmitud, siis vastutaval töötlejal ei olnud aimugi, kuidas volitatud töötleja andmeid tegelikult töötleb. Näiteks kasutas üks kohaliku omavalitsuse asutus eraettevõtte teenuseid kirjade saatmiseks. Menetluses selgus, et volitatud töötleja võimaldas kohaliku omavalitsuse asutusel kasutada spioonipikslit, millega kohaliku omavalitsuse asutus nägi igakordselt kirja adressaadi kirjade avamist. Andmekaitse Inspektsioon leidis, et selline andmetöötlus ei ole kooskõlas isikuandmete kaitse üldmäärusega ja tegi ettepaneku muuta andmetöötlus selliselt, et kirja avamist oleks võimalik näha vaid kirja esmakordsel avamisel. Samuti leidsime samas menetluses asjaolu, et kirjade saatmisel edastatakse isikuandmeid Ameerika Ühendriikidesse, millest tuleks õiguslike ja praktiliste sobivate kaitsemeetmete puudumisel hoiduda. Seega peaksid andmetöötlejad enne teenusepakkuja palkamist analüüsima, kas pakutav andmetöötlus on õiguspärane.
6. Paljudel juhtudel ei peeta Andmekaitse Inspektsiooni teavitamist rikkumistest vajalikuks või seda tehakse liiga hilja. On ülimalt oluline, et Andmekaitse Inspektsiooni teavitataks esimesel võimalusel ja hiljemalt 72 tunni jooksul rikkumisest teada saamisest. Andmekaitse Inspektsioon üritab seejärel kaasa mõelda võimalike lahenduste peale ja teeb ettepanekuid andmekaitse tugevdamiseks. Kui andmetöötleja asub asja lahendama õndsas üksinduses, siis võib hilisema teavituse korral kaasneda andmetöötlejale topelt töö ja on võimalik, et kogu andmetöötlust tuleb ümber mõelda. See aga tähendab andmetöötlejale lisakulutusi, mistõttu ongi Andmekaitse Inspektsiooni varajane kaasamine ülimalt oluline. Meie asutuse eesmärk on küll järelevalve teostamine, kuid see ei tähenda, et Andmekaitse Inspektsioon ainult karistab. Vastupidi, me eeldame, et andmetöötlejad saavad andmetöötlusega ise hakkama, aga vajadusel aitame, kus vaja. Ülaltoodud põhivead ei ole ilmtingimata ainukesed, kuid nende vigade vältimisega läheks üldpilt tunduvalt paremaks ja tõenäoliselt kahaneks ka rikkumisteadete arv. Andmekaitse on Eestis jätkuvalt kasvufaasis ja arusaam õigetest andmekaitse põhimõtetest pole veel täielikult juurdunud.
- Kommenteerimiseks logi sisse või registreeru