Tähtis aeg
Andmekaitse Inspektsioonil on sel aastal sünnipäev – täitub 25 aastat. Tegelikult on andmekaitse Eestis aga pisut vanem kui 25 aastat. Esimene isikuandmete kaitse seadus Eestis võeti vastu juba 1996. aastal ja osakond isikuandmete kaitsega tegelemiseks loodi Siseministeeriumisse aastal 1997. Iseseisva asutusena alustas Andmekaitse Inspektsioon aga tõesti tegutsemist aastal 1999, mistõttu me just 25. sünnipäeva sel aastal tähistame, ehkki tinglikult võiksime tähistada ka isikuandmete kaitse 27. aastapäeva.
Nii nagu tihti sünnipäevi – aga ka uue aasta saabumist – tähistatakse ilutulestiku ja mölluga, juhtus ka meiega. Seekord ei olnud aga möllu tellijaks meie ja meeliülendavast ilutulestikustki jäi asi kaugele. Selle suure mürtsu all pean silmas aastalõpu uudist sellest, kuidas suur hulk terviseandmeid võõrasse valdusse sattus.
Kuigi nagu öeldud, on isikuandmete kaitse Eesti õiguses teada juba aastast 1996, tuli see ikkagi paljudele üllatusena, mis võib olla tagajärg või kuidas saab inimest puudutada see, kui andmed piisavalt kaitstud pole. Ühelt poolt paneb see meid peeglisse vaatama, sest kõneleb see ju sellestki, et meie enda töö inimeste teadlikkuse tõstmisel on nõrgaks jäänud. Teisalt räägib see üllatus aga sellest, et vaatamata andmete kaitsmise vajadusest rääkimisele pole paljud seda tõsiselt võtnud.
Tõsi on ka see, et andmekaitse tundub paljudele keeruline, ja ei saa salata, et tihtilugu neist reeglitest arusaamine seda ongi. Kuna teema on mitmetahuline, pannakse vastutus ja otsustus paljuski andmete töötleja enda õlule ja talle ei ole abiks anda käsiraamatut, et tee nii või naa. Seetõttu jäävad avalikus ruumis andmekaitsest rääkides tihti kõlama teemad, mis tegelikult on meie vaatest teisejärgulised. Nii näiteks võib valele meiliaadressile saadetud e-kiri panna n-ö korralikus organisatsioonis käima tohutu protseduuride jada ja menetluse, kuid samas võivad olla täitmata andmete turvalisele hoidmisele seatud nõuded.
Andmekaitse kui andmetöötleja keskne ülesanne
Ajakirjanduseski saavad andmekaitsest rääkides suuri pealkirju pigem olümpiaaditulemuste avalikustamine, laste spordivõistluste tulemused, Facebooki postitused või sünnipäevaõnnitlused kohalikus lehes. Need teemad on lihtsad, neist rääkida ja nendega samastuda on lihtne. Kui aga hakata rääkima andmetöötleja kohustusest tagada andmete konfidentsiaalsus ja terviklus, töödelda andmeid minimaalselt ja kooskõlas eesmärgiga, tagades seejuures andmete õigsus, läheb juba keeruliseks.
Tavalisele inimesele ei ütle see lause mitte midagi. Küll aga ütles midagi detsembris avalikuks tulnud juhtum geeniandmete kurjategija kätte sattumisest.
Sel hetkel said inimesed aru – ma vähemalt loodan, et said – mida tähendab see, kui ka andmetöötlejad, kes peaksid olema professionaalid, ei mõista selle lause sisu.
Ühes hiljutises raadiosaates, kus analüüsiti sedasama teemat, öeldi väga hästi, et andmekaitse peab saama andmetöötlejate (olgu need siis eraettevõtjad või riigiasutus) keskseks ülesandeks. See tähendab, et andmekaitse ei ole midagi sellist, mis tuleb siis, kui äriprotsessid on kõik püsti pandud, vaid sellest tuleb alustada. Eriti kui tegeletakse eriliiki ehk tundlike andmetega nagu terviseandmed. Kui äriprotsesse luues ei ole kohe andmekaitset kesk - seks ülesandeks seatud, vaid peetud seda üksnes tülikaks protseduuri- ja bürokraatiareegliks, võib see ühel päeval paraku ärile saatuslikuks saada.
Loodan, et kõnealune juhtum, aga mitte ainult, vaid ka meie selleaastane esimene juriidilisele isikule Ida-Tallinna Keskhaiglale määratud trahvivaidlus kohtus ja miks ka mitte ajakirjandusse jõudnud juhtum Tallinna Kiirabist paneb kõiki inimesi andmekaitsesse tõsisemalt suhtuma. Nii neid, kes selliste juhtumite tulemusel avalikuks saanud and - metest puudutatud said kui ka neid, kelle tegematajätmise või vääriti käitumise tulemusel andmete võõrale silmale nähtavaks saamine võimalikuks sai. Ehk aitasid need juhtumid mõista ka seda, et andmed ei ole abstraktne numbrite või tähtede rida, vaid nende taga on päris inimesed, oma päris elude ja tundliku infoga.
Kuna on sünnipäeva-aasta, ikkagi veerand sajandit, siis on paslik ka pisut tagasi vaadata. Isiklikult minu teadmised inspektsiooni ajaloost ei ole ülearu pikad – vaid 4 aastat, mistõttu saan ka üksnes neist rääkida. Selle võrra põnevam on lugeda eelmiste peadirektorite meenutusi ja nägemust sellest, kuhu inspektsioon peaks nende hinnangul lähiaastatel suunduma. Eriti huvitav on seejuures, et mõlemad näevad tulevikku täiesti erinevalt. Vaadates ise tagasi viimasele neljale aastale, siis mõlemad stsenaariumid on võimalikud – nii see, et inspektsioon lakkab iseseisva asutusena olemast ja ta liidetakse mõne teisega, et teenus oleks veelgi paremini tagatud, kui ka see, et inspektsioon on veelgi sõltumatum ja iseseisvam kui ta praegu on ehk väljaspool ministeeriumite haldusalasid. Küll aga räägivad need nägemused üht, ja sellega ka nõustun: see, mis on toonud meid siia, ei vii meid enam edasi.
Nii nagu eespool juba arutlesin, mida näitasid meile 2023. aasta lõpu sündmused ja juhtumid, ning kuidas inimesed samal ajal andmekaitset tajuvad ja sellest aru saavad, on selge, et andmekaitseküsimused koosmõjus tehnoloogia arenguga peavad veelgi rohkem fookusesse tõusma. Nagu üks partnerasutuski pidevalt rõhutab: küsimus ei ole mitte selles, kas organisatsioonide infosüsteeme ja andmekogusid rünnatakse, vaid millal see juhtub. Ja sealt edasi on küsimus, kui hästi selleks valmis ollakse ja andmekaitse olulisust mõistetakse. Seepärast on nüüd, 27 aastat pärast esimese isikuandmete kaitse seaduse väljaandmist, 25 aastat pärast Andmekaitse Inspektsiooni loomist ja 5 aastat pärast isikuandmete kaitse üldmääruse kehtima hakkamist, vaja ühiskonnas fookusesse tõsta andmekaitse teemad, mis ulatuvad kaugemale lahtise loeteludega e-kirjadest, laste joonistuste avaldamisest kooli veebilehel või naabritevahelistest tülidest valvekaamera üle. Nagu ennist isegi ütlesin, on põhjust endalgi peeglisse vaadata, miks seda muutust pole nende aastatega suudetud ellu viia. On kõlanud ka etteheited, et järelevalve ei ole piisavalt tõhus. On ressursipuudus ja seadusandlus logiseb. Sel kõigel on kindlasti oma osa, aga ma ei poeks ei ühe ega teise taha.
Tugevam järelevalve vs ressursipuudus Ressursipuudus näiteks on tõde. Kui isikuandmete kaitse üldmäärus 2018. aastal Euroopas kehtima hakkas, siis suurenes põhimõtteliselt kõigi Euroopa Liidu ja majandusühenduse riikide andmekaitseasutuste eelarve, kuna oli vaja värvata täiendavat tööjõudu. Eestis see aga nii polnud. Siin oleme me huvitava paradoksi ees – nimelt soovime ühelt poolt õhukest riiki, st vähem ametnikke, kuid teisalt, kui aset leiavad suuremad kriisid, on ühiskond esimese asjana nõudmas tugevamat järelevalvet. Kahjuks need kaks asja koos ei käi.
Tõhusam ja tugevam järelevalve nõuab ressurssi, st inimesi, kes seda tööd teevad. Ametniku tööd ei saa AI veel üle võtta, uskuge mind. Ja kui ka mingil määral ühel päeval saaks, siis nõuavad sellised infotehnoloogilised lahendused esmalt väga palju raha. Seega ei saa me üle ega ümber sellest, et järelevalve on aeglane ja kallis. Sellepärast usun mina ennetusse ja teadlikkuse kasvatamisse. Ent see võtab aega. Kui kaua on võtnud aega see, et me enne sõitma asumist automaatselt autos turvavöö kinnitame? Mina mäletan veel aegu, kus see ei olnud norm. Ja mis seejuures kõige markantsem – et inimeste harjumust lõplikult muuta, pidid turule tulema autod, mis lihtsalt ei lase rahus sõita, kui turvavöö peal pole. Seega, nagu me sellest näitest õppinud oleme, on inimestes küll võimalik pikaajalise teavitustööga mõttelaadi muutust esile kutsuda, kuid lõpuks tuleb ikkagi pisut ka keeldude ja käskudega kaasa aidata.
Õigusloome pool
Siit jõuamegi teema juurde, millel ma küll pikalt peatuda ei tahaks, aga vaadates tagasi inspektsiooni ajaloole, on see keskne teema ja vajab põgusat äramärkimist. See on siis õigusloome pool. Saladus ei ole see, et neid üldmääruse kehtima hakkamisel kirgi kütnud hiigeltrahve pole Eestis tänaseni tulnud. Siin on tõesti puudujääk olnud meie enda siseriiklikus õiguses. Eespool mainisin, et aastasse 2023 jäi ka meie esimene juriidilisele isikule määratud väärteotrahv, täiesti arvestatavas suuruses – 200 000 eurot. Paraku on kohtuvaidlus selle õiguspärasuse üle kardetavasti fiaskoga lõppemas, mida üldmääruse ega ka kehtiva Euroopa Kohtu praktika kohaselt juhtuda ei tohiks. Tõe huvides olgu öeldud, et kohtuasi ei ole veel lõpuni jõudnud, viimaseid jõupingutusi on veel võimalik teha, kuid ma ei ole ülearu optimistlik. Milles siis mure?
Kohtulahend viidatud trahviasjas kirjeldab küll üksiksasjaliselt, kuidas haigla on andmekaitseliselt kõik tegemata jätnud ja eksimus isikuandmete töötlemisel eksisteeris, aga meie siseriiklik õigus lihtsalt ei võimalda haiglat süüdi mõista, sest sellist füüsilist isikut, kes peaks täitma täpselt samu norme, mida juriidiline isik, ja neid siis ka süüliselt rikkuma, pole võimalik tuvastada. Samas ütleb Euroopa Kohtu praktika, et sellise tulemuseni ei tohiks siseriiklik õigus viia. Nagu ma ütlesin, on veel väike lootus kohtust mingi õigusselgus saada, aga minu pessimism seisneb selles, et lisaks muudele puudujääkidele kehtib Eestis väärteoasjadele, sh andmekaitse asjadele ääretult lühike aegumistähtaeg ja kardan, et see saabub enne kui selgus kohtust.
Novembrist hakkas küll kehtima siseriiklik õigusmuudatus, mis võiks tekkinud frustratsioonile (st võimatus trahvida olukorras, kus rikkumine seda nõuab) pisut leevendust tuua. Kui aga trahvi temaatika kõrvale jätta, siis ka kõigis muudes olukordades on õigusloome meie töös kesksel kohal. Selged ja üheselt arusaadavad siseriiklikud normid on meie töös A ja O. Ja mitte ainult selged ja üheselt arusaadavad normid, vaid teatud juhtudel see, et need siseriiklikud normid üldse eksisteeriksid. Nimelt ei olda tihtipeale võib-olla aru saadud ka sellest, et isikuandmete kaitse üldmäärus on ikkagi paljudel juhtudel kõigest raamseadus, mis annab suuna, kuidas teha, kuid täpsed reeglid ja normid on liikmesriigi kätes.
Üsna tihti saame kriitika osaliseks, kui viitame mingis olukorras näiteks sellele, et selline tegevus nõuab siseriiklikku volitusnormi ja ilma selleta edasi minna ei saa. Siis kuuleme ikka ja jälle, kuidas andmekaitse takistab kiireid lahendusi, innovatsiooni ja mida kõike veel. Kuid lisaks andmekaitsereeglistikule peitub nõue, et meie eraelu puutumatust, mida just meie andmete kasutamine ongi, saab riivata üksnes seaduse alusel.
Pisut läbimõeldum ja läbipaistvam tegevus on see, mida riigilt selles olukorras oodatakse, ei muud. Seadusandja võiks õigusloome käigus selle tüütu andmekaitsega taaskord kokku puutudes mõelda, millist hüve selge ja läbipaistev andmetöötlus pakub ja kes on selliste normide adressaat. Seadused on ju inimestele, st meile kõigile ja igaühele meist, sõltumata hariduslikust taustast või ühiskondlikust positsioonist. Kõik need inimesed peavad aru saama, millal, miks ja kuidas riik tema andmeid töötleb ja hoiab.
Andmekaitse ja avaliku teabe kättesaadavus
Eks meie nimestki tulenevalt, aga ka viimaste aegade sündmustest tingituna, on nii meie töö fookus kui ka avalik tähelepanu inspektsioonile seotud peamiselt isikuandmete kaitsega, ent meil on ju ka n-ö teine pool. Teine pool tagab avaliku teabe kättesaadavuse. Paljudes Euroopa riikides ei ole need kaks rolli ühes asutuses ja põhjus on selles, et eks neil ongi pisut üksteisele vastanduv roll. Ühelt poolt teeme järelevalvet, et isikuandmed kaitstud oleks ja teisalt, et teave avalik oleks. Samas on neil kahel teemal ka palju kokkupuutepunkte – näiteks avaandmete temaatika ja andmekogud. Neid mõlemat reguleerib just avaliku teabe seadus. Mõlemad teemad on meil viimastel aastatel ka fookuses olnud ja mis seal salata, tekitanud mitmeid küsimusi. Riigi andmekogud, nende loomine ja järelevalve on ääretult oluline, sest riik ise on üks suuremaid andmetöötlejaid Eestis. Seega kõik see, mida ma ütlen andmetöötleja vastutuse ja teadlikkuse ning prioriteetide seadmise kohta, on mõeldud ka riigile.
Küll aga on siin veelgi olulisem õigusnormide läbipaistvus. Inimene, kes viimaste sündmuste valguses on nüüd ka ettevaatlikuks muutunud, peab saama vastused sellele, kuidas riik tema andmeid töötleb, just andmekogusid reguleerivatest õigusaktidest. Seepärast on ääretult oluline, et need oleksid lihtsas keeles, selged ja arusaadavad ega teeks sadu ristiviiteid eri normidele, kus isegi kõrgelt haritud juristid arusaamisega hätta jäävad, rääkimata muu eriala inimestest.
Lisaks andmekogudele on kindlasti oluline avaliku teabe valdkonnas edasi tegeleda juurdepääsupiirangutega. Ka siin on esmalt ääretult oluline teadlikkuse kasv, seda siis eelkõige ametnikkonna enda seas. Et iga ametnik, kes oma tööd teeb ja selle käigus dokumente loob, saaks aru, kas, millal ja millise juurdepääsupiirangu ta loodud teabele seab või seadmata jätab. Selline igaks juhuks piirangute seadmine peab lõppema. Küll aga peab siin kaasa tulema ka infotehnoloogia ehk siis dokumentide töötlemise ja haldamise programmid, mis peaksid tänapäeval võimaldama juba loomise käigus märkida, milline osa loodavast teabest on asutusesiseseks kasutamiseks ja milline mitte. Et ei oleks nii nagu praegu, et kui dokument sisaldab sellist teavet, siis on kogu dokument n-ö suletud ja üksnes teabenõudega välja nõutav, vaid et meil oleksid ikkagi kõik dokumendid avaldatud ja avalikud, lihtsalt juurdepääsupiiranguga osa ei ole nähtav.
Lõpetuseks, mida siis sünnipäevalapsele soovida?
Soovin, sõltumata sellest, kas inspektsioon on tulevikus eraldiseisev või kellegagi koos, suur või väike, et sünnipäevalapse enda soovid täituksid.
Andmekaitse Inspektsioon soovib, et isikuandmete kaitse roll ühiskonnas kasvaks ja et meie riik oleks läbipaistev, ja panustab sellesse nii palju, kui meie väike kollektiiv suudab.
Et meie inimesed oleksid teadlikud oma õigustest ja oskaksid ise enda õigusi kaitsta, esmajärjekorras ise nõudlik olles nende suhtes, kes nende andmeid töötlevad.
Et inimesed küsiksid õigeid küsimusi ja teeksid valikuid selle põhjal, kes nende andmetega vastutustundlikult ümber käivad.
Soovin, et meie kohtupraktika võtaks eeskuju Euroopa omast ja et meie inimesed tunneksid, et kui muud moodi enam ei saa, siis kohus mõistab õigust, ja õigusaktidest tulenevalt saab seda teha, lähtudes samadest printsiipidest nagu Euroopa teise riikide kohtud ja Euroopa Kohus. Soovin, et meie riik oleks läbipaistev, õigusnormid selged ja arusaadavad ning inimesed usaldaksid riiki – sealhulgas andmetöötluse valdkonnas. Seda usaldust saab läbi lihtsate ning selgete normide kontrollida.
Kõige lõpuks, nii nagu mitmel rahvusvahelisel andmekaitsekonverentsil on rõhutatud, soovin, et me mõistaksime, et andmekaitse, sellest arusaamine ja teadlikkuse kasvatamine meis kõigis ei ole ainult andmekaitseasutuse roll, vaid kõigi ülesanne – eriti aga kogu riigi ja tema asutuste ülesanne.
Pille Lehis, AKI peadirektor
- Kommenteerimiseks logi sisse või registreeru