Andmekaitse nädala raames arutleb andmekaitse väljakutsete üle SMITi õiguse ja hangete osakonna juhataja ning meie IT-maja andmekaitse spetsialist Priit Davel.

Vastates küsimusele, milline on andmekaitsespetsialisti töö täpsemalt, tuleb minna ajas tagasi neli aastat, mil loodi andmekaitse spetsialisti ametikoht igasse riigiasutusse. Selline muudatus sündis tänu Euroopa Liidu isikuandmete kaitse üldmääruse ehk IKÜMi jõustumisele.

Nagu määruse nimi viitab, on selle ametikohta ülesanded seotud peamiselt isikuandmete kaitsmisega, millele tegelikkuses lisandub ka asutusesiseseks kasutuseks mõeldud info kaitse ja vastupidi – avaliku info avalikkusele kättesaadavaks tegemine. Andmekaitse Inspektsiooni (AKI) kodulehel oleva tutvustuse järgi on tegu pigem analüütik-audiitor-jurist-projektijuhiga, kes teab, kuidas teha turvalisi IT-lahendusi ja kes oskab esineda.

Asutuse töötajate jaoks võib tegu olla kas ühe tülika tegelasega, kes käib ringi, tuulab ja tuhnib ning räägib ja nõuab asju, mis teiste töö vaat et pea võimatuks teeb ning kes tundub vahest isegi hullemgi kui sisekontroll. Või siis on tegu spetsialistiga, kes oskab näha seoseid kodanike õiguste, asutuse ülesannete ja neid ühendavate turvaliste IT-lahenduste vahel. AKI jaoks on siinjuures oluline, et tegu oleks inimesega, kes on justkui AKI saadik ja käepikendus asutuste sees – ta näeb, märkab, dokumenteerib, raporteerib ja tagab kodanikule selle, et asutus kasutab isikuandmeid ainult seaduse aluses saadud ülesannete täitmiseks ja ainult sellel otstarbel, milleks ta neid hõivanud on.

Reaalsuses paraku eksisteerib veel ka meie haldusala asutustes suhtumist, et mis minu käes, see minu oma – kui ma juba kodanikult need andmed kätte sain, siis minule need nüüd kuuluvad ja ma teen nendega, mida heaks arvan. On aga väga oluline meeles pidada, et tegelikkuses on need andmed endiselt kodaniku omad ja ta andis need asutuse töötajale kasutamiseks vaid konkreetse tööülesande täitmiseks. On ääretult tähtis, et igal kodaniku andmetega tehtaval tegevusel on seadusest tulenev alus ja mis veelgi olulisem – igal ajahetkel peab olema võimalik tuvastada, kes, mida, miks ja millal nende andmetega toimetanud on. Ja see ei puuduta ainult digitaalselt kogutud ehk andmekogudes hoitavaid andmeid vaid ka muul moel saadud andmeid. Olgu selleks siis kodaniku pöördumine asutuse poole kirja teel või mõni täidetud blankett.

Kodanikul peab olema kontroll
Asutused ise saavad ja peavad panustama kodanike andmete kaitsmisele ja tagama selle, et kodanikule jääb kontroll tema andmete kasutamise üle. Et seda oleks aga lihtsam teha, on Eestis juba pikemat aega kasutusel selline süsteem nagu andmejälgija, mis on igale inimesele leitav riigiportaalis eesti.ee. Andmejälgija eesmärk on teha kodanikule tema andmete kasutamise riigi andmekogudes ja andmekogude vahel nähtavaks. On positiivne, et andmejälgija nimistus on praeguse seisuga kümme erinevat süsteemi, mille hulka kuulub näiteks ka meie rahvastikuregister. Mäletan, et mingil hetkel oli seal ka Maksu- ja Tolliameti infosüsteem ning isegi meie enda isikut tõendavate dokumentide teenus ITDAK, mis näitab, millal on mõni teine andmekogu teinud päringu kodaniku passiandmete kohta.

Kahjuks ei ole aga praeguse seisuga peale rahvastikuregistri mitte ühtegi teist meie andmekogu andmejälgijas. See aga tähendab ühtlasi, et kodaniku vaatest puudub tal ülevaade, kas, millal ja miks me tema andmeid kasutame või oleme kasutanud. Seda isegi juhul, kui kodanik on ise pöördunud meie poole näiteks passi või ID-kaardi taotlemisel, mis on üks paljudest seadusest tulenevatest avalikest ülesannetest ja mille käigus toimuvat andmete töötlemist me ei tohi varjata.

Sellist käitumist võimendab asjaolu, et andmejälgija kasutamist ehk andmete töötlemise avalikustamist asutuste poolt ei ole täna tehtud kohustuslikuks. Tegu on rangelt soovitusliku kohustusega ja andmekaitsespetsialistidel puuduvad hoovad seda olukorda muuta, kui teenuste omanikud ja asutused ise seda oluliseks prioriteediks ei ole võtnud.

Õnneks on andmekaitsele väikse abikäe ulatanud Majandus- ja Kommunikatsiooniministeerium (MKM), kelle haldusalas tegutsev Riigi Infosüsteemide Amet andmejälgijat haldab. Nimelt lisas MKM Euroopa Liidu struktuurfondidest toetuste taotlejatele täiendava tingimuse – arendatav süsteem tuleb avada andmejälgijale või vähemalt hinnata selle valmidust andmejälgijaga sidumiseks.

Ise olen aga jätkuvalt seisukohal, et nii nagu ei aita kaalulangetuse edu hindamiseks number suuremate pükste kandmine, ei aita ka erinevate vabanduste leidmine andmejälgijaga mitte liitumisel, et liikuda avatuma andmetöötluse poole. Ainult aeg ja pidev teavitustöö aitavad muuta arusaama, et kui kodanik on oma andmed asutusele edastanud ühe ülesande täitmiseks, siis need andmed ei saa asutuse omaks ja nendega ei või nüüd ja igavesti kõike teha. Meie asutustena oleme ja jääme isikuandmete vastutavateks ja volitatud töötlejateks, mitte ei saa isikuandmete omanikeks. Isikuandmete omanikuks on ja jääb isik ise ja ta peab teadma, mida tema andmetega täpsemalt tehakse.

SMITi andmekaitsemajakas Priit Davel