Oleme peagi suundumas aastasse 5 AG (AG – nagu AD, aga Anno GDPR, mitte Anno Domini :)). Võtame 2021. aasta pidulikult andmekaitse vaatevinklist kokku. Toimus nii palju, et siia said 2021. aastast kirja vaid üksikud, aga siiski märgilise iseloomuga fragmendid. Minu isiklik lemmikosa on viimane, kus olen teinud kokkuvõtte kahest Eestis toimunud rikkumisest.
Foto: Nathan Thomassin
Gigantidele gigatrahvid
GDPR Enforcement Tracker’i andmetel toimus Euroopas 2021. aastal 414 andmekaitsealast rikkumist, mille osas langetati trahviotsus. Neist vaieldamatult suurimad langetati 2021. aastal Amazoni Euroopa haru ja WhatsAppi Iirimaa haru suhtes.
Suve keskel trahvis Luksemburgi järelevalveasutus Amazoni rekordilise 746 miljoni euroga. Sellises suurusjärgus trahv tegi pika puuga ära kahe aasta tagusele rekordtrahvile (50 miljonit eurot), mille Prantsusmaa järelevalve määras teisele tehnoloogiahiiule Google’ile. Amazoni tee trahvini algas sellest, et 10 000 inimest kaebasid Amazoni peale 2018. aastal. Probleemiks oli see, et Amazon kasutas selget nõusolekut omamata isikuandmeid sihitud reklaami tegemiseks. (Allikas)
Septembri alguses sai suure trahvi aga WhatsApp – 225 miljonit eurot. Trahvijaks oli Iirimaa järelevalveasutus. Uurimise käigus selgus, et WhatsApp oli oma tegevusega vastuolus GDPR artiklitega 12, 13 ja 14 – need asuvad määruse teises jaos, mis käsitleb andmetöötluse läbipaistvust ja sätestab, millist teavet tuleb andmesubjektidele esitada isikuandmete töötlemisest teavitades. Uurimise teise laine jooksul tuvastati lisaks, et vastuollu mindi ka artikkel viiega, mis loetleb üles isikuandmete töötlemise laiemad põhimõtted. Leiti, et WhatsApp ei olnud oma kasutajatele (sh alaealistele) suutnud ühemõtteliselt, kokkuvõtlikult ja lihtsas keeles selgeks teha andmetöötlemise eesmärke ega loomu. Näiteks oli WhatsAppi ja Facebooki vaheline äriseos peidetud mitmetesse erinevatesse tekstidesse ja suur osa tekstist oli liiga üldistav. (Allikas)
Tuule suund andmekaitses
Üks olulisematest uudiskünnise ületanud sündustest andmekaitses oli muidugi see, et 2021. aasta juuni alguses kiitis Euroopa Komisjon heaks andmevahetuse lepingu tüüpklauslid (ingl. k Standard Contractual Clauses), mida kasutatakse andmevahetuseks Euroopa Liidu ja kolmandate riikide vahel. Kokku on uusi tüüpklausleid neli varianti, mis aitab tagada selle, et andmevahetuse tingimustes on nüüd võimalik kokku leppida ka siis, kui poolteks on näiteks kaks volitatud töötlejat või ka näiteks kaasvastutavad töötlejad. (Allikas)
Uute tüüplklauslite vastuvõtmine tekitas andmetöötlejatele muidugi omajagu asjaajamist: kuni 2021. aasta septembrini tohtis kasutada vanu tüüpklausleid ja seejärel pidi üle minema uutele. Lisaks tuleb lepingute osas, mis sõlmiti enne 27. septembrit 2021, ümber rääkida vanad klauslid ja asendada need uutega hiljemalt 27. september 2022. Ettevõtetele, millel on arvukaid partnereid andmetöötlemise osas just kolmandates riikides (nt Venemaal, Ukrainas, USAs), tähendab see kindlasti töökat 2022. aastat. (Allikas)
Juuni lõpus aga kutsusid EDPB (European Data Protection Board) ja EDPS (European Data Protection Supervisor) üles keelustama tehisintellekti kasutamist inimesi iseloomustavate tunnusjoonte (nt näo, sõrmejälgede, hääle ja isegi kõnnaku) tuvastamisel avalikes kohtades. EDPB ja EDPS esindajad selgitasid, et biomeetrilise kaugtuvastuse rakendamine avalikes kohtades tähendab anonüümsuse lõppu avalikes kohtades ja et reaalajas teostatav näotuvastus läheb vastuollu inimeste põhiõigustega. (Allikas)
Septembris tuli EDPS välja uue algatusega nimega TechSonar. TechSonari raames hakatakse väljastama raporteid, mille fookuses on uued tehnoloogiad. Algatuse eesmärk on saada paremat ülevaadet sellest, mis suunas tehnoloogia arenemas on, ja etteulatuvalt hinnata, milline võib olla uute tehnoloogiate mõju andmekaitsele. Esimeses aruandes on eksperdid uurinud näiteks vaktsiinitõendite, tehisandmete ja biomeetrilise autentimise tehnoloogiaid. (Allikas)
Kui rääkida konkreetselt sellest, kuhu andmekaitse Eestis suundumas on, siis peab muidugi vaatama, mida Andmekaitse Inspektsioon (AKI) ellu on viinud. 2021. aasta jooksul täiendati AKI poolt väljastatud juhiste nimekirja. Täiesti uue juhisena väljastati juhend kaamerate kasutamise kohta ning koostöös Õiguskantsleri Kantseleiga anti välja abivajavast lapsest teatamise juhend. Avaldati ka artikkel isikuandmete töötlemisest korteriühistus. Juhiseid, mis on vastu võetud enne 2018. aastat või mida pole uuendatud pärast 2017. aastat, on nimekirjas veel omajagu, aga tasapisi on isikuandmete kaitse üldmääruse keerukamad (nagu näiteks õigustatud huvi) teemapunktid juhistena juba leitavad ja tänase seisuga on ettevõtetel, asutustel, korteriühistutel aga ka eraisikutel võimalik juhistest šnitti võtta. (Allikas)
Intrigeerivamad andmekaitseapsud kodumaal
Ja Eesti teemal ka jätkame, sest tegelikult ei pea andmekaitseapsusid otsima välismaalt, neid leiame küllaga ka Eestist. AKI on kõik 2021. aastal tehtud ettekirjutused koondanud siia. Ettekirjutusi on 30. detsembri seisuga tehtud 39 (võrdluseks siia, et 2019. aastal, esimesel täispikal GDPRi aastal, tehti 14 ettekirjutust). Suurem enamus ettekirjutustest on tehtud äriühingutele (26), kuus tükki riigiasutustele, neli tunduvad olevat suunatud eraisikutele ja kolm korteriühistutele. (Allikas)
Üks juhtumitest on hea näide sellest, kuidas vanad paberdokumendid Eesti digiriiki kummitavad. Nimelt esitas Eesti Haigekassa septembris AKI-le ise rikkumisteate, sest Tartus asuva hoone lammutamise käigus tulid välja vanad dokumendid, mis olid omal ajal esitatud Tartu Linna Haigekassale ja sisaldasid isikuandmeid. Dokumentide hulgas oli nii raviarveid, haiguslehti kui hoolduslehti ning need pärinesid aastatest 1993 – 1994.
Müstikat lisab leiule see, et lammutatavas hoones ei ole kunagi asunud Eesti Haigekassa arhiivi rendipinda ja Eesti Haigekassa ei osanud selgitada, mis põhjusel dokumendid lammutatavasse majja sattusid. Uurimine tõi lisaks välja, et juba üheksakümnendate lõpus kirjutati ajakirjanduses Tartu haigekassa arhiivdokumentidest, mida hoiti Pepleri tänava maja keldris lukustamata ukse taga. See mõjuv asjaolu andis AKI-le võimaluse Haigekassale selgitada, miks hiljuti avalikuks tulnud rikkumist ei saa käsitleda ühekordse intsidendina. Õppetund meile kõigile: rikkumisi tuleb hinnata ka oma asutuse ajaloo kontekstis. Huvitavaid nüansse on selle loo puhul veelgi ja nende kohta saab lugeda siit.
Novembris sai ettekirjutuse Olerex, kusjuures ettekirjutuse resolutsioon koosnes viiest punktist ja mitmest alapunktist, mille oleks kaasa toonud sunnirahanõude 25 000 eurot iga täitmata jäetud ettekirjutuse punkti ja alapunkti eest. Aga mis siis ikkagi juhtus?
Sel korral algatas AKI omaalgatusliku järelevalvemenetluse, sest AKI-ni oli jõudnud info, et Olerexi tanklates kasutatakse videosalvestusi töötajate hindamiseks. Pärast mõningast järelepärimist selgus, et Olerex salvestab lisaks pildile ka heli. Kogu tegevuse osas pidi Olerex seejärel esitama selgitused ja analüüsi oma tegevuse aluste kohta ja oma seisukohti põhjendama. Olerex seda ka tegi: põhjalikus selgitavas kirjas toodi näiteks välja, et nii heli- kui ka videosalvestisi kasutatakse väär- ja kuritegude uurimiseks. Salvestis inimese häälest aitab Olerexi hinnangul tuvastada teo toimepanijat olukordades, kus toimepanija nägu on kaetud. Viidati kordadele, mil PPA-l on Olerexi poolt kogutud andmetest kasu olnud. Olerexi sõnul aitab audiosalvestis menetleda ka klientide “ma-ju-ütlesin-et-ma-ei-soovi-jalopenot” stiilis kaebuseid. Kiri sisaldas konkreetseid näiteid tanklatest juhtunud intsidentidest.
Hoolimata põhjalikust selgitusest, millega nii mõnigi andmesubjekt leplikult nõustunud oleks, ei jõudnud AKI oma analüüsi tulemusel Olerexiga samadele järeldustele. AKI tõi oma vastuses välja, et audiovalvet üldjuhul ei oska andmesubjekt eeldada ja selle rakendamist saaks õigustada vaid erandlikud asjaolud, mida paraku kaupade ja teenuste pakkumisega tegelevates ettevõtetes ei leidu. Ühtlasi ei pidanud AKI piisavaks argumendiks ka PPA-ga tehtavat koostööd:
“Üksnes seetõttu, et politsei neid (audiosalvestisi, toim.) tihti kasutab, ei saa mingeid andmeid erasektor koguma hakata.”
Juhtum ise peaks andmetöötlejatele illustreerima, milliseid nüansse tuleb arvesse võtta, kui on plaan isikuandmeid töödelda õigustatud huvi alusel. Kes pikemast lugemisest huvitatud on, siis tasub vaadata siia: AKI seisukohad on kirjeldatud alates lk 22.
Ega siis midagi. Meelerahu ja jaksu kõikidele, kes andmekaitse eest seisavad: teist sõltub, milliseks kujuneb andmekaitsepraktika just siin, meie kodumaal, Eestis.
Head vana aasta lõppu!
Foto: Ian Schneider