Rahvastikuregistri näitel
Pere Sihtkapital esitas 2023. aasta juulis päringu Rahvastikuregistrile isikuandmete, sh eriliigiliste isikuandmete saamiseks. Rahvastikuregister andiski välja küsitud isikuandmed, mis riivas tuhandete Eesti naiste õigust eraelu puutumatusele. Eesti Andmekaitse Liit (EAKL) reageeris üleskutsega „uuringu
läbiviimise asjaolud on kiiremas korras selgeks teha, et vältida edaspidi alusetut isikuandmete väljastamist riiklikest andmekogudest“. Kuigi Pere Sihtkapitali korraldatud uuring tekitab küsimusi uurimuse vastavusest sotsiaalteaduslike parimate praktikatega, keskendume selles artiklis andme- ning põhiõiguste
kaitse teemadele.
Andmekaitse Inspektsioon (AKI) algatas 2023. aasta augusti lõpus järelevalve Siseministeeriumi üle, kes on Rahvastikuregistri vastutav töötleja. AKI järelevalve eesmärk oli välja selgitada, kas Siseministeerium lähtub Rahvastikuregistrist andmete väljastamisel isikuandmete kaitse nõuetest.
Ka Siseministeerium viis läbi järelevalvetoiminguid ning 2023. aasta viimases kvartalis avaldati siseauditi tulemused. Siseaudit uuris, kas Pere Sihtkapitali Sihtasutusele andmete väljastamine on kooskõlas
Rahvastikuregistri seaduse ja selle alusel antud õigusaktidega ning ministeeriumi sisemiste kordadega. Ministeeriumi pressiteatest ei selgu, kas kohalduvate seadustena võeti arvesse ka avaliku teabe seadust (RT I 2000, 92, 597) ning isikuandmete kaitse üldmäärust (IKÜM, EL 2016/679). Ministeeriumi siseaudit leidis, et „andmete väljastamine oli õigusaktide kohaselt lubatud, kuid siseministeerium peab suurendama taotluse menetlemise protsessi läbipaistvust ja pöörama andmete väljastamisel rohkem tähelepanu
otsuste kirjalikule põhjendamisele.“ Rahvastikuregistris on kõikide Eesti elanike andmed – nimed, isikukoodid, aadressid ja muu teave.
Meedias leidis kajastust ka isikuandmete kaitse seisukohalt problemaatiline Rahvastikuregistri „nõusolek“ isikuandmete töötlemisele, mis oli Rahvastikuregistris vaikimisi sisse lülitatud. See on äärmiselt raske eksimine isikuandmete kaitse üldmääruse osas, mis on Euroopa Liidu liikmesriikidele otsekohalduv õigusakt, mille järgi nõusolek peab olema vabatahtlik, spetsiifiline, informeeritud ning lihtsalt tagasivõetav. Ministeerium tõi auditi olulisema tähelepanekuna välja ka selle, et andmete väljastamine Tartu Ülikooli tellitud uuringuteks oli lubatud ning väljastati õigustatud huvi alusel. Kuid isikustatud kujul andmete väljastamine rahvastikuregistrist on lubatud vaid erandkorras. Antud juhul ministeerium ei suutnud selgitada, mis tegi konkreetse Pere Sihtkapitali uurimuse nii erakorraliseks, et andmeid oli vaja väljastada isikustatud kujul, seejuures järgimata nõuet, et sellised andmed on kohustuslik kooskõlas isikuandmete töötlemise nõuetega pseudonümiseerida. Samuti on problemaatiline õigusliku alusena esitada siin õigustatud huvi. Kas ja mille alusel kontrollis ministeerium andmeküsija õigustatud huvi? Õigustatud huvi alusel isikuandmete väljastamisel tuleb alati teha kaalumisotsus, kus andmete küsija „õigustatud huvi“ kaalub üles isikute õigused eraelule ja isikuandmete kaitsele.
Ka Eesti advokatuuri intellektuaalomandi ja IT-õiguse komisjon oma analüüsi tulemusena Siseministeeriumi auditi tulemustega ei nõustunud, öeldes et „siseministeerium rikkus oluliselt isikuandmete kaitse seadust, kui väljastas Pere Sihtkapitali esindanud Raul Eametsale rahvastikuregistrist tuhandete naiste isikuandmeid“. Advokatuur tõi välja, et nende hinnangul rikkus siseministeerium isikustatud (ehk nimelisi) andmeid väljastades raskelt isikuandmete kaitse seadust.
Kui vaatame AKI järelevalvele järgnenud pressiteadet, siis „järelevalve käigus tuvastati rikkumisi eelkõige isikuandmete kaitse nõuete vaatest ehk rahvastikuregistrist isikuandmete väljastamise protsessis ilmnesid vastuolud isikuandmete kaitse üldmäärusega.“ Need puudujäägid jaotas AKI kahte kategooriasse andmete väljastamisega seotud protseduurilised ja menetluslikud puudujäägid ja õigusliku aluse valikuga seotud probleemkohad. Menetluslikud puudujäägid hõlmasid ebapiisava info küsimist, puudulikku logimist ning RIA poolt väljatöötatud ja riigiasutustele tasuta andmejälgija mittekasutamist. Õiguslikud puudujäägid olid AKI hinnangul seotud eelkõige isikuandmete vastutava ja volitatud töötleja suhtega, see tähendab, et sõltuvalt rollist peab olema valitud isikuandmete töötlemiseks korrektne õiguslik alus ja jaguneb vastutus. Antud juhul läks ministeerium oma vastutusest läks mööda. AKI toob välja, et kui isikuandmeid soovib rahvastikuregistrist saada avaliku sektori asutus avaliku ülesande täitmiseks, siis peaks isikuandmete töötlemise õiguslik alus tulema õigusaktist – avalikes huvides oleva ülesande täitmine. Kui asutus, selles kaasuses eelduslikult Tartu Ülikool, volitab avalikku ülesannet täitma, näiteks teenuse osutamise lepingu alusel, mõne eraõigusliku juriidilise isiku, nt nagu Pere Sihtkapital, siis isikuandmete töötlemise nõuete kohaselt peaks ka volitatud töötleja lähtuma vastutavale töötlejale kohalduvatest alustest ja tema antud juhistest ehk isikuandmete töötlemiseks peab olema õiguslik alus Pere Sihtkapitalil. Kui eraõiguslik asutus soovib isikuandmete töötlemisel toetuma õigustatud huvile, peab enne andmete kasutamist läbi viima kaalumistesti vastavalt IKÜM artiklile 6, hinnates, kas isikuandmete töötleja õigustatud huvi töödelda andmesubjekti isikuandmeid kaalub üles andmesubjekti huvid või põhiõigused ja -vabadused. AKI hinnangul ei saa hindas Rahvastikuregister Pere Sihtkapital läbi Tartu Ülikooli õigustatud huvi olemasolu, jättes eelnevalt Sihtkapitalilt küsimata, milles nende õigustatud huvi üldse seisneb.
Meediast on läbi käinud ka teisi avaliku sektori andmelekkeid: 2023. aastal lekkisid 10 kuud Sotsiaalkindlustusametis tundlikud isikuandmed , 2021 aastal laadis häkker alla 268 438 dokumendifotot Politsei- ja Piirivalveametist, 2020 aastal lekitas Justiitsministeerium tuhandete õigusabi saanute kaasused. Avalikus sektoris on teisigi andmekaitsealaseid tegevusi, või siis tegemata jätmisi, mis ei ole vastavuses
IKÜM-i nõuetega. Näiteks eemaldati Äriregistrist nn maksesein ilma läbi viimata kohustuslikku andmekaitsealast mõjuhinnangut. Äriregistris muutusid ettevõtete, korteriühistute, füüsilisest isikust ettevõtjate isikuandmed massiliselt alla laaditavaks igaühele, igas maailma otsas. Miks selline tegevus ohustab inimeste põhiõigusi, kirjutas Eesti Andmekaitse Liit 2023 aasta veebruaris. Meediasse jõuavad tavaliselt lood, mis pakuvad avalikku huvi ja/või intriigi, kuid kui palju on selliseid juhtumeid, kus
avalikku huvi otseselt ei ole, kuid isikuandmete kaitse üldmääruse nõudeid ei täideta ja nii vaikides rikutakse tegelikult meie kõigi põhiseaduslikku õigust meie eraelu kaitsele? Andmete sh isikuandmete töötlemine riigi poolt jääb inimesele nähtamatuks ning pahatihti ei saagi inimene ennast kaitsta või reageerida, et rikkumine lõppeks. Eesti.ee portaalis ei ole avaldatud isikuandmete töötlemise alast teavitust, mis on kohustuslik tulenevalt isikuandmete kaitse üldmäärusest. Majandus- ja Kommunikatsiooniministeeriumi (MKM) isikuandmete alane teavitus ei avalda samuti teavet kõikidest kolmandatest isikutest, kes Äriregistrit massiliselt kraabivad ja sealt kõik isikuandmed kätte saavad. Andmete kraapimine on privaatsusrisk, sest kraabitud andmete üle puudub andmete vastutaval töötlejal igasugune kontroll. Ja vastutav töötleja on siin riik. Eelpool toodu põhjal tekib õigustatud küsimus – kas Eesti avalik sektor võtab kasutusele piisavaid korralduslikke ja tehnoloogilisi meetmeid inimeste eraelu ja isikuandmete töötlemise kaitseks?
Riigi Infosüsteemide Amet (RIA) vastutab infosüsteemide turvalise toimimise eest, kuid mitte infosüsteemides asuvate andmete ja teabe sisu eest. Seetõttu on andmete haldamisega seonduva ebaselguse tõttu ilmnenud kõrge risk võimalike rikkumiste tekkimiseks. IIga riigiasutus ja kohalik omavalitsus tõlgendab neile kehtivad andmehalduse ja andmekaitse regulatsioone oma arusaamise järgi. Nagu Siseministeeriumi näitest selgus, mitte alati kohalduvate seadustega vastavuses arusaamise järgi. MKM on ühelt poolt teinud tublit tööd leidmaks inimeste eraelu kaitsvamaid isikuandmete töötlemise
meetmeid, näiteks „Privaatsustehnoloogiate rakendamise teekaart“, samas teisalt on ebaselge, kellele see teekaart peaks rakenduma või mis kasu sellest on avalikus sektoris? RIA on loonud andmejälgija, mis võimaldab inimestel näha, kes nende andmeid on vaadanud. See on positiivne, kuid andmejälgija kasutuselevõtt riigiasutuste poolt ei ole kohustuslik, mistõttu enamik andmekogusid pole lahendusega liitunud. Riigi infosüsteemide haldussüsteemi (RIHA) järgi on RIHAs registreeritud 1300 infosüsteemi ja andmekogu, mille alla käivad ka kohalike omavalitsuste loodud andmekogud. Andmejälgijaga on nendest
eesti.ee andmetel liitunud 13 andmekogu. Mis toimub ülejäänud andmekogudes?
Oleme jõudnud punkti, kus MKM, Justiitsministeerium, Haridus- ja Teadusministeerium ja Riigikantselei on ette valmistanud Tehisintellektij a andmete valge raamatu. Raamat näeb ette, et aastaks 2030. peaks riigis
toimima andmemajandus sellisel viisil, et avaliku ja erasektori organisatsioonidel oleks võimalik oma andmeid müüa, vahetada ja taaskasutada. Valge raamatu plaanide kohaselt plaanib riik investeerida TI arendamisesse 85 miljonit eurot muuhulgas ka “inimkeskse tehisintellekti ja andmekorralduse” arendamisesse.
Eelpool toodud näidete valguses on meil tehisintellekti arenguhüppeks oluline vundament rajamata. Eesti digiriik on meie rahvusvaheline kaubamärk ja hea digipädevuse kuulsuse säilitamine on oluline kuid selle digiriigi vastutusse kuulub ka isikuandmete haldamine põhiõigusi arvestaval viisil. See on võimalik, kuid eeldab oluliselt laiemat kui IT alast teadmusbaasi rakendamist ja edu tagamiseks tuleb tagada ametnike, andmeteadlaste, andmekaitse ja infoturbe ekspertide koostöö riiklikul tasandil. Kõige paremad tulemused
saame kui eelpool nimetatud seltskonnaga liituvad ka sotsiaalteadlased ja statistikud, kellel on kogemused inimestega küsitluste läbiviimisel.