– riik annab meie inimeste isikuandmed äriregistrist ükskõik kellele, ilma vastutuse ja kontrollita.
Isikuandmed on kõik andmed, mis võimaldavad inimest tuvastada. Selliseid andmeid on riik palju erinevatesse avalikesse andmekogudesse pikema aja jooksul kogunud. Üldjuhul on teave sellistes andmekogudes juurdepääsupiiranguteta, see tähendab, et teabele ei kehti õigusaktidest tulenevad piirangud ja see teave on põhjendatult avalikult kättesaadav avaliku huvi või riigi läbipaistvuse tagamiseks. Kuid Eesti avaliku teabe seaduses defineeritud „avalik teave“ ei ole tingimata veel „avaandmed“ ega selle sünonüümiks. Avaandmeteks nimetatakse kõigile vabalt ja avalikult kasutamiseks antud andmeid, millel puuduvad kasutamist ning levitamist takistavad piirangud.
Ometi on Eesti riik äriregistri andmed teinud 2022. aasta sügisel avaandmetena kättesaadavaks kõigile, kes seda soovivad, sh palju kõneainet tekitanud tegelike kasusaajate andmekogu andmed. Kuigi tegelike kasusaajate andmekogu vastutav töötleja on Rahandusministeerium rahapesu ja terrorismi tõkestamise seaduse alusel, näitab ja annab andmed välja äriregister, mille vastutav töötleja on Justiitsministeerium. Äriregistrist saab alla laadida avaandmetena kogu info, sealhulgas kõik isikuandmed FIE-de, korteriühistute, MTÜ-de ja ettevõtetega seotud isikute kohta. Sageli on need andmed inimeste kodused aadressid, e-posti aadressid, täisnimed ning isikukoodid, mis on isikuandmed.
Alarmeerivaks teeb sellise avalikustamise see, et riik pole suutnud õigesti kohaldada kehtivaid õigusnorme, mistõttu juurdepääsupiiranguga teave, s.t. teave mille töötlemisele tulenevad seadusest piirangud, tehakse avalikkusele piiranguteta kättesaadavaks. Igaüks, kes kinnitab äriregistri veebilehel, et järgib isikuandmete kaitse üldmääruse (edaspidi üldmäärus) tingimusi võib alla laadida äriregistrist ning muudest Justiitsministeeriumi halduses olevatest andmekogudest isikuandmeid. Tegelik kontroll selle üle, kes andmeid alla laeb ja mille alusel puudub. See tähendab, et andmed saavad liikuda väljapoole Euroopa Liidu majanduspiirkonda riikidesse, millel ei ole ka Euroopa Komisjoni adekvaatsusotsust ja mis ei taga vastavust üldmäärusega. Riigi kohustus on kontrollida, kes kasutab tema kodanike andmeid ja milleks, et tagada inimeste põhiõigused – õigus eraelule ja andmekaitsele. Praegu on üldmääruse järgimise kohustus lükatud eraõiguslike andmete töötlejate vastutusalasse, kellel on kohustus töödelda andmeid vastutustundlikult ja kooskõlas üldmäärusega. Anonüümne kinnitus andmete õiguspärase kasutamise kohta e-äriregistri avaandmete keskkonnas pole turvaline meede andmete töötlemise seaduslikkuse tagamiseks, eriti kui üritame olla usaldusväärne digiriik. Hetkel on tõsiasi see, et riik annab meie inimeste isikuandmed äriregistrist kandikul ette ükskõik kellele, ilma vastutuse ja kontrollita.
Eesti Andmekaitse Liit (edaspidi Liit) pöördus selgituse saamiseks Justiitsministeeriumi poole, kes on äriregistri vastutav töötleja, seega üldmääruse kohaselt ka kaasvastutav töötleja avaandmetena tegelike kasusaajate andmete avaldamise eest. Antud vastusest lähtuvalt saab konkreetselt tuua välja, kus meie riigi avalike andmete haldus ja kodanike põhiõiguste kaitse on läinud viltu.
Üks esmaseid kohustusi isikuandmete vastutavale töötlejale tulenevalt üldmäärusest on andmekaitsealase mõjuhinnangu läbiviimine, kui isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht. Näiteks äriregistrist tegelike kasusaajate andmete avaandmetena kasutusse andmine vastab nendele kriteeriumitele. Liit palus Justiitsministeeriumil esitada andmekaitsealane mõjuhinnang, et mõista, millistel kaalutlustel ja turvameetmeid rakendades on riik äriregistri andmete kättesaadavaks tegemise just sellisel viisil teostanud. Justiitsministeeriumi vastusest selgus, et vastavat andmekaitsealast mõjuhinnangut pole läbi viidud. Veel enam, Justiitsministeeriumi selgituse kohaselt ei muutunud 01.10.2022 äriregistri andmete avaandmetena kättesaadavaks tegemisel isikuandmete avalikustamises mitte midagi. Olgu siis veelkord välja toodud, et see ei vasta tõele, sest erinevalt varasemast saab nüüd ilma piiranguteta igaüks äriregistri kõik andmed alla laadida. Samuti Justiitsministeerium väitis oktoobris 2022 pressiteates äriregistri andmete tasuta kättesaadavaks tegemise kohta midagi muud, sh Registrite ja Infosüsteemide Keskuse direktori sõnul: „Tegemist on esimese sammuga avaandmete teekaardil“.
Vastavalt üldmääruse artikkel 36 on vastutava töötleja, antud juhul Justiitsministeeriumi, kohustus konsulteerida enne isikuandmete töötlemist järelevalveasutusega, kui artikli 35 kohasest andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja määratletud riski leevendamiseks võetavate meetmete puudumise korral suur oht. Andmekaitse Inspektsioon on andnud juhise, et kui andmete töötlemine puudutab 50 000 või enamat andmesubjekti on mõjuhinnangu läbiviimine kohustuslik. Äriregistris on käesoleval hetkel kindlasti rohkem kui 50 000 andmesubjekti isikuandmed. Seega on Liidu poolt üleval jätkuvalt küsimus, miks ei viidud läbi andmekaitsealast mõjuhinnangut? Jääb mulje, et üldmääruse rakendamisel on riik seadnud olulised nõudmised erasektorile ja ootab nende täitmist, kuid riik ise ei soovi millegipärast samu tingimusi järgida ning kanda vastutust samaväärselt erasektoriga.
Miks on Liit äriregistri andmete avaandmeteks tegemisest häiritud? Sest isikuandmete avaandmetena käsitlemine ja nende piiramatu avaldamine rikub isikute põhiõigusi eraelu ja isikuandmete kaitsele ja on vastuolus üldmäärusega. Kordame üle, et avaandmeteks nimetatakse kõigile vabalt ja avalikult kasutamiseks antud andmeid, millel puuduvad kasutamist ning levitamist takistavad piirangud. Euroopa Liidu avatud andmete direktiivi (EL 2019/1024 open data directive) artiklis 1 on selgelt sätestatud, et antud direktiivi ei kohaldata isikuandmetele. Eestis rakendab avatud andmete direktiivi avaliku teabe seadus.
Avatud andmete direktiiv reguleerib avalike andmete st riigi andmekogudes olevate andmete kättesaadavuse paremaks tegemist, et võimaldada avalike andmehulkade pealt arendada tooteid ja teenuseid, mis parandaksid Euroopa Liidu konkurentsivõimet andmeturgudel. Need andmed on anonüümsed ja juurdepääsupiiranguteta andmestikud, mis on vabalt kättesaadavad igaühele ja piiranguteta. Ja seesugune andmete kasutus ongi vajalik ja väga oodatud. Eesti keeles on aga avatud andmete direktiiv tõlgitud avaandmete direktiiviks, mis tekitab segadust, justkui peaks Eesti riiklikes andmekogudes olevad andmed, kaasaarvatud isikuandmed, olema kõik avaandmed. Selline arusaam on absurdne ja sisuliselt viib meid küsimuseni, et kas võiks privaatsuse kui ühe põhiõiguse kaitse üldse ära lõpetada?
Rääkides avalikes andmekogudes olevate andmete avalikustamisest, siis on Euroopa Kohus teinud märgilise otsuse tegelike kasusaajate andmete avaldamise kohta otsuses C-37/20 ja C-601/20 ja selgelt leidnud, et eelpool väljatoodud tegelike kasusaajate andmed, mida Eesti riik annab avaandmetena kõigile täna vabalt kätte äriregistrist, saavad olla kättesaadavad vaid selleks õigustatud huviga isikutele. See tähendab, et teabenõudjal peab olema õigustatud huvi andmete saamiseks ja andmete omanikul (andmed kuuluvad andmete omanikule ehk igale füüsilisele isikule) peab samuti olema ülevaade, kes tema andmeid on pärinud ja miks. Ja see kohustus laieneb kõikidele andmekogudele, me ei räägi vaid tegelike kasusaajate andmetest, vaid kõikides riiklikes andmekogudes olevatest andmetest. Seejuures on iga isiku õigus teada saada, kellele on tema andmeid riik jaganud ja kuidas tema ise saab oma õigusi kaitsta. Euroopa Kohus on teinud väga selge otsuse ja andnud liikmeriikidele siin praktika, mida järgida. Kohtu otsus ei olnud üllatuslik, kuna kohus tsiteerib sätteid ja põhimõtteid, mis on aastaid meie õiguskorras kehtinud.
Eestil on hea stardipositsioon andmeturgudel, et luua ja avada avaandmete kasutamisel võimalusi ja olla siin teejuhiks. Kuid see eeldab senisest asjatundlikumat lähenemist andmete haldusele, kus arvestatakse inimeste põhiõigustega. Esimene samm õiges suunas oleks arusaamine, et iga avalik teave ei ole avaandmed ning kindlasti pole seda isikuandmed. Meie vabariigi sünnipäeva eel on paslik meenutada, et meie riik tugineb ja püsib meie põhiseaduse ja põhivabaduste hoidmise vaimus. Riik on nende põhiõiguste ja meie kõigi põhivabaduste kaitsja ja põhiseaduse kohaselt on igaühel õigus riigi ja seaduse kaitsele. Isikuandmed on osa meie identiteedist, mis vajab samuti kaitset. Isikuandmetega hooletu ümberkäimine seab ohtu meie kõigi julgeoleku. Kui keegi soovib uudishimust uurida, mis äriga tegeleme või mis on meie sissetulek, siis on selle tulemuseks halvimal juhul ebamugavus, klatš ja tüli. Ent palju raskemad tagajärjed tabavad meid siis, kui meie isikuandmete kasutamine on kuritegelik, näiteks kontode õngitsemine või identiteedivargus. Kui meie kõikide enda kohustus on harrastada head andmehügieeni, ei tohiks riik isikuandmetega ringi käia viisil, mis suurendab ohtu nende pahatahtlikule kasutamisele. Riik peaks ise olema eeskujuks. Lootkem siis, et riik suudab end kokku võtta ja need vead parandada. Vead, mis ei tohiks demokraatlikus ja põhiõigusi austavas riigis üldse tekkida ning viia oma tegevus kooskõlla üldmääruse ja avatud andmete direktiiviga.
Marit Saaretalu
Maili Torma