Andmekaitse – miks ja kellele?
Kogu andmekaitse alal tegutsemise aja jooksul, mida on nüüdseks pea 23 aastat, olen vastanud kõige sagedamini küsimustele: Miks me selle mõttetu bürokraatiaga peame tegelema? Miks meie hästi töötavat süsteemi segatakse ega lasta meil innovaatiliselt kasutada kõiki vahendeid, mida IT-maailm pakub, nt TikTok, Facebook jms?
Kust isikuandmete kaitse tuli?
Leidub inimesi, kes usuvad, et kogu andmekaitse valdkond tekkis 25. mail 2018, mil jõustus kurikuulus GDPR (eesti keeles isikuandmete kaitse üldmäärus või IKÜM) koos hirmuäratavate trahvidega, mis on seda regulatsiooni ümbritsenud nagu radioaktiivne kiirgus.
Tegelikult algas kõik tunduvalt varem. Juba 1890. a kirjutasid Ameerika juristid Warren ja Brandeis artikli „Õigus privaatsusele“, kus defineerisid privaatsust mh kui „õigust olla üksi ja ajakirjandusest puutumata“.
1950. aastatel võeti vastu inimõiguste ja põhivabaduste konventsioon, milles on põhiõigusena välja toodud ka õigus eraelu puutumatusele. Üks ajendeid oli see, et inimesed oleksid kaitstud Teise maailmasõja koleduste eest, sh peeti silmas, et isikuandmeid ei tohi töödelda inimeste represseerimise eesmärgil.
1970. aastatel võeti Euroopas vastu esimesed andmekaitseseadused. Sel ajal nähti ühiskonnas eelkõige vajadust kaitsta inimest riigi omavoli eest andmete töötlemisel, aga algas ka IT-areng, mis viis andmetöötluse võimalused ja mahud hoopis uuele tasemele.
Euroopa Liidu esimesed andmekaitseregulatsioonid võeti vastu aastatel 1981 ja 1996 ning Eesti esimene isikuandmete kaitse seadus 1997. aastal. Isikuandmete kaitse üldmäärust hakati välja töötama juba 2011. aastal põhjusel, et andmekaitsereegleid ei rakendatud EL-i riikides ühtlaselt ja see takistas liikmesriikide andmevahetust, aga ka seetõttu, et IT-areng oli olnud hüppeline ja vajalik oli reegleid nüüdisajastada, et oleks võimalik säilitada põhiõigusena õigus eraelu kaitsele.
Seega ei ole tegemist millegi uuega. On palju räägitud, et isikuandmed on „uus kuld“ või „uus nafta“, ja selles väites ei saa kahelda – paljud „tasuta“ platvormid ei tahagi kasutamise eest vastu enamat kui andmeid, nt lisaks isiku enda andmetele ka ligipääsu nutiseadmetes olevatele kontaktidele. Seetõttu on mõttekas tutvuda äppide, e-poodide jms andmekaitse tingimustega, kuigi see on tüütu, tingimusi on palju ja nende lugemine igav. Samas on meie andmed vara, mis võimaldab meid kontrollida, profileerida ja vahel ka meiega manipuleerida.
Eelmise sajandi alguses kasutusel olnud viis panna ukse taha luud andmaks märku, et inimene ei ole kodus, tänapäeval vara enam ei kaitse. Ja muidugi kasutati ka siis aitadel kodalukke, mille avamiseks läks teinekord mitut inimest vaja. Tänapäeval kasutatakse vara kaitseks kaameraid, turvasüsteeme jpm, kuid tihti unustatakse, et vara on ka andmed, mis moodustavad inimese identiteedi. See on tihti inimeste hooletuse tõttu täitsa vabalt kasutatav või kaitstud parooliga 0000000, mille kaitsetase on samuti null.
Miks on isikuandmete kaitset vaja?
Teadvustamine, et isikuandmete kasutamine kujundab inimese kuvandi, aitab paremini läbi mõtelda, mida enda kohta avalikustada. Inimesed arvestavad üldjuhul, et avalikus kohas, nt tänaval või teatris, kehtivad teatud normid ja standardid. On väga kasulik aeg-ajalt meenutada, et sotsiaalmeedia ja internet on märkimisväärselt avalikumad kohad kui tänav, teater või isegi laulupidu.
Eraelus, kus inimene saab ise otsustada oma andmete kasutamise üle, avalikustatakse sotsiaalmeedias enda kohta sageli kõik elusündmused. Samal ajal nõutakse tööandjalt ja avalikult sektorilt ülimat hoidumist andmete töötlemisest.
Näide. Inimene läheb puhkusele ja on nördinud, kui avalikustatakse tema puhkuse käskkiri, milles on tema nimi, isikukood ja teave, et ta viibib puhkusel teatud kuupäevast teatud kuupäevani. Põhjus: vargad võivad ju tulla, kui avalikult on näha, et konkreetsetel kuupäevadel viibib inimene reisil. Samal ajal võib igaüks sama inimese FB-kontolt näha, mis kuupäeval ja kuhu ta on oma puhkuse ajaks reisinud, millal plaanib tagasi tulla. Halvemal juhul avalikustatakse koos puhkuseplaanidega ka lennupileti andmed illustreeriva pildina, mis võimaldab pahatahtlikel inimestel reisi juba enne algust kaaperdada.
Loomulikult peabki tööandja töötlema isikuandmeid nii, nagu seadus seda nõuab, kuid ka inimene ise peab oma andmete kasutamisel olema hoolikas, kui soovib saavutada olukorda, et keegi ei teaks seda, et ta viibib oma puhukuse ajal reisil.
Seega on kasulik täita andmekaitse reegleid ka eraelus selleks, et ei tekiks kahju seetõttu, et loobume oma andmetest kuni pangakonto paroolideni välja. See ei tähenda muidugi fooliummütsi kandmist, kuid enne oma piltide, arvamuste ja muu teabe jagamist, avalikustamist vms tasub võtta hetk ja mõtelda, kas see on teave, mida ma tahan kõigiga jagada, ja millisena avalikustatu näitab mind teistele inimestele – omadele, võõrastele, tööandjale, õpilastele, vanematele jt. Samuti peab meeles pidama, et kui telefoni teel või e-kirjaga küsitakse pangakonto, e-posti vm isiklike paroole, tuleb nende jagamisest hoiduda.
Miks on isikuandmete kaitse kasulik haridusasutusele?
Kui andmekaitse reeglid on täidetud, võivad õpilane ja tema vanem olla kindlad, et tegemist on usaldusväärse partneriga. Kahtlemata on kooli ja pere usaldusväärses suhtes elemente väga palju rohkem, kuid ka teadmine, et see, mis ma olen koolile usaldanud, on hästi hoitud, on oluline hea maine ja usaldusliku suhte püsimiseks.
Et olla usaldusväärne andmete töötlemisel, on vaja omada ülevaadet sellest, milliseid isikuandmeid töödeldakse, millisel õiguslikul alusel isikuandmeid töödeldakse, ning võimekust anda teavet andmetöötluse kohta ka asutusevälistele isikutele. Samuti peab olema selge, kuidas töödeldavaid andmeid kaitsta.
Isikuandmete kaitse üldmääruse kohaselt on nende eesmärkide täitmiseks hulk võimalusi: andmekaitsetingimused (nimetatud ka „privaatsustingimused“, „privaatsusteade“); andmetöötlusregister (nimetatud ka „andmetöötluse ülevaade“); lepingud (töölepingud, teenuse ostmise lepingud, praktikalepingud jne); nõusolekud; riski- ja mõjuhinnangud; töökorralduslikesse reeglitesse andmekaitse ja infoturbe nõuete integreerimine.
Tegemist on nn elavate dokumentidega ja neid peab hoidma nüüdisajastatuna. Samas lihtsustab see tööd ja aitab probleeme ennetada, selle asemel et tegelda tagajärgedega.
Kahtlemata lisandub siia eetiline aspekt. Mõni aasta tagasi juhtus ühe Tallinna spaa aurusaunas järgmine lugu. Sinna sisenes seltskond daame, kes asus häälekalt arutlema oma lasteaia siseprobleemide üle, sh olid teemaks probleemsed lapsevanemad ja nende probleemsed võsukesed. Kuna Eesti on väike, olid nimed juhtumisi mullegi tuttavad. Kindlasti aga mitte faktid autismikahtluste, vanemaid puudutavate hinnangute (vabakasvatust pooldav, hoolimatu, arrogantne) kohta.
Mida sellisest juhtumist õppida? Avalikus kohas võib omavaheline jutt jõuda nende kõrvu, kelle jaoks see mõeldud ei ole. Tasub meeles pidada, et tööasju arutame ikka töö juures ja mitte avalikus kohas. Kui selline arutelu toimuks sotsiaalvõrgustikus, oleks see kättesaadav kõigile, sõltumata riigipiiridest.
Andmekaitsereeglite täitmine on ühest küljest maine ja usaldusväärsuse garantii. Teisalt vähendab see riske, et vea või mõtlematuse tagajärjel andmed lekivad – kui ennetavad meetmed on rakendatud, on tagajärgede saabumise võimalus oluliselt väiksem.
Reeglite täitmine koolis annab lastele ja lapsevanematele selge ülevaate, kuidas nende andmeid hoitakse. Samuti annab see igale asutusele selge ülevaate, millised andmed neil on, kuidas võib neid töödelda, ja lihtsustab seeläbi igapäevatööd.