Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
:format(webp)/nginx/o/2019/07/15/12366781t1h4384.jpg)
:format(webp)/nginx/o/2018/05/09/7834449t1hc392.jpg)
25. mail jõustub Euroopa parlamendi ja nõukogu isikuandmete kaitse üldmäärus, mis hakkab koos riigisiseste rakendusaktidega asendama senist Eesti isikuandmete kaitse seadust. Sellepärast paluvad näiteks pangad inimestel uute kasutustingimustega tutvuda ja küsivad nende kohta nõusolekut. Andmekaitse inspektsiooni peadirektor Viljar Peep kinnitab, et isikuandmete kogumise ja kasutamise nõuete selginemine on meile kõigile hea.
Siiski tuleb ka uue korra ajal Peebu kinnitust mööda kriitikameel säilitada ning alati mõelda, ega meie käest taheta saada liiga palju andmeid.
Viljar Peep, kui peaksite lastelastega skaipivale vanaemale selgeks tegema, mis Euroopa Parlamendi isikuandmete kaitse üldmääruse rakendumisega muutub, siis mida talle ütleksite?
Tegelikult väga palju midagi ei muutugi. Ärevus, mis näib olevat vallanud ettevõtteid ja ametiasutusi, ei puuduta tavalist inimest, kes kasutab digiteenuseid.
Kui öelda lühidalt, mis on pärast 25. maid, kui Euroopa isikuandmete kaitse üldmäärus jõustub, tavalisele inimesele teistmoodi, siis mina tooksin välja kaks asja.
Üks on see, et kõik asutused ja ettevõtted peavad andma lihtsas keeles ülevaate või avaldama, mida nad isikuandmetega teevad. Eraldi on välja toodud, et kui asi puudutab lapsi, siis peab see olema veel eriti lihtsas keeles. Ühesõnaga: läbipaistvus peaks veidi kasvama. Kui tekib küsimus ja nõutakse vastuseid, miks mingi firma helistab või spämmib või mida minu kohta teatakse ja mida nende andmetega tehakse, siis läbipaistvusnõuded on selgemad ja rangemad kui seni.
Inimesel on õigus teada saada, mis kellelgi tema kohta olemas on, ja teha õiend, kui midagi on valesti või ei peaks üldse olemas olema. Selles midagi ei muutu, küll aga lisandub uue asjana andmete ülekantavuse nõue. See tähendab, et ma võin võtta ettevõttest A oma andmed masinloetaval kujul ja lasta need viia ettevõttesse B. Selle võimaluse mõte on pigem majanduslik: sa saad minna ühe teenusepakkuja juurest tema konkurendi juurde.
Isikuandmete kogumise kohta on maailmas liikvel palju vandenõuteooriaid, üks uljam kui teine. Kas kogu süsteemi läbipaistvamaks muutumine peaks andma muu hulgas selle efekti, et inimeste kahtlused kahanevad?
Sulatõsi! Ettevõtetele ja ametiasutustele kaasneb üldmäärusega väga palju bürokraatiat. Kui reeglid on ühesugused nii Google’ile kui väikeettevõtetele, siis viimati nimetatuid koormavad nõuded, dokumenteerimiskohutus ja muu selline rohkem.
Aga kui rääkida sellest heast, mida uus andmekaitseõiguse raamistik endaga kaasa toob, tooksin välja kaks aspekti. Üks on see, mida te nimetasite: usalduse küsimus. Digiühiskond, internetimajandus, e-riik ja infoühiskond on sellised nähtused, mis arenevad ja millega kaasneb innovatsioon, aga kus usaldus on üks vundamendikivi, milleta on raske digimajandust ja e-riiki edendada. Ning kuna reeglid on nüüd selgemad ja nõuded karmimad, peaks usaldus kasvama.
Teine aspekt on see, et kui elu läheb internetti ja arvutivõrku, tulevad ka uued ohud, sest pahalased lähevad sinna järele. Eestist on need ohud enamasti veel mööda läinud, meil ei ole olnud suuri ülemaailmseid kübertaude. Samal ajal kui kõik Londoni haiglad seisid, oli Eestis ainult kaks perearstikeskust lunavaraga nakatunud (eelmise aasta mais aset leidnud küberrünnak – toimetus). See on hea näide, sest pärineb valdkonnast, kus info kinniolekust võib sõltuda inimese elu ja tervis. Ehkki suured ohud pole meid seni puudutanud, on fakt, et tulevikus ei jää need ka meist eemale.
Andmekaitseõiguse uuenemise tuules saab tegelda nii inimeste usalduse kui infoturbe parema korraldamisega. See, kui hästi oskavad oma infot kaitsta väikesed perearstikeskused, on ka meie majanduse konkurentsivõime küsimus.
Isikuandmetega ümber käivad teenusepakkujad – Facebook, Twitter, aga ka näiteks pangad – paluvad inimestel uute kasutustingimustega tutvuda ja küsivad nende kohta nõusolekut. Üks mu kolleeg märkis, et temal ei kulunud selleks kõigeks nelja konto peale kokku rohkem kui 30 sekundit. Teisisõnu: ta otsis lihtsalt üles jah-kasti ja vajutas sinna. Kas ta on rumalalt käitunud?
Kui järele mõelda, siis pangad, sidefirmad ja muud sellised suured ettevõtted, kelle püsikliendid me oleme, paluvad ikka aeg-ajalt üldtingimused üle vaadata ja muudatusi aktsepteerida. Praegune olukord ei ole selles mõttes eriline.
Alati jääb inimese enda valida, kas ta loeb läbi ja kirjutab alla lepingule, millega ta varaks müüakse, või mitte. Enamasti seda (varaks müümist – toimetus) ju ei juhtu. Aga võib olla ka nii, et pakutud muudatusettepanekuid läbi lugedes avastatakse: «Ups! Nad jagavad minu andmeid ilma igasuguste piiranguteta kolmandate osalistega, kellest ma midagi ei tea.» Kui ei taha, et see niimoodi on, siis on inimesel võimalik tõmmata pidurit ja teenusepakkujale öelda, et ta ei lepi uute tingimustega ja enam klient ei ole. Valik on olemas.
Kas teie, kes te olete selles vallas keskmisest inimesest võrreldamatult rohkem haritud, olete harjunud niisugustel puhkudel tingimused vähemalt «diagonaaliski» läbi lugema?
Alati on mõistlik tegelda nende asjadega, kust paistavad mingid riskid. Selles, mida teevad suured teenusepakkujad, nagu pangad, sideettevõtted või Google, tavaliselt niisugusi üllatusi ei ole.
Üllatused võivad peituda näiteks äppides, mida nutitelefonisse laaditakse. Allalaadimisega nõustutakse äpi kasutustingimustega ja antakse nõusolek nutitelefonis eri kohtadesse ligipääsemiseks. Parim sellekohane näide on taskulambi äpp, mis nõuab ühtlasi ligipääsu asukoha andmetele, kirjavahetusele, telefoniraamatule ja millele kõigele veel.
Mida mina alati vaatan, kui ma hakkan oma nutitelefoni mõnda uut rakendust laadima, ongi see, kas ligipääsu tahetakse jaburana kõlavatele asjadele. See on koht, kus ei maksa valvsust kaotada, sest muidu võivad tulemused olla imelikud.
See, kui mõni äpp küsib ligipääsu andmetele, mis ei ole rakenduse funktsiooniga üheselt seotud, on niisiis selge ohumärk.
Täpselt nii. Taskulamp ei pea teadma, kus me oleme. Kui me laadime alla mõne kaardirakenduse, mis õpetab meid liikluses ummikuid vältima, on arusaadav, et meie asukoha määratlemine on hädavajalik, sest teisiti ei saa. Taskulambi puhul kindlasti saab. Oma peaga mõtlemist, kas meie käest tahetakse saada liiga palju andmeid või mitte, tuleks alati kasutada.
Jutuks olev isikuandmete kaitse üldmäärus võeti vastu juba 2016. aasta aprillis, ent kurikuulus Facebooki andmeskandaal tuli avalikuks alles hiljuti. Kas too halb lugu ilmestab Euroopa andmekaitse reformi vajalikkust või pole nende kahe teema kattuvus nii suur?
Kattuvus ei ole väga otsene, sest ühed sündmused toimusid aastal 2014 (Facebook hakkas ühe kampaania käigus koguma andmeid oma kasutajate poliitiliste vaadete kohta ning need andmed sattusid hiljem Suurbritannia andmeanalüüsi firma Cambridge Analytica käsutusse – toimetus), andmekaitse üldmäärus võeti vastu 2016 ja jõustuma hakkab see 2018. Aga teemana tuli see päris õigel ajal. Kui teenus on tasuta, aga meie andmed on sattunud kaubaks, peab sellega kaasnema suurem tähelepanu.
Fakt on see, et Cambridge Analytica ei ole sugugi ainus, kes on niisugust õngitsemist kasutanud. Facebookil on palju kolmandaid osalisi, kellele ta pakub platvormi, kus Facebooki kasutajad saavad viktoriinide, küsitluste ja tarbijamängudega liituda. Nüüd siis kontrollib Facebook oma sadade tuhandete kolmandatest osalistest äppide tingimusi üle.
Samasuguseid probleeme on teistelgi suurtel tehnoloogiafirmadel, kes pakuvad mingisugust oma platvormi, kus askeldavad hoopis kolmandad isikud.
Kas ma oletan õigesti, et teemad, mis puudutavad inimeste kohta kogutavate andmete olemust ja seda, mida nendega tehakse, ei vaibu ka pärast 25. maid, vaid need pakuvad edaspidigi kõneainet?
See kõik on andmeanalüütika ja inimeste profileerimine. Sellega tegelevad ka Eesti kaupluseketid, apteegiketid ja paljud teised, nii väikesed kui suured. Üha rohkem pannakse masin raalima teavet, mida neil oma klientide, tarbijate ja kasutajate kohta tekib. See on koht, kus läheb vaja usaldust. Ja selle usalduse peakski tagama selged nõuded ja nende täitmine.