Vt üldmääruse art. 25 ja pp. 78; direktiivi art. 20 ja pp. 53; IKS § 33. |
Üldmäärus ja direktiiv (need normid on üle võetud IKS-i) sätestavad andmetöötleja vastutuse põhimõtte. Andmetöötleja peab jälgima niihästi õigusnorme ja õiguspraktikat kui ka infotehnilist arengut, sellest tulenevaid võimalusi ja ohte. Kuid norme rakendavad ja tehnoloogiat kasutavad ikkagi inimesed. Andmeid töötleva ettevõtte/asutuse töökorraldus on kõige alus.
Üldmäärus ja direktiiv annavad esmakordselt lõimitud- ja vaikimisi andmekaitsele õiguslikult siduva tähenduse. Tegu ei ole siiski uute mõistetega andmekaitsepraktikas. Mõlemad käsitlused on omavahel seotud. Seetõttu tuleks neid rakendada koos, vastastikku toetavalt.
Mis on lõimitud andmekaitse?
Lõimitud andmekaitse põhimõtted töötati välja juba 1990. aastatel. Need olid ja on suunatud infotehnoloogia ning mahukate andmetöötlussüsteemide üha suurenevale mõjule inimeste privaatsusele. Läbiv vaatenurk on, et eraelu kaitset ei saa tagada ainult õigusnormistikule vastavuse abil, vaid see peab tulenema organisatsiooni töökorraldusest ning infotehnoloogiast. Mida tundlikumad andmed, seda tõhusam peab olema kaitse. Lõimitud andmekaitse ei ole mitte niivõrd õiguslik mõiste, kuivõrd mõtteviis ja organisatsioonikultuur. Järgnevad põhimõtted kirjeldavad lõimitud andmekaitse rakendamist:
1. Enneta, mitte ära tegele tagajärgedega Ohte tuleb ette näha ja ära hoida enne nende toimumist. Andmekaitse on organisatsiooni tegevusse ning tema infosüsteemidesse sisse ehitatud enne isikuandmete töötlemisega alustamist;
2. Andmekaitse korrapärasus ja süsteemsus Andmekaitse on sisse ehitatud infosüsteemide disaini, arhitektuuri ning äritegevusse, olles osa tuumfunktsionaalsusest. Andmetöötleja hindab korrapäraselt võimalikke ohte ning rakendab vastavalt olukorrale täiendavaid kaitsemeetmeid. Ta ei lükka omaenda hoolsuskohustusi kliendi õlgadele;
3. Andmetöötlus olgu algusest lõpuni turvaline Alates isikuandmete esmasest kogumisest kuni hävitamiseni on rakendatud asjakohased ja ajakohastatud turvameetmed. Nii on kindlustatud lõimitud andmekaitse rakendamine andmestiku kogu selle eluea ulatuses ehk „hällist hauani“;
4. Andmetöötlus olgu läbipaistev ja vastutustundlik Kõigile organisatsiooni andmetöötlusse kaasatud isikutele ning koostööpartneritele peab olema üheselt arusaadav, mis on andmetöötluse eesmärk. Andmesubjektile on tagatud teave nii tema andmete töötlemise eesmärgi kui ta õiguste kohta selle töötlemise suhtes. Avalikkusele/ andmesubjektile suunatud teave on kergelt kättesaadav ning selgelt ja lihtsalt sõnastatud. Vastutustundlik andmetöötlus tähendab ühtlasi, et organisatsioon on sõlminud 12 koostööpartneritega õiguspärased andmetöötluslepingud. Partneritele ei delegeerita vastutust, mis on organisatsiooni enda kohustus.
Nagu eelnevast loetelust näha, on tegu abistava spikriga isikuandmete kaitset tugevdava tehnoloogia ja töökorralduse juurutamiseks. Sõltuvalt andmete tundlikkusest ja ohtudest võib olla vajalik:
- kaheastmeline kasutaja tuvastamise lahendus, kus ei piisa üksnes salasõna teadmisest;
- isikuandmete edastamisel turvalahenduse kasutamine (nt TLS, VPN);
- kahe suhtluses osaleva poole sõnumiliikluse kaitse (nn end-to-end protection);
- logide varustamine digitaalse ajatempliga;
- isikuandmete pseudonüümimine või krüptimine;21
- isikuandmete anonüümimine, kui andmetöötluse põhieesmärk on saavutatud ning kogutud andmestikku kasutatakse lisaeesmärgina veel statistikaks või teadusuuringuiks.22
Näide: kui teenusega kaasneb identiteedi väärkasutamise oht – eriti suhtlus- ja tutvumisportaalides – siis tuleb teenusesse sisse ehitada kontrollmehhanism, mis välistab pahatahtlikult teise inimese kontaktandmete (nt e-post, telefoni nr) kasutamise. Selleks saab kasutada nt täiendava kinnituskoodi küsimist. |
Mis on logid ja millal neid vaja on?
Andmetöötlustoimingutest tuvastatavate jälgede – logide – tekitamine ja nende haldamine on üks lõimitud andmekaitse rakendamise kesksemaid aspekte. Otseselt on logipidamise kohustus kirjas õiguskaitseasutuste andmekaitsedirektiivis, mis on üle võetud IKS §-ga 36. Üldmääruse põhitekst ei maini isikuandmetega tehtavate toimingute logimist. Võib jääda ekslik mulje, et üldmääruse raames toimuvat isikuandmete töötlemist ei peagi logima?
Peab küll! Kõik organisatsioonid, kes oma tegevuse käigus isikuandmetega kokku puutuvad, on kohustatud tagama, et nende juures töödeldakse isikuandmeid turvaliselt. See tähendab muu hulgas, et infosüsteemides olevaid isikuandmeid kasutatakse ainult sel eesmärgil, mille jaoks nad kogutud on, ning keegi ei pääse andmetele ligi omakasupüüdlikel või pahatahtlikel eesmärkidel ega pelgast uudishimust. Selleks, et ära hoida isikuandmete väärkasutamist ning tagada, et tagantjärele oleks võimalik kindlaks teha, kes, millal ja miks infosüsteemis andmeid vaadanud või kasutanud on, peabki elektroonilise andmetöötluse puhul pidama logikirjeid isikuandmete töötlemise kohta.
Logipidamise alus tuleneb üldmääruse artiklite 5 ja 32 koosmõjust. Isikuandmete töötlemisel peab tagama andmete käideldavuse,23 tervikluse24 ning konfidentsiaalsuse.25 Selleks peab andmetöötleja rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta andmeid loata või ebaseadusliku töötlemise eest.
Avalikus sektoris tuleneb logipidamise kohustus ka teistest õigusaktidest. Riigi- ja omavalitsusasutused, kes on teabevaldajad avaliku teabe seaduse tähenduses, ei saa juurdepääsupiiranguga teavet ilma logisid pidamata kaitsta.26 Samuti peavad avaliku sektori asutused lähtuma valitsuse 20.12.2007 määrusest nr. 252 „Infosüsteemide turvameetmete süsteem“ ning valitsuse 15.03.2012 määrusest nr. 26 „Infoturbe juhtimise süsteem“, mille rakendamiseks on vajalik korrektne logipidamine.
Andmetöötlejal on ka kohustus tuvastada ning registreerida kõik isikuandmetega seotud rikkumised.27 Need on oma sisult turvanõuete rikkumised, mis toovad kaasa töödeldavate isikuandmete juhusliku või ebaseadusliku kaotsimineku, hävimise, muutmise või loata juurdepääsu või avalikustamise.28 Seega logisid pidamata ei ole võimalik järgida isikuandmete töötlemise põhimõtteid ega tagada andmete töötlemise turvalisust.
Üldmäärus ei näe ette, millisel kujul logi peab pidama. Peaasi, et jälg jääks maha nii andmete sisestamise, muutmise, vaatamise, edastamise kui ka kustutamise kohta.
Logide tõendusväärtuse aitab tagada nende varustamine digitaalse ajatempliga. Lisaks tuleks läbi mõelda ja vastavalt organisatsiooni eripäradele paika panna logikirjete säilitamise tähtajad ning reeglid logide kontrollimiseks ja nendega tutvumiseks.
Mis on vaikimisi andmekaitse?
Vaikelahendus on see, mida kasutatakse algseadistusena, lähtevalikuna. Vaikelahendus peab olema kõige privaatsussõbralikum, kõige väiksemate ohtudega. Suuremaid ohte sisaldavad valikud peaksid olema need, mida inimene ise valib vaikelahenduse asemele.
Andmete kogumisel tuleb vältida, et üldkohustuslikud andmeväljad hõlmavad teavet, mida konkreetse inimese kohta vaja ei lähe. Vaikimisi tuleb nõuda vaid hädavajalikku minimaalteavet.
Näide A: uues nutiseadmes ei ole traadita interneti ühendus (WiFi), Sinihammas (Bluetooth) ja asukohatuvastus vaikimisi sisse lülitatud. Kasutaja lülitab need ise sisse, kui selleks vajadus tekib; |
Näide B: nutirakendus (äpp) ei küsi valimatult juurdepääsuõigusi kasutaja seadme funktsioonidele ja sisule. Lisamugavusi tagavate juurdepääsuõiguste mitteandmine ei ole takistuseks rakenduse põhifunktsioonide kasutamisel; |
Näide C: võrgulehitseja (brauseri) turvaseaded ei võimalda vaikimisi inimese võrgukasutuse ulatuslikku jälgimist. Kasutaja ise võib algset kõrget turvataset allapoole tuua; |
Näide D: kliendiks vormistamisel ei panna vaikimisi kohustuslikeks küsimusteks andmevälju, mida konkreetsele inimesele pakutavate teenuste puhul vaja ei lähe. Ei küsita vaikimisi igaühelt e-posti või telefoninumbrit – iga klient ei soovi saada ettevõttelt reklaami ega teateid. E-pood ei küsi mitteregistreerunud klientidelt, kes tellivad toote pakiautomaati, lisaks täpset elukoha aadressi – see on vajalik vaid juhul, kui on ette näha kullerteenuse kasutamist; |
Näide E: kliendiks vormistamisel ei ole väljaspool lepingut kliendilt võetavad nõusolekud „ette ära linnutatud“. Eeskätt käib see kliendi nõusoleku kohta saada ettevõttelt edaspidi reklaami; |
Näide F: suhtluskeskkondades ja sotsiaal- ehk ühismeedias on andmete jagamine vaikimisi piiratud. Kasutaja ise otsustab, kellele ja millised andmeid ta kättesaadavaks teeb. |
Samas on selge, et kui inimene ise oma eraelu kaitsest ei hooli, siis ka teenuseosutaja ei saa teda vägisi kaitsta. Lõimitud ja vaikimisi andmekaitse rakendamise õnnestumine sõltub suuresti eeltööst. Mida põhjalikumalt on andmetöötlus ning organisatsiooni tööprotsessid kaardistatud, infoturbe- ning andmekaitsealased riskid hinnatud ning maandatud, seda parem on lõpptulemus. Eelkirjeldatud tegevused sisaldavad vältimatult organisatsiooni andmetöötluse ülevaate koostamist ning andmekaitseliste mõjude hindamist. Töötlusülevaadet käsitleme käesoleva üldjuhendi 4. peatükis, mõjuhinnangut selle sõna kitsamas tähenduses 5. peatükis.
21Pseudonüümine tähendab äratuntavate isikuandmete asendamist varjunimede, numbrikoodide ja muude tunnustega, mida asjassepuutumatud isikud ei oska ära arvata. Krüptimine tähendab edastatava/hoitava teabe sisu kättesaamatuks muutmist. Lihtsaim viis krüptimiseks on ID-kaardiga krüptimine, krüptitud faile saavad avada vaid kindla isikukoodiga IDkaardi valdajad. 22Anonüümimine tähendab teabest kõikide jälgede kaotamist, mis võiksid viia tuvastatavate isikuteni. Kui pseudonüümimine ja krüptimine on tagasipööratav umbisikustamine, siis anonüümimine tähendab tagasipööramatut ehk lõplikku umbisikustamist.
23Andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud isikule või tehnilisele vahendile.
24Andmete õigsuse, täielikkuse ja asjakohasuse tagatus ning veendumus, et andmed pärinevad autentsest allikast ning neid ei ole volitamata muudetud.
25Andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile.
26Vt avaliku teabe seadus § 43.
27Vt üldmäärus art 33.
28Vt isikuandmetega seotud rikkumise mõistet üldmäärus art 4.
Last updated: 17.06.2024