Sa oled siin

Miks minu andmeid on vaadatud?

21.01.2020
Andmekaitse Inspektsiooni vaneminspektor Signe Kerge kirjutab Äripäevas, et kui on kahtlus, et teie isikuandmete vaatamiseks pole olnud põhjust, tuleb endal kõigepealt ise päringu tegijaga selguse saamiseks suhelda.

Aastast 2017 on olnud meil kõigil võimalus portaalis eesti.ee andmejälgijast näha, kes meie isikuandmeid on vaadanud. Suures pildis on väga hea, et andmejälgija tagab ajakohase ülevaate ning suurendab läbipaistvust andmete töötlemisel, sest see kõik annab meile võimaluse olla ka ise enda isikuandmete kasutamise järelevalvajaks. Samas saab inspektsioon iga päev palju küsimusi just nimelt andmejälgija teemal.

Kohe algusest peale on süsteem põhjustanud vastakaid tundeid. Inimestele üldjuhul meeldib, et andmejälgija abil saab ülevaate isikuandmete kasutamisest. Hetkel saab andmejälgija kaudu teada, kui meie andmeid on vaadatud rahvastikuregistris, retseptikeskuses, töötuskindlustuse andmekogus või siis sotsiaalteenuste ja toetuste registris. Samuti saab patsiendiportaalis digilugu.ee näha tervise infosüsteemis tehtud päringuid.

Küsitavad päringud internetis meie kohta

Paljud on aga avastanud, et nende kohta on tehtud küsitavaid päringuid. Näiteks võime tuua paljude hulgast välja ühe elulise olukorra, kus inimene sai eesti.ee andmejälgija kaudu teada, et ilma teadaoleva kokkupuuteta Tartu Ülikooli Kliinikumiga on just sealt tehtud tema kohta isikuandmete päring. Üllatajana on mõjunud paljudele ka Ridango AS, kes reeglina on sagedane külaline rahvastikuregistri andmebaasis. Samuti on inimesed märganud rohkeid päringuid Tervise Arengu Instituudilt ja seda nimekirja võiks veel jätkata, kui loetleda neid, kes uurivad isikuandmeid isikukoodi alusel.

Kuna andmejälgija ei kuva täpselt päringu tegemise põhjuseid, väljaarvatud juhul, kui inimene teeb päringu iseenda andmete kohta, siis võibki igaühel meist tekkida küsitavaid situatsioone ning segadusse sattuda on lihtne. Mõistagi tekib ka küsimus, mida teha või kuhu pöörduda, kui päringu tegemise põhjus ja taust jäävad arusaamatuks.

Andmekaitse Inspektsioon saab palju pöördumisi teemal, miks on minu andmeid vaadatud, sest usutakse, et inspektsioon teab vastuseid või kui ei tea, siis uurib need välja. Tõsi, et Andmekaitse Inspektsioon kontrollib inimeste eraelu kaitsmiseks isikuandmete kasutamise seaduslikkust. Näiteks seisab inspektsioon selle eest, et kui rahvastikuregistri andmeid kasutavad avalike ülesannete täitmiseks riik ja omavalitsused, peavad nad päringuid tegema ainult põhjendatud vajadusel. Sama kehtib ka ettevõtete kohta. Kõik andmetöötlejad peavad tegema päringuid andmekaitsereeglitega ja õigusaktidega kooskõlas, mis tähendab, et niisama uudishimutseda ei tohi.

Päringu tegija peab inimesele uudishimu põhjendama

Ent ega ka Andmekaitse Inspektsioon ei tea päringutegija põhjendusi, ilma et ta seda päringu tegijalt ei küsiks. Järelevalveasutusena saab aga inspektsioon seda teha siis, kui inimene on kasutanud ära talle antud õiguse – esitada päring selgituste saamiseks.

Kui on kahtlus, et andmete vaatamiseks pole olnud põhjust, tuleb meil endal kõigepealt ise päringu tegijaga selguse saamiseks suhelda. Küsimus tuleb saata asutusele või ettevõttele, kes on päringu teinud. Tavaliselt suudetakse küsijatele toimingu tagamaa ära selgitada. See tähendab andmetöötlejale ehk meie andmete kohta päringu tegijale vastamist vähemalt küsimustele, kes on isikuandmeid vaadanud ja millisel eesmärgil. Tavapäraseks praktikaks on saanud ka see, et inimesele antakse teada, millisel õiguslikul alusel on päring tehtud. Selleks saab olla kas nõusolek, lepingu täitmine, vastutava töötleja juriidilise kohustuse täitmine, eluliste huvide kaitse, avaliku võimu teostamine või ettevõtete puhul lisaks õigustatud huvi.

Igal andmetöötlejal on kohustus vastata arupärimisele ühe kuu jooksul. Ühe kuu pikkune tähtaeg tuleb isikuandmete kaitse üldmäärusest, mis selgitab, et „vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist küsitud teabe“. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluse keerukust ja hulka. Inimest peab aga igast taolisest pikendamisest ja viivituse põhjustest ühe kuu jooksul teavitama.

"Kui on kahtlus, et andmete vaatamiseks pole olnud põhjust, tuleb meil endal kõigepealt ise päringu tegijaga selguse saamiseks suhelda. Küsimus tuleb saata asutusele või ettevõttele, kes on päringu teinud. Tavaliselt suudetakse küsijatele toimingu tagamaa ära selgitada." Signe Kerge.

 

Probleemide tekkimisel tuleb inspektsioon appi

Kui aga inimese tehtud pöördumisele ei vastata või jääb kogu olukord endiselt segaseks, on võimalik pöörduda inspektsiooni poole. Selleks tuleb täita sekkumistaotlus, kuhu saab kirjutada, kes on inimese õigusi rikkunud ja kuidas. Täitmise juures on oluline veel see, et taotlusele oleks juurde pandud ka väljavõte päringust ning osapoolte selgitused.

Lisaks on inimesel võimalus pöörduda oma õiguste kaitseks probleemiga ka kohtu poole. Siiski rõhutaksin, et esmatähtis on kõigepealt andmetöötleja endaga ühenduse võtmine.

Kokkuvõttes on andmejälgija läbipaistva andmetöötluse tagamiseks igati põhjendatud, kuid sageli jätavad üldised päringute nimetused inimesed hätta, et mõista, miks ilma inimesele endale teadaoleva kokkupuuteta andmeid kasutatakse. Andmekaitse Inspektsioon saab inimeste õiguste rikkumisel teda aidata ja see tähendab ennekõike arusaadava vastuse saamist andmetöötlejalt.

Ja lõpetuseks, kes on siis see salapärane Ridango AS ja miks ta meie rahvastikuregistri andmeid pidevalt vaatab? Ridango AS pakub ühistranspordis elektroonse piletisüsteemi lahendust. Seega, iga kord, kui me oma rohelist kaarti ühistranspordis piiksutame, kontrollib nende süsteem meie registrijärgset elukohta.

Artikkel ilmus Äripäeva portaalis 21. jaanuaril 2020