Seire tulemusel selgus, et SMS-vahendusteenuse puhul käsitletakse agregaatorite rolli ekslikult iseseisvate vastutavate töötlejatena, kuigi tegelikkuses toimivad nad pigem volitatud töötlejatena kliendi juhiste alusel. Lisaks tuvastati, et turvameetmete tase on osapoolte vahel erinev ning pigem reaktiivne. Ennetava kontrolli puudumine võib aga seada ohtu isikuandmete turvalisuse.
Selgituseks, et SMS vahendusteenus on teenus, millega üldjuhul klient (ettevõtte või eraisik) saab tellida mass-sõnumite saatmise lõppkliendi seadmesse. Selleks kasutatakse vahendusteenust ehk agregaatorit, kes omakorda jaotab sõnumid vastavate mobiilsideoperatoorite vahel.
Seire esimeses etapis esitati järelepärimine Eesti mobiilsideoperaatoritele ja teises etapis Eestis tegutsevatele SMS vahendusteenuse pakkujatele. Vastuste pinnalt saime teha järgnevad järeldused.
Kuidas on üles ehitatud andmetöötluse ahel?
Andmevahetuse ahela skeem kujutab andmevoogu klientide ja lõppklientide seadmete vahel. Kliendid (eraisikud või juriidilised isikud) algatavad teenuse agregaatoriga teatud sõnumi gateway (XML API vms lahendus) kaudu. Agregaator omakorda edastab andmed lõppkliendi telefoninumbri alusel vastavale mobiilsideteenustele SMPP või REST API kaudu. Mobiilsideteenused suunavad seejärel info lõppklientide seadmetesse.
Andmetöötlejate rolliselgus
Kogutud vastuste pinnalt järeldati SMS vahendusteenuse puhul, et agregaatorid on iseseisvad vastutavad töötlejad. Selline käsitlus ei ole AKI hinnangul kooskõlas isikuandmete kaitse üldmääruse (IKÜM) loogikaga ega Euroopa Andmekaitsenõukogu juhistega (Guidelines 07/2020).
SMS vahendusteenuse puhul edastab klient (ettevõte või eraisik), kes soovib sõnumit saata, agregaatorile isikuandmeid: saaja info ning sõnumi sisu (sh võib selle taotluse korral teatavaks saada ka teised isikuandmed). Agregaator omakorda edastab need andmed mobiilioperaatorile, kes tagab sõnumi kohaletoimetamise. Kuigi operaator ei pruugi näha sõnumi sisu, töötleb ka tema saaja isikuandmed IKÜM artikli 4 lõike 1 ja 1 tähenduses.
Lisaks toimub andmetöötlus algse taotluse esitanud kliendi nimel ja eesmärgil – klient algatab sõnumi saatmise, valib sihtrühma ning määrab sõnumi sisu. Agregaator tegutseb seejuures kliendi nimel ja juhiste alusel, mistõttu on ta pigem volitatud andmetöötleja IKÜM artikli 4 lõike 8 ja artikli 28 tähenduses.
Samas saab nõustuda sellega, et mobiilioperaator võib olla SMS vahendusteenuse osas iseseisev vastutav töötleja, kes pakub sideteenust elektroonilise side seaduse alusel. Seega võib väita, et tema kohustused andmete töötlemisel ja säilitamisel tulenevad seadusest, mistõttu on ta ka iseseisev vastutav töötleja nende andmete suhtes.
Andmetöötluse ahela puhul võib vale rollimääratlus vähendada läbipaistvust ja raskendada oma õiguste tagamist andmesubjekti ehk lõppkliendi jaoks ning samuti võib kaasa tuua vastutuse hajumise erinevate osapoolte jaoks nt pettuste ennetamisel ning nende käsitlemisel. Seejuures on ääretult oluline, et kõigil osapooltel on selge nende roll andmetöötluses ja sellest tulenevad kohustused.
Reaktiivne lähenemine turvalisusele
Mobiilsideteenuse osutajad ja SMS vahendusteenuse pakkujad on AKI hinnangul küll kasutusele võtnud erinevaid tehnilisi ja korralduslikke turvameetmeid (nt krüpteerimine, logimine, turbeauditid), kuid tuvastasime, et andmetöötluses osalevatel osapooltel puudub piisav ennetav kontroll sõnumite sisu ja saatjate suhtes. Enamikel juhtudel reageeritakse vaid andmesubjektide kaebustele. See ei pruugi olla aga piisav IKÜM artikli 32 nõuete täitmiseks, mis eeldab proaktiivseid turvameetmeid.
Oluline on rõhutada, et agregaatoritele saadetud andmete hulk (sõnumite sisu ja lõppkliendi andmed) on sageli avatud tekstida, st krüpteerimata kujul. Agregaatoritel on seega tehniline võimalus näha kogu saadetava info sisu. On ääretult oluline, et agregaatorite infosüsteemide turvalisus oleks tagatud kõrgel tasemel.
Kõigil andmetöötluse osapooltel, sealhulgas operaatoritel ja agregaatoritel, on kohustus teha koostööd, et rakendada ühtseid ja mõjusaid lahendusi, mis aitavad ennetada sõnumite teel levivaid pettuseid ning tagada isikuandmete asjakohase turvalisuse. Täpsemad soovitused said seires osalejad eraldiseisva kirjaga.
Last updated: 02.10.2025