Loe, kuidas on Eestis reguleeritud isikuandmete äriline kasutamine
3. november 2014, 15:25
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Andmekaitse inspektsiooni peadirektor Viljar Peep tõi välja põhimõtted, mis kehtivad isikuandmete ärilisele kasutamisele ning mille ellu rakendamiseks kehtivad nii Euroopas kui ka Eestis täpsemad reeglid.
1) andmete kogumiseks-kasutamiseks peab olema nõusolek või seaduslik alus;
2) andmeid võib koguda üksnes nii palju kui konkreetse seadusliku eesmärgi täitmiseks vaja;
3) ühel eesmärgil kogutud andmeid võib teisel eesmärgil kasutada või teistele osapooltele üle anda üksnes siis, kui selleks on eraldi nõusolek või seaduslik alus,
4) andmeid tuleb koguda nii, et nad oleksid eesmärgi saavutamiseks asja- ja ajakohased,
5) inimesel peab olema õigus teada saada, mis andmeid tema kohta on kogutud,
6) kogutud andmeid tuleb hoida turvaliselt.
Isikuandmete ärilist kasutamist korraldab Euroopas 1995. a. vastuvõetud isikuandmete kaitse direktiiv. Eestis vastab sellele isikuandmete kaitse seadus. Telekomi ehk elektroonilise side sektor on tänapäeva infoühiskonna arengu tehniline vundament. Selle valdkonna jaoks on Euroopa ja Eesti seadusandja kehtestanud täiendavaid nõudeid (eraelu kaitset ja elektroonilist sidet käsitlev direktiiv aastast 2002 koos hilisemate muudatustega, Eestis elektroonilise side seadus).
Sidesektoris kehtivad selle suurt mõju arvestades täiendavad nõuded - näiteks peab sideettevõte rakendama täiendavaid turvameetmeid. Ta peab ise informeerima kliente ja järelevalveasutust isikuandmete leketest. Kui masin saadab elektroonilisi sidevahendeid kasutades reklaami, siis kehtivad täiendavad piirangud.
Infotehnika areneb väga kiiresti ning seetõttu tekib Peebu sõnul ikka küsimusi, kas 1995. ja 2002. aastast pärit õigusraamistik on inimeste eraelu kaitsmiseks piisav. «Minu arvates on tänase Euroopa andmekaitseõiguse tugevus just nimelt selles, et ta on tehnoloogia-neutraalne. See tähendab, et seadusandja ei püüa reguleerida konkreetset tehnilist nähtust, vaid lähtutakse ikka ühesugustest aluspõhimõtetest,» kirjeldas Peep.
Tehnika areneb paraku Peebu sõnul alati kiiremini kui õigusnormid. «Kindlal ajahetkel olemas olnud konkreetsele tehnoloogiale suunatud õigusraamistik hakkaksid ühest küljest edasist arengut pidurdama. Teisest küljest tekiks aga kogu aeg uusi tehnoloogiaid, mille kohta reegleid ei oleks,» selgitas Peep.
1995. a kokkulepitud põhimõtteid saab kasutada kõigi hiljem levinud tehniliste uuenduste kohta - olgu selleks interneti-otsingumootorite levik, droonidega lennutatavad kaamerad või suurandmed.
Suurandmetena mõistab inspektsioon eri allikaist eri liiki andmemassiivide kogumist-kasutamist. Näiteks liidetakse kokku suhtluskeskkondadest ja mujalt internetist vabalt kättesaadavad teksti-, pildi- ja heliandmed, oma kliendiandmebaasi ja digiteenuste andmed (sh kliendikaardi või loosikupongide täitmisel antud isikuandmed, kliendi ostuajalugu, kliendi arvutisse istutatud netiküpsised), riigi avalikest registritest saadud andmed jne.
«Suurandmete ärilist kasutamist on tõepoolest raskem jälgida ja kontrollida. Kuid iseenesest ei ole nende kogumine-kasutamine probleem - kui järgitakse õiguspärase aluse ja eesmärgi nõuet, samuti kvaliteedi, minimalismi, turvalisuse nõudeid ning kliendil on õigus pääseda enda kohta kogutud andmete juurde,» kirjeldas Peep.
Hetkel tegeleb riik oma andmete masinloetaval kujul allalaetavuse ehk avaandmetena kättesaadavaks tegemisega.
«Suurem probleem on pigem inimene ise. Me ei adu sageli, et kõike, mida me küberruumi enda ja teiste kohta jätame, võib ära kasutada keegi kolmas ja hoopis temale vajalikel eesmärkidel. Me ei mõista tihti, et anname iseenda kohta vabatahtlikult ja tasuta liiga palju teavet ära - kliendikaardi või loosikupongi täites või telefonis tasuta rakendust alla laadides. Me ei saa mõnikord aru, et meie andmed on kaup,» rääkis Peep.