Võtmeteemad
- Riigikohus on kuulutanud eesti elanike sideandmete eristamatu säilitamise õigusvastaseks.
- Juba kuuendat aastat järjest tuleb kurbusega tunnistada, et teravas vastuolus nii kehtiva rahvusvahelise õiguse, Euroopa Kohtu kui ka Riigikohtu praktikaga jätkatakse sideandmete säilitamist elektroonilise side seaduse § 1111 Elektroonilise side seaduse muutmiseelnõu selles muudatusi ette ei näe.
- COVID-19 pandeemia on kaasa toonud suurenenud valmisoleku põhiõiguste, sealhulgas õiguse perekonna- ja eraelu puutumatusele piiramiseks.
Poliitilised ja institutsionaalsed arengusuunad
Kitsalt tõlgendades võib väita, et vaadeldaval perioodil ei toimunud selle peatüki vaatlushaardes märkimisväärset poliitilist ja institutsionaalset arengut. See aga ei tähenda, et õigus perekonna- ja eraelu puutumatusele oleks pandeemiaolukorras marginaalseks osutunud, paljud viimase kahe aasta riskid ja võimalused sõltusid otseselt eraeluliste andmete olemasolust ja kättesaadavusest. Seetõttu muutus erakordselt aktuaalseks küsimus sellest, kas ja millises ulatuses saab õigust privaatsusele ja andmekaitsele piirata. 2020. aasta märtsi lõpus liitus Eesti riikidega, kes teavitasid Euroopa Nõukogu, et aktiveerisid inimõiguste Euroopa inimõiguste konventsiooni artikli 15, mis annab võimaluse piirata osaliselt konventsioonist tulenevaid õigusi. Õiguste seas, mille järgimist Eesti eriolukorra ajal alati ei saanud tagada, oli ka õigus austusele era- ja perekonnaelu vastu. Eriolukorra ajal analüüsis statistikaamet telekomiettevõtetelt saavate anonüümitud andmete põhjal eestlaste ja ka riigis viibivate välismaalaste liikumisi mobiilimastide levialades. Samuti oli töös Terviseameti vabatahtlik mobiilirakendus HOIA,[1] mis vahetas Bluetooth raadiosignaalide abil isikustamata koode ning võimaldas juhul, kui kasutaja oli oma haigestumise registreerinud, tema võimalikke lähikontaktseid teavitada. 2021. aasta oktoobriks oli rakendusel 272 378 kasutajat, kui vaid väike osa märkis ära oma haigestumuse.[2]
Seadusandlikud arengusuunad
Sideandmete säilitamise kord on juba seitse aastat vindunud probleem. See on pikk aeg ja seetõttu on arusaadav, et viimase kahe aasta jooksul on sellekohane areng teemaga otseselt mitte seotud valdkondades ja väljaannetes taaskord teatava uudisväärtuse omandanud. Tegelikkuses on see peaaegu lõpmatu vana asja meeldetuletamine. Õnneks on seekord ka reaalseid muudatusi, eelkõige küll puudutavad need kohtupraktikat. Eestis kehtiv universaalne kohustus säilitada metaandmeid võrgu- ja telefoniside kohta ja neid andmeid uurimiste eesmärgil edastada erinevatele avalikele asutustele tuleneb kehtetuks tunnistatud EL-i andmete säilitamise direktiivist. Seni on Eestis sideandmete sellist säilitamist jätkatud siseriikliku õiguse alusel, milleks on kehtetu direktiivi rakendussäte – elektroonilise side seaduse § 1111. 2018.–2019. aasta aruandes oli vaatluse all Justiitsministeeriumi poolt algatatud „Elektroonilise side seaduse ja sellega seonduvalt teiste seaduste muutmise eelnõu väljatöötamiskavatsus”, milles muuhulgas lubati „sätestada senisest täpsemad ja selgemad kriteeriumid olukordadele, millal on lubatud sideandmeid säilitada ning hiljem neid eri liiki menetlustes kasutada, tagades seeläbi isiku eraelu puutumatuse ja isikuandmete parema kaitse“ . Väljatöötamiskavatsus kiireid muudatusi ei toonud, osaliselt põhjendati seda sooviga oodata ära sel ajal Euroopa Liidu Kohtu menetluses olnud eelotsusetaotluste lahendid. Lahendid on nüüd olemas ja väga selgesõnalised (vt järgmist alapeatükki), seda kummalisem on, et 2021. aasta 15. septembril Riigikogus kolmandal lugemisel olnud elektroonilise side seaadus ja teiste seaduste muutmiseelnõu jättis § 1111 puutumata.[3]
29. juunil kuulutas president Kersti Kaljulaid välja isikut tõendavate dokumentide seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse, millega asutatakse elektrooniline andmekogu ABIS (ehk automaatse biomeetrilise isikutuvastuse süsteem).[4] ABIS on ristkasutatav andmebaas, kuhu koondatakse erinevatel eesmärkidel avalike asutuste poolt kogutud biomeetrilised andmeid, kuid mis ei võimalda nende sidumist biograafiliste andmetega. ABIS-e suurimaks probleemiks on tsentraliseeritus ja ristkasutusvõimalus, nii võib näiteks tulevikus elamisloa taotlemiseks antud sõrmejälge kasutada kriminaaluurimises. Delikaatsete isikuandmete tsentraliseeritud kogumine ja ristkasutus on problemaatiline ja nõuab väga täpseid reegleid ligipääsu, talletamisperioodide, kustutamise ja andmesubjektide õiguste kohta. Seega ei pruugi ABIS olla kõige parem ja turvalisem võimalus riigi käsutuses olevate biomeetriliste andmete süstematiseerimiseks, aga senine hekseldatud süsteem, millest andmete omanikud sageli teadlikudki polnud ja kus kehtis hägus reeglistik kõigis protseduurides, tõi arusaadavalt samuti kaasa suuri turva- ja konfidentsiaalsusriske. Kahjuks aga ei sisalda ka ABIS-e loomise protsess täpseid määratlusi selle kohta, milliseid andmeid andmekogus hoidma hakatakse ja kuidas ning kui kaua neid säilitatakse. Eeldusel, et see ei too kaasa süstematiseeritust ja selgust kogutavate biomeetriliste andmete, nende säilitamis- ning ligipääsureeglistiku kohta, loob kavandatav andmebaas soodsa keskkonna privaatsuspõhiõiguse ning andmekaitse reeglistiku rikkumisteks.
Kohtupraktika
Euroopa Kohus selgitas 2020. aasta oktoobris prantsuse huvikaitseorganisatsiooni Quadrature du Net algatatud kohtuasjas[5] sideandmete laussäilitamise lubatavust pärast andmete säilitamise direktiivi kehtetuks tunnistamist 2014. aasta otsuses Digital Rights Ireland. Otsus täpsustab lisaks eelmainitule hiljem ka lahendites Tele2 Sverige,[6] Ministerio Fiscal[7] käsitletud küsimusi ning kaugeneb pisut Digital Rights Irelandi ning Tele 2 Sverige resoluutsusest. Quadrature du Net`is selgitab kohus, et riik võib kohustada elektroonilise side teenuste osutajaid säilitama elektroonilise side vahendite kõikide kasutajate liiklus- ja asukohaandmeid piiratud aja vältel, juhul kui ta seisab silmitsi vahetu ja tõelise julgeolekuohuga.[8] Seega pole sideandmete säilitamise kohustus EL-i õigusega põhimõttelises vastuolus, juhul kui see teenib piisavalt kaalukat õiguspärast eesmärki ning seda toetab kättesaadav ja selge piirangute ning õiguskaitsevahendite süsteem. Meenutuseks, et Tele 2 Sverige lahend sedastas, et laussäilitamine on lubamatu sõltumata igasugustest lisatingimustest. Raskete kuritegude uurimise huvides on Quadrature du Net´i kohaselt võimalik nõuda kindla teenusekasutaja andmete sälitamist ning teenusepakkuja mõnel teisel, nt teenuse kvaliteedi või jätkuvuse tagamise, eesmärgil juba kogutud andmete väljastamist.[9] Quadrature du Net´i otsus tõi varasemasse kategoorilisse keeldu teatava paindlikkuse ning võis tekitada segadust nii nende hulgas, kes sideandmete laussäilitamist mingil põhjusel kasulikuks peavad kui ka nende hulgas, kes aktiivselt selle vastu on võidelnud.
2. märtsil, vastusena Riigikohtu eelotsusetaotlusele, tegi Euroopa Kohus teatavaks oma seisukohad seoses Eestis kehtiva elektroonilise side seaduse § 1111 ja kriminaalmenetluse seaduse § 901 tulenevast sideandmete säilitamise ja nende kriminaalmenetluses kasutamise korraga.[10] Eelotsus naaseb selgelt Digital Rights Irelandi ja Tele 2 Sverigekohtuasjades väljendatud põhimõtete juurde, samuti rõhutab see taas, et hoolimata andmete säilitamise direktiivi kehtetusest ja sisejulgeoleku siseriiklikusse reguleerimissfääri kuulumisest jääb sideandmete säilitamise ning kasutuse praktika endiselt EL-i õiguse haldusalasse, sest puudutavad otseselt teenusepakkujate tegevust ning EL-i elanike põhiõigusi.
Kohtu hinnangul ei ole Eesti siseriiklik õigus EL-i õiguse ja kohtupraktikaga kooskõlas, kuna:
- see näeb ette sideandemete üldise ja eristamatu säilitamise;
- oludes, kus prokuratuur juhib kohtueelset menetlust ja esindab vajaduse korral riiklikku süüdistust, ei saa seda käsitleda sõltumatu asutusena, kes oleks volitatud andma luba sideandmete väljanõudmiseks teenusepakkujatelt.
Euroopa Kohus selgitas, et ebaproportsionaalne kohustus säilitada kõigi teenusekasutajate sideandmeid ei saa olla aluseks õiguspäraste tõendite kogumisele. Kriminaalkohtumenetluses ei saa sellisel viisil kogutud tõenditele tugineda ka juhul, kui prokuratuur on nõudnud teavet vaid piiratud ajavahemiku jooksul registreeritud andmete kohta ja sõltumata kättesaadavate andmete hulgast ja liigist. Kui aga nõutakse sideteenuse osutajalt välja mõne kindlalt identifitseeritud kahtlusaluse andmeid, mida on kogutud mingil muul eesmärgil, saab see toimuda vaid raskete kuritegude uurimise või tõsiste julgeolekuohtude maandamise huvides.
18. juunil tegi ka Riigikohus Eesti kohtupraktikas märgilise tähendusega otsuse H.K. kriminaalasjas (vt ka aruannet 2018–2019), milles nõustus kõigi Euroopa Kohtu poolt väljendatud seisukohtadega ning järeldas, et kuritegude uurimisel ei või küsida telefoniside andmeid, mida sideettevõtted on säilitanud õigusvastase sätte alusel.[11] Elektroonilise side seaduse § 1111 õigusvastasuses ei tohiks seega enam kahtlust olla, ka ei saanud Eestit puudutav otsus Euroopa Kohtu senise praktika valguses olla mingilgi määral üllatav.
Statistika ja uuringud
Justiitsministeerium avaldas 2020. aasta novembris uuringu „Inimeste privaatsusõigused ja isikuandmete kaitsmine 2020“ tulemused.[12] Uuringu kohaselt usaldavad Eesti inimesed enim avalike asutuste ja eriti tervishoiuasutuste andmetöötluspraktikaid ja märksa vähem erasektorisse kuuluvaid teenusepakkujaid. Sealjuures tõi Andmekaitse Inspektsioon samal aastal välja asjaolu, et kõige rohkem kaebusi on olnud seotud just autoriseerimata ligipääsuga terviseandmetele. Samal ajal näitab uuring, et umbes kahel kolmandikul eesti elanikest puudub selge arusaam sellest, millised asutused ja ettevõtted nende kohta andmeid koguvad.
Euroopa Liidu Põhiõiguste Ameti 2021. aasta põhiõiguste uuringust ilmneb, et eestlastest arvab 75% vastanutest, et nad oskavad muuta veebirakenduste, -lehekülgede ja –teenuste sätteid nii, et need isikuandmeid ei koguks. See on kõige kõrgem näitaja Euroopas. Mis puudutab muret selle üle, et teenusepakkujad, õiguskaitse- või jälitusasutused, riiklikud või välisriikide luureasutused või küberkurjategijad nende andmetele ligi pääsevad ning seda ligipääsu pahatahtlikult ära kasutavad, siis eestlased platseeruvad täpselt Euroopa keskmise juurde, ilmutamata ei silmatorkavat usaldust ega kahtlust. Eestlased peavad oma teadlikkust õigusaktidest, millele toetudes on võimalik teada saada, milliseid nende andmeid teenusepakkujad kogunud ja kuidas neid kasutanud on, veidi madalamaks kui keskmine eurooplane. Suhetes avaliku sektoriga hinnatakse oma õigusteadlikkust veidi kõrgemalt. Kummalisel kombel on vastanute endi hinnangutel eestlaste teadlikkus andmekaitse üldmäärusest üks madalamaid terves Euroopas. Üldiselt olid nooremad ning kõrgema sissetulekuga inimesed usaldavamad ning samas enda hinnangul ka teadlikumad tehnilistest ja õiguslikest võimalustest oma privaatsuse eest seista. Mees- ja naissoost vastanute vahel teravaid erinevusi ei ilmnenud.[13]
Lootustandvad ja head tavad
Lootustandvaks ja heaks tavaks võib pidada eelpool viidatud eestlaste enese raporteeritud suhteliselt head teadlikkust veebikeskkondade privaatsusseadetest ja võimalustest neid vastavalt oma eelistustele kohandada.[14] Kindlasti on heaks, ent veel üsnagi uueks tavaks vabaühenduste ja huvikaitse tegevusvaldkonna ning võimaluste laiendamine, näiteks andmekaitse- ja digitaalvaldkondadest alates 2021. aastast ka Eesti Inimõiguste Keskuse üks põhilisi tegevussundi, milles pakutakse nõustamisteenust ja loodetakse tulevikus tegeleda ka huvikaitse- ning strateegilise hagelemisega.[15] [16]
Olulisemad avalikud arutelud
Avalikes aruteludes on sageli esile kerkinud sideandmete säilitamise kui ka biomeetriliste andmete kogumise ja kasutuse temaatika. Esimese puhul rõhutatakse sageli nende asendamatust kuritegevusevastases võitluses, samas on selle kohta raske leida avalikult kättesaadavaid statistilisi tõendeid, nt prokuratuuri taotluse alusel väljastatud sideandmete hulga suhte kohta edukalt lahendatud kuriteojuhtumitega. Samuti tuletatakse meelde seda, et laussäilitamiskohustus on praeguseks juba küllaltki vana õigustühise EL-i direktiivi relikt ning on asjatu eeldada, et sideandmete säilitamine saaks Eestis praegusel kujul edasi kesta. Biomeetriliste andmete säilitamine pole varem sedavõrd laialdast tähelepanu pälvinud, seega on õigustatult esitatud kriitilisi küsimusi ABIS-e proportsionaalsuse ja vajalikkusse kohta, aga ka selgitatud biomeetriliste andmete võimalikke kasutusviise julgeoleku ning ohutuse tagamisel ning põgusalt kritiseeritud ka senise süsteemi kaootilisust.
Suundumused ja tulevikuvaade
Suundumuseks võib pidada õigusteadlikkuse kasvu, aga samas ka ilmselt pandeemiaoludega põhjendatavat suuremat valmisolekut põhiõiguste piiramiseks. Suuremale teadlikkusele ja positiivsele kohtupraktikale vastukaaluks eksisteerib ka reaalne tendents valida julgelt ja avalikult privaatsust piirav lähenemine – vt nt ABIS-e ja elektroonilise side seaduse muutmiseelnõuga seonduv – ja ka pandeemiaoludega kaasnenud suurem digitaalne sõltuvus ning haavatavus.
Juhtumikirjeldus
Kõige oluliseks individuaalseks juhtumiks, mis vaatlusperioodil lahenduse sai, on kindlasti isiku H.K. pisivargusi puudutanud kriminaalasi. H. K. oli kohtus süüdi mõistetud aastatel toime pandud 2015–2016 varguste eest. H.K. mõisteti esimese ja teise astme kohtus süüdi, tuginedes osaliselt elektroonilise side seaduse alusel sideettevõttelt saadud elektroonilise side andmetele, mille uurimisasutus oli kohtueelse menetluse käigus sideettevõtjalt ringkonnaprokuratuuri prokuröri antud eri lubade alusel saanud. Kaitsja vaidlustas süüdimõistvad otsused Riigikohtus. Kaitsja hinnangul tuleb sideettevõtjatelt saadud eristamatu säilitamiskohustuse tulemusena kogutud andmeid käsitleda lubamatute tõenditena. Riigikohus esitas 2018. aasta novembris Euroopa Kohtule eelotsusetaotluse, millega soovis teada, kas Euroopa Kohtu hinnangul kujutab metaandmete säilitamine ja nende jagamine riigiasutusega põhiõiguste sedavõrd rasket riivet, et see peab olema reserveeritud vaid raskete kuritegude uurimise tarbeks, sõltumata sellest, millist ajavahemikku vaadeldavad andmed puudutavad. Teiseks esitati küsimus selle kohta, kas ligipääsetavate andmete hulk (nii mahu kui ajalise ulatuse tähenduses) on seotud uuritavate kuritegude raskusega – s.t et väiksemate andmehulkade kogumine kujutab endast väiksemat riivet ning on õigustatav ka kergemate kuritegude uurimise eesmärgil, sisult ning ajaliselt laiahaardelisemaid andmeid võib koguda aga vaid raskete kuritegudega võitlemiseks. Kolmandaks huvitas Riigikohust see, kas kohtueelset menetlust juhtivat prokuratuuri võib käsitleda sõltumatu haldusasutusena, kelle eelnevale loale ja järelevalvele peab andmetele ligipääs olema allutatud vastavalt otsusele Tele 2 Sverige.[17] Euroopa Kohus tunnistas Eestis kehtiva sideandmete säilitamise korra EL-i õigusega vastuolus olevaks, lahendist saab täpsemalt lugeda peatüki „Kohtupraktika“ jaotusest. 2021. aasta 18. juunil tegi ka Riigikohus Eesti kohtupraktikas märgilise tähendusega otsuse, milles nõustus kõigi Euroopa Kohtu seisukohtadega ning järeldas, et kuritegude uurimisel ei või küsida telefoniside andmeid, mida sideettevõtted on säilitanud õigusvastase sätte ESS § 1111 alusel. Elektroonilise side seaduse muutmise eelnõu kahjuks aga laussäilitamise kohustuse tühistamist ette ei näe.
Soovitused
- Viia sideandmete säilitamise kord kiiremas korras kooskõlla riikliku ja EL-i kohtupraktika ning õigusega.
- Viia läbi ulatuslik nii tehnilist, õiguslikku kui laiemat ühiskondlikku vaadet hõlmav audit biomeetriliste andmete kogumise ja säilitamise senise korra üle.
[1] TEHIK. 2020. Telefonirakendus “HOIA” privaatsustingimused, 21.08.2020.
[2] Allik, H. 2021. Ebaõnnestumiste rägastik: kuidas HOIA rakendus on läbi kukkunud, Postimees, 22.02.2021.
[3] Majandus- ja kommunikatsiooniministeerium. 2021. Elektroonilise side seaduse, ehitusseadustiku ja riigilõivuseaduse muutmise seadus.
[4] Riigikogu. 2021. Isikut tõendavate dokumentide seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seadus 366 SE.
[5] Euroopa Liidu Kohtu 06.10.2020. a otsus liidetud kohtuasjades nr C‑511/18, C‑512/18 ja C‑520/18.
[6] Euroopa Liidu Kohtu 21.12.2016. a otsus Tele2 Sverige AB vs. Watson jt. ühendatud kohtuasjades nr C‑203/15 ja C‑698/15.
[7] Euroopa Liidu Kohtu 02.10.2018. a otsus kohtuasjas nr C-207/16.
[8] Euroopa Liidu Kohtu 06.10.2020. a otsus liidetud kohtuasjades nr C‑511/18, C‑512/18 ja C‑520/18, § 137.
[9] Euroopa Liidu Kohtu 06.10.2020. a otsus liidetud kohtuasjades nr C‑511/18, C‑512/18 ja C‑520/18, § 141.
[10] Euroopa Liidu Kohtu 02.03.2021. a otsus kohtuasjas nr C‑746/18.
[11] Riigikohtu kriminaalkollegiumi 18.06.2021. a otsus kohtuasjas nr 1-16-6179.
[12] Justiitsministeerium. 2020. Inimeste privaatsusõigused ja isikuandmete kaitsmine 2020, 05.11.20.
[13] Euroopa Liidu Põhiõiguste Amet. 2021. Fundamental Rights Survey, Data Protection and Privacy. [Põhiõiguste uuring, andmekaitse ja privaatsus].
[14] Ibid.
[15] Eesti Inimõiguste Keskus. 2021. Keskuse tegevus laieneb, 25.05.2021.
[16] Eesti Inimõiguste Keskus. 2021. Keskus alustab nõustamis andmekaitse ja privaatsuse vallas, 04.10.2021.
[17] Euroopa Liidu Kohus. 2018. Kohtuasi C-746/18: Eelotsusetaotlus, mille esitas Riigikohus (Eesti) 29. novembril 2018 – H. K. versusProkuratuur.
