Võtmeteemad
- Kuigi nüüd saab kriminaalmenetluse raames sideandmeid välja küsida kohtu loa alusel, on endiselt muutmata Euroopa Kohtu ja Riigikohtu praktikaga vastuolus olev elektroonilise side seaduse § 1111, mis kohustab sideettevõtjaid kõigi Eesti elanike sideandmeid eristamatult säilitama.
- Nii digiteenuste kui ka tehisintellekti reguleerimisel on olulisel kohal isikuõiguste kaitse.
- Äriregistri kaudu on avaandmetena vabalt ja tasuta kättesaadavad ka isikuandmed.
- Lihtsustada andmekaitsealaste trahvide määramist.
- Kinnipidamiskeskuses tuleb tagada ligipääs internetile ja mobiiltelefonidele.
Poliitilised ja institutsionaalsed arengud
Vaadeldaval perioodil toimus mitmeid olulisi muutusi Eestis ja ELis, mis mõjutavad perekonna- ja eraelu puutumatust. Üheks prioriteetseks suundumuseks Eesti riigil on olnud ava- ja suurandmete tõhusam kasutusse võtmine.[1] Alates 1. oktoobrist 2022 muudeti Eestis äriregistri andmed kõigile tasuta kättesaadavaks. Nende avaandmete hulgas on tihti ka isikuandmeid, näiteks juhatuse liikmete, tegelike kasusaajate või füüsilisest isikust ettevõtjate isikukoodid, telefoninumbrid, e-posti aadressid ja/või kodused aadressid.[2] Samal ajal analüüsis Euroopa Kohus[3] äriregistrites tegelike kasusaajate andmete avalikustamist ja leidis, et üldsusele vabalt selliste andmete kättesaadavaks tegemise kohustus on õigusvastane, riivab ebaproportsionaalset isikute õigust eraelu puutumatusele ning otsustas, et päris igaühel ei ole vaja omada sellist avatud ligipääsu isikuandmetele.
Lisaks avaandmetele on tõhustatud ka biomeetriliste andmete kasutust nii politsei ja piirivalve töös kui ka muude avalike ülesannete täitmisel. 3. jaanuaril 2022 jõustus Automaatse Biomeetrilise Isikutuvastuse süsteemi andmekogu (ABIS) põhimäärus, mis paneb paika andmekogu andmetöötluse põhimõtted ja alused.[4] ABIS on elektrooniline ristkasutatav andmebaas, kuhu on erinevatel eesmärkidel avalike asutuste poolt kogutud biomeetrilised andmed. ABIS-es on biomeetrilisteks andmeteks näo-, sõrmejäljekujutised ja peopesajäljed. Kuigi ABIS-t võib pidada läbipaistvamaks ja reguleeritumaks varasemast hekseldatud süsteemist, mille puhul olid biomeetrilised andmed kogutud erinevate ministeeriumite haldusalas olevatesse andmekogudesse ja andmekogud polnud piisavalt reguleeritud, kätkeb ABIS endas turvalisus- ja konfidentsiaalsusriske seoses delikaatsete andmete tsentraliseeritusega. Õigusriigi seisukohalt on problemaatiline asjaolu, et andmetöötluse tingimused on paika pandud täitevvõimu tasandil valitsuse määrusega (mitte seaduse tasandil[5]).[6]
Seoses viimastel aastatel toimunud uue tehnoloogia võidukäiguga, kui populariseerus tehisintellektilahenduste (näiteks pildigeneraatorite ja juturobotite) kasutus, on tehtud olulisi poliitilisi samme selliste automatiseeritud ja ennustavate süsteemide reguleerimiseks. 2023. aastal elavnesid arutelud Euroopa Liidus tehisintellekti reguleerimise üle ning olulise sammuna ELis kasutatavate tehisintellektisüsteemide ohutumaks, läbipaistvamaks, keskkonnasõbralikumaks ja põhiõigusi vähem riivamaks muutmiseks võttis juunis Euroopa Parlamendi täiskogu vastu muudatusettepanekud 2021. aastal Euroopa Komisjoni poolt algatatud tehisintellekti määruse asjus.[7] Määrus on laiaulatuslik tehisintellekti reguleerimise õigusakt, mis lähtub süsteemide riskiastmest ja vastavalt süsteemi riskiastmele kehtestatakse regulatsiooniga täiendavad kohustused teenusepakkujatele. Süsteemid, mis mõjutavad märkimisväärselt kasutajate turvalisust ja põhiõigusi, liigitatakse suure riskiga tehisintellektisüsteemideks. Inimestele ohtlikud ehk lubamatu riskiga tehisarusüsteemid keelatakse.[8], [9], [10] ELi tehisintellekti määrus on hetkel kolmepoolsetel läbirääkimistel ja määruse vastuvõtmist oodatakse 2024. aasta alguseks.
Seadusandlikud arengud
Alates 1. novembrist 2023 lihtsustus andmekaitsealaste rikkumiste eest trahvide määramine. Uued karistusseadustiku sätted võimaldavad suuremaid trahve, pikemat aegumistähtaega ning lihtsustavad ettevõtjate vastutusele võtmist isikuandmete kaitse üldmääruse (IKÜM) rikkumiste eest.[11] Uues redaktsioonis vastutab juriidiline isik ka juhul, kui väärtegu on toime pandud mistahes isiku poolt juriidilise isiku organi, tema liikme, juhtivtöötaja või pädeva esindaja korraldusel või kui rikkumine on tingitud juriidilise isiku puudulikust töökorraldusest või järelevalvest.[12] Muudatus võimaldab Andmekaitse Inspektsioonil edaspidi IKÜMis ettenähtud nn hiigeltrahve määrata ja ettevõtteid vastavalt IKÜMi nõuetele heidutada.
Pikalt muutumatu põhiõigusi rikkuv praktika on olnud elektroonilise seaduse alusel sideettevõtjate poolt kõigi elanike sideandmete kogumine ja kasutamine.[13] Positiivseks pisisammuks saab pidada alates 2022. aasta algusest jõustunud kriminaalmenetluse seadustiku muudatust, mille järgi annab nüüd kriminaalmenetluse raames kogutavate sideandmete päringuteks lube kohus (varasemalt andis lube prokurör).[14] Muutmata on aga endiselt elektroonilise side seaduse § 1111 lõiked 2 ja 3, mis põhiõigusi õigusvastaselt riivavad, kohustades sideettevõtjaid kõigi elanike sideandmeid aastaks säilitama, mida võivad loetletud riigiasutused välja küsida ka muudel juhtudel kui kriminaalmenetluse puhuks. Nagu ka eelmise perioodi aruandes[15] on selgitatud, on sideandmete vahettegemata laussäilitamine tunnistatud ELi õigusega vastuolus olevaks ja eraelu puutumatust rikkuvaks Riigikohtu[16] ja ELi kohtu[17] poolt. Justiitsministeeriumi tegevuskavas pole plaanis seadust muuta.[18]
Murranguliseks sammuks tehnoloogiahiidude vastutusele võtmisel on 16. novembril 2022 jõustunud ELi digiteenuste õigusakt (DSA), mille eesmärk on peatada tehnoloogiahiidude (sotsiaalmeedia platvormid, veebipoed, otsingumootorid) poolt kasutatavad varjatud süsteemid (nagu jälitavad reklaamid), piirata tõhusamalt ebaseadusliku veebisisu levikut ja tagada kasutajatele parem kontroll oma isikuandmete kasutamise üle veebireklaamis ja põhiõiguste tugevam kaitse internetis.[19] Digiteenuste õigusaktiga kehtestatakse täiendavad läbipaistvuskohustused ning selgemad reeglid reklaami ja sponsoreeritud sisu märgistamiseks. Keelustati suunatud reklaam, mis põhineb isiku seksuaalsel sättumusel, usutunnistusel, etnilisel kuuluvusel või poliitilistel veendumustel. Tugevdati alaealiste kaitset ja keelati suunatud reklaamid alaealistele.[20]
Kohtupraktika
Riigikohtu põhiseaduslikkuse järelevalve kolleegium leidis 2023. aasta otsuses, et varjupaigataotlejate kinnipidamiskeskustes kehtiv sidevahendite keeld, sealhulgas mobiiltelefonide ja interneti kasutamise piiramine, on vastuolus Eesti põhiseadusega, rikub eraelu- ja perekonna puutumatust ja vastav põhiõiguste piirang on kehtetu.[21] Võttes arvesse Eesti Inimõiguste Keskuse algatatud kohtukaasust[22], peab Siseministeerium viima sisse muudatused, rakendades ainult vajalikke ja proportsionaalsed piiranguid.[23] Kinnipidamiskeskuse sisekorraeeskirja muudatuse kohaselt lubatakse nüüd kinnipidamiskeskuses viibivatele välismaalastele tagada vähemalt üks tund mobiiltelefoni- ja andmesideteenuse kasutamist päevakavas sätestatud vabal ajal, tingimusel, et sellega ei ole võimalik teha foto- ega videosalvestisi ja kui see ei ohusta kinnipidamiskeskuse sisekorda ega takista väljasaatmise täideviimist.[24] Kuigi see on positiivne areng, jätkatakse endiselt varjupaigataotlejate perekonnaelu, eraelu puutumatuse ja väljendusvabaduse piiramist, mida interneti ja mobiiltelefonide kasutamine võimaldab.
Lootustandvad ja head praktikad
2022. aastal jättis Andmekaitse Inspektsioon (AKI) avaldustele ressursipuuduse tõttu õigeaegselt või üldse vastamata ja venima on jäänud isikuandmete järelevalve, rikkudes seega IKÜMist tulenevaid nõudeid.[25] Lootustandva trendina võib näha seda, et veebruaris 2023 laienes AKI pärast eelarve tõstmist peaaegu poole võrra (suurendati töökohtade arvu ja töötasusid).[26] Sellega tähtsustatakse andmekaitsealase järelevalve rolli, võimaldades inspektsioonil senisest tõhusamalt seadusega antud kohustusi täita ja valdkonda arendada.
Olulisemad avalikud arutelud
Laiakõlalise[27], [28], [29], [30] isikuandmete kaitse ja eetika küsimuste arutelu vallandas 2023. aasta augustis Pere Sihtkapitali poolt rahvastikuregistrist uuringu jaoks 24 000 naise andmete väljaküsimine. Sihtkapital küsis lastetuse uuringu tarbeks Tartu Ülikooli nimel välja tuhandete Eesti naiste andmed (sh kontaktandmed uuringust hoidunute survestamiseks) ja saatis neile küsimustiku, mille sisu sai avalikkuselt teravat tagasisidet delikaatsete küsimuste tõttu (nagu samasoolised suhted, erakonna eelistused, laste arv).[31] Uuringul puudus eetikakomitee (ja AKI) luba ning Tartu Ülikooli heakskiit.[27], [32], [33] Skandaali tulemusel salastasid tuhanded eestlased oma andmed rahvastikuregistris eraettevõtetele.[34] Lisaks kõigele sai avalikkusele teatavaks veel asjaolu, et rahvastikuregistris nõusoleku andmine andmetöötluseks on vastuolus IKÜMi nõusoleku mõttega, mille järgi oleks pidanud inimesed andma eelnevalt oma andmete edastamiseks selgesõnalise nõusoleku, nõusolekud ei tohiks olla ette märgitud (ehk kehtis ebaseaduslik opt-out nõusoleku andmise süsteem).[35] Tõusetus ka küsimus, kas sellise laiamahulise andmebaasi puhul ei peaks isikuandmete väljastamisel mitte veenduma, et saajal on õiguslik alus andmete töötlemiseks ja vastavad load olemas.[36]
Trendid ja tulevikuvaade
Kiiresti arenevas info- ja andmeühiskonnas, kus andmed on saanud valuutaks nii ettevõtetele kui ka riikidele, omab õigus privaatsusele ja andmekaitsele üksikisiku huvide kaitsel erilist tähtsust. Valdkonna arendamisel, sh teadlikkuse tõstmisel ja andmekaitse reeglite ühtlustamisel on omajagu mõju olnud IKÜMil. Eestis on üheks oluliseks künniseks IKÜMis ette nähtud trahvimehhanismide rakendamisel haldustrahvide puudumine. Viimasel ajal on aga nii siseriiklikult kui ka ELis märgata, et andmekaitsealaste rikkumiste trahvimist ning monitoorimist on hakatud tõsisemalt võtma.[37], [38] See mõjub andmesubjekti õigustele positiivselt, sest järelevalveasutuste rangus andmekaitse austamisele motiveerib ettevõtteid tavainimeste andmeid rohkem austama, mis omakorda tähendab suuremat eraelu ning privaatsuse kaitset.
Juhtumikirjeldus
Juhtum puudutab andmekaitsealast riivet, kus inimest pildistati tema töö juures ning hiljem avaldati pildilolijate nõusolekuta nii pilt kui ka pildi juures olevad isikuandmed meediaväljaannetes ning fotokonkursi raames üleriigilisel näitusel. Isik aga sai aru, et pilt jääb tööandja poolt tööalaseks kasutamiseks (personalifotodeks) ning vastupidist ei selgitanud neile ei fotograaf ega ka tööandja. Pildil olevad isikud leidsid hoopis üllatusena pildid koos nende nimede, rahvuse, pagulasstaatuse, ameti ja töökoha infoga meedia- ja tänavaruumist.
Pildil olev isik pöördus Eesti Inimõiguste Keskuse abiga fotograafi, AKI ja hiljem halduskohtu poole tema isikuandmete töötlemise lõpetamiseks, kuid ametiasutused ei leidnud andmekaitsealast rikkumist. Kohus leidis asja nr 3-23-1054 lahendis, et kunsti- ja ajakirjandusvabaduse tõttu võiski fotograaf pildi avalikustada meedias ja saata foto hiljem konkursile. Kaebaja leidis, et fotograaf oleks pidanud teavitama pildil olijaid oma identiteedist (et on pressifotograaf) ja fotode kasutamise eesmärgist (avalikustamine meedias ja näitusel), sest nii oleksid inimesed saanud teha teadliku valiku, kas osaleda pildistamisel. Kohus leidis, et kuna fotograaf eemaldas pärast kaebaja pöördumist osadest väljaannetest isikute nimed ja pagulasstaatuse, siis isikute eraelu riive oli maandatud. Kuigi ajakirjandus- ja kunstivabadus on ühiskonnas kahtlemata olulised, siis paraku on lahend isikukaitse seisukohalt murettekitav, kuna viitab justkui, et andmesubjekt peaks ise olema suuteline ette nägema võimalikke andmekaitsealaseid riiveid, mis pole aga eluliselt võimalik ega ühti ka andmekaitseõiguse (IKÜMi) põhimõttega, et selgitamiskohustus on andmetöötlejal.
Soovitused
- AKI peaks sõltumatu järelevalveasutusena strateegiliselt, süstemaatiliselt ja proaktiivselt isikuandmete kaitse üle järelevalvet teostama ja valdkonda arendama.
- Isikuõiguste kaitse tuleks ühiskondlike hüvede pakkumise ja õiguste teostamise kõrval (näiteks riigi turvalisus või sõna- ja teabevabadus vs isikuandmete kaitse) põhjalikumalt läbi kaaluda. Põhiõigusi piirav meede ei pea olema lihtsalt eesmärgipärane, vaid ka sobiv, vajalik ja mõõdukas.
- Viia sideandmete säilitamise kord kooskõlla riikliku ja ELi kohtupraktika ja õigusega.
- Kinnipidamiskeskuses tuleb tagada ligipääs internetile ja mobiiltelefonidele.
Igasugused arvamused ja hinnangud siin avaldatud peatükis on isiklikud ja ei väljenda ühegi asutuse ametlikku seisukohta.
[1] Vabariigi Valitsus. 2022. Eesti Vabariigi strateegia “Eesti 2035”. Materjalid, 07.10.2022.
[2] Keskel, A-J. 2022. Äriregistri andmed on homsest tasuta kättesaadavad, Postimees, 30.09.2022.
[3] Euroopa Kohtu 22.11.2022 otsus liidetud kohtuasjades C-37/20 ja C-601/20.
[4] Riigi Teataja. 2022. Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, RT I, 03.10.2023, 17.
[5] Riigi Teataja. 2021. Isikut tõendavate dokumentide seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seadus, RT I, 08.07.2021, 1.
[6] Sarv, H. 2021. Õiguskantsler näeb ABIS-es mitut tõsist probleemi, ERR, 29.06.2021.
[7] Euroopa Parlament. 2023. Euroopa Parlament on valmis alustama nõukoguga läbirääkimisi esimeste tehisintellekti reeglite üle, 14.06.2023.
[8] Euroopa Parlament. 2023. Tehisintellekti määrus: ELi plaan reguleerida tehisintellekti, 14.06.2023
[9] Euroopa Parlament. 2023. Euroopa Parlament on valmis alustama nõukoguga läbirääkimisi esimeste tehisintellekti reeglite üle, 14.06.2023.
[10] Euroopa Parlament. 2023. Parliament’s negotiating position on the artificial intelligence act, juuni 2023.
[11] Kärner, M. 2023. Muudatused juriidilise isiku süüteovastutuses, Juridica 2023/4-5.
[12] Kuuskmaa, L. M., Miidla, M. 2023. Eesti lihtsustab karistusseadustiku muudatustega andmekaitsealaste rikkumiste eest trahvide määramist, Sorainen, 15.05.2023.
[13] ERR. 2023. Eesti kogub jätkuvalt kõigi inimeste sideandmeid, 04.08.2023.
[14] Riigi Teataja. 2021. Riigi Teatajas avaldati kriminaalmenetluse seadustiku muutmise seadus, 22.12.2021.
[15] Väljataga, A. 2021. Inimõigused Eestis 2022: Õigus perekonna- ja eraelu puutumatusele, Eesti Inimõiguste Keskus.
[16] Riigikohus. 2021. Riigikohus: riik ei saa sidefirmade kogutud andmeid kuritegude uurimiseks välja nõuda, 18.06.2021.
[17] ERR. 2022. Euroopa Kohus: sideandmete lausaline säilitamine on õigusvastane, 05.04.2022.
[18] Justiitsministeerium. Strateegilised alusdokumendid.
[19] Euroopa Komisjon. 2023. Digiteenuste seadus: Küsimused ja vastused.
[20] Euroopa Parlament. 2022. Digiteenuste õigusakt: murranguline kokkulepe turvalise veebikeskkonna loomiseks, 25.04.2022.
[21] Riigikohtu põhiseaduslikkuse järelevalve kolleegiumi 20.06.2023 otsus asjas 5-23-16/15.
[22] Tallinna Halduskohtu 20.03.2023 otsus haldusasjas 3-22-2355.
[23] Vähi, M-L., Tuuling, K., Ponomarjova, U. 2023. Riigikohus: varjupaigataotlejate suhtlusvõimaluste piiramine on vastuolus Eesti põhiseadusega, Eesti Inimõiguste Keskus, 20.06.2023.
[24] Riigi Teataja. 2023. Siseministri 16. oktoobri 2014. aasta määruse nr 44 „Kinnipidamiskeskuse sisekorraeeskiri” muutmine, RT I, 10.10.2023, 9.
[25] Palgi, G. 2023. Andmekaitse inspektsiooni peadirektor kaadri voolavusest: peame tegelema eraisikute vaidlustega hoovikaamera pärast, Eesti Päevaleht, 05.02.2023.
[26] Andmekaitse Inspektsioon. 2023. Aastaraamat 2021–2022.
[27] Pärli, M. 2023. Pere Sihtkapital küsis uuringu jaoks TÜ nimel tuhandete naiste andmeid, ERR, 11.08.2023
[28] Kuulpak, K. 2023. Tartu ülikool vallandas Raul Eametsa, kes ebaausalt hankis lastetute naiste andmeid. Rektor Asser: mõistan hukka. Jätkata on mõeldamatu! Õhtuleht, 14.08.2023
[29] ERR. 2023. AKI alustas menetlust Pere Sihtkapitali tellimusel tehtud uuringu osas, 14.08.2023
[30] Muraveiski, K. 2023. „Kas teil on olnud seksuaalkogemusi samast soost partneritega?“ Loe, milliseid isiklikke küsimusi küsiti naistelt skandaalses uuringus, Delfi, 13.08.2023.
[31] Himma, M., Libe, T. 2023. Lastetute naiste uuringu küsimuste autor Allan Puur: nii terav tagasiside üllatas, ERR, 15.08.2023.
[32] Orav, A. T. 2023. Pere Sihtkapital tegi esimese katse uuringuks juba kevadel, kuid ei saanud inspektsioonilt luba, Eesti Ekspress, 15.08.2023
[33] Liive, R. 2023. Kõmulise lastetute naiste uuringu tellis Isamaaga seotud sihtasutuselt Isamaa minister Riina Solman, Digigeenius, 12.08.2023.
[34] ERR. 2023. Ministeerium: Pere Sihtkapitali juhtum on üks õnnetu lugu, 16.08.2023.
[35] Ratnik, H. 2023. Vandeadvokaat: rahvastikuregistri seadus on Euroopa Liidu õigusega vastuolus, Eesti Ekspress, 16.08.2023.
[36] Andmekaitse Inspektsioon. 2023. Andmekaitse Inspektsioon alustas menetlust Pere Sihtkapitali SA tellimusel tehtud uuringu osas, 14.08.2023.
[37] ERR. 2023. EL trahvis Metat 1,2 miljardi euroga, 22.05.2023
[38] CMS Law. GDPR Enforcement Tracker.