Ann Väljataga
Pärast murdelist 2013. aastat on andmekaitse ja privaatsus olnud püsivalt aktuaalsed, selleteemalisi artikleid ja uudiseid on avaldatud rohkem kui eelneva kahe aasta jooksul kokku. Ka on mitmekordistunud andmekaitse inspektsiooni poole pöördumiste hulk.[1] Eurobaromeetri 2014. aasta küsitluse tulemused[2] tõestasid, et hoolimata Snowdeni paljastustest ja näiteks FinSpy kliendibaasi avalikustamisest, on eestlased üldiselt digi- ja privaatsusküsimustes optimistlikud.
Kohtupraktika ja õiguslikud arengusuunad
Euroopa tasandil on aasta 2014 toonud kaks kaugeleulatuva mõjuga otsust, mis on Eestis saanud pigem tagasihoidliku tähelepanu osaliseks. Esimeseks neist on kahtlemata Euroopa Liidu kohtu otsus asjas Seitlinger ja Digital Rights Ireland,[3] milles kohus kuulutas andmete säilitamise direktiivi 2006/24/EÜ tagasiulatuvalt õigustühiseks. Kohtu argumentatsiooni võib lühidalt kokku võtta järgnevalt:
Andmete säilitamise direktiiv on kehtetu, kuna selles:
- ei ole defineeritud raske kuritegevuse mõistet, muutes nii avaliku huvi kaitse ja põhiõiguse rikkumise proportsionaalsuse hindamise võimatuks;
- ei kehtestanud kindlat korda, mille järgi andmete üleandmine luureasutustele peaks toimuma;
- ei eristatud andmesubjekte, kelle suhtes esineb mõistlik kahtlus, nendest, kellel puudub igasugune side kuritegevusega;
- ei nähtud andmesubjektidele ette piisavaid tagatisi ja õiguskaitsevahendeid andmete kuritarvitamise puhuks;
- ettenähtud andmete säilitamise periood ei ole põhjendatud.
Andmete säilitamise direktiiv võeti Eesti õigusesse üle elektroonilise side seaduse (ESS) §-ga 1111 mis erinevalt direktiivist näeb ette kohustuse säilitada andmeid Eesti (või mõningatel juhtudel) Euroopa Liidu territooriumil. Muid lisatingimusi see ei sisalda. Euroopa riigid on reageerinud otsusele mitmel moel – 2015. aasta 1. septembri seisuga on kõrgeima astme kohtud[4] otsusest lähtuvalt andmete säilitamine põhiseadusvastaseks tunnistanud Austrias, Sloveenias, Slovakkias, Poolas, Rumeenias, Ühendkuningriigis, Bulgaarias, Belgias ning Hollandis. Eestis jõudis Õiguskantslerini taotlus hinnata ESS-i § 1111 põhiseaduspärasust ning majandus-, sise- ning justiitsministeeriumid on alustanud kehtiva regulatsiooni analüüsi. Vastusena laekunud taotlusele tunnistas õiguskantsler oma märgukirjas,[5] et ESS § 1111 ei ole põhiseaduse ja kehtivate rahvusvaheliste lepingutega vastuolus, kuna ka Digital Rights Ireland otsusest ei ilmne, et andmete kogumine ja säilitamine oma põhiolemuselt riivaks ebaproportsionaalselt isikute õigust austusele perekonna- ja eraelu vastu, küll aga nentis ta sarnaselt Euroopa Kohtule, et andmete säilitamise tingimused peaksid olema selgemini reguleeritud ning andmesubjektil peaks olema ligipääs õiguskaitsevahenditele.[6]
Andmete säilitamise direktiivi kehtetust on kasutatud argumendina kohtuasjas nr 3-1-1-51-14,[7] kus kaitsja väitel ei kuulu elektroonilise side metaandmete säilitamise tulemusena saadud informatsioon kriminaalmenetluses lubatavate tõendite hulka. Riigikohtu kriminaalkolleegium aga rõhutas samuti, et andmete säilitamine kui selline ei ole ebaproportsionaalne riive ning direktiivi kehtetus ei too vältimatult kaasa riigisisese regulatsiooni kehtetust, kuna direktiivi eesmärke silmas pidades on liikmesriigi seadusandjal riigisisese regulatsiooni kujundamisel teatud ulatuses kaalutlusõigus. Seega, ei toonud Digital Rights Ireland’i otsus kaasa kogutud tõendite kehtetust. Andmete säilitamise vajalikkus tõusis taas päevakorrale pärast 7. jaanuaril Pariisis aset leidnud Charlie Hebdo tulistamist. Eestis aga keskendus järgnenud arutelu peamiselt multikulturalismile ning immigratsioonile.
Paljudes riikides, sealhulgas Eestis, on andmete säilitamine ainus instituut, mis põhimõtteliselt võimaldab julgeolekuasutustel defineerimata inimhulki varjatult jälgida. Järelevalvet julgeolekuasutuste tegevuse üle teostavad Riigikogu julgeolekuasutuste järelevalve erikomisjon ja – elektroonilise side seaduses ettenähtud mahus – ka Tehnilise Järelevalve Amet. Alates 2015. aasta 1. jaanuarist on õiguskantsleri pädevus teostamaks järelevalvet nende riigiasutuste üle, mis korraldavad telefonikõnede ja vestluste pealtkuulamist, kirjavahetuse jälgimist ning koguvad, töötlevad ja kasutavad isikuandmeid muul varjatud viisil, senisest selgemini reguleeritud.
Õiguskantsleri 2014-2015 aasta ülevaates seisab: „Õiguskantsleri kohuseks ongi leida sõltumatu institutsioonina tasakaalupunkt üksikisikute põhiõiguste ja -vabaduste ning riigi julgeoleku eest vastutavate asutuste vahel. Seejuures lähtub ta eeldusest, et inimesed ise pole nende õiguste võimalikust rikkumisest selles valdkonnas teadlikud ega saa end omal algatusel kaitsta. Järelikult peab õiguskantsleri järelevalve selles valdkonnas olema tõhus, süsteemne ja aktiivne, asetades end nende isikute olukorda, kelle õiguseid ja vabadusi on riivatud.“[8]Samas on teostatav järelevalve piiratud, kuna vastuvõetud seadusemuudatused ei anna õiguskantslerile ligipääsu riigisaladustele ega salastatud välisteabele.
Ka Riigikogu komisjonil ning Andmekaitse Inspektsioonil puudub ligipaas riigisaladusele, Andmekaitse Inspektsioon saab tutvuda asutusesisese informatsiooniga, millele juurdepääsu on piiratud vastavalt avaliku teabe seaduse §-ga 35, kuid see teave ei puuduta julgeolekuasutuste töö sisulist poolt. Samuti on küsitav, kas Riigikogu komisjoni ekspertiis ja ressursid on sisulise järelevalve teostamiseks piisavad. Tegelikkuses puudub Eestis hetkel objektiivne ja tõhus järelevalve selle üle, kas siinsed julgeolekuasutused lähtuvad oma tegevuses vajalikkuse ja proportsionaalsuse põhimõtetest.
Õiguskantsleri mandaat jälitustegevuse valdkonnas on seega alates 2015. aastast üheselt ning täpselt seadusega määratletud, kuid sisuliselt on kantsleril alati olnud pädevus kontrollida, et avalikke ülesandeid täitvad asutused, sealhulgas julgeolekuasutused, ja ametnikud ei rikuks inimeste põhiseadusest tulenevaid õigusi. Õiguskantsleri 2013. aastal esitatud taotluse alusel[9] tunnistas Riigikohtu põhiseaduslikkuse järelevalve kolleegium 20. märtsi 2014. aasta otsusega kohtuasjas nr 3-4-1-42-13[10] kriminaalmenetluse seadustiku rakendamise seaduse §25¹ lg 2[11] põhiseadusvastaseks ja kehtetuks osas, milles see ei näe ette tõhusat kontrollisüsteemi enne 2013. aasta 1. jaanuari lõppenud jälitusloa alusel tehtud jälitustoimingust teavitamata jätmise jätkuva põhjendatuse üle. See on oluline lahend, kuna Riigikohus tõlgendab selles ülimalt aktuaalset küsimust, kas, mil määral ja millistel tingimustel on isikul õigus olla informeeritud tema suhtes toime pandud jälitustoimingutest.
Jälitustegevuse kontekstis isikutele ette nähtud õiguskaitsevahendid on pahatihti tühisõnalised, kuna isikud, keda on jälgitud, sellest midagi ei tea. Euroopa Inimõiguste Kohus on otsustes Klass[12], Ekimdzhiev[13], Weber ja Saravia[14] olnud seisukohal, et tagamaks igaühe juurdepääsu tõhusale õiguskaitsele, on oluline, et andmesubjekti informeeritakse toimunud jälitustegevusest niipea, kui see ei ohusta jälitustegevuse eesmärki. Seni on kohtupraktika võimaldanud mitmesugust tõlgendust, kuna samades otsustes on ühtlasi ka tunnistatud, et jälitustegevuse salajase olemuse tõttu ei saa kehtida privaatsuspõhiõigus ning õigus tõhusale õiguskaitsevahendile samas ulatuses, mis teistes eluvaldkondades. Eelmise aasta jälitusstatistika aruandest selgub, et 2014. aastal teavitasid jälitusasutused jälitustoimingutest 3282 isikut. Prokuratuur andis 2014. aastal jälitustoimingust teavitamise edasilükkamiseks 1500 luba. Prokuratuur taotles kohtult luba kokku 202 isiku teavitamise tähtaja pikendamiseks 58-l korral, kohus andis loa 56-le taotlusele, ühe taotluse jättis kohus rahuldamata, ühe rahuldas osaliselt. Kohtu loal lükkus edasi 201 isiku teavitamine.[15]
10. aprillil 2014 saatis Euroopa Inimõiguste Kohus Eestile argumentide esitamiseks kohtuasja Lüütsepp vs. Eesti,[16] mille esemeks on samuti jälitustegevusest teavitamine. Huvitatud kolmandate osapooltena avaldasid oma ühise seisukoha[17] Privacy International ja Article 19. Oma pöördumises toonitasid nad, et kohus peaks astuma sammu edasi ning tunnistama, et teavitamiskohustus on tänasel päeval jälitustegevuse proportsionaalsuse möödapääsmatuks tingimuseks, sõltumata muudest ettenähtud garantiidest, sealjuures rõhutatakse, et see kohustus ei saa olla absoluutne ning teavitamisega kaasnevaid riske tuleb iga üksikjuhtumi puhul hinnata.
Erinevatel andmetel kasutab Facebooki aktiivselt rohkem kui pool miljonit eestlast, mis tähendab, et nende andmeid säilitatakse nn Safe Harbour kokkuleppe alusel Ameerika Ühendriikide pinnal. Safe Harbour nägi ette, et sellega seotud USA ettevõtted tagavad andmete kaitse EL õigusega võrdsel tasemel, samas polnud kokkulepe siduv USA ameti-, sealhulgas luureasutustele. Seega sõltumata kokkuleppest, lähtusid ettevõtjad nagu Facebook andmete edastamisel nt NSA-le siiski siseriiklikust õigusest. Euroopa kodanike andmeid edastas Facebooki andmekeskustesse selle Iirimaal asuv tütarettevõte, samas puudus Iirimaa andmekaitse inspektor selle protsessi üle kontroll, kuna see oli Komisjoni poolt Safe Harbour-i raames heaks kiidetud. 6. oktoobril 2015, kuulutas Euroopa Kohus otsusega asjas Schrems vs Data Protection Commissioner[18] Safe Harbour-i kokkuleppe õigustühiseks, kuna tegelikkuses ei pakkunud see Euroopa Liidu kodanikele kaitset privaatsusriivete nagu NSA massjälitusprogrammid eest. Sarnaselt Digital Rights Ireland otsusega, kehtib ka see otsus tagasiulatuvalt, mis avab võimalusi huvitavaks kohtupraktikaks nii Euroopas kui ka USA-s.
Olulisemad avalikud arutelud
2014. aasta teine oluline Euroopa Kohtu otsus asjas Google Spain[19], tõi ka Eestis kaasa suhteliselt elava arutelu. Euroopa Kohus nentis, et otsingumootoril on andmete kõrvaldamise kohustus. Isiku kohta otsingumootori abil tehtud päringute puhul kaaluvad õigus isikuandmete kaitsele ning eraelu puutumatusele üldjuhul üles nii otsingumootori haldaja majandushuvi kui ka üldsuse huvi teavet saada. Õigus olla unustatud on paeluv ja vastuoluline kontseptsioon nii õiguslikust, sotsioloogilisest kui ka kultuurilisest vaatenurgast, seega on ka arutelu selle umber olnud pigem teoreetiline ja hüpoteetiline, ning kohtupraktikat ega seadusemuudatusi ei ole Eestis järgnenud. Kuid otsusest lähtuvalt on ka eesti kodanikel õigus nõuda rahvusvahelistelt netioperaatoritelt enda kohta käiva informatsiooni kustutamist. Õigus olla unustatud sisaldub ka Euroopa andmekaitsereformi paketis. 2012. ja 2013. aastal on seda võrdlemisi kriitiliselt analüüsinud nii andmekaitse inspektsiooni[20] kui ka MTÜ Eesti Interneti Kogukonna juhid.[21] Nimelt on selles nähtud vahendit ajaloo ümberkirjutamiseks; sealjuures on näiteks Euroopa Võrgu- ja Infoturbeamet (ENISA) nentinud, et „õigust olla unustatud“ on peaaegu võimatu realiseerida. Samas annab õigus olla unustatud seni suhteliselt relvitule tavakodanikule mingigi kontrolli oma identiteedi üle küberruumis.
Meedias pälvis suurt tähelepanu FinFisheri juhtum. 2014. aasta augustis murdis tundmatu häkker sisse nuhkvara FinFisher tootja Gamma Internationali serveritesse ning lekitas saadud informatsiooni internetti.[22] Muuhulgas ilmnes, et Eesti on ostnud neli FinFisheri litsentsi. FinFisher-i nuhkvara on troojalane, mis võimaldab reaalajas jälgida nakatunud arvuti tegevust.[23]
Inimõiguslaste hulgas on Gamma Internationalil halb kuulsus – Privacy International esitas 2013. aastal Gamma Int. tegevuse peale kaebuse Majanduskoostöö ja Arengu Organisatsioonile (OECD). 2015. aasta veebruaris tunnistas OECD, et kuna Gamma Internationali siseregulatsioonis puuduvad garantiid inimõiguste rikkumiste vastu, pole nuhkvara tootja käitunud heauskselt ning on eksinud ÜRO äritegevuse ja inimõiguste juhtpõhimõtete ning OECD vastutustundliku ettevõtluse suunisete vastu. FinFisheri[24] leket kommenteeris lakooniliselt Riigikogu julgeolekuasutuste järelevalve erikomisjoni esimees Peep Aru, selgitades vaid, et komisjonil puuduvad andmed ebaseaduslikust jälitustegevusest ning et jälitustegevust kaitseb Eestis riigisaladus. Samal kuul kirjutas Eesti Päevaleht, et Siseministeeriumi infotehnoloogia- ja arenduskeskuse (SMIT) endise töötaja andmetel kasutab SMIT-i juhtkond oma töötajate jälgimiseks ka FinSpy nuhkvara. Sellele järgnevalt algatas siseminister Hanno Pevkur erakorralise auditi, mille tulemusena nuhkvara kuritarvitamist tõestada ei suudetud.
Kokkuvõte
2014. aasta tõi endaga kaasa olulisi kohtulahendeid nii Euroopa kui ka Eesti tasandil, seisti silmitsi küsimustega, kas ja kui palju saab isik oma küberidentiteedi kujundamises kaasa mängida, kelle metaandmeid (ja millistel tingimustel) saab koguda, milline on proportsionaalne jälitustegevus infoühiskonnas. Samas valitseb olukord, kus tegelikkuses ei ole ühelgi asutusel – ei Andmekaitse Inspektsioonil, Riigikogu julgeolekuasutuste järelevalve erikomisjonil ega õiguskantsleril – piisavaid volitusi kontrollimaks julgeolekuasutuste tegevust. Sellises olukorras, kus efektiivne järelevalve sisuliselt puudub, on iseäranis oluline, ei isikuid nende suhtes toime pandud jälitustegevusest selle lõppedes informeeritaks. Riigikohus on samuti avaldanud seisukoha, et teavitamiskohustus on oluline privaatsusõiguse garantii, sõltumata jälitustegevuse toimumise aastast.
Soovitused
- Laiendada õiguskantsleri ja/või andmekaitse inspektsiooni volitusi julgeolekuasutuste üle järelevalve teostamisel või asutada spetsiaalne sõltumatu ekspertidest koosnev järelevalveorgan.
- Vaadata kriitiliselt üle elektroonilise side metaandmete säilitamise kord.
- Riigikogu julgeolekuasutuste järelevalve erikomisjonil algatada uurimine nuhkvara litsentside ostmise ning kasutamise asjus.
[1] Postimees. Andmekaitsesse pöördumine on paari aastaga viiekordistunud. 16. juuni 2014.
[2]Eurobarometer, Special Survey on Safer Internet. Arvutivõrgus kättesaadav: http://open-data.europa.eu/et/data/dataset/S490_64_4_EBS250.
[3] Euroopa Kohus, otsus ühendatud kohtuasjades C-293/12 and C-594/12, Digital Rights Ireland and Seitlinger ja teised, 8.aprill 2014.
[4] Euroopa Liidu Põhiõiguste Amet (FRA). Aastaaruanne 2014. Ptk 5.2. Luksemburg. 2015.
[5]Seisukoht vastuolu puudumise kohta. Õiguskantsler. Arvutivõrgus kättesaadav: http://oiguskantsler.ee/sites/default/files/field_document2/6iguskantsleri_seisukoht_vastuolu_mittetuvastamise_kohta_elektroonilise_side_andmete_kogumine_sideettevotete_poolt.pdf.
[6] Vt ka Õiguskantsler. Aastaülevaade 2014-2015. Sideandmete kogumine vs. eraelu kaitse. Arvutivõrgus kättesaadav: http://oiguskantsler.ee/ylevaade2015/andmekorje.
[7] Riigikohtu kriminaalkolleegiumi otsus asjas nr 3-1-1-51-14. 23. veebruar 2015. Arvutivõrgus kättesaadav: http://www.nc.ee/?id=11&tekst=222577237.
[8] Õiguskantsler. Aastaülevaade 2014-2015. Põhiõigused- ja vabadused isikuandmete varjatud töötlemisel. Arvutivõrgus kättesaadav: http://oiguskantsler.ee/ylevaade2015/julgeolekuasutused.
[9] Vt Õigus austusele perekonna- ja eraelu vastu. Inimõigused Eestis 2013.
[10] Kohtuasi nr 3-4-1-42-13. Arvutivõrgus kättesaadav: http://www.riigikohus.ee/?id=11&tekst=222571298.
[11] Kriminaalmenetluse seaduse rakendamise seadus. RT I. 26.03.2014. 11. Arvutivõrgus kättesaadav: https://www.riigiteataja.ee/akt/126032014011.
[12] EIK, Klass ja teised vs. Saksamaa. 6. september 1978. Kaebus nr 5029/71.
[13] EIK, Inimõiguste Assotsiatsioon ja Ekimdzhiev vs. Bulgaaria. 28. juuni 2007. Kaebus nr 62540/00,
[14] EIK, Weber ja Saravia vs. Saksamaa. 29. juuni 2006. Kaebus nr 54934/00.
[15] Jälitustegevuse statistika 2014. Justiitsministeerium. Arvutivõrgus kättesaadav: http://www.kriminaalpoliitika.ee/sites/www.kriminaalpoliitika.ee/files/elfinder/dokumendid/jalitusstatistika_aruanne_2014_2.pdf.
[16] EIK, edastatud kohtuasi Lüütsepp vs. Eesti. Arvutivõrgus kättesaadav: http://hudoc.echr.coe.int/eng?i=001-142949.
[17] Privacy International. Article 19. Submission. ECHR: Luutsepp v Estonia [Esitis. EIK: Lüütsepp vs. Eesti]. Arvutivõrgus kättesaadav: https://www.article19.org/resources.php/resource/37720/en/echr:-luutsepp-v-estonia.
[18] Euroopa Kohus. Otsus kohtuasjas C-362/14: Maxmillian Schrems vs Data Protection Commissioner. 6. oktoober 2015.
[19] Euroopa Kohus. Otsus kohtuasjas C-131/12: Google Spain SL, Google Inc. versus Agencia de Protección de Datos (AEPD) Mario Costeja González. 13. mai 2014.
[20] Häbistatud saavad võimaluse netist kaduda. Eesti Ekspressi artikkel Andmekaitse Inspektsiooni veebilehel. 14. märts 2013. Arvutivõrgus kättesaadav: http://www.aki.ee/et/uudised/meediakajastus/habistatud-saavad-voimaluse-netist-kaduda.
[21] Loho, E. Tsensuur andmekaitse maski taga. Õhtuleht. 11. juuni 2012.
[22]Wikileaks. SpyFiles4. FinSpy Customers. 15. august 2014. Arvutivõrgus kättesaadav: https://wikileaks.org/spyfiles4/customers.html.
[23] Mida suudab FinFisher? Eesti Päevaleht. nr. 156. 14 august 2014; Inimõiguste kohtu hinnangul on FinFisheri kasutamine õigustatud üksnes äärmisel vajadusel. Eesti Päevaleht. Arvutivõrgus kättesaadav: http://epl.delfi.ee/news/eesti/inimoiguste-kohtu-hinnangul-on-finfisheri-kasutamine-oigustatud-uksnes-aarmisel-vajadusel?id=69536239.
[24] SMIT-i audit ei tuvastanud nuhkvara kasutamist. ERR Uudised. 29. september 2014. Arvutivõrgus kättesaadav: http://uudised.err.ee/v/eesti/f67bef94-0e84-4d12-a99e-baff776c4b2f.