Õigus

Aina enam räägime isiku digitaalsest jalajäljest ning (isiku)andmete kaitse vajadusest. Ometi leidub endiselt suhtumist, et minul ei ole midagi varjata ja seega ei ole ju ka vahet, kui keegi mind jälgib või minu kohta andmeid kogub. Järgnevalt toon välja neli olukorda, millele reeglina esmapilgul ei mõelda. 

Üks Eesti ulmekirjanik on veel enne digiplahvatust arutlenud, et pime keskaeg sobib ulmejuttudeks kõige paremini, sest siis oli info kättesaamine raske. Seetõttu on raamatukangelaste eludesse võimalik üles ehitada igasuguseid fantaasiamaailmu, just selliselt nagu kirjaniku mõttelend seda parasjagu vormib.
Täna on rahvusvaheline isikuandmete kaitse päev. Aastal 2020 on privaatsuse säilitamise küsimused tõstatunud inimese jaoks päevakorda rohkem kui kunagi varem, sest andmetöötlusest on saamas üha enam tulus äri. Selleks, et omada ülevaadet ja kontrolli oma andmete üle, kõneleme kolmest inimesele antud õigusest.
Kolmapäev, 22 Jaanuar 2020 11:19

Miks minu andmeid on vaadatud?

Aastast 2017 on olnud meil kõigil võimalus portaalis eesti.ee andmejälgijast näha, kes meie isikuandmeid on vaadanud. Suures pildis on väga hea, et andmejälgija tagab ajakohase ülevaate ning suurendab läbipaistvust andmete töötlemisel, sest see kõik annab meile võimaluse olla ka ise enda isikuandmete kasutamise järelevalvajaks. Samas saab inspektsioon iga päev palju küsimusi just nimelt andmejälgija teemal.
Inimeste privaatsus oli aastal 2019 andmekaitse inspektsioonile (AKI) edastatud rikkumisteadete järgi ohus 115 korral, kuna aasta jooksul registreeris inspektsioon selles arvus intsidente, mille põhjuseks oli enamasti kas andmetöötleja hooletus või vähene teadlikkus ning mis neljal korral põhjustasid ka töötaja vallandamise.

2019. aastal registreeris andmekaitse inspektsioon intsidente nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui ka haridusteenuste valdkonnas ning suur osa intsidentidest juhtus veebiteenuste osutamisel.

Kui võrrelda juhtumiste rohkust avaliku ja erasektori teenuste osutajate poolt, siis oli see üldplaanis võrdne,“ kõneles tehnoloogiadirektor Urmo Parm.

Tehnoloogiadirektor meenutab, et sageli on olnud eksimise põhjus aegunud või turvamata tarkvara kõrval just töötaja tähelepanematus või puudulik teadlikkus, näiteks finantsasutuse aegunud võlaandmete avaldamine, ja kui rikkumisi üldistada, siis võibki need jagada kahte kategooriasse: tehnoloogiast tingitud intsidendid ning inimtegevus, kas üksikeksimus või lohakus, mille tagajärjel võib sündida kahju paljudele teistele inimestele.

Urmo Parmu sõnul tulevad paljud eksimused hooletusest ja teadmatusest ning üks näide on õngitsuskirja avamine. Ta viitas, et innovaatilise e-riigina peaksid kõik andmetöötlejad juba suutma rakendada elementaarseid turvatehnoloogiad, mis hoiavad ära õngitsuskirjad. Selliseks on näiteks DMARC protokoll. E- kirjade turvalist edastamist võimaldab aga STARTTLS krüpteerimismeetod.

Möödunud aastasse jäävad ka sellised juhtumid, kus töötaja eksimuse tõttu andmekaitsereeglite vastu otsustab ettevõte ta vallandada,“ kõneleb Urmo Parm, kes ei võta hindamiseks, kas selline meede on äärmuslik või mitte, kuid kindlasti toetab koolituste korraldamist.

Äärmuslikku meedet rakendati näiteks ettevõttes töötajate suhtes, kes vaatasid aluseta teise inimese andmeid infosüsteemist. Samuti lõpetati tööleping töötajaga, kes lubas turvasalvestistele ligi kolmandaid isikuid.

Tehnoloogiadirektor Urmo Parmu sõnul on rikkumisest teatajate arv võrreldes 2018. aastaga suurenenud, nagu on kasvanud ka rikkumisteadete koguarv, kuid arvestades ainuüksi AKI-le edastatavaid märgukirju võib järeldada, et kõik vastutavad andmetöötlejad toimunud intsidentidest veel ei teavita ning inimeste andmetega juhtub ilmselt rohkem, kui on teada.

Parmu sõnul ei ole üldine teadlikkus andmekaitsest veel jõudnud tasemele, kus teenusesaaja võiks end igas olukorras turvaliselt tunda, kuid tasapisi läheb olukord siiski paremaks. Selliseid juhtumeid, kus inspektsiooni on teavitatud intsidentidest, kus töötaja avaldab valele adressaadile näiteks e-postiga kellegi tundlikud andmed, ei saa kunagi lõpuni ära hoida. Kui aga valed inimesed saavad infosüsteemi puuduliku seadistuse tõttu ligipääsu suure hulga klientide tundlikule eraelulisele infole või kasutajakonto andmetele, siis sellist asja saab koolitustega ära hoida. Samuti saab ära hoida lekkeid dokumendiregistritest, kus ka möödunud aastal avastati mitme riigiasutuse dokumendiregistritest avalikke piiratud juurdepääsuga dokumente. 

Rikkumisteadete esitamise kohustus tuleb 2018. aasta 25. maist kehtima hakanud isikuandmete kaitse üldmäärusest. Üleeuroopalise õigusakti kohaselt peab vastutav andmetöötleja inimese privaatsust ohustavatest või võimalikku privaatsusriivet sisaldavatest intsidentidest järelevalveasutust teavitama. Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. Kui juhtum põhjustas või võib tõenäoliselt põhjustada inimestele kahju, tuleb sellest 72 tunni jooksul inspektsioonile teatada.

Põhjused, miks andmetöötluses intsidendid juhtuvad

• Inimlik eksimus
• Teadmatus
• Hoolimatus (nt uudishimupäringud)
• Uuendamata tarkvara
• Vigased versiooniuuendused
• Ründed infosüsteemidele
• Õngitsuskirjad
• Testimine pärisandmetega
• Samuti on liiga vähene töötajate oskus mitte minna kaasa õngitsuskirjadega.

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
430824810 430800019636154 7356040320163199917 n255