Viljar Peep: isikuandmete kaitse – infoühiskonna gaas või pidur?

ullu detsembris jättis Leedu kohus jõusse sealse andmekaitse inspektsiooni keelu avaldada digiallkirja juures allakirjutanu isikukood. Erinevalt Eestist piirab Leedu seadus isikukoodi kasutamist. Mitmes riigis on isikukood üldse välistatud. Kuid inimest tuvastamata pole paljud e-teenused lihtsalt võimalikud. Kas isikuandmete kaitse on muutumas arengu piduriks?

Mis kasu võiks isikuandmete kaitsest olla majandusele tervikuna? Väidan, et isikuandmete kaitse loob usaldust. Kas usaldame kodaniku, kliendi või patsiendina meile pakutud e-teenuste turvalisust? Kas usume teise inimese digiidentiteeti ilma teda nägemata? Elu näitab, et kui inimesed on mures andmete väärkasutuse pärast, pidurdub e-teenuste areng.

Kui võrrelda üleeuroopalisi hoiakuid usalduse suhtes, ilmnevad hämmastavad erisused. Näiteks tervishoidu usaldab isikuandmete hoidjana ELis keskmiselt 78, Eestis 87 protsenti; riigiasutusi 70, Eestis 84 protsenti; panku 62, Eestis 86 protsenti; EL asutusi 55, Eestis 62 protsenti. Tõdemus, et valitsused koguvad üha enam andmeid, paneb muretsema 64 protsenti eurooplasi, kuid 40 protsenti eestlasi. Nii näitab 2011. aasta Eurobaromeetri uuring.

Postimehele antud usutluses märkis Briti valitsuse digiteenuste juht Mike Bracken, et tema jaoks oli üllatus eestlaste usaldus riigi suhtes (PM 21.12.2012). Kodanikud on valmis kasutama ID-kaarti koos isikukoodi ja digiallkirjaga. Brittidel on katsed ID-kaarti juurutada alati nurjunud. Iga eestlase taskus on universaalne turvaline võti digiteenuste juurde. Britid peavad aga oma e-teenustes kasutama nõrgemaid isikutuvastusviise.

Mis on põhjuseks, et usalduse määr on nii erinev – eriti kui arvestada, et isikuandmete kaitse nõuded on Euroopas ühesugused?

Soo ja sünniajaga seotud Eesti isikukood on kergesti äratuntav. Sellel on mõju andmekogude avalikkusele. Enamasti teame oma tuttavate sünniaegu ja oskame võõrastest eristada. Isikukoodi abil leiame mistahes avalikust registrist kohe üles õige Jaan Tamme, ilma tema 29 nimekaimu läbi uurimata.

Eesti karistusregister on Euroopa kõige avatum. Maksehäireandmetele pääseb suhteliselt kergesti ligi. Osa kroonilisi alimendivõlglasi ripub lausa internetis. Kui aga ilma isikukoodita riigis avaldatakse kellegi John Smithi võla- või karistusandmed, siis kannatavad kümned tuhanded süütud nimekaimud.

Mäletan Eesti äriregistri avamist välismaa digiallkirjadele 2008. aastal. Esimest korda Euroopas avati ühe riigi e-teenused teiste riikide kodanikele. Põhimure oli, kas saame olla kindlad, et digiallkiri kuulub tõesti John Smithile. Kas usaldame identiteeti, mis on välja antud lõdvemalt kui pass – näiteks samamoodi kui kaupluse kliendikaart? Ja kuidas teame ilma isikukoodita, millise John Smithiga on digiallkirja puhul tegu?

Ilma isikukoodita ei ole võimalik inimese kohta eri andmekogudes olevat teavet siduda. Andmekaitse alal konservatiivseis riikides pannakse sellist kokkusidumist pahaks. Meie e-teenused aga sellele tuginevadki: haigekassas, maksuametis, äriregistris, liikluspolitseis, valimistel internetihääletusel jne.

Kas isikuandmete kokkusidumine toob kaasa riske? Jah, kuid neid saab vähendada. Eri andmekogude vahel on X-teeks kutsutav turvaline andmevahetuskiht. Igast toimingust jääb maha jälg. Teiseks peab avaliku sektori andmekogu läbima asutamisel eelkontrolli. Kooskõlastajate seas on ka andmekaitse inspektsioon. Tean, mida informeeritud lugeja tahab vahele hüüda. Aga enamasti küsitakse kooskõlastust õigel ajal.

Briti andmekaitseasutuse praktikast jääb vahel mulje, nagu oleks Inglismaa täis kaotatud mälupulki ja fakse tundliku isikuteabega. Aga tegu on riigiga, kus pole isikukoode ega X-teed, mis võimaldaksid andmekogude vahel turvalist online-andmevahetust. Siis liigubki teave mälupulkade ja faksidega.

Iga sõiduk vajab nii gaasi kui pidurit. Isikuandmete kaitse toimib ühiskonnas vajaliku pidurina. Kui ametnikud, ärimehed, meedikud või politseinikud võiksid meie isikuandmeid ilma igasuguste piiranguteta kasutada, ohustaks see meie õigust eraelule, murendaks demokraatlikku õigusriiki ja pidurdaks digimajanduse arengut.

Aga sõiduk ei saa normaalselt sõita, kui sõidu ajal käsipidurit peal hoitakse. Eesti näitel võib öelda, et isikukood, riiklik digiallkiri ning andmekogude kokkusidumine turvalise andmevahetuskihi kaudu on usalduse loomise vahendid. Need vähendavad isikuandmete väärkasutuse ohtu.

Riigid, kus neidsamu vahendeid isikuandmete kaitsega põhjendades eiratakse, kannatavad selle tõttu, et inimesed ei usalda e-riiki ega digiteenuseid.

Praegu arutuse all oleva ELi andmekaitseõiguse reformi kava vajalikkust põhjendatakse samuti vajadusega suurendada usaldust e-teenuste suhtes, et tagant tõugata digimajanduse arengut. Ma ei usu, et paberajastu mõttemallidesse kinni jäänud ülereguleerimine aitab usaldust suurendada. Isikuandmete kaitsega liialdamine ei loo infoühiskonna arenguks vajalikku usaldust, vaid hoopis pärsib seda.

Mullu juunis avaldas Euroopa Komisjon määruse eelnõu e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul. Seda algatust võib pidada reaalseks katseks saada digimajanduse arengule hoogu sisse. See loob usaldust, võimaldades piiriüleselt kasutada infoühiskonnale hädavajalikku vahendit – usaldusväärset digiidentiteeti. Mis ühisturust on üldse võimalik 21. sajandi Euroopas rääkida, kui pole ülepiirilist digitaalset isikutuvastust?