Päevatoimetaja:
Mart Raudsaar

Veiko Berendsen: dokumendiregistrid tuleb sulgeda (1)

Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Copy
Veiko Berendsen
Veiko Berendsen Foto: Erakogu

Infohaldur Veiko Berendsen kirjutab, et meie kõigi delikaatsete isikuandmete kaitse tagamiseks on justiitsministril tarvis kiiremas korras tööle asuda infoõiguse nüüdisajastamise kallal.

Andmekaevurid avastasid Garage48 raames rakenduseks analüüsi tehes ühest avalikust dokumendiregistrist virnade viisi isikuandmeid. Riigi IT-arhitekt Andres Kütt ütles olukorda kommenteerides, et dokumendiregistrid tuleb süsteemselt korrastada. Kuid see pole lahendus – avalik dokumendiregister tuleb kinni panna.

Poolhäkitud kombel leitud isikuandmed on siiski valdkonna regulatsioonidel põhineva praktika jäämäe veepealne osa. Õnneks on IT-spetsialistid hakanud suuremat huvi tundma Eesti e-riigi infosüsteemides oleva sisu kvaliteedi vastu ja enam ei vaadata ainult andmebaase, vaid ka tekstifaile ja pilte, mis on suurandmete kasutamiseks liikumine õiges suunas.

Andmekvaliteet on suurandmete kasutamisel määrava tähtsusega. Nagu kaart peab kujutama territooriumit tegelikuna, nii peavad andmed nende kasutamiseks olema õiged. Eesti infosüsteemidesse on andmed kogunenud aegamööda ning andmekvaliteet on ebaühtlane. Selle parandamine on aeganõudev ja keeruline tegevus, milleks ei pruugi raha jätkuda, sest avaliku sektori kulutusi IT vallas prioriseeritakse teisiti.

Vaevu jätkub raha infoturbeks ja juba olemasolevate süsteemide käigushoiuks. Arenduste jaoks jääb puudu. Ei ole vaja kulutada raha dokumendiregistrite avalikustamisele ning avaliku teabe seadus tuleks esmalt tühistada ja siis kogu infohaldust puudutav seadusandlus vastavalt tänapäeva nõuetele ümber teha.

Asutuse avalik dokumendiregister on avalike ressursside raiskamine. Need andmed dubleerivad asutuse sees olevaid, moodustades eraldi andmebaasid teispool tulemüüri. Olles neid juurutanud 15 aasta vältel enam kui sajas asutuses üle Eesti, olen praegusel kujul nende pidamise ebaotstarbekuses absoluutselt veendunud.

Iga päev kulutatakse dokumendiregistritega mässamisele tuhandeid ametnike töötunde. Paljudel juhtudel pealkirjastatakse registreerimisel dokumendid topelt: üks asutuse sees, et pealkirjast saaks aru, mille kohta dokument käib, ning teine avalikustamiseks, et isikuandmeid, sageli aga ka sisu, «peita».

Sahmimisest selle kallal, mida avalikustada ja mida mitte, on saanud lausa eraldi haldustegevus. Ressursiraiskamisele keerab kolmanda vindi peale juurdepääsupiirangu lõppemise haldamine, mida tuleb paljude inimeste ettekujutuse järgi teha iga päev. Kui raiskamine lõpetada, väheneks halduskoormus.

Kõike seda reguleerib avaliku teabe seadus, mida hakati looma 1997. Kontseptuaalne autor oli Rein Lang, kelle eesmärk oli võimaldada avaliku sektori informatsioonile paremat juurdepääsu. Kavandis seisis, et luuakse «tsentraliseeritud ja Internetis kätte saadav Riiklik Dokumendiregister», mis seaduses muundus asutuse dokumendiregistriks.

Avalikkuse kontroll ja ülevaade asutustes olevast infost peab olema, kuid dokumenteerimine on viimasel kahel kümnendil muutunud, nagu ka arusaam, tehnoloogia ja riskid. Pole midagi häbiväärset selles, et kiiresti muutuval elualal tuleb õigust kiiremini muuta kui mujal.

Eespool nimetatud seadus on kontseptuaalselt vananenud. Kui eelmise sajandi lõpul keerles info avaldamine veebilehe ümber, siis nüüd pole see enam nii. Justiitsministrina lisas Lang seadusesse andmekogude regulatsiooni, tühistades Nõukogude Eesti riiklike registrite seaduses ühe jalaga kinni olnud andmekogude seaduse. Nüüd, mil andmed on üha enam nii kulla hinnas kui ka riigi ja tema kodanike vahekordi defineeriv mõõde, pole selline peatükk kohane.

Eesti avaliku sektori töötajatele on juhised, soovitused ja standardid võrreldes seaduste ja määrustega vähetähtsad. Ollakse õigusnormide usku. Õieti vaatavad kogenud ametnikud infohalduse valdkonnas suure tähelepanuga, milline on järelevalveasutuse tegevus. Milliste normide täpset täitmist nõutakse ja järgitakse. Info- ja dokumendihalduse olukorda jälgib peale siseauditi Andmekaitse Inspektsioon (AKI), kes teeb järelevalvet dokumendiregistrite ja üldiselt seaduse täitmise üle ega kiusa asutusi, kuid ka nemad ei saa anda kehva seaduse kohta häid soovitusi.

Mul pole olnud AKIga probleeme, kuid näiteks tarkvara vahetumisel on dokumendiregister mõne päeva või isegi kuu kättesaamatu. Eestis on karistusi olnud vähe ja teadlikkus valdkonnast suur. See ei pruugi aga nii jääda, sest 2018 kehtima hakkav Euroopa Liidu isikuandmete kaitse üldmäärus toob muudatused.

Andmekaevurid leidsid isikuandmeid registriga seotud failidest. Failide sisust otsimise võimaldamine on olnud pikalt arutusel. Suurandmete vaates ongi kuni 90 protsenti infost failides, mis pole andmebaasid. Otsingut faili seest tähistab termin «ületekstiotsing», kuid AKI on seda tõlgendanud kui otsingut metaandmetest. Faile pidi hakatama avalikustama 2007. aastast. Tavaline kasutaja selliselt avalikustatud faile läbi kammida ei saa, kuid IT-meestele on see, nagu näha, igati jõukohane. Dokumente, milles poleks isikuandmeid, on vähe. Failidest isikuandmete eemaldamine oleks mõeldamatult kulukas tegevus.

Tehnoloogiline võimekus põrkub kodanike huvidega ja Euroopa Liit on selgelt öelnud, et kodanike huvid on ülimuslikud. Kogu isikuandmete kaitse põhimõte toetub inimõiguste ülddeklaratsioonis väljendatud kirjavahetuse konfidentsiaalsuse printsiibile, mis on ka Eesti põhiseaduses. Ja korrespondents ei ole ümbrikus posti teel saadetud kiri, vaid sõnumid oma kõige mitmekesisemal kujul.

Siit ka kodanikele õigus nõuda oma andmete kustutamist. Seda küll Google’st, mõnest portaalist või erateenusest, mitte riigi või omavalitsuse käes olevatest andmetest. Samas on riigil nii õigus kui eesmärk kasutada isiku- jt andmeid teenuste arendamiseks.

Ses osas on suured kavatsused, kuid paljudel juhtudel on teada, et teenust on võrreldes andmete korda tegemisega odavam püsti panna. Sageli tellitakse IT arendusena just ainult teenuse loomine. Seda kujutatakse uhke progressina, aga andmete korrastamist tehtagu asutuses kuidas tahes, sageli ressursita.

Infovabaduse ja isikuandmete kaitse printsiibid on erinevad. Kui ettevõtete andmed inimeste kohta on selgelt reguleeritud kodanike kasuks, siis avalikus sektoris tuleb kolmandate isikute, sh ajakirjanduse õigust andmeid kasutada reguleerida. Isikuandmete täpset määratlust pole ega tule. Seni kasutusel olev delikaatsete isikuandmete mõiste kaob, nagu juba kadus eraeluliste mõiste. On lihtsalt isikuandmed ja kõik; mistahes andmed, mille kaudu on isik tuvastatav.

Euroopas on isikuandmete kaitse puudutanud pigem erasektorit. See on äris kasutatav teave ja ärid soovivad profiilida, et inimestele üha paremini müüa. Kindlasti on kuskil kirjas isiku õigused andmetele, kui näiteks Facebook müüdaks Saudi Araabia kuningale, aga vähesed teavad neid. Hiljuti teatas Eesti Geenivaramu, et nad on võimelised palju paremaks ennetavaks meditsiiniks, kuid millise nõusoleku peab andma haigla või inimene ise, et andmeid tohiks neile edastada? E-riik ei saa isikuandmeid töötlemata toimida. Ent kui mina peaksin valima infovabaduse ja kaitstuse vahel, valiksin ma kaitstuse! Liigsest avalikustamisest tekkiv väärkasutuse oht üha suureneb.

IT sektoris on hakatud mõistma, et andmeid tuleb pidevalt ja kontrollitult hävitada. Varem oldi seisukohal, et hävitada on kallim kui alles hoida. Siiski vedeleb serverinurkades ja andmekandjatel infot, mille väärtus on ebaselge. Dokumendid ja andmed on infovara, kuid nii neid õiguses ei käsitleta. Õigus räägib ikka toimikutest ja andmekogudest, kuigi selliselt piiritlemine ei vasta üldse nüüdisaegses infohalduses toimuvale.

Eesti IT sektoris on pikalt räägitud tööjõu puudusest. Puudu on arendajaid ja tehnika haldajaid. Puudu on ka järjest mitmekesisema sisuga tegelejatest. Lihtsakäeliselt võib ju sekretärid ümber nimetada dokumendihalduriteks või panna neile andmekaitsespetsialisti ülesanded, kuid oskusi see ei anna. On väga halb tendents, et tuleb määrata igasugu vastutajaid: infoturbe, isikuandmete kaitse, teenuste jne eest.

Koostatakse hulk analüüse ja auditeid, kuid palju sellest on vaid formaalne. Läbimõtlemata ja kriitikata mujalt üle võetud normide rakendamine tekib asjatut kulu, sest määrused on kulukad ja puudub hea seaduslik baas.

Justiitsminister peab käised infoõiguse korrastamisel üles käärima. Selle valdkonna õigusliku selguse vajadus on karjuvalt ilmne. Eesti kui e-riigi õigusloome tase tohi olla nigel!

Tagasi üles