Küsimusi rohkem kui vastuseid: mida toob meile GDPR ehk ELIKÜM ehk Euroopa Liidu andmekaitse üldmäärus?

Sellisena tajubki Euroopa andmekaitsereformi tavaline inimene. Ettevõtete ja riigiasutuste jaoks tähistab GDPR ehk eestikeelse lühendina ELIKÜM (Euroopa Liidu AndmeKaitse ÜldMäärus) aga üht suuremat sorti segadust, hirmu ja arusaamatust. Sest miski pole enam endine.

Vanasti trükkis tööd otsiv Londoni tudeng välja sada CVd ja viis need lähimatesse pubidesse. Nüüd saab õnnetu tudeng vastuseks, et töötajate otsimisega tegeleb värbamisagentuur ning ja GDPRi tõttu on keelatud CVsid vastu võtta.

Mõned Ameerika meediaväljaanded, aga ka muud väljaspool Euroopat asuvad ettevõtted kuvavad kodulehtedel hoiatust: „Kahjuks asute Euroopas, mistõttu me teile sisu ei näita“, mõnel on lisaks kuvatud irooniline veateade 451.

Sotsiaalse terrori tippteosena levivad nn luupainajakirjad, millega eraisik nõuab õigust tutvuda enda kohta käivate andmetega. Esimesel päeval pärast ELIKÜMi jõustumist anti kohtusse sisse 7,5 miljardi euro suurune hagi Google’i, Facebooki, Instagrami ja Whatsappi vastu. Probleem on pealesunnitud nõusolekus à la „sa kas nõustud sellega, et me teeme sinu andmetega midaiganes või sa meie teenust kasutada ei saa“.

GDPR sarnaneb mõisniku esimese öö õigusega. See on lihtsureliku jaoks kauge, massiivne, müstiline, kallis ja arusaamatu. Jääb selgusetuks, kellele ja milleks seda vaja, kuigi määrus ise hõikab rõõmsalt, et „isikuandmete töötlemine on mõeldud inimeste teenimiseks.“

Eestlane on hämmingus. Andmekaitsenõuete maht paisus üleöö enam kui viis korda. GDPRi lopsakat keelt pole võimalik üheselt tõlgendada, tegu oleks justkui mingi barokktragöödia libretoga, mitte täitmist vajava seadusega.

IT-inimeste poolt vaadatuna on vastuseks kindel ei! Ehk kauges tulevikus, aga praegu mitte.

Tehnilisi meetmeid pole ju parandatud. Lihtsalt infoturbespetsialistide asemel (keda krooniliselt ei jagu) teevad nüüd rehkendust advokaadibürood, tootes uusi pabereid. Paremad bürood on ehk juurde palganud mõne infoturbega tibake kursis oleva isiku. Ometi pole paber kunagi ühtki andmevarast takistanud.

Isikuandmeid töötlevatel ettevõtetel on tekkinud kohustus andmelekkest ja häkkerite sissemurdmistest teavitada Andmekaitse Inspektsiooni (AKI). Teavitamistööle tuleb palgata andmekaitseametnik. „Õu kuule, rääkisime just koristaja palga tõstmisest, aga paneme talle ühe väikese lisaülesande, käib seal koolitusel ära ja saab sotniku juurde.“ Polegi võimatu stsenaarium?

AKI on end pealegi vabatahtlikult enesekohitsenud väitega „no ega me ju eriti trahvi ei tee.“ Miks peaks siis OÜ Potjomkin mingeid nõudeid täitma, kui AKI lubab trahvi mitte teha?

GDPRi enda tekstis on kirjas, et Eesti ja Taani puhul GDPRi trahve kohaldada ei saa, meil on rikkumise korral maksimumtrahv isikuandmete kaitse seaduse (IKS) kohaselt 32 000 eurot. Kuid ka IKS läheb muutmisele, et saaks määrata GPDRi trahve suurusjärgus 10-20 miljonit eurot. Sellist trahvi aga ei elaks üle ükski Eesti ettevõte peale Eesti Energia. Karistusmehhanism, mille puhul ettevõte saaks oma veast õppida, on asendatud tapva hoobiga esimese eksimuse järel.

ELIKÜMi artikkel 32 nõuab, et ettevõte peab tegema riskianalüüsi, penetratsioonitesti ning vastama defineerimata parameetritele käideldavuse, konfidentsiaalsuse ja tervikluse osas. Samamoodi jääb arusaamatuks, mida tähendab õigeaegselt taastatud juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral. Kes hindab, mis on õigeaegne – on see minut või päev või aasta ? Kas juristid ise saavad nendest terminitest aru, rääkimata arusaamisest, kuidas neid rakendada. Turvatestimine on seejuures kallis protseduur ning väga paljud Eesti ettevõtted seda endale lubada ei saa.

ELIKÜMi kõige vastuolulisem tahk on, et infoturbe taseme otsustav tõus 10-15 aasta pärast otsustati ellu viia mitte koolituse ja rahvavalgustuse kaudu, vaid euroopalikul moel – seaduste ja miljonitrahvidega ähvardades.

Euroopa komisjoni kodulehelt võime lugeda, et isikuandmeteks loetakse igasugust teavet tuvastatud või tuvastatava füüsilise isiku kohta, ning väga segase lause, et samuti on isikuandmeteks erinevad infokillud mis võivad viia inimese tuvastamiseni. Oluline rõhk on määratlusel „tuvastatud või tuvastatava“. Isikute tuvastamine oli seadustega seni väga täpselt reguleeritud, nüüd aga tuleb välja, et EL sõidab isiku tuvastamise seaduslikest mehhanismidest sisuliselt üle ning tuvastamine käib mitte dokumendi, vaid IP-aadressi alusel. Telekomifirma ehk tõesti suudab oma kliendi IP-aadressi kliendi füüsilise isikuga siduda, ent suvaline internetiportaal ega tulemüür sellega hakkama ei saa.

EL põrkus probleemi otsa, et enamike liikmesriikide arengutase pole piisav, eristamaks tõsikindlat identiteeti kõikvõimalikest pseudonüümidest ja netinimedest. Mistõttu pandi põlu alla (kuulutati isikuandmeks) absoluutselt kõik, mis kunagi mingitelgi asjaoludel võib viia isiku tuvastamiseni. Samahästi võimuks autonumbritele nõuda musti katteid, sest autonumbri alusel saab isiku tuvastada veelgi tõhusamalt.

ELi vastav komisjon ütleb sõnaselgelt, et eesnimi.perenimi@firma on isikuanne, kuid myygimees@firma ei ole. Selgub aga, et e-posti aadressi pelga vaatluse abil isikuandmeks määratleda ei saa, vaja on veel ka konteksti. Kui võtame e-aadressi eesnimi.perenimi@eesti.ee siis tõepoolest, see aadress on väljastatud riigi poolt konkreetsele isikule ja lõhnab isikuandmete moodi. Ent kuumkiisu15@kusagil.ee puhul on võimalusi mitu. Näiteks võib tegemist olla palavikus kaslasega puurist number 15 või hoopis 15aastase end kaslasena tundva tütarlapsega. Kuniks pole tuvastatud, missugune füüsiline isik säärase kujuga aadressi kasutab, ei ole tegemist isikuandmetega. Võib aga juhtuda, et selle e-posti haldajaks osutub hoopis 63aastane Toomas ja sealtmaalt muutub olukord töötlejale ebamugavaks. Kui guugeldades veel selgub, et Toomast on korduvalt kohtulikult karistatud, muutub olukord aga tõeliselt ebameeldivaks.

Või kui registreerida endale e-posti aadress Viljar.Peep@yahoo.com ning kasutada seda internetikeskkondadesse sisenemiseks, kuid seejuures mitte esinedes ametiisik Viljar Peebuna Andmekaitseinspektsioonist (mis oleks identiteedivargus!), siis kas sel puhul on tegemist isikuandmetega?

Mis juhtub, kui samanimelisi isikuid ongi mitu? Infosüsteem saaks põhjendatud otsust teha küll, kuid eelnevalt tuleks hankida oluliselt rohkem andmeid. Üldmääruse poolt pakutav hajus juriidiline läbu koos võimaliku kohtuskäiguga pole kahjuks algoritmi kujul esitatav ja nii jääb infosüsteemile vastav funktsionaalsus lisamata.

Arusaadavalt tahaksid ettevõtted „isiku“ töötlemist automatiseerida. Ent kuidas saaks näiteks Los Angeles Times IP-aadressi alusel tuvastada, kas tema lehekülge käis külastamas Anto või Glen? Kui LA Times peaks hakkama kõiki kodulehte külastavaid isikuid (nt ID-kaardiga) tõsikindlalt tuvastama, lõpeks demokraatia kiiresti. Sanktsioonide hirmus on lihtsam oma teenus kinni keerata ja oodata, kuniks konkurendid kohtusse tiritakse. Otse öeldes – euroametnike arusaam identiteedist kui asjaliku e-teenuse eeldusest on napp, mistõttu GDPR ei erista pseudonüüme tõsikindlast tuvastamisest, ehkki see tegevus on ammu selge igal Eesti väikeettevõttel.

Ühtlasi ei maksa imestada, kui andmekaitse valvekaameratelt nõuab, et „jälgimisseadme kasutamine ei tohi kahjustada vaatevälja jäävate isikute huve“. Tehniliselt pole ju probleemi valvekaamera häbeliku kõrvalepööramisega õigel hetkel, kuid kuidas suudaks valvekaamera distantsilt tõsikindlalt tuvastada vaatevälja jäänud isikuid või millisest andmebaasist saaks tuvastada nende majanduslikud ja seksuaalsed huvid? Teisisõnu nõuab andmekaitse teadvalt võimatut, kuid teeb seda euroopalikus Aisopose keeles.

Võtame kokku – selget reeglit polegi, kõik oleneb hiljem selguvatest tõlgendatavatest nüanssidest, mille eelnev (automaatne) väljaselgitamine on vaevaline või võimatu. Juristid ütlevad: piisava tõlgendusvaruga mõiste. Euroopa arvamusliidrite seisukoht on, et kodanik võib oma õiguste kaitseks alati kohtusse pöörduda. Märkamata, et e-teenuste puhul käib ajaarvamine sekundites, kuid kohtuloo puhul poolaastates.

Uus määrus nõuab, et kui ettevõte tahab töödelda isikuandmeid, peab selleks olema isiku nõusolek. Samas AKI andmetöötleja üldjuhend ütleb: „Paljud veebiteenused ongi sellised, kus kasutajaid ei tuvastata – ei reaalse ega väljamõeldud identiteedi alusel – ega viida profileerimiseks kokku samalt IP-aadressilt tulnud külastusi. Sellisel juhul ei pea hakkama inimest vastu tema tahtmist tuvastama, ega temalt andmete töötlemise nõusolekut võtma.“ See tähendab, et kui sul on tavaline kodulehekülg, millel mingisuguseid andmeid ei koguta ega töödelda on kõik OK. Iseenesest mõistlik lähenemine, sest tõepoolest, näiteks Los Angeles Timesil puudub igasugunegi võimalus tuvastada füüsilist isikut läbi interneti. Eestis on see võimalus ID-kaardi abil olemas, mis on aga maailma ja Euroopa jaoks üpriski unikaalne lahendus.

Probleem aga kerkib üles hoopis teistes kohtades. Näiteks poevaraste infokartoteegi pidamine nõuab nüüdsest poevaraste nõusolekut. Ka väga palju küberkuritegevuse juhtumeid on lahendatud ainuüksi tänu sellele, et eraettevõtted on iseseisvalt pahalaste kohta andmeid kogunud ning pannud politsei jaoks kokku hädavajaliku profiilipildi. Nüüdsest on seegi tegevus tugevalt raskendatud, sest politsei ei saa enam ettevõttest pilti kätte, vaid peab ise infokildudest tükkhaaval asju kokku nuputama.

Uue määruse kohaselt on nüüdsest keelatud infoühiskonna teenustes (jah, ka arvutimängud lähevad selle alla) iseseisvat kontot omada alla 16aastastel. Kuidas seda seletada 14aastastele, kes veedavad valdava osa oma ajast kas nutitelefonis või arvutimängu taga, on omaette küsimus. Mis saab telefonidest, mis nõuavad võrgukontot, kas ka need on keelatud noortele ? Loomulikult toimub selle juures vanuse suuremaks valetamine, kuid kes siis vastutab? Kas ettevõte, kes infoühiskonna teenust pakub, peab hakkama teostama tugevat isikutuvastust ? Või ootab, hirmuhigi otsaees, inspektsiooni ?

AKI juhend ütleb järgnevat: „Kui inimene soovib kasutada oma andmetega seotud õigusi (tutvumine, nõue parandada, kustutada, üle kanda, piirata), siis on tähtajaks üks kuu. Erandjuhul võib seda pikendada kahe kuu võrra (seega kokku kolm kuud). Pikendamisest ja selle põhjustest peab kuu jooksul taotlejale teada andma.“

Täpsustamata jääb, kuidas tuvastada andmeid nõudlev isik. Eestis on digiallkirja ja eesti.ee e-posti aadresside näol tegelik võimalus olemas, aga seda EL ei tea. Siit soovitus ettevõtetele: kui e-posti või tavapostiga saabub krüptimata ning digiallkirjastamata „luupainajakiri“, siis viisakalt keelduda ja paluda avaldajal lihalikult ning koos dokumendiga kohale tulla, et veenduda isikusamasuses. Isikute füüsiline tuvastamine on seadusega reguleeritud üpriski täpselt.

Kui teada, et Eestis on ligikaudu 120 000 mikrofirmat töötajate arvuga üheksa või vähem, jääb õhku küsimus, mida käegakatsutavat me sellest seadusest saime. Hetkel tundub, et võitjad on vaid arvukad õigusbürood. Kas ka nemad peavad ennast GDPRi nõuetega vastavusse viima ning oma klientide nimekirja kuuluva paarikümne isiku käest küsima nõusolekut andmetöötluseks?

Avatasandil võib GDPRi eesmärgiks pidada isikuandmete paremat kaitset ja isikute senisest paremat privaatust. Mure on selles, et privaatsusel kui terminil on igas kultuuriruumis erinev tähendus. Brasiilia vihmametsast leitud indiaanisuguharul privaatsusvajadus peaaegu puudub, kuivõrd kogu elu toimub suguharu teiste liikmete silme all ja eraldumiseks sobilikke paiku on vihmametsas piisavalt.

Seevastu Venemaa ajalugu pole kordagi andnud lootust vähimalegi privaatsusele, õigus on alati olnud sellel, kel on jõud. Tundub, et elanikud mainitu üle väga ei kurdagi, pigem on nad nõus ainelise heaolu eest järelejäänugi ära andma. USAs, kus europrivaatsust pole ning andmed kuuluvad pigem nende kogujale, tähendab arusaam privaatsusest eelkõige kodu puutumatust ja seda, et valitsus ei topi oma kärssa elanike igapäevaellu. Ameeriklane omakorda jällegi ei saa aru eurooplasest, kes tahab plääžil tissid paljaks võtta ja sauna alasti siseneda.

Euroopa lihtinimesi on sajandeid ärritanud aadlimajade eesõigused. Keegi ei tohtinud teada, mis lossi seinte vahel toimub, keda seal täpselt ahistatakse või kes vasakule vaatab. Markantseima näitena nimetagem inglise kuningat James I, kes tõstis oma geiarmukese Buckinghami hertsogi staatusse ning oli kuulujuttude mahasurumiseks sunnitud suisa parlamendi laiali saatma. Kui varasemalt said sedasorti „privaatsust“ nautida vaid aadlikud, siis tehnorevolutsiooni käigus nõudlesid bürgerid selle õiguse ka endale.

Seetõttu Euroopa mõistes polegi privaatsus mitte lõplik loend tegevustest, mida inimolend peab saama privaatselt sooritada (ninanokkimine, palvetamine, pissimine, abielukohused), vaid kunstlik privileeg „ausat nägu ja väärikust sälitada”, sealhulgas olukorras, kus konkreetse isiku aust ja väärikusest on tegelikult järel vaid ribad. „Ma tahan pidada saladusi nagu aadlimees,“ ütleb eurooplane. Kuid see pole ju enam inimõigustest tulenev ja isiku autonoomsusele suunatud privaatsus, vaid salakavalalt privaatsuseks maskeeritud ärihuvid.

Absoluutne enamik maailmataseme IT-korporatsioonidest on koondunud USAsse ning seal tehakse ka kõik olulised infosfääri ja tehnoloogiat puutuvad otsused. Hetkel saamegi jälgida nauditavat GDPR-kismat, kui Euroopa laenas USAlt kombe kehtestada omi seadusi kogu universumis ning lõi USA privaatsusarusaama enda omaga – valusalt ja otse näkku. Trahve aga hakatakse tegema ikkagi enamasti Euroopa ettevõtetele, suurusjärgus 10 ja 20 miljonit eurot, mille peale ameeriklased lihtsalt plaksutavad ning tehnoloogiline mahajäämus aina kasvab. Mis te aga arvate, kus toodetakse tehnoloogiaid, mis võimaldavad sedasama müstilist terviklust, konfidentsiaalsust ja käideldavust tagada?

Kokkuvõttes tundub, et majanduslikult ja juriidiliselt tulistas euroliit iseendale jalga, valanguga. Tsiteerigem siinkohal kunagist Venemaa peaministrit Tšernomõrdinit: „Tahtsime parimat, välja tuli nagu tavaliselt.“

Autorid on infoturbeeksperdid