Eesmärk peab olema selline andmekaitse, mis kaitseb inimesi, mitte ei koorma asjatult ettevõtteid. Selline andmekaitse, mis aitab kaasa usalduse loomisele, mitte ei tekita vastumeelsust, kirjutavad Hegle Pärna ja Merlin Liis-Toomela.
Euroopa Liidus on olnud juba mõnda aega sihiks üldine bürokraatia vähendamine ning ka õigusaktide lihtsustamine, eesmärgiga tugevdada Euroopa ettevõtluskeskkonda ja konkurentsivõimet.
Ka Eestis on viimasel ajal räägitud mitmete õigusaktide lihtsustamisest, et muuta ettevõtluskeskkond paindlikumaks. Isegi kui need muudatused ei puuduta otseselt isikuandmete kaitset, on üldine suundumus kooskõlas Euroopa Liidu strateegiliste eesmärkidega. Euroopa Komisjoni president Ursula von der Leyen on korduvalt rõhutanud, et EL-i prioriteet on konkurentsivõime tõstmine ettevõtluskeskkonnas, sealhulgas läbi regulatiivse koormuse vähendamise.
Euroopa Liidus on fookusesse tõusnud ka isikuandmete kaitse üldmäärus (IKÜM) ning sellest tulenevad nõuded. Ühelt poolt on bürokraatia vähendamine ning konkurentsi soosivama ettevõtluskeskkonna loomine igati tervitatav. Teisalt tuleb arvestada, et lihtsustamise käigus ei tohi kaotada Euroopa Liidu keskseid väärtusi, millest üks on igaühe õigus oma isikuandmete kaitsele.
Senine mõju
IKÜM (või ingliskeelse lühendiga GDPR) loodi selleks, et anda inimestele suurem kontroll oma isikuandmete üle ning kehtestada kõrge andmekaitse standard kogu Euroopa Liidus.
Praktilises elus on IKÜM-i nõuete täitmine osutunud keeruliseks, eriti väikeste ja keskmise suurusega ettevõtete (VKE-d) jaoks, kellel sageli puuduvad vajalikud ressursid. Seetõttu on paljude jaoks IKÜM-ist saanud bürokraatlik koorem, mida nähakse tüütute dokumentide koostamise nõudena.
Sageli valitseb suhtumine, et peaasi, et “paberid oleksid korras”, ning asjaolu, kas andmesubjektide õigused ka sisuliselt tagatud on, jääb tagaplaanile. See tähendab, et IKÜM-i algne eesmärk anda inimestele tegelik kontroll oma andmete üle on vähemalt osaliselt jäänud saavutamata.
IKÜM-i praegused nõuded kahjustavad ekspertide hinnangul ka VKE-de konkurentsivõimet. Samuti on probleem, et sageli täidetakse näiliselt formaalseid nõudeid, kuid tegelik andmekaitse jääb nõrgaks. Reaalsuses on nõuete täitmine lihtsam ettevõtetel, kellel on rohkem ressursse ja suurem motivatsioon, näiteks suurettevõtetel, kellel on rahalisi vahendeid, suured juriidilised meeskonnad ja kelle maine on avaliku tähelepanu all.
Vaatamata kriitikale on IKÜM siiski toonud kaasa olulisi edusamme. Inimestel on nüüd rohkem õigusi ja paremad võimalused oma andmete käekäiku mõjutada alates info saamise õigusest kuni võimalusele nõuda oma andmete kustutamist (õigus olla unustatud). Samal ajal on praktikas tekkinud probleem: kuigi õigused on olemas, on nende teostamine sageli keeruline.
Andmekaitsetingimused, mis peaksid andma igale inimesele loetava ja läbipaistva teabe andmetöötluse kohta, on keerulised ja raskesti mõistetavad. Paljudel juhtudel eeldab õiguste teostamine juriidilisi teadmisi ja tehnilisi oskusi.
Andmekaitse kui põhiõigus
Isikuandmete kaitse ei ole lihtsalt üks järjekordne regulatiivne nõue. Tegemist on Euroopa Liidu põhiõiguste hartas sätestatud põhiõigusega. Täpsemalt sätestab harta artikkel 8, et igaühel on õigus oma isikuandmete kaitsele. See artikkel on Euroopa Liidu õiguskorras eriline, kuna annab andmekaitsele autonoomse ja eraldiseisva põhiõiguse staatuse.
Artikkel 8 eesmärk on tagada andmesubjektidele läbipaistvus, kontroll oma andmete üle ja tõhus õiguslik kaitse, mis on eriti oluline digiühiskonnas. See on olnud vundamendiks ka IKÜM-i loomisel, andes andmekaitsele põhiseadusliku tähenduse kogu Euroopa Liidu õiguskorras.
Põhiõiguse staatuse tõttu ei saa andmekaitset lihtsalt kõrvale jätta või muuta – see eeldaks kõigi liikmesriikide üksmeelt ja EL-i aluslepingute muutmist. Seega peab ka regulatiivse lihtsustamise käigus säilima, et iga andmetöötluse taga peab olema seaduslik alus ja inimene peab teadma, mis tema andmetega tehakse.
Manipulatsiooni võimalused ja andmete kuritarvitamise ohud
Digiajastul ei ole andmed lihtsalt info, vaid andmed saavad olla ka n-ö olulised tööriistad. Suurandmed ja algoritmid võimaldavad analüüsida inimeste käitumist ja otsuseid viisil, mis võimaldab neid suunata ilma, et inimene seda ise teadvustaks.
Reklaamid, sotsiaalmeedia sisusoovitused ja poliitiline reklaam ei ole enamasti juhuslikud ning sageli põhinevad need andmete toel loodud profiilidel. Sotsiaalmeedia algoritmid on selles kontekstis eriti mõjuvõimsad. Platvormid loovad kasutajale personaalse infomulli, kus ta näeb järjest rohkem sarnaseid vaateid ja võib kaotada ligipääsu mitmekesistele allikatele.
“Kui krediitkaardiandmed satuvad lekkima koos inimese elukoha ja ostuajalooga, saab petuskeemide koostaja sihtida inimesi eluliselt vägagi usutavate pettustega.”
Andmeid võidakse kasutada ka kuritegelikel eesmärkidel. Näiteks, kui krediitkaardiandmed satuvad lekkima koos inimese elukoha ja ostuajalooga, saab petuskeemide koostaja sihtida inimesi eluliselt vägagi usutavate pettustega. Sellised juhtumid ei eksisteeri enam üksnes teoreetilises tasandil, vaid on osa igapäevast.
Mida rohkem andmeid kogutakse, seda suuremaks muutub risk nende väärkasutuseks. Tekibki õigustatud küsimus, kas andmekaitse peaks olema kõigi jaoks sama range. Praegu kehtivad IKÜM-i järgi sisuliselt samad nõuded nii näiteks Google’ile ja Tiktokile kui ka väikeettevõttele, mis pakub käsitööküünlaid ning kogub vaid mõnekümne kliendi kontaktandmeid. Mõistlik oleks, et nõuete ulatus oleks proportsionaalne tegeliku riskiga nii kasutajate õiguste kui ka ettevõtete halduskoormuse mõttes.
Mis suunas liigume?
Euroopa Liit on liikumas järgmisesse etappi oma andmepoliitika kujundamisel. Kokkuvõtlikult ollakse liikumas suunas, mille eesmärk on olemasolevate reeglite koondamine, selgemaks muutmine ja lihtsustamine – et luua arusaadavam ja sidusam õigusraamistik, mis toetab andmete tõhusamat liikumist nii era- kui avaliku sektori vahel.
Selleks on välja töötatud Euroopa andmeliidu strateegia (Data Union Strategy), mille sihiks on tasakaalustada innovatsioon ja põhiõiguste kaitse. Lisaks on olnud arutluse all see, kas IKÜM-i muutmine peaks olema osa uuendustest. Kuigi lõplikke otsuseid veel ei ole, on teada, et Euroopa Liidu tasandil räägitakse andmekaitsenõuete lihtsustamisest ning konkreetsemat ettepanekut Euroopa Komisjonilt privaatsusreeglite lihtsustamiseks on oodata juuniks.
Lõpetuseks
Nagu paljudes teistes eluvaldkondades, ei ole ka andmekaitses võimalik tõmmata lihtsat mustvalget joont. Privaatsusõiguste reguleerimine ei ole iseenesest halb. Õiguste tõhusaks kaitseks on head õigusaktid hoopis hädavajalikud.
Probleem tekib siis, kui reeglitest saab pelgalt formaalsus ehk olukorras, kus dokumentatsioon on küll korras, aga inimeste õigused jäävad sisuliselt tagamata ja andmekaitse taandub formaalseks “paberimajanduseks”.
Regulatsioon ei tohi muutuda ka selliseks, mis pärsib mõistlikku tegutsemist ja ettevõtlust, eriti väiksemate ettevõtete puhul. On vaja raamistikku, mis arvestaks paremini erineva suuruse ja profiiliga andmetöötlejate võimekust ning oleks proportsionaalne tegeliku andmekaitseriskiga.
Eesmärk peab olema selline andmekaitse, mis kaitseb inimesi, mitte ei koorma asjatult ettevõtteid. Selline andmekaitse, mis aitab kaasa usalduse loomisele, mitte ei tekita vastumeelsust. Me ei taha loobuda oma õigusest privaatsusele, kuid seda õigust tuleb kaitsta viisil, mis on tõhus, arusaadav ja päriselt töötav.
Kommentaar ilmus esmalt Eesti Rahvusringhäälingu portaalis www.err.ee.
