Aastast 2017 on olnud meil kõigil võimalus portaalis eesti.ee andmejälgijast näha, kes meie isikuandmeid on vaadanud. Suures pildis on väga hea, et andmejälgija tagab ajakohase ülevaate ning suurendab läbipaistvust andmete töötlemisel, sest see kõik annab meile võimaluse olla ka ise enda isikuandmete kasutamise järelevalvajaks. Samas saab inspektsioon iga päev palju küsimusi just nimelt andmejälgija teemal.

Inimeste privaatsus oli aastal 2019 andmekaitse inspektsioonile (AKI) edastatud rikkumisteadete järgi ohus 115 korral, kuna aasta jooksul registreeris inspektsioon selles arvus intsidente, mille põhjuseks oli enamasti kas andmetöötleja hooletus või vähene teadlikkus ning mis neljal korral põhjustasid ka töötaja vallandamise.

2019. aastal registreeris andmekaitse inspektsioon intsidente nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui ka haridusteenuste valdkonnas ning suur osa intsidentidest juhtus veebiteenuste osutamisel.

Kui võrrelda juhtumiste rohkust avaliku ja erasektori teenuste osutajate poolt, siis oli see üldplaanis võrdne,“ kõneles tehnoloogiadirektor Urmo Parm.

Tehnoloogiadirektor meenutab, et sageli on olnud eksimise põhjus aegunud või turvamata tarkvara kõrval just töötaja tähelepanematus või puudulik teadlikkus, näiteks finantsasutuse aegunud võlaandmete avaldamine, ja kui rikkumisi üldistada, siis võibki need jagada kahte kategooriasse: tehnoloogiast tingitud intsidendid ning inimtegevus, kas üksikeksimus või lohakus, mille tagajärjel võib sündida kahju paljudele teistele inimestele.

Urmo Parmu sõnul tulevad paljud eksimused hooletusest ja teadmatusest ning üks näide on õngitsuskirja avamine. Ta viitas, et innovaatilise e-riigina peaksid kõik andmetöötlejad juba suutma rakendada elementaarseid turvatehnoloogiad, mis hoiavad ära õngitsuskirjad. Selliseks on näiteks DMARC protokoll. E- kirjade turvalist edastamist võimaldab aga STARTTLS krüpteerimismeetod.

Möödunud aastasse jäävad ka sellised juhtumid, kus töötaja eksimuse tõttu andmekaitsereeglite vastu otsustab ettevõte ta vallandada,“ kõneleb Urmo Parm, kes ei võta hindamiseks, kas selline meede on äärmuslik või mitte, kuid kindlasti toetab koolituste korraldamist.

Äärmuslikku meedet rakendati näiteks ettevõttes töötajate suhtes, kes vaatasid aluseta teise inimese andmeid infosüsteemist. Samuti lõpetati tööleping töötajaga, kes lubas turvasalvestistele ligi kolmandaid isikuid.

Tehnoloogiadirektor Urmo Parmu sõnul on rikkumisest teatajate arv võrreldes 2018. aastaga suurenenud, nagu on kasvanud ka rikkumisteadete koguarv, kuid arvestades ainuüksi AKI-le edastatavaid märgukirju võib järeldada, et kõik vastutavad andmetöötlejad toimunud intsidentidest veel ei teavita ning inimeste andmetega juhtub ilmselt rohkem, kui on teada.

Parmu sõnul ei ole üldine teadlikkus andmekaitsest veel jõudnud tasemele, kus teenusesaaja võiks end igas olukorras turvaliselt tunda, kuid tasapisi läheb olukord siiski paremaks. Selliseid juhtumeid, kus inspektsiooni on teavitatud intsidentidest, kus töötaja avaldab valele adressaadile näiteks e-postiga kellegi tundlikud andmed, ei saa kunagi lõpuni ära hoida. Kui aga valed inimesed saavad infosüsteemi puuduliku seadistuse tõttu ligipääsu suure hulga klientide tundlikule eraelulisele infole või kasutajakonto andmetele, siis sellist asja saab koolitustega ära hoida. Samuti saab ära hoida lekkeid dokumendiregistritest, kus ka möödunud aastal avastati mitme riigiasutuse dokumendiregistritest avalikke piiratud juurdepääsuga dokumente. 

Rikkumisteadete esitamise kohustus tuleb 2018. aasta 25. maist kehtima hakanud isikuandmete kaitse üldmäärusest. Üleeuroopalise õigusakti kohaselt peab vastutav andmetöötleja inimese privaatsust ohustavatest või võimalikku privaatsusriivet sisaldavatest intsidentidest järelevalveasutust teavitama. Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. Kui juhtum põhjustas või võib tõenäoliselt põhjustada inimestele kahju, tuleb sellest 72 tunni jooksul inspektsioonile teatada.

Põhjused, miks andmetöötluses intsidendid juhtuvad

• Inimlik eksimus
• Teadmatus
• Hoolimatus (nt uudishimupäringud)
• Uuendamata tarkvara
• Vigased versiooniuuendused
• Ründed infosüsteemidele
• Õngitsuskirjad
• Testimine pärisandmetega
• Samuti on liiga vähene töötajate oskus mitte minna kaasa õngitsuskirjadega.

Kasutan enda tööks kõige tavalisemat meiliaadressi, eesnimi.perekonnanimi@tööandjanimi.ee. Mu ülemus ütles, et tal on vaja minu puhkuse ajal postkastil silma peal hoida, juhuks kui mõni klient otse minu aadressile kirjutab. Olen oma meiliaadressi kasutanud ka mõningate erakirjade jaoks. Mul ei ole küll midagi varjata, kuid kas tööandjal on õigust nõuda ligipääsu minu nimel olevale e-postkastile?

USA krediidiandmete firma Equifax nõustus maksma kuni 700 miljonit dollarit, et lahendada ligi 150 miljonit klienti puudutava andmelekke menetlus.

Riigikohus märkis värskes otsuses, et ka õigete andmete avalikustamine maksehäireregistri pidaja koduleheküljel võib olla õigusvastane, kui isikuandmete kaitse sätteid ei ole järgitud.

See tähendab muu hulgas, et maksehäirete avalikustamisel ei tohi ülemäära kahjustada andmesubjekti õigustatud huve. Näiteks võib andmesubjekti huve rikkuda ebaoluliste või asjasse mittepuutuvate andmete avalikustamine, teatas riigikohus.