“Pealtnägijas” selgitati, kuidas ehitisregistrisse on aastate jooksul jõudnud väga detailseid dokumente ja fotosid inimeste kodudest, mida portaali sisse loginud kasutajad lihtsa vaevaga otsida ja vaadata saavad. Värvikamate näidetena leidus näiteks pilte inimeste kodudes olevatest tubadest, paaril näiteks toodud fotol olid peale jäänud isegi kodudes elavad inimesed. Ehitisregistris leidub lisaks fotodele ka lepinguid ja muud teavet, võimaldades inimesi seostada konkreetsete aadresside ja kinnisasjadega.
Selleks ajaks, kui lugu “Pealtnägijas” ilmus, oli portaali haldaja ehitisregistrisse ligipääsu juba piiranud. Mõistetavalt oli saates vahendatu häirekellaks, et midagi on väga valesti läinud. Samuti näeme, et paar päeva tagasi on ehitisregistri veebilehel avaldatud uus teade, mis kutsub osapooli kontrollima, et nad registrisse isikuandmeid üles ei laeks. Need on siiski vaid viimases hädas kasutusele võetud meetmed, et juba tekkinud tulekahju liiga suureks ei lahvataks. “Pealtnägijas” väideti, et andmekaitseinspektsioon on algatanud ka järelevalvemenetluse.
Kuidas sai selline eraelulise info massiivne avaldamine üldse juhtuda ja mida oleks pidanud teisiti tegema?
Vaatajale tundus saadet jälgides ilmselt kummastav, et registrisse, mille eesmärk on talletada ehitustegevusega seotud andmeid, on jõudnud nii palju tundlikku informatsiooni. Andmekaitsega igapäevaselt tegelevatele ja ka avaliku sektori asutusi nõustanud inimeste jaoks ei ole see kahjuks isegi nii üllatav.
Sageli ei mõista erinevate sektorite esindajad, kui palju eraelulist infot nende valdkonnas tegelikult kogutakse, talletatakse ja nagu “Pealtnägijast” nägime, ka ilma riske adumata avalikustatakse.
Digilahenduste loojatel on kas meelest läinud või ei olnudki nad kunagi teadlikud Euroopa Liidus juba ammu kehtiva isikuandmete kaitse üldmääruse ühest olulisemast sättest, et isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmed, mille avalikustamise seaduslikkust peab hindama, on ka isikule kuuluvate kinnisasjadega seotud info.
Muidugi ei tähenda see, et me ei peaks arendama mugavaid ja väärtust loovaid digitaalseid lahendusi, nagu seda ehitisregister kindlasti on. Kindlasti on seal vajalik ka inimeste andmete töötlemine, aga seda teatud mahus ja läbimõeldult. Praegusel juhul on näha, et eeltöö jäi tegemata.
Riik andis võimaluse näha sinu lastetuppa
Nagu mainitud, on osa majade puhul võimalik registris näha detailseid fotosid majas olevatest tubadest. Samasuguseid, nagu võime leida kinnisvaraportaalide müügikuulutustes. Kõnealuse juhtumiga seoses väärib eraldi kommenteerimist maa- ja ruumiameti öeldu, justkui ei ole foto inimese magamistoast lapsena väga suur rikkumine, sest need inimesed on nüüdseks niikuinii ammu täiskasvanud.
Paraku on GDPR-i järgi olukord just vastupidine. Laste isikuandmed on määruse järgi erilise kaitse all ja põhjuseks just see, et laps ei pruugi aduda, millist mõju võib näiteks tema andmete avalikustamine avaldada talle hiljem täiskasvanueas. Kui laps saab täiskasvanuks, ei taha ta, et tema praegune või tulevane tööandja, äripartner või klient saaks otsida riiklikust registrist välja foto tema lapsepõlve magamistoast, kus ripuvad Britney Spearsi postrid.
Kuidas saaks paremini?
Loodetavasti saame sellest loost õppida, et andmekaitse teemasid peab võtma tõsiselt, seda ka valdkondade puhul, mis sektori enda esindajatele esmapilgul ei tundu isikuandmete kaitsega väga seotud olevat. Tegelikult oleks juhtunut ilmselt saanud üsna lihtsalt ära hoida, kuid võtmeks on õigete asjade märkamine digilahenduse planeerimise algfaasis.
Igal avaliku sektori asutusel, kes seaduse alusel mõnda andmekogu peab, on kohustus oma meeskonnas omada sellist inimest nagu andmekaitsespetsialist. Ühelt poolt on see GDPR-ist tulenev selgesõnaline nõue
“Pealtnägija” näitas ilmekalt, miks on andmekaitseeksperdi kaasamine kodanike infot kasutatavate digilahenduste loomisesse hädavajalik. See inimene peab saama kohe alguses öelda, et lisaks muudele analüüsidele on vajalik ka andmekaitse analüüs, mille järeldused peavad mõjutama digilahenduse sisu, IT-arhitektuuri, juurdepääsupiiranguid ja muud.
Kui konkreetselt ehitisregistri näitest rääkida, näeme, kui oluline on ka andmekogu kasutavate teiste osapoolte rollide ja vastutuse läbimõtlemine. Iga osapool, kes ehitisregistrisse jooniseid, pilte, lepinguid või muid dokumente üles laeb, peab ise teadma, mis rollis ta isikuandmete töötlejana on. Vastasel juhul ei tea lõpuks keegi, kes vastutab.