Arvamus avaliku teabe seaduse muutmise kohta



15.07.2024
Arvamus avaliku teabe seaduse ja keeleseaduse muutmise seaduse eelnõule

Täname võimaluse eest avaldada arvamust Majandus- ja Kommunikatsiooniministeeriumi (MKM) 21. juunil 2024 edastatud avaliku teabe seaduse ja keeleseaduse muutmise seaduse kohta.
Eelnõuga kavatsetakse luua andmeedastuse nõusoleku süsteem ja volituste haldamise süsteem. Leiame, et pakutud regulatsioon on mitmel põhjusel problemaatiline. Viitega Euroopa andmestrateegiale1 märgib ka seaduseelnõu, et andmepõhise majanduse loomisel tuleb tagada tasakaal andmete liikumise ja laialdase kasutamise ning rangete eraelu puutumatuse, julgeoleku-, turvalisus- ja eetikanormide vahel.2 Eelnõu praegusel kujul jätab käsitlemata olulised, andmekaitset, eraelu puutumatust ja eetikat käsitlevad aspektid, mis on tasakaalustatud regulatsiooni vajalikuks tingimuseks. Mitmed haakuvad riskid on välja toodud MKM ka nõusolekuteenuse õigusanalüüsi hankes, mida eelnõus ei ole käsitletud (selle kohta täpsemalt allpool). Oleme seetõttu seisukohal, et antud kujul välja pakutud nõusolekuteenuse regulatsiooni kooskõla kehtiva õiguskorraga, eeskätt riigi kohustustega inimese ees, vajab põhjalikumat kaalumist. Seda eeskätt järgmistel põhjustel:
• eelnõu koostamisel ei ole arvestatud nõusolekuteenusega kaasnevate riskidega (sh riskiga, et nõusoleku andmine (sh terviseandmetele juurdepääsuks) võib praktikas kujuneda paljude teenuste saamise eelduseks;
• sellest tulenevalt on tegu põhiõiguste seisukohast olulise kaaluga küsimusega, mis vajab seaduse (ja mitte määruse) tasemel põhjalikumat regulatsiooni ja sisaldaks ka andmesubjekte ähvardavate riskide vastu kaitsemeetmeid;
• peame äärmiselt problemaatiliseks olukorda, kus riik tekitab illusiooni nõusolekuteenusest kui inimese jaoks turvalisest teenusest, samas aga välistab tüüptingimustega igasuguse vastutuse nõusolekuteenusega kaasnevate riskide ja potentsiaalse kahju eest; näeme siin ohtu, et inimese kaotavad usalduse Eesti e-riigi vastu.
Samuti on problemaatiline nõusolekuteenuse jätkuv pakkumine ilma asjakohase regulatsioonita. Selgitame oma seisukohta alljärgnevalt põhjalikumalt.

I. Nõusolekuteenusega kaasnevad riskid
Arvamuse andmiseks edastatud eelnõuga kavatsetakse legaliseerida nõusolekuteenus, mida Riigi Infosüsteemi Ameti (RIA) veebilehel selgitatakse järgmiselt: „Nõusolekuteenuse abil saate lubada enda isikuandmete edastamise ettevõtetele, kes pakuvad isikuandmetel põhinevaid uudseid ja isikustatud teenuseid. Nõusolekuid saab anda ainult konkreetse teenuse jaoks vajaliku andmekomplekti edastamiseks. Pärast nõusoleku andmist edastatakse riigi käes olevad andmed nõusoleku saanud eraettevõttele.
Nõusolekuteenuse kaudu saate otsustada enda isikuandmete töötlemise üle, valides ise kolmandad osapooled, kes teie andmetele juurdepääsu saavad. Nõusolekuteenuse kasutamine ning nõusolekute andmine on alati vabatahtlik. Antud nõusoleku saab igal hetkel tagasi võtta.“3 Nõusolekuteenust tutvustati laiemale avalikkusele juba 2021. aastal, kui MKM tutvustas erinevaid võimalusi, sh personaalmeditsiini valdkonnas, mida nõusolekuteenus endaga kaasa tooks. ERRi uudisest võib lugeda: „"Meil on laiemalt eesmärk inimkesksest digiriigist, kus üheltpoolt inimesed juba saavad näha, kuidas andmeid riigi poolt töödeldakse. Nüüd me tahame ka võimestada inimesi, et nad saaksid ise otsustada, millised riigivälised osapooled ja millistel tingimustel saavad nende andmeid kasutada," ütles Velsberg.“4
Olgugi, et esmapilgul kõlab õilsalt luua võimalus inimesele oma andmete käsutamise üle, kaasneb nõusolekuteenusega rida küsitavusi. Nõusolekuteenuse analüüsi riigihanke väljakuulutamisel defineeris MKM ise rea ohte, mis nõusolekuteenuse kasutuselevõtuga kaasnevad. Majandus- ja Kommunikatsiooniministeeriumi hankedokumendi lisas 3 on tood järgmised riskid:
1. Nõusolekuteenus tekitab ja suurendab nõudlust andmete järele
Teenust osutatakse just nii, nagu olud lubavad. Kui tekib uus võimalus täiendavate andmete saamiseks, tekib andmekasutajatel ka soov oma kliente senisest põhjalikumalt või uutel viisidel analüüsida. Analüüsivajadust põhjendatakse kliendi maksevõime või kandidaadi tausta põhjalikuma hindamise vajadusega (finantseerimisasutused, kindlustusandjad, tööandjad). Algselt uudsed lahendused muutuvad mõne aja möödudes üldlevinuks ning uueks normaalsuseks (võrdluseks turvakaamerate levik, maksehäireregistri kujunemislugu[1]). Kokkuvõttes privaatsus taas aheneb.
2. Ülemäärane andmetöötlus
Praktikas määravad andmekasutajad, mis andmeid nad teenuse osutamiseks vajavad. Andmesubjektil on võimalus teenust mitte kasutada, kui küsitakse ülemääraselt andmeid. Samas inimesed ei süvene, ei saa aru, ei huvitu või ei oska hinnata. Juba praegu on väga levinud, et mobiilirakendused küsivad juurdepääsu kõikvõimalikele teenusega mitte seotud andmetele; kindlustusandjad küsivad perearstilt/raviasutuselt kogu patsiendi haigusloo, kuigi vajadus on saada üksnes kindlustusjuhtumisse puutuvaid terviseandmeid. Seni on perearstid/raviasutused otsustanud, mis andmed on asjassepuutuvad ja mida võib väljastada. Selle vahelüli kadumisel, võttes arvesse senist praktikat, võib arvata, et kindlustusandjad hakkavad töötlema oluliselt ulatuslikumalt terviseandmeid.
3. Andmesubjekti otsustusvabadus lahjeneb
Andmeedastuse algatamine on justkui andmesubjekti otsus, kuid tegelikult on see seatud teenuse saamise tingimuseks. Näiteks finantseerimisasutuse laenu taotlemise ja saamise tingimustes on nõue andmeedastuseks kas finantseerimisasutusele või tema poolt kasutatavale andmetöötlusettevõttele.
Vastutasuks andmeedastuse eest võidakse pakkuda (varjatult) soodsamat hinda vms majanduslikku kasu (nt kindlustusandja pakub andmesubjektile soodsamat teenuse hinda, kui andmesubjekt annab kindlustusandjale otsejuurdepääsu andmekogu(de)s olevatele andmetele.
4. Superandmebaasid, andmemaaklerid, andmeäri
Tekivad vahendajad või andmemaaklerid, mis pakuvad andmeanalüüsiteenuseid või ostavad andmeid kokku edasimüügi eesmärgil (pakkudes andmesubjektile nt teatavat tasu igakordse edasimüügi pealt). Paljudest andmetest kokku pandud superandmebaas toob kaasa suuremad riskid (ründe korral saadakse korraga rohkem andmeid, objekt on ründajatele ahvatlevam, kuivõrd sisaldab palju andmeid korraga, superandmebaasis on ulatuslik profiil inimesest). Andmeanalüüsiteenust kasutaval andmekasutajal (nt pangal) ega andmesubjektil ei pruugi olla ülevaadet vahendaja tegevuse tegeliku sisu üle. Kasutatakse erinevaid juriidilisi skeeme (mitte vastutava – volitatud töötleja suhet, vaid küsitakse andmesubjektilt erinevaid volitusi ja nõusolekuid). Pole välistatud, et andmeid hangitakse vaenuliku välisriigi korraldusel.
5. Sotsiaal-majandusliku kihistumise tõus
Mida rohkem andmeid inimese kohta kokku on võimalik koguda, seda põhjalikumalt saab hinnata tema profiili, riske ja „väärtust“. Teenused muutuvad kõrge riskiga inimeste jaoks senisest kallimaks või hoopis kättesaamatuks, mis raskendab inimeste toimetulekut veelgi ning tõstab riigi kulusid sotsiaalkaitsele.

Leiame, et eelnevalt kirjeldatud riskide realiseerumine on tõenäoline. On põhjust karta, et eelnõuga kavandatava infotehnoloogilise võimekuse loomisel (või juba loodud rakenduse legaliseerimisel) võib inimese vaba tahe osutuda illusiooniks. Seletuskirjas on küll väidetud, et teenuste kättesaadavus on tagatud igal juhul ka ilma nõusolekuteenuse kaudu nõusolekut andmata, kuid MKM-s toimunud nõusolekuteenuse esitlusel kirjeldati perearstide nn digitriaaži (e-visiidikeskkonnas toimuva patsientide eelselektsiooni) näidet ning selle digitriaaži kasutamine oli ilmselgelt seatud sõltuvusse terviseandmete töötlemiseks nõusoleku andmisega (ilma nõusolekut andmata digitriaazi kasutada ei saa). Sama kehtib kahtlemata ka nõusolekuteenuse tutvustamisel kirjeldatud digitaalse ravimikapi või digitaalse vaktsineerimismeelespea teenuste kohta: ilmselgelt ei saa neid teenuseid olema võimalik kasutada ilma nõusolekuteenust kasutamata. Vastupidine väide seletuskirjas on selgelt eksitav.
Eelnõu seletuskirjas leitakse, et “Innovaatiliste ja samas mugavate lahenduste loomine eeldab kõikide poolte soovi ja tahet olla normikuulekas ja teadlik oma tegevuse mõjudest ja tagajärgedest. Uudsete teenuste loomisel või nende loomise võimaldamisel ei saa riik lähtuda muust eeldusest kui see, et inimesed annavad oma nõusoleku vabatahtlikult ja teadlikult ning ettevõtjad järgivad nende tegevust raamistavaid kohustuslikke õigusnorme.” Eeldus, et innovatiivsete teenuste puhul järgivad ettevõtjad alati seadust, ei põhine paraku reaalsusel. Vastasel korral ei oleks meil ei kiirlaenude ega krüptoäri (mis kaheldamatult on innovatiivsed teenused) puhul hulgaliselt juhtumeid, kus ettevõtjad on nende tegevust raamistavaid kohustuslikke õigusnorme rikkunud. Lihtsustatult öeldes: kui riik tõepoolest lähtub eeldusest, et innovatiivse äri puhul seadust ei rikuta, miks meil on siis üldse vaja küberkuritegevuse ennetamisele ja karistamisele suunatud riiklikke mehhanisme? Kui ettevõtjad järgiksid innovatiivsete ärimudelite puhul andmekaitsereegleid, siis ei oleks Euroopa Komisjon alustamas menetlust Meta suhtes (pay-or-ok ärimudeli osas) ega oleks ka ühe Eesti apteegi kliendiprogrammi haldaja või geenitestide tegija juurest lekkinud isikuandmeid.
Eelnõu seletuskirjas puuduvad igasugused viited selle kohta, kuidas on kavandatud nende – MKMi enda poolt varasemalt välja toodud – riskide maandamine. Seletuskirjas lihtsalt eeldatakse, et kõik ettevõtjad käituvad ausalt ning inimesed on äärmiselt teadlikud oma andmete jagamisel, mis aga kahtlemata ei vasta reaalsusele. Nagu on tabavalt märkinud Tanel Mällo: “Rakendades nõusolekuteenuse juurutamisel liberaalset taktikat (luua inimesele võimalus kõiki oma andmeid vabalt jagada olukorras, kus suur osa neist ei oska selle tagajärgi teadvustada ja nende eest vastutada) eeldaks riik, et isikuandmete jagamisel kehtib täiuslik turuloogika, mille kohaselt inimene ei jaga andmeid ebaeetiliste andmekasutajatega. Reaalsuses puudub inimestel täna tunnetuslik võimekus ja informeeritus, et selliseid otsuseid teha.”5 Eelnõu ei välista nt seda, et inimene müüb ja loovutab nõusolekuteenuse kaudu Metale kõik oma terviseandmed selleks, et viimane teeks talle tervisehoroskoobi. Tõsi: teoreetiliselt on sellise olukorra teke ka täna võimalik. Kuid jällegi on oluline erinevus, kas sellise olukorra teke on riiklikult kujundatud ja tehnoloogiliselt võimestatud või mitte. Selleks, et mingi ka täna teoreetiliselt võimalik olukord massiliseks ja seega problemaatiliseks kujuneks, on vaja vastavat tehnoloogilist lahendust. Võrdluseks: ka enne AirBnB sarnaste teenuste loomist oli teoreetiliselt võimalik üürida oma Tallinnas asuv korter nädalaks ajaks välja Guatemaalast päris inimesele. Päriselus olid sellised juhtumid aga haruldased, sest puudus tehniline lahendus, mis sellised inimesed kokku viiks ja selliste lepingute sõlmimise hõlpsaks teeks. Sama kehtib ka nõusolekuteenuse kohta, mistõttu seletuskirjas toodud argument, et sellised andmeedastused on ka täna õiguslikult võimalikud, sisuliselt ei päde. Sama on tõdenud ka MKM-i esindaja Erik Janson nõusolekuteenust tutvustades: “Tänane õigussüsteem küll kaitseb inimese õigusi andmete jagamisel, ent automaatsete süsteemide ja toetavate tehniliste lahenduste puudumise tõttu on praktikas andmete jagamine aeganõudev ja keeruline.“

II. Nõusolekuteenus kui põhiõiguste riive

1. Põhiõigus eraelule ja isikuandmete kaitsele
Nagu ka seaduseelnõu selgitab, käsitleb käesolev seaduseelnõu (isiku-)andmete töötlemisega seotud küsimusi.
Riigikohtu praktikas on isikuandmete töötlemine asetatud üldjuhul eraelu puutumatuse kaitsealasse, nimetamata informatsioonilise enesemääramisõiguse aspekti.6 Riigikohtu hinnangul võib isikuandmete töötlemine, sh nende kättesaadavaks tegemine kolmandatele isikutele, riivata PS §-s 26 sätestatud igaühe õigust perekonna- ja eraelu puutumatusele ning ahendab isiku privaatsfääri tervikuna.7 Samuti on Riigikohus kinnitanud põhiõigust informatsioonilisele enesemääramisele, kuid ei ole teinud katset seda põhjalikumalt sisustada. Riigikohtu põhiseaduslikkuse järelevalve kolleegium mainis juba 1994. aastal nn operatiivtehniliste erimeetmete asjas põhiõigust informatsioonilisele enesemääramisele: „Põhjaliku seadusandliku regulatsiooni puudumine ja varjatus jätab aga isiku ilma õigusest informatsioonilisele enesemääratlusele, valida käitumisjoont ja end kaitsta.“8 1997. aastal nimetas Riigikohus informatsioonilise enesemääramise õigust inimväärikuse alla kuuluvaks põhimõtteks.9

Läbi aegade on regulatsioonid ja andmetöötluspõhimõtted seadnud eesmärgiks tasakaalustada eraisiku ja kas avaliku võimu või eraettevõtja informatsioonilist asümmeetriat ehk teisisõnu, ohuks inimeste vabale enesemääramisele on peetud suure hulga informatsiooni koondumist ühe teenusepakkuja kätte. Tulenevalt andmetöötluse omapäradest on Euroopa Liidu (EL) seadusandja pööranud olulist tähelepanu avaliku võimu tegustemiskohustusele andmekaitseõiguse tagamisel. Andmekaitse põhiõiguse sõnastusest Euroopa Liidu põhiõiguste harta (ELPH) artiklis 8 tuleneb isiku positiivne õigus nõuda isikuandmete kaitsmist põhiõiguste adressaadilt, milleks on üldjuhul avalik võim. Eestil kui EL (Euroopa Liidu) liikmesriigil tuleb isikuandmete kaitse kui põhiõiguse sisustamisel arvestada ka ELPHs sätestatuga. ELPH artiklist 8 tulenevat kaitsekohustustust ja selle omapärasid täpsustab omakorda EL isikuandmete kaitse üldmäärusega (IKÜM).

2. Põhiõiguse riive kui riigi kaitsekohustuse täitmata jätmine
Nõusolekuteenuse seadustamine puudutab isikuandmete töötlemist. Isikuandmete ülemäärase töötlemise eest kaitseb inimest PS § 26, mis tagab eraelu puutumatuse. Eraelu puutumatuse riivena käsitatakse muu hulgas isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist.10 Asjaolu, et eelnõuga võimaldatakse inimesel endal oma andmeid käsutada, ei tähenda, et PS § 26 võib jätta tähelepanuta. Tänane üldine seisukoht on, et riik on kohustatud võtma ka ennetavaid ja positiivseid kaitsemeetmeid, kui vajadus selleks tuleneb isiku kaitsevajadusest või ohuolukorra eripärast. Igapäevastes õigustoimingutes on heaks näiteks üürnike kaitse ja tarbijakaitse. Mõlemal juhul tugevdab õigus nii siseriiklikul kui ka ELi tasandil üksikisiku positsiooni õigustoimingutes ja tunnistab tema erilist kaitsevajadust tugevama lepingupartneri suhtes. Ka andmekaitseõigus tagab andmesubjekti nõrgemat positsiooni andmetöötleja suhtes ja tugevdab seda eelkõige IKÜM, mis konkretiseerib põhiõiguste harta artiklis 8 sätestatud põhiõigust andmekaitsele.
Eelnõu seletuskirjas on aga märgatud üksnes võimalust, et ettevõtjatele teatud nõuete kehtestamine nõusolekuteenusele juurdepääsuks võib riivata hoopis nende õigusi: „Inimesele jääb nõusolekusüsteemi kasutamisel võimalikult suur voli otsustada, kellele, millisel eesmärgil ja milliseid andmeid ta edastab. Seda seetõttu, et eelnõus ei ole ette nähtud isiku otsustusõigust piiravaid tingimusi isikuandmete edastamiseks nõusolekusüsteemis antud nõusoleku alusel. Piiravate tingimuste seadmine vajab õigustust, sest ühest küljest oleks sel juhul tegemist isiku nõusoleku kitsendamisega ja teisest küljest ka potentsiaalse sekkumisega ettevõtlusvabadusse.“11
Siiski ka eraelu puhul kehtib riigi kaitsekohustus: „Paragrahvi 26 esimese lause kaitseala võib riivata iga sellega kaitstud õigusliku positsiooni ebasoodne mõjutamine riigi poolt, aga ka riigi kaitsekohustuse täitmata jätmine.“.12
Riigipoolse kaitsekohustuse mittetäitmine nähtub ka asjaolust, et eelnõust puuduvad igasugused reeglid selle kohta, kes ja millistel tingimustel üldse nõusolekuteenusele juurdepääsu saab. Seletuskirjas mainitakse eelkõige ettevõtjaid ning varasema eelnõu versioon sisaldas vähemalt teatud nõudeid andmesaajatele (nt ei tohtinud andmesaajal ega tema juhatuse liikmel olla kehtivat kriminaalkaristust või karistus andmekaitsereeglite rikkumise eest). Praegusel juhul ei näe eelnõu selles osas üleüldse mingeid tingimusi ette, mis tõstatab küsimuse, kas riigil on teatud juhtudel õigus nõusolekuteenusele juurdepääsu andmisest keelduda. Arvestades, et seadus selliseid piiranguid ei sisalda ning riik ei tohi isikuid oma suva järgi kohelda ega diskrimineerida, tähendab praegune regulatsioon, et riigil puudub õigus keelduda andmete väljastamisest nt Venemaal registreeritud äriühingule või ka lihtsalt äriühingule, kelle juhatuse liikmetel on kehtiv karistus nt ulatusliku andmekaitsenõuete rikkumise eest. Ka ei võimalda eelnõus välja pakutud regulatsioon sekkuda inimeste privaatsuse kaitseks ennetavalt AKI-l. Peame väga problemaatiliseks asjaolu, et eelnõu ei sisalda mitte mingeid filtreid nt andmesaaja või selle juhatuse liikmetele, ei nähta ette AKI poolset eelkontrolli ning sisuliselt kontrollitakse üksnes andmeturbe reeglite järgimist erinevate andmekogude põhimääruste kohaselt. Leiame, et inimeste privaatsuse kaitseks ei piisa üksnes andmeturbe ja tehniliste nõuete järgimisest, sest privaatsusriived ei seondu üksnes tehnoloogiliste lahendustega.

3. IKÜMist tulenevad, nõusolekule esitatavad nõuded (IKÜM art. 7)
Nagu ülalpool selgitatud, täpsustab IKÜMis sätestatu isikuandmete kaitse kui põhiõiguse ulatust ja sisu. Seega peab ka Eesti seadusandja antud põhiõiguse sisustamisel sellega arvestama.
IKÜM art 4 (11) kohaselt on nõusolek IKÜM mõttes „vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega“.
Euroopa Andmekaitseinspektori avaldatud juhis pöörab tähelepanu mh sellele, et vabatahtlikkuse puhul tuleb arvesse võtta ka vastutava töötleja ja andmesubjekti vahelist võimalikku ebavõrdsust.13 Samuti pöörab sellele asjaolule tähelepanu IKÜM põhjenduspunkt 43.
Kui andmekaitse subjekt annab riigile nõusoleku oma andmete väljastamiseks aga see nõusolek ei täida IKÜM art 7 poolt kehtestatud nõudeid, ei tohiks riik asjakohaseid andmeid väljastada. Ka pelgalt andmete väljastamine kujutab endast andmetöötlust IKÜM mõttes (art IKÜM art 4 (2)). Riik peab arvestama võimalusega, et enamik inimesi ei anna seda nõusolekut sellise teadlikkusega, kui eelnõu koostajad optimistlikult eeldavad. Teadlased on ammu tõestanud, et inimesed ei loe nö väikest kirja ega anna seetõttu oma nõusolekut teadlikult.14 Liiatigi on ilma andmekaitseõigusliku erihariduseta inimesel äärmiselt raske eristada kahte eraldiseisvat nõusolekut: ühelt poolt nõusolek andmete edastamiseks riigi andmebaasist ettevõtjale ja teiselt poolt hilisem nõusolek ettevõtjale isikuandmete kasutamiseks innovatiivse teenuse osutamiseks.
Samuti on Euroopa Andmekaitseinspektor selgitanud, et nõue, et nõusolek peab olema konkreetne, on suunatud sellele, et tagada andmesubjekti teatav kontroll ja andmete läbipaistvus. Nõusoleku teadlikkuse kohta on EL Andmekaitseinspektor täheldanud, et andmesubjekti peab olema teadlik igast üksikust töötlemistoimingu eesmärgist, mille jaoks nõusolekut taotletakse.15
Ehkki seda otseselt ei selgitata, nähtub eelnõu seletuskirjast, et peetakse võimalikuks ka nõusoleku andmist korduvate andmepäringute tegemiseks teatud perioodi vältel. Nõusolekuteenus annab ettevõtjale võimaluse pääseda ligi isiku andmetele pikema ajavahemiku jooksul, mille käigus võib edastatav informatsioon inimese kahjuks muutuda (nt lisanduda võivad uued haiguse diagnoosid, muutuda võib võlgniku staatus jne).
Seaduseelnõu üldistav sõnastus ei välista ka seda, et nt kindlustusandja laseb kindlustuslepingu sõlmimise eeldusena anda endale reaalajas juurdepääsu kõigile Tervisekassas sisalduvatele kindlustusvõtja terviseandmetele. Isegi kui selline lahendus täna veel tehniliselt võimalik ei ole, võib see seda olla tulevikus. Peame problemaatiliseks olukorda, kus riik loob tehnilise võimekuse ja seadusandliku regulatsiooni selleks, et nt kindlustusandjatel (aga ka muude oluliste teenuste pakkujatel) tekib võimalus seada oma teenuse kättesaadavus - või selle eest küsitav tasu - sõltuvusse sellest, et inimene annab ligipääsu oma riiklikes andmebaasides olevatele eriliigilistele isikuandmetele. Seeläbi võime end leida ühel päeval olukorras, kus nt ravi- või reisikindlustuse saamiseks oleme sunnitud andma juurdepääsu kõigile oma TEHIKus olevatele terviseandmetele.

III. Turvalisuse illusiooni loomine ja riigi vastutuse välistamine: oht usalduse kadumiseks e-riigi vastu

Üheks suureks ohuks nõusolekuteenuse puhul on ka selle näiline turvalisus: riik selgitab inimesele, et “Andmeedastuse nõusolekuteenus on e-teenus, mis võimaldab inimesel anda riigile loa turvaliselt jagada tema isikuandmeid kindla teenusepakkujaga.” Tegelikult on see turvalisus aga näiline, sest riik välistab nõusolekuteenuse tüüptingimustes igasuguse vastutuse selle eest, mis nende andmetega hiljem tehakse (vt selle kohta allpool). Sellisel kujul on nõusolekuteenus inimesi eksitav, luues turvalisuse illusiooni, ning on suur oht, et esimeste andmete kuritarvituste puhul kaotavad inimesed usalduse mitte ainult nõusolekuteenuse, vaid kogu e-riigi vastu tervikuna. Olukorras, kus riik põhjendab nõusolekuteenuse loomist inimese piiramatu privaatautonoomiaga, pannes kogu vastutuse andmeedastuse riskide osas inimesele, samas inimesi tegelikult nende ohtude eest hoiatamata ja teavitustööd tegemata, astuvad inimesed samasse lõksu nagu piiranguteta alkoholi või tubaka müügi või kiirlaenude puhul.
Meenutuseks: MKMi nõusolekuteenuse hankedokumendi lisas 3 on tõdetud, et “Hakates enda kätte kogutud põhjalikku andmestikku erasektoriga jagama, peab riik väga hoolikalt läbi mõtlema, millised riskid, sh kaugeleulatuvad sotsiaalsed mõjud (ja sellest tulenevad kulud) sellise tegevusega kaasnevad ning kuidas täpselt andmete jagamist teha tohiks, et ei toimuks nõusolekuteenuse kuritarvitamine nõusoleku saaja poolt.” Praeguse eelnõu seletuskirjast sellist analüüsi paraku ei nähtu: seletuskirjas on lihtsalt tõdetud, et “sotsiaalne mõju ei ole esialgu oluline”. Kui nõusolekuteenuse mõju inimeste jaoks tõepoolest ei ole oluline, siis miks on riik pidanud vajalikuks sõnastada nõusolekuteenuse üldtingimuste p. 2.6 järgmiselt: “2.6. RIA ei vastuta Nõusolekuteenuse vahendusel kolmandale osapoolele edastatud andmete edasise andmetöötluse eest.”?
Veelgi enam: nõusolekuteenuse üldtingimuste p. 2.5 sätestab, et “RIA ei vastuta võimalike Nõusolekuteenuse kasutamisest või mittekasutamisest tekkinud kahjude või saamata jäänud tulu eest.” Selline tüüptingimus on aga VÕS § 42 lg 3 p 1 ja § 39 lg 2 kohaselt ebamõistlikult kahjustav ja seetõttu tervikuna tühine. Sarnaste klauslite tühisust on hiljuti kinnitanud ka Riigikohus.16 Meie arvates on väga kahetsusväärne, et e-Eesti kasutab suhtes Eesti elanikega oma vastutust täielikult välistavaid ning seega ebamõistlikult kahjustavaid ja Riigikohtu poolt tühiseks hinnatud tüüptingimusi. Selline riigipoolne tegevus võib õõnestada inimeste usaldust e-riigi ja e-teenuste vastu. Veelgi enam: riik käitub meie hinnangul ka vastuoluliselt, rõhutades ühelt poolt MKMi kodulehel (ja ka käesoleva eelnõu seletuskirjas), et tegemist on inimese jaoks turvalise teenusega, teiselt poolt aga välistab nö väikeses kirjas igasuguse omapoolse vastutuse. Muuhulgas oleks antud tüüptingimuse kohaselt riigi vastutus välistatud ka juhul, kui isikuandmed lekivad riigi süü (nt vähese andmeturbe) tõttu nõusolekute haldamise andmekogust või andmeedastusel riigi andmekogust kolmandale isikule.

IV. Parlamendireservatsiooni nõue
Eelnõus plaanitu kohaselt ei määratle seadusandja nõusolekuteenuse sisu ega ulatust, vaid see jääb täitevvõimu sisustada. Põhiseadusest tulenevalt aga peab seadusandja ise otsustama kõik põhiõiguste seisukohast olulised küsimused; põhiõiguste riive tingimused ja ulatus peab selguma seadusest. Seadus peab olema üksikasjalisem, kui riive on intensiivsem. Ka põhiõiguste riivet tasakaalustavad kaitsemeetmed peab otsustama seadusandja. Nende delegeerimine määruse tasandile ei ole lubatav. Seda nimetatakse parlamendireservatsiooni põhimõtteks.17 Eelöeldust nähtuvalt kaasnevad nõusolekuteenusega väga põhimõttelist laadi põhiõiguste kaitse küsimused. Seetõttu ei ole käesolev seaduseelnõu, mille puhul seadusandja jätab nõusoleku teenuse olemuse, sisu ja ulatuse seaduse tasandil reguleerimata ning delegeerib otsustusõiguse antud küsimuses täies ulatuses täitevvõimule, kooskõlas parlamendireservatsiooni põhimõttega.

V. Kokkuvõte
Nagu eespool selgitatud, on riigil Põhiseadusest tulenev kaitsekohustus inimeste privaatsuse kaitseks ning nõusolekuteenust ei saa legitimeerida pelgalt inimese privaatautonoomiaga. Põhiseadusest tulenev kaitsekohustus tähendab, et seadusandja peab inimeste kaitseks kehtestama teatud piirangud, et piirideta privaatautonoomia tingimustes inimesed end teadmatusest ei kahjustaks. Paraku ei ole selleteemalist laiemat ühiskondlikku diskussiooni nõusolekuteenuse küsimuses alustatud, rääkimata sellest, et eksisteeriks ettepanek konkreetsete seadusandlike piirangute kehtestamiseks. Eelnõu seletuskirjas mainitakse möödaminnes, et eriliigiliste isikuandmete edastamise piirangud tuleks kehtestada muude seadustega, samas ei ole selliseid ettepanekuid tehtud ega isegi teistelt ministeeriumidelt vastavas osas nõu küsitud. Leiame, et nõusolekuteenust ei tohi käivitada enne, kui vastavad küsimused on laiema ühiskondliku debati läbinud ja asjaomased täiendavad piirangud “muude seadustega” kehtestatud. Vastasel korral on suur oht leida end peatselt olukorrast, kus Eesti ühiskond oli aastal 2015: ehkki 2000ndate aastate alguses oli peetud liigkasuvõtjalike intressidega kiirlaene innovatiivseteks teenusteks, inimeste vaba tahtega kooskõlas olevaks ja “teadlikult” võetuks, kuid ülelaenamisest tulenevad sotsiaal-majanduslikud probleemid olid 2015-ks aastaks kasvanud ühiskonnas niivõrd suureks, et Riigikogu oli sunnitud reageerima erinevate jõuliste piirangute kehtestamisega.

Ülaltoodud põhjustel peame enne käesoleva eelnõu vastuvõtmist vajalikuks laiemat avalikku arutelu isikuandmete müügi ja jagamise teemadel ning japõhjalikumat juriidilist nõusolekuteenuse käsitlust .

Lugupidamisega,

Gaabriel Tavits
TÜ õigusteaduskonna direktor

Arvamuse koostajad:
Monika Mikiver
Karin Sein
Paloma Krõõt Tupay



15.07.2024
Arvamus avaliku teabe seaduse ja keeleseaduse muutmise seaduse eelnõule

Täname võimaluse eest avaldada arvamust Majandus- ja Kommunikatsiooniministeeriumi (MKM) 21. juunil 2024 edastatud avaliku teabe seaduse ja keeleseaduse muutmise seaduse kohta.
Eelnõuga kavatsetakse luua andmeedastuse nõusoleku süsteem ja volituste haldamise süsteem. Leiame, et pakutud regulatsioon on mitmel põhjusel problemaatiline. Viitega Euroopa andmestrateegiale1 märgib ka seaduseelnõu, et andmepõhise majanduse loomisel tuleb tagada tasakaal andmete liikumise ja laialdase kasutamise ning rangete eraelu puutumatuse, julgeoleku-, turvalisus- ja eetikanormide vahel.2 Eelnõu praegusel kujul jätab käsitlemata olulised, andmekaitset, eraelu puutumatust ja eetikat käsitlevad aspektid, mis on tasakaalustatud regulatsiooni vajalikuks tingimuseks. Mitmed haakuvad riskid on välja toodud MKM ka nõusolekuteenuse õigusanalüüsi hankes, mida eelnõus ei ole käsitletud (selle kohta täpsemalt allpool). Oleme seetõttu seisukohal, et antud kujul välja pakutud nõusolekuteenuse regulatsiooni kooskõla kehtiva õiguskorraga, eeskätt riigi kohustustega inimese ees, vajab põhjalikumat kaalumist. Seda eeskätt järgmistel põhjustel:
• eelnõu koostamisel ei ole arvestatud nõusolekuteenusega kaasnevate riskidega (sh riskiga, et nõusoleku andmine (sh terviseandmetele juurdepääsuks) võib praktikas kujuneda paljude teenuste saamise eelduseks;
• sellest tulenevalt on tegu põhiõiguste seisukohast olulise kaaluga küsimusega, mis vajab seaduse (ja mitte määruse) tasemel põhjalikumat regulatsiooni ja sisaldaks ka andmesubjekte ähvardavate riskide vastu kaitsemeetmeid;
• peame äärmiselt problemaatiliseks olukorda, kus riik tekitab illusiooni nõusolekuteenusest kui inimese jaoks turvalisest teenusest, samas aga välistab tüüptingimustega igasuguse vastutuse nõusolekuteenusega kaasnevate riskide ja potentsiaalse kahju eest; näeme siin ohtu, et inimese kaotavad usalduse Eesti e-riigi vastu.
Samuti on problemaatiline nõusolekuteenuse jätkuv pakkumine ilma asjakohase regulatsioonita. Selgitame oma seisukohta alljärgnevalt põhjalikumalt.

I. Nõusolekuteenusega kaasnevad riskid
Arvamuse andmiseks edastatud eelnõuga kavatsetakse legaliseerida nõusolekuteenus, mida Riigi Infosüsteemi Ameti (RIA) veebilehel selgitatakse järgmiselt: „Nõusolekuteenuse abil saate lubada enda isikuandmete edastamise ettevõtetele, kes pakuvad isikuandmetel põhinevaid uudseid ja isikustatud teenuseid. Nõusolekuid saab anda ainult konkreetse teenuse jaoks vajaliku andmekomplekti edastamiseks. Pärast nõusoleku andmist edastatakse riigi käes olevad andmed nõusoleku saanud eraettevõttele.
Nõusolekuteenuse kaudu saate otsustada enda isikuandmete töötlemise üle, valides ise kolmandad osapooled, kes teie andmetele juurdepääsu saavad. Nõusolekuteenuse kasutamine ning nõusolekute andmine on alati vabatahtlik. Antud nõusoleku saab igal hetkel tagasi võtta.“3 Nõusolekuteenust tutvustati laiemale avalikkusele juba 2021. aastal, kui MKM tutvustas erinevaid võimalusi, sh personaalmeditsiini valdkonnas, mida nõusolekuteenus endaga kaasa tooks. ERRi uudisest võib lugeda: „"Meil on laiemalt eesmärk inimkesksest digiriigist, kus üheltpoolt inimesed juba saavad näha, kuidas andmeid riigi poolt töödeldakse. Nüüd me tahame ka võimestada inimesi, et nad saaksid ise otsustada, millised riigivälised osapooled ja millistel tingimustel saavad nende andmeid kasutada," ütles Velsberg.“4
Olgugi, et esmapilgul kõlab õilsalt luua võimalus inimesele oma andmete käsutamise üle, kaasneb nõusolekuteenusega rida küsitavusi. Nõusolekuteenuse analüüsi riigihanke väljakuulutamisel defineeris MKM ise rea ohte, mis nõusolekuteenuse kasutuselevõtuga kaasnevad. Majandus- ja Kommunikatsiooniministeeriumi hankedokumendi lisas 3 on tood järgmised riskid:
1. Nõusolekuteenus tekitab ja suurendab nõudlust andmete järele
Teenust osutatakse just nii, nagu olud lubavad. Kui tekib uus võimalus täiendavate andmete saamiseks, tekib andmekasutajatel ka soov oma kliente senisest põhjalikumalt või uutel viisidel analüüsida. Analüüsivajadust põhjendatakse kliendi maksevõime või kandidaadi tausta põhjalikuma hindamise vajadusega (finantseerimisasutused, kindlustusandjad, tööandjad). Algselt uudsed lahendused muutuvad mõne aja möödudes üldlevinuks ning uueks normaalsuseks (võrdluseks turvakaamerate levik, maksehäireregistri kujunemislugu[1]). Kokkuvõttes privaatsus taas aheneb.
2. Ülemäärane andmetöötlus
Praktikas määravad andmekasutajad, mis andmeid nad teenuse osutamiseks vajavad. Andmesubjektil on võimalus teenust mitte kasutada, kui küsitakse ülemääraselt andmeid. Samas inimesed ei süvene, ei saa aru, ei huvitu või ei oska hinnata. Juba praegu on väga levinud, et mobiilirakendused küsivad juurdepääsu kõikvõimalikele teenusega mitte seotud andmetele; kindlustusandjad küsivad perearstilt/raviasutuselt kogu patsiendi haigusloo, kuigi vajadus on saada üksnes kindlustusjuhtumisse puutuvaid terviseandmeid. Seni on perearstid/raviasutused otsustanud, mis andmed on asjassepuutuvad ja mida võib väljastada. Selle vahelüli kadumisel, võttes arvesse senist praktikat, võib arvata, et kindlustusandjad hakkavad töötlema oluliselt ulatuslikumalt terviseandmeid.
3. Andmesubjekti otsustusvabadus lahjeneb
Andmeedastuse algatamine on justkui andmesubjekti otsus, kuid tegelikult on see seatud teenuse saamise tingimuseks. Näiteks finantseerimisasutuse laenu taotlemise ja saamise tingimustes on nõue andmeedastuseks kas finantseerimisasutusele või tema poolt kasutatavale andmetöötlusettevõttele.
Vastutasuks andmeedastuse eest võidakse pakkuda (varjatult) soodsamat hinda vms majanduslikku kasu (nt kindlustusandja pakub andmesubjektile soodsamat teenuse hinda, kui andmesubjekt annab kindlustusandjale otsejuurdepääsu andmekogu(de)s olevatele andmetele.
4. Superandmebaasid, andmemaaklerid, andmeäri
Tekivad vahendajad või andmemaaklerid, mis pakuvad andmeanalüüsiteenuseid või ostavad andmeid kokku edasimüügi eesmärgil (pakkudes andmesubjektile nt teatavat tasu igakordse edasimüügi pealt). Paljudest andmetest kokku pandud superandmebaas toob kaasa suuremad riskid (ründe korral saadakse korraga rohkem andmeid, objekt on ründajatele ahvatlevam, kuivõrd sisaldab palju andmeid korraga, superandmebaasis on ulatuslik profiil inimesest). Andmeanalüüsiteenust kasutaval andmekasutajal (nt pangal) ega andmesubjektil ei pruugi olla ülevaadet vahendaja tegevuse tegeliku sisu üle. Kasutatakse erinevaid juriidilisi skeeme (mitte vastutava – volitatud töötleja suhet, vaid küsitakse andmesubjektilt erinevaid volitusi ja nõusolekuid). Pole välistatud, et andmeid hangitakse vaenuliku välisriigi korraldusel.
5. Sotsiaal-majandusliku kihistumise tõus
Mida rohkem andmeid inimese kohta kokku on võimalik koguda, seda põhjalikumalt saab hinnata tema profiili, riske ja „väärtust“. Teenused muutuvad kõrge riskiga inimeste jaoks senisest kallimaks või hoopis kättesaamatuks, mis raskendab inimeste toimetulekut veelgi ning tõstab riigi kulusid sotsiaalkaitsele.

Leiame, et eelnevalt kirjeldatud riskide realiseerumine on tõenäoline. On põhjust karta, et eelnõuga kavandatava infotehnoloogilise võimekuse loomisel (või juba loodud rakenduse legaliseerimisel) võib inimese vaba tahe osutuda illusiooniks. Seletuskirjas on küll väidetud, et teenuste kättesaadavus on tagatud igal juhul ka ilma nõusolekuteenuse kaudu nõusolekut andmata, kuid MKM-s toimunud nõusolekuteenuse esitlusel kirjeldati perearstide nn digitriaaži (e-visiidikeskkonnas toimuva patsientide eelselektsiooni) näidet ning selle digitriaaži kasutamine oli ilmselgelt seatud sõltuvusse terviseandmete töötlemiseks nõusoleku andmisega (ilma nõusolekut andmata digitriaazi kasutada ei saa). Sama kehtib kahtlemata ka nõusolekuteenuse tutvustamisel kirjeldatud digitaalse ravimikapi või digitaalse vaktsineerimismeelespea teenuste kohta: ilmselgelt ei saa neid teenuseid olema võimalik kasutada ilma nõusolekuteenust kasutamata. Vastupidine väide seletuskirjas on selgelt eksitav.
Eelnõu seletuskirjas leitakse, et “Innovaatiliste ja samas mugavate lahenduste loomine eeldab kõikide poolte soovi ja tahet olla normikuulekas ja teadlik oma tegevuse mõjudest ja tagajärgedest. Uudsete teenuste loomisel või nende loomise võimaldamisel ei saa riik lähtuda muust eeldusest kui see, et inimesed annavad oma nõusoleku vabatahtlikult ja teadlikult ning ettevõtjad järgivad nende tegevust raamistavaid kohustuslikke õigusnorme.” Eeldus, et innovatiivsete teenuste puhul järgivad ettevõtjad alati seadust, ei põhine paraku reaalsusel. Vastasel korral ei oleks meil ei kiirlaenude ega krüptoäri (mis kaheldamatult on innovatiivsed teenused) puhul hulgaliselt juhtumeid, kus ettevõtjad on nende tegevust raamistavaid kohustuslikke õigusnorme rikkunud. Lihtsustatult öeldes: kui riik tõepoolest lähtub eeldusest, et innovatiivse äri puhul seadust ei rikuta, miks meil on siis üldse vaja küberkuritegevuse ennetamisele ja karistamisele suunatud riiklikke mehhanisme? Kui ettevõtjad järgiksid innovatiivsete ärimudelite puhul andmekaitsereegleid, siis ei oleks Euroopa Komisjon alustamas menetlust Meta suhtes (pay-or-ok ärimudeli osas) ega oleks ka ühe Eesti apteegi kliendiprogrammi haldaja või geenitestide tegija juurest lekkinud isikuandmeid.
Eelnõu seletuskirjas puuduvad igasugused viited selle kohta, kuidas on kavandatud nende – MKMi enda poolt varasemalt välja toodud – riskide maandamine. Seletuskirjas lihtsalt eeldatakse, et kõik ettevõtjad käituvad ausalt ning inimesed on äärmiselt teadlikud oma andmete jagamisel, mis aga kahtlemata ei vasta reaalsusele. Nagu on tabavalt märkinud Tanel Mällo: “Rakendades nõusolekuteenuse juurutamisel liberaalset taktikat (luua inimesele võimalus kõiki oma andmeid vabalt jagada olukorras, kus suur osa neist ei oska selle tagajärgi teadvustada ja nende eest vastutada) eeldaks riik, et isikuandmete jagamisel kehtib täiuslik turuloogika, mille kohaselt inimene ei jaga andmeid ebaeetiliste andmekasutajatega. Reaalsuses puudub inimestel täna tunnetuslik võimekus ja informeeritus, et selliseid otsuseid teha.”5 Eelnõu ei välista nt seda, et inimene müüb ja loovutab nõusolekuteenuse kaudu Metale kõik oma terviseandmed selleks, et viimane teeks talle tervisehoroskoobi. Tõsi: teoreetiliselt on sellise olukorra teke ka täna võimalik. Kuid jällegi on oluline erinevus, kas sellise olukorra teke on riiklikult kujundatud ja tehnoloogiliselt võimestatud või mitte. Selleks, et mingi ka täna teoreetiliselt võimalik olukord massiliseks ja seega problemaatiliseks kujuneks, on vaja vastavat tehnoloogilist lahendust. Võrdluseks: ka enne AirBnB sarnaste teenuste loomist oli teoreetiliselt võimalik üürida oma Tallinnas asuv korter nädalaks ajaks välja Guatemaalast päris inimesele. Päriselus olid sellised juhtumid aga haruldased, sest puudus tehniline lahendus, mis sellised inimesed kokku viiks ja selliste lepingute sõlmimise hõlpsaks teeks. Sama kehtib ka nõusolekuteenuse kohta, mistõttu seletuskirjas toodud argument, et sellised andmeedastused on ka täna õiguslikult võimalikud, sisuliselt ei päde. Sama on tõdenud ka MKM-i esindaja Erik Janson nõusolekuteenust tutvustades: “Tänane õigussüsteem küll kaitseb inimese õigusi andmete jagamisel, ent automaatsete süsteemide ja toetavate tehniliste lahenduste puudumise tõttu on praktikas andmete jagamine aeganõudev ja keeruline.“

II. Nõusolekuteenus kui põhiõiguste riive

1. Põhiõigus eraelule ja isikuandmete kaitsele
Nagu ka seaduseelnõu selgitab, käsitleb käesolev seaduseelnõu (isiku-)andmete töötlemisega seotud küsimusi.
Riigikohtu praktikas on isikuandmete töötlemine asetatud üldjuhul eraelu puutumatuse kaitsealasse, nimetamata informatsioonilise enesemääramisõiguse aspekti.6 Riigikohtu hinnangul võib isikuandmete töötlemine, sh nende kättesaadavaks tegemine kolmandatele isikutele, riivata PS §-s 26 sätestatud igaühe õigust perekonna- ja eraelu puutumatusele ning ahendab isiku privaatsfääri tervikuna.7 Samuti on Riigikohus kinnitanud põhiõigust informatsioonilisele enesemääramisele, kuid ei ole teinud katset seda põhjalikumalt sisustada. Riigikohtu põhiseaduslikkuse järelevalve kolleegium mainis juba 1994. aastal nn operatiivtehniliste erimeetmete asjas põhiõigust informatsioonilisele enesemääramisele: „Põhjaliku seadusandliku regulatsiooni puudumine ja varjatus jätab aga isiku ilma õigusest informatsioonilisele enesemääratlusele, valida käitumisjoont ja end kaitsta.“8 1997. aastal nimetas Riigikohus informatsioonilise enesemääramise õigust inimväärikuse alla kuuluvaks põhimõtteks.9

Läbi aegade on regulatsioonid ja andmetöötluspõhimõtted seadnud eesmärgiks tasakaalustada eraisiku ja kas avaliku võimu või eraettevõtja informatsioonilist asümmeetriat ehk teisisõnu, ohuks inimeste vabale enesemääramisele on peetud suure hulga informatsiooni koondumist ühe teenusepakkuja kätte. Tulenevalt andmetöötluse omapäradest on Euroopa Liidu (EL) seadusandja pööranud olulist tähelepanu avaliku võimu tegustemiskohustusele andmekaitseõiguse tagamisel. Andmekaitse põhiõiguse sõnastusest Euroopa Liidu põhiõiguste harta (ELPH) artiklis 8 tuleneb isiku positiivne õigus nõuda isikuandmete kaitsmist põhiõiguste adressaadilt, milleks on üldjuhul avalik võim. Eestil kui EL (Euroopa Liidu) liikmesriigil tuleb isikuandmete kaitse kui põhiõiguse sisustamisel arvestada ka ELPHs sätestatuga. ELPH artiklist 8 tulenevat kaitsekohustustust ja selle omapärasid täpsustab omakorda EL isikuandmete kaitse üldmäärusega (IKÜM).

2. Põhiõiguse riive kui riigi kaitsekohustuse täitmata jätmine
Nõusolekuteenuse seadustamine puudutab isikuandmete töötlemist. Isikuandmete ülemäärase töötlemise eest kaitseb inimest PS § 26, mis tagab eraelu puutumatuse. Eraelu puutumatuse riivena käsitatakse muu hulgas isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist.10 Asjaolu, et eelnõuga võimaldatakse inimesel endal oma andmeid käsutada, ei tähenda, et PS § 26 võib jätta tähelepanuta. Tänane üldine seisukoht on, et riik on kohustatud võtma ka ennetavaid ja positiivseid kaitsemeetmeid, kui vajadus selleks tuleneb isiku kaitsevajadusest või ohuolukorra eripärast. Igapäevastes õigustoimingutes on heaks näiteks üürnike kaitse ja tarbijakaitse. Mõlemal juhul tugevdab õigus nii siseriiklikul kui ka ELi tasandil üksikisiku positsiooni õigustoimingutes ja tunnistab tema erilist kaitsevajadust tugevama lepingupartneri suhtes. Ka andmekaitseõigus tagab andmesubjekti nõrgemat positsiooni andmetöötleja suhtes ja tugevdab seda eelkõige IKÜM, mis konkretiseerib põhiõiguste harta artiklis 8 sätestatud põhiõigust andmekaitsele.
Eelnõu seletuskirjas on aga märgatud üksnes võimalust, et ettevõtjatele teatud nõuete kehtestamine nõusolekuteenusele juurdepääsuks võib riivata hoopis nende õigusi: „Inimesele jääb nõusolekusüsteemi kasutamisel võimalikult suur voli otsustada, kellele, millisel eesmärgil ja milliseid andmeid ta edastab. Seda seetõttu, et eelnõus ei ole ette nähtud isiku otsustusõigust piiravaid tingimusi isikuandmete edastamiseks nõusolekusüsteemis antud nõusoleku alusel. Piiravate tingimuste seadmine vajab õigustust, sest ühest küljest oleks sel juhul tegemist isiku nõusoleku kitsendamisega ja teisest küljest ka potentsiaalse sekkumisega ettevõtlusvabadusse.“11
Siiski ka eraelu puhul kehtib riigi kaitsekohustus: „Paragrahvi 26 esimese lause kaitseala võib riivata iga sellega kaitstud õigusliku positsiooni ebasoodne mõjutamine riigi poolt, aga ka riigi kaitsekohustuse täitmata jätmine.“.12
Riigipoolse kaitsekohustuse mittetäitmine nähtub ka asjaolust, et eelnõust puuduvad igasugused reeglid selle kohta, kes ja millistel tingimustel üldse nõusolekuteenusele juurdepääsu saab. Seletuskirjas mainitakse eelkõige ettevõtjaid ning varasema eelnõu versioon sisaldas vähemalt teatud nõudeid andmesaajatele (nt ei tohtinud andmesaajal ega tema juhatuse liikmel olla kehtivat kriminaalkaristust või karistus andmekaitsereeglite rikkumise eest). Praegusel juhul ei näe eelnõu selles osas üleüldse mingeid tingimusi ette, mis tõstatab küsimuse, kas riigil on teatud juhtudel õigus nõusolekuteenusele juurdepääsu andmisest keelduda. Arvestades, et seadus selliseid piiranguid ei sisalda ning riik ei tohi isikuid oma suva järgi kohelda ega diskrimineerida, tähendab praegune regulatsioon, et riigil puudub õigus keelduda andmete väljastamisest nt Venemaal registreeritud äriühingule või ka lihtsalt äriühingule, kelle juhatuse liikmetel on kehtiv karistus nt ulatusliku andmekaitsenõuete rikkumise eest. Ka ei võimalda eelnõus välja pakutud regulatsioon sekkuda inimeste privaatsuse kaitseks ennetavalt AKI-l. Peame väga problemaatiliseks asjaolu, et eelnõu ei sisalda mitte mingeid filtreid nt andmesaaja või selle juhatuse liikmetele, ei nähta ette AKI poolset eelkontrolli ning sisuliselt kontrollitakse üksnes andmeturbe reeglite järgimist erinevate andmekogude põhimääruste kohaselt. Leiame, et inimeste privaatsuse kaitseks ei piisa üksnes andmeturbe ja tehniliste nõuete järgimisest, sest privaatsusriived ei seondu üksnes tehnoloogiliste lahendustega.

3. IKÜMist tulenevad, nõusolekule esitatavad nõuded (IKÜM art. 7)
Nagu ülalpool selgitatud, täpsustab IKÜMis sätestatu isikuandmete kaitse kui põhiõiguse ulatust ja sisu. Seega peab ka Eesti seadusandja antud põhiõiguse sisustamisel sellega arvestama.
IKÜM art 4 (11) kohaselt on nõusolek IKÜM mõttes „vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega“.
Euroopa Andmekaitseinspektori avaldatud juhis pöörab tähelepanu mh sellele, et vabatahtlikkuse puhul tuleb arvesse võtta ka vastutava töötleja ja andmesubjekti vahelist võimalikku ebavõrdsust.13 Samuti pöörab sellele asjaolule tähelepanu IKÜM põhjenduspunkt 43.
Kui andmekaitse subjekt annab riigile nõusoleku oma andmete väljastamiseks aga see nõusolek ei täida IKÜM art 7 poolt kehtestatud nõudeid, ei tohiks riik asjakohaseid andmeid väljastada. Ka pelgalt andmete väljastamine kujutab endast andmetöötlust IKÜM mõttes (art IKÜM art 4 (2)). Riik peab arvestama võimalusega, et enamik inimesi ei anna seda nõusolekut sellise teadlikkusega, kui eelnõu koostajad optimistlikult eeldavad. Teadlased on ammu tõestanud, et inimesed ei loe nö väikest kirja ega anna seetõttu oma nõusolekut teadlikult.14 Liiatigi on ilma andmekaitseõigusliku erihariduseta inimesel äärmiselt raske eristada kahte eraldiseisvat nõusolekut: ühelt poolt nõusolek andmete edastamiseks riigi andmebaasist ettevõtjale ja teiselt poolt hilisem nõusolek ettevõtjale isikuandmete kasutamiseks innovatiivse teenuse osutamiseks.
Samuti on Euroopa Andmekaitseinspektor selgitanud, et nõue, et nõusolek peab olema konkreetne, on suunatud sellele, et tagada andmesubjekti teatav kontroll ja andmete läbipaistvus. Nõusoleku teadlikkuse kohta on EL Andmekaitseinspektor täheldanud, et andmesubjekti peab olema teadlik igast üksikust töötlemistoimingu eesmärgist, mille jaoks nõusolekut taotletakse.15
Ehkki seda otseselt ei selgitata, nähtub eelnõu seletuskirjast, et peetakse võimalikuks ka nõusoleku andmist korduvate andmepäringute tegemiseks teatud perioodi vältel. Nõusolekuteenus annab ettevõtjale võimaluse pääseda ligi isiku andmetele pikema ajavahemiku jooksul, mille käigus võib edastatav informatsioon inimese kahjuks muutuda (nt lisanduda võivad uued haiguse diagnoosid, muutuda võib võlgniku staatus jne).
Seaduseelnõu üldistav sõnastus ei välista ka seda, et nt kindlustusandja laseb kindlustuslepingu sõlmimise eeldusena anda endale reaalajas juurdepääsu kõigile Tervisekassas sisalduvatele kindlustusvõtja terviseandmetele. Isegi kui selline lahendus täna veel tehniliselt võimalik ei ole, võib see seda olla tulevikus. Peame problemaatiliseks olukorda, kus riik loob tehnilise võimekuse ja seadusandliku regulatsiooni selleks, et nt kindlustusandjatel (aga ka muude oluliste teenuste pakkujatel) tekib võimalus seada oma teenuse kättesaadavus - või selle eest küsitav tasu - sõltuvusse sellest, et inimene annab ligipääsu oma riiklikes andmebaasides olevatele eriliigilistele isikuandmetele. Seeläbi võime end leida ühel päeval olukorras, kus nt ravi- või reisikindlustuse saamiseks oleme sunnitud andma juurdepääsu kõigile oma TEHIKus olevatele terviseandmetele.

III. Turvalisuse illusiooni loomine ja riigi vastutuse välistamine: oht usalduse kadumiseks e-riigi vastu

Üheks suureks ohuks nõusolekuteenuse puhul on ka selle näiline turvalisus: riik selgitab inimesele, et “Andmeedastuse nõusolekuteenus on e-teenus, mis võimaldab inimesel anda riigile loa turvaliselt jagada tema isikuandmeid kindla teenusepakkujaga.” Tegelikult on see turvalisus aga näiline, sest riik välistab nõusolekuteenuse tüüptingimustes igasuguse vastutuse selle eest, mis nende andmetega hiljem tehakse (vt selle kohta allpool). Sellisel kujul on nõusolekuteenus inimesi eksitav, luues turvalisuse illusiooni, ning on suur oht, et esimeste andmete kuritarvituste puhul kaotavad inimesed usalduse mitte ainult nõusolekuteenuse, vaid kogu e-riigi vastu tervikuna. Olukorras, kus riik põhjendab nõusolekuteenuse loomist inimese piiramatu privaatautonoomiaga, pannes kogu vastutuse andmeedastuse riskide osas inimesele, samas inimesi tegelikult nende ohtude eest hoiatamata ja teavitustööd tegemata, astuvad inimesed samasse lõksu nagu piiranguteta alkoholi või tubaka müügi või kiirlaenude puhul.
Meenutuseks: MKMi nõusolekuteenuse hankedokumendi lisas 3 on tõdetud, et “Hakates enda kätte kogutud põhjalikku andmestikku erasektoriga jagama, peab riik väga hoolikalt läbi mõtlema, millised riskid, sh kaugeleulatuvad sotsiaalsed mõjud (ja sellest tulenevad kulud) sellise tegevusega kaasnevad ning kuidas täpselt andmete jagamist teha tohiks, et ei toimuks nõusolekuteenuse kuritarvitamine nõusoleku saaja poolt.” Praeguse eelnõu seletuskirjast sellist analüüsi paraku ei nähtu: seletuskirjas on lihtsalt tõdetud, et “sotsiaalne mõju ei ole esialgu oluline”. Kui nõusolekuteenuse mõju inimeste jaoks tõepoolest ei ole oluline, siis miks on riik pidanud vajalikuks sõnastada nõusolekuteenuse üldtingimuste p. 2.6 järgmiselt: “2.6. RIA ei vastuta Nõusolekuteenuse vahendusel kolmandale osapoolele edastatud andmete edasise andmetöötluse eest.”?
Veelgi enam: nõusolekuteenuse üldtingimuste p. 2.5 sätestab, et “RIA ei vastuta võimalike Nõusolekuteenuse kasutamisest või mittekasutamisest tekkinud kahjude või saamata jäänud tulu eest.” Selline tüüptingimus on aga VÕS § 42 lg 3 p 1 ja § 39 lg 2 kohaselt ebamõistlikult kahjustav ja seetõttu tervikuna tühine. Sarnaste klauslite tühisust on hiljuti kinnitanud ka Riigikohus.16 Meie arvates on väga kahetsusväärne, et e-Eesti kasutab suhtes Eesti elanikega oma vastutust täielikult välistavaid ning seega ebamõistlikult kahjustavaid ja Riigikohtu poolt tühiseks hinnatud tüüptingimusi. Selline riigipoolne tegevus võib õõnestada inimeste usaldust e-riigi ja e-teenuste vastu. Veelgi enam: riik käitub meie hinnangul ka vastuoluliselt, rõhutades ühelt poolt MKMi kodulehel (ja ka käesoleva eelnõu seletuskirjas), et tegemist on inimese jaoks turvalise teenusega, teiselt poolt aga välistab nö väikeses kirjas igasuguse omapoolse vastutuse. Muuhulgas oleks antud tüüptingimuse kohaselt riigi vastutus välistatud ka juhul, kui isikuandmed lekivad riigi süü (nt vähese andmeturbe) tõttu nõusolekute haldamise andmekogust või andmeedastusel riigi andmekogust kolmandale isikule.

IV. Parlamendireservatsiooni nõue
Eelnõus plaanitu kohaselt ei määratle seadusandja nõusolekuteenuse sisu ega ulatust, vaid see jääb täitevvõimu sisustada. Põhiseadusest tulenevalt aga peab seadusandja ise otsustama kõik põhiõiguste seisukohast olulised küsimused; põhiõiguste riive tingimused ja ulatus peab selguma seadusest. Seadus peab olema üksikasjalisem, kui riive on intensiivsem. Ka põhiõiguste riivet tasakaalustavad kaitsemeetmed peab otsustama seadusandja. Nende delegeerimine määruse tasandile ei ole lubatav. Seda nimetatakse parlamendireservatsiooni põhimõtteks.17 Eelöeldust nähtuvalt kaasnevad nõusolekuteenusega väga põhimõttelist laadi põhiõiguste kaitse küsimused. Seetõttu ei ole käesolev seaduseelnõu, mille puhul seadusandja jätab nõusoleku teenuse olemuse, sisu ja ulatuse seaduse tasandil reguleerimata ning delegeerib otsustusõiguse antud küsimuses täies ulatuses täitevvõimule, kooskõlas parlamendireservatsiooni põhimõttega.

V. Kokkuvõte
Nagu eespool selgitatud, on riigil Põhiseadusest tulenev kaitsekohustus inimeste privaatsuse kaitseks ning nõusolekuteenust ei saa legitimeerida pelgalt inimese privaatautonoomiaga. Põhiseadusest tulenev kaitsekohustus tähendab, et seadusandja peab inimeste kaitseks kehtestama teatud piirangud, et piirideta privaatautonoomia tingimustes inimesed end teadmatusest ei kahjustaks. Paraku ei ole selleteemalist laiemat ühiskondlikku diskussiooni nõusolekuteenuse küsimuses alustatud, rääkimata sellest, et eksisteeriks ettepanek konkreetsete seadusandlike piirangute kehtestamiseks. Eelnõu seletuskirjas mainitakse möödaminnes, et eriliigiliste isikuandmete edastamise piirangud tuleks kehtestada muude seadustega, samas ei ole selliseid ettepanekuid tehtud ega isegi teistelt ministeeriumidelt vastavas osas nõu küsitud. Leiame, et nõusolekuteenust ei tohi käivitada enne, kui vastavad küsimused on laiema ühiskondliku debati läbinud ja asjaomased täiendavad piirangud “muude seadustega” kehtestatud. Vastasel korral on suur oht leida end peatselt olukorrast, kus Eesti ühiskond oli aastal 2015: ehkki 2000ndate aastate alguses oli peetud liigkasuvõtjalike intressidega kiirlaene innovatiivseteks teenusteks, inimeste vaba tahtega kooskõlas olevaks ja “teadlikult” võetuks, kuid ülelaenamisest tulenevad sotsiaal-majanduslikud probleemid olid 2015-ks aastaks kasvanud ühiskonnas niivõrd suureks, et Riigikogu oli sunnitud reageerima erinevate jõuliste piirangute kehtestamisega.

Ülaltoodud põhjustel peame enne käesoleva eelnõu vastuvõtmist vajalikuks laiemat avalikku arutelu isikuandmete müügi ja jagamise teemadel ning japõhjalikumat juriidilist nõusolekuteenuse käsitlust .

Lugupidamisega,

Gaabriel Tavits
TÜ õigusteaduskonna direktor

Arvamuse koostajad:
Monika Mikiver
Karin Sein
Paloma Krõõt Tupay



15.07.2024
Arvamus avaliku teabe seaduse ja keeleseaduse muutmise seaduse eelnõule

Täname võimaluse eest avaldada arvamust Majandus- ja Kommunikatsiooniministeeriumi (MKM) 21. juunil 2024 edastatud avaliku teabe seaduse ja keeleseaduse muutmise seaduse kohta.
Eelnõuga kavatsetakse luua andmeedastuse nõusoleku süsteem ja volituste haldamise süsteem. Leiame, et pakutud regulatsioon on mitmel põhjusel problemaatiline. Viitega Euroopa andmestrateegiale1 märgib ka seaduseelnõu, et andmepõhise majanduse loomisel tuleb tagada tasakaal andmete liikumise ja laialdase kasutamise ning rangete eraelu puutumatuse, julgeoleku-, turvalisus- ja eetikanormide vahel.2 Eelnõu praegusel kujul jätab käsitlemata olulised, andmekaitset, eraelu puutumatust ja eetikat käsitlevad aspektid, mis on tasakaalustatud regulatsiooni vajalikuks tingimuseks. Mitmed haakuvad riskid on välja toodud MKM ka nõusolekuteenuse õigusanalüüsi hankes, mida eelnõus ei ole käsitletud (selle kohta täpsemalt allpool). Oleme seetõttu seisukohal, et antud kujul välja pakutud nõusolekuteenuse regulatsiooni kooskõla kehtiva õiguskorraga, eeskätt riigi kohustustega inimese ees, vajab põhjalikumat kaalumist. Seda eeskätt järgmistel põhjustel:
• eelnõu koostamisel ei ole arvestatud nõusolekuteenusega kaasnevate riskidega (sh riskiga, et nõusoleku andmine (sh terviseandmetele juurdepääsuks) võib praktikas kujuneda paljude teenuste saamise eelduseks;
• sellest tulenevalt on tegu põhiõiguste seisukohast olulise kaaluga küsimusega, mis vajab seaduse (ja mitte määruse) tasemel põhjalikumat regulatsiooni ja sisaldaks ka andmesubjekte ähvardavate riskide vastu kaitsemeetmeid;
• peame äärmiselt problemaatiliseks olukorda, kus riik tekitab illusiooni nõusolekuteenusest kui inimese jaoks turvalisest teenusest, samas aga välistab tüüptingimustega igasuguse vastutuse nõusolekuteenusega kaasnevate riskide ja potentsiaalse kahju eest; näeme siin ohtu, et inimese kaotavad usalduse Eesti e-riigi vastu.
Samuti on problemaatiline nõusolekuteenuse jätkuv pakkumine ilma asjakohase regulatsioonita. Selgitame oma seisukohta alljärgnevalt põhjalikumalt.

I. Nõusolekuteenusega kaasnevad riskid
Arvamuse andmiseks edastatud eelnõuga kavatsetakse legaliseerida nõusolekuteenus, mida Riigi Infosüsteemi Ameti (RIA) veebilehel selgitatakse järgmiselt: „Nõusolekuteenuse abil saate lubada enda isikuandmete edastamise ettevõtetele, kes pakuvad isikuandmetel põhinevaid uudseid ja isikustatud teenuseid. Nõusolekuid saab anda ainult konkreetse teenuse jaoks vajaliku andmekomplekti edastamiseks. Pärast nõusoleku andmist edastatakse riigi käes olevad andmed nõusoleku saanud eraettevõttele.
Nõusolekuteenuse kaudu saate otsustada enda isikuandmete töötlemise üle, valides ise kolmandad osapooled, kes teie andmetele juurdepääsu saavad. Nõusolekuteenuse kasutamine ning nõusolekute andmine on alati vabatahtlik. Antud nõusoleku saab igal hetkel tagasi võtta.“3 Nõusolekuteenust tutvustati laiemale avalikkusele juba 2021. aastal, kui MKM tutvustas erinevaid võimalusi, sh personaalmeditsiini valdkonnas, mida nõusolekuteenus endaga kaasa tooks. ERRi uudisest võib lugeda: „"Meil on laiemalt eesmärk inimkesksest digiriigist, kus üheltpoolt inimesed juba saavad näha, kuidas andmeid riigi poolt töödeldakse. Nüüd me tahame ka võimestada inimesi, et nad saaksid ise otsustada, millised riigivälised osapooled ja millistel tingimustel saavad nende andmeid kasutada," ütles Velsberg.“4
Olgugi, et esmapilgul kõlab õilsalt luua võimalus inimesele oma andmete käsutamise üle, kaasneb nõusolekuteenusega rida küsitavusi. Nõusolekuteenuse analüüsi riigihanke väljakuulutamisel defineeris MKM ise rea ohte, mis nõusolekuteenuse kasutuselevõtuga kaasnevad. Majandus- ja Kommunikatsiooniministeeriumi hankedokumendi lisas 3 on tood järgmised riskid:
1. Nõusolekuteenus tekitab ja suurendab nõudlust andmete järele
Teenust osutatakse just nii, nagu olud lubavad. Kui tekib uus võimalus täiendavate andmete saamiseks, tekib andmekasutajatel ka soov oma kliente senisest põhjalikumalt või uutel viisidel analüüsida. Analüüsivajadust põhjendatakse kliendi maksevõime või kandidaadi tausta põhjalikuma hindamise vajadusega (finantseerimisasutused, kindlustusandjad, tööandjad). Algselt uudsed lahendused muutuvad mõne aja möödudes üldlevinuks ning uueks normaalsuseks (võrdluseks turvakaamerate levik, maksehäireregistri kujunemislugu[1]). Kokkuvõttes privaatsus taas aheneb.
2. Ülemäärane andmetöötlus
Praktikas määravad andmekasutajad, mis andmeid nad teenuse osutamiseks vajavad. Andmesubjektil on võimalus teenust mitte kasutada, kui küsitakse ülemääraselt andmeid. Samas inimesed ei süvene, ei saa aru, ei huvitu või ei oska hinnata. Juba praegu on väga levinud, et mobiilirakendused küsivad juurdepääsu kõikvõimalikele teenusega mitte seotud andmetele; kindlustusandjad küsivad perearstilt/raviasutuselt kogu patsiendi haigusloo, kuigi vajadus on saada üksnes kindlustusjuhtumisse puutuvaid terviseandmeid. Seni on perearstid/raviasutused otsustanud, mis andmed on asjassepuutuvad ja mida võib väljastada. Selle vahelüli kadumisel, võttes arvesse senist praktikat, võib arvata, et kindlustusandjad hakkavad töötlema oluliselt ulatuslikumalt terviseandmeid.
3. Andmesubjekti otsustusvabadus lahjeneb
Andmeedastuse algatamine on justkui andmesubjekti otsus, kuid tegelikult on see seatud teenuse saamise tingimuseks. Näiteks finantseerimisasutuse laenu taotlemise ja saamise tingimustes on nõue andmeedastuseks kas finantseerimisasutusele või tema poolt kasutatavale andmetöötlusettevõttele.
Vastutasuks andmeedastuse eest võidakse pakkuda (varjatult) soodsamat hinda vms majanduslikku kasu (nt kindlustusandja pakub andmesubjektile soodsamat teenuse hinda, kui andmesubjekt annab kindlustusandjale otsejuurdepääsu andmekogu(de)s olevatele andmetele.
4. Superandmebaasid, andmemaaklerid, andmeäri
Tekivad vahendajad või andmemaaklerid, mis pakuvad andmeanalüüsiteenuseid või ostavad andmeid kokku edasimüügi eesmärgil (pakkudes andmesubjektile nt teatavat tasu igakordse edasimüügi pealt). Paljudest andmetest kokku pandud superandmebaas toob kaasa suuremad riskid (ründe korral saadakse korraga rohkem andmeid, objekt on ründajatele ahvatlevam, kuivõrd sisaldab palju andmeid korraga, superandmebaasis on ulatuslik profiil inimesest). Andmeanalüüsiteenust kasutaval andmekasutajal (nt pangal) ega andmesubjektil ei pruugi olla ülevaadet vahendaja tegevuse tegeliku sisu üle. Kasutatakse erinevaid juriidilisi skeeme (mitte vastutava – volitatud töötleja suhet, vaid küsitakse andmesubjektilt erinevaid volitusi ja nõusolekuid). Pole välistatud, et andmeid hangitakse vaenuliku välisriigi korraldusel.
5. Sotsiaal-majandusliku kihistumise tõus
Mida rohkem andmeid inimese kohta kokku on võimalik koguda, seda põhjalikumalt saab hinnata tema profiili, riske ja „väärtust“. Teenused muutuvad kõrge riskiga inimeste jaoks senisest kallimaks või hoopis kättesaamatuks, mis raskendab inimeste toimetulekut veelgi ning tõstab riigi kulusid sotsiaalkaitsele.

Leiame, et eelnevalt kirjeldatud riskide realiseerumine on tõenäoline. On põhjust karta, et eelnõuga kavandatava infotehnoloogilise võimekuse loomisel (või juba loodud rakenduse legaliseerimisel) võib inimese vaba tahe osutuda illusiooniks. Seletuskirjas on küll väidetud, et teenuste kättesaadavus on tagatud igal juhul ka ilma nõusolekuteenuse kaudu nõusolekut andmata, kuid MKM-s toimunud nõusolekuteenuse esitlusel kirjeldati perearstide nn digitriaaži (e-visiidikeskkonnas toimuva patsientide eelselektsiooni) näidet ning selle digitriaaži kasutamine oli ilmselgelt seatud sõltuvusse terviseandmete töötlemiseks nõusoleku andmisega (ilma nõusolekut andmata digitriaazi kasutada ei saa). Sama kehtib kahtlemata ka nõusolekuteenuse tutvustamisel kirjeldatud digitaalse ravimikapi või digitaalse vaktsineerimismeelespea teenuste kohta: ilmselgelt ei saa neid teenuseid olema võimalik kasutada ilma nõusolekuteenust kasutamata. Vastupidine väide seletuskirjas on selgelt eksitav.
Eelnõu seletuskirjas leitakse, et “Innovaatiliste ja samas mugavate lahenduste loomine eeldab kõikide poolte soovi ja tahet olla normikuulekas ja teadlik oma tegevuse mõjudest ja tagajärgedest. Uudsete teenuste loomisel või nende loomise võimaldamisel ei saa riik lähtuda muust eeldusest kui see, et inimesed annavad oma nõusoleku vabatahtlikult ja teadlikult ning ettevõtjad järgivad nende tegevust raamistavaid kohustuslikke õigusnorme.” Eeldus, et innovatiivsete teenuste puhul järgivad ettevõtjad alati seadust, ei põhine paraku reaalsusel. Vastasel korral ei oleks meil ei kiirlaenude ega krüptoäri (mis kaheldamatult on innovatiivsed teenused) puhul hulgaliselt juhtumeid, kus ettevõtjad on nende tegevust raamistavaid kohustuslikke õigusnorme rikkunud. Lihtsustatult öeldes: kui riik tõepoolest lähtub eeldusest, et innovatiivse äri puhul seadust ei rikuta, miks meil on siis üldse vaja küberkuritegevuse ennetamisele ja karistamisele suunatud riiklikke mehhanisme? Kui ettevõtjad järgiksid innovatiivsete ärimudelite puhul andmekaitsereegleid, siis ei oleks Euroopa Komisjon alustamas menetlust Meta suhtes (pay-or-ok ärimudeli osas) ega oleks ka ühe Eesti apteegi kliendiprogrammi haldaja või geenitestide tegija juurest lekkinud isikuandmeid.
Eelnõu seletuskirjas puuduvad igasugused viited selle kohta, kuidas on kavandatud nende – MKMi enda poolt varasemalt välja toodud – riskide maandamine. Seletuskirjas lihtsalt eeldatakse, et kõik ettevõtjad käituvad ausalt ning inimesed on äärmiselt teadlikud oma andmete jagamisel, mis aga kahtlemata ei vasta reaalsusele. Nagu on tabavalt märkinud Tanel Mällo: “Rakendades nõusolekuteenuse juurutamisel liberaalset taktikat (luua inimesele võimalus kõiki oma andmeid vabalt jagada olukorras, kus suur osa neist ei oska selle tagajärgi teadvustada ja nende eest vastutada) eeldaks riik, et isikuandmete jagamisel kehtib täiuslik turuloogika, mille kohaselt inimene ei jaga andmeid ebaeetiliste andmekasutajatega. Reaalsuses puudub inimestel täna tunnetuslik võimekus ja informeeritus, et selliseid otsuseid teha.”5 Eelnõu ei välista nt seda, et inimene müüb ja loovutab nõusolekuteenuse kaudu Metale kõik oma terviseandmed selleks, et viimane teeks talle tervisehoroskoobi. Tõsi: teoreetiliselt on sellise olukorra teke ka täna võimalik. Kuid jällegi on oluline erinevus, kas sellise olukorra teke on riiklikult kujundatud ja tehnoloogiliselt võimestatud või mitte. Selleks, et mingi ka täna teoreetiliselt võimalik olukord massiliseks ja seega problemaatiliseks kujuneks, on vaja vastavat tehnoloogilist lahendust. Võrdluseks: ka enne AirBnB sarnaste teenuste loomist oli teoreetiliselt võimalik üürida oma Tallinnas asuv korter nädalaks ajaks välja Guatemaalast päris inimesele. Päriselus olid sellised juhtumid aga haruldased, sest puudus tehniline lahendus, mis sellised inimesed kokku viiks ja selliste lepingute sõlmimise hõlpsaks teeks. Sama kehtib ka nõusolekuteenuse kohta, mistõttu seletuskirjas toodud argument, et sellised andmeedastused on ka täna õiguslikult võimalikud, sisuliselt ei päde. Sama on tõdenud ka MKM-i esindaja Erik Janson nõusolekuteenust tutvustades: “Tänane õigussüsteem küll kaitseb inimese õigusi andmete jagamisel, ent automaatsete süsteemide ja toetavate tehniliste lahenduste puudumise tõttu on praktikas andmete jagamine aeganõudev ja keeruline.“

II. Nõusolekuteenus kui põhiõiguste riive

1. Põhiõigus eraelule ja isikuandmete kaitsele
Nagu ka seaduseelnõu selgitab, käsitleb käesolev seaduseelnõu (isiku-)andmete töötlemisega seotud küsimusi.
Riigikohtu praktikas on isikuandmete töötlemine asetatud üldjuhul eraelu puutumatuse kaitsealasse, nimetamata informatsioonilise enesemääramisõiguse aspekti.6 Riigikohtu hinnangul võib isikuandmete töötlemine, sh nende kättesaadavaks tegemine kolmandatele isikutele, riivata PS §-s 26 sätestatud igaühe õigust perekonna- ja eraelu puutumatusele ning ahendab isiku privaatsfääri tervikuna.7 Samuti on Riigikohus kinnitanud põhiõigust informatsioonilisele enesemääramisele, kuid ei ole teinud katset seda põhjalikumalt sisustada. Riigikohtu põhiseaduslikkuse järelevalve kolleegium mainis juba 1994. aastal nn operatiivtehniliste erimeetmete asjas põhiõigust informatsioonilisele enesemääramisele: „Põhjaliku seadusandliku regulatsiooni puudumine ja varjatus jätab aga isiku ilma õigusest informatsioonilisele enesemääratlusele, valida käitumisjoont ja end kaitsta.“8 1997. aastal nimetas Riigikohus informatsioonilise enesemääramise õigust inimväärikuse alla kuuluvaks põhimõtteks.9

Läbi aegade on regulatsioonid ja andmetöötluspõhimõtted seadnud eesmärgiks tasakaalustada eraisiku ja kas avaliku võimu või eraettevõtja informatsioonilist asümmeetriat ehk teisisõnu, ohuks inimeste vabale enesemääramisele on peetud suure hulga informatsiooni koondumist ühe teenusepakkuja kätte. Tulenevalt andmetöötluse omapäradest on Euroopa Liidu (EL) seadusandja pööranud olulist tähelepanu avaliku võimu tegustemiskohustusele andmekaitseõiguse tagamisel. Andmekaitse põhiõiguse sõnastusest Euroopa Liidu põhiõiguste harta (ELPH) artiklis 8 tuleneb isiku positiivne õigus nõuda isikuandmete kaitsmist põhiõiguste adressaadilt, milleks on üldjuhul avalik võim. Eestil kui EL (Euroopa Liidu) liikmesriigil tuleb isikuandmete kaitse kui põhiõiguse sisustamisel arvestada ka ELPHs sätestatuga. ELPH artiklist 8 tulenevat kaitsekohustustust ja selle omapärasid täpsustab omakorda EL isikuandmete kaitse üldmäärusega (IKÜM).

2. Põhiõiguse riive kui riigi kaitsekohustuse täitmata jätmine
Nõusolekuteenuse seadustamine puudutab isikuandmete töötlemist. Isikuandmete ülemäärase töötlemise eest kaitseb inimest PS § 26, mis tagab eraelu puutumatuse. Eraelu puutumatuse riivena käsitatakse muu hulgas isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist.10 Asjaolu, et eelnõuga võimaldatakse inimesel endal oma andmeid käsutada, ei tähenda, et PS § 26 võib jätta tähelepanuta. Tänane üldine seisukoht on, et riik on kohustatud võtma ka ennetavaid ja positiivseid kaitsemeetmeid, kui vajadus selleks tuleneb isiku kaitsevajadusest või ohuolukorra eripärast. Igapäevastes õigustoimingutes on heaks näiteks üürnike kaitse ja tarbijakaitse. Mõlemal juhul tugevdab õigus nii siseriiklikul kui ka ELi tasandil üksikisiku positsiooni õigustoimingutes ja tunnistab tema erilist kaitsevajadust tugevama lepingupartneri suhtes. Ka andmekaitseõigus tagab andmesubjekti nõrgemat positsiooni andmetöötleja suhtes ja tugevdab seda eelkõige IKÜM, mis konkretiseerib põhiõiguste harta artiklis 8 sätestatud põhiõigust andmekaitsele.
Eelnõu seletuskirjas on aga märgatud üksnes võimalust, et ettevõtjatele teatud nõuete kehtestamine nõusolekuteenusele juurdepääsuks võib riivata hoopis nende õigusi: „Inimesele jääb nõusolekusüsteemi kasutamisel võimalikult suur voli otsustada, kellele, millisel eesmärgil ja milliseid andmeid ta edastab. Seda seetõttu, et eelnõus ei ole ette nähtud isiku otsustusõigust piiravaid tingimusi isikuandmete edastamiseks nõusolekusüsteemis antud nõusoleku alusel. Piiravate tingimuste seadmine vajab õigustust, sest ühest küljest oleks sel juhul tegemist isiku nõusoleku kitsendamisega ja teisest küljest ka potentsiaalse sekkumisega ettevõtlusvabadusse.“11
Siiski ka eraelu puhul kehtib riigi kaitsekohustus: „Paragrahvi 26 esimese lause kaitseala võib riivata iga sellega kaitstud õigusliku positsiooni ebasoodne mõjutamine riigi poolt, aga ka riigi kaitsekohustuse täitmata jätmine.“.12
Riigipoolse kaitsekohustuse mittetäitmine nähtub ka asjaolust, et eelnõust puuduvad igasugused reeglid selle kohta, kes ja millistel tingimustel üldse nõusolekuteenusele juurdepääsu saab. Seletuskirjas mainitakse eelkõige ettevõtjaid ning varasema eelnõu versioon sisaldas vähemalt teatud nõudeid andmesaajatele (nt ei tohtinud andmesaajal ega tema juhatuse liikmel olla kehtivat kriminaalkaristust või karistus andmekaitsereeglite rikkumise eest). Praegusel juhul ei näe eelnõu selles osas üleüldse mingeid tingimusi ette, mis tõstatab küsimuse, kas riigil on teatud juhtudel õigus nõusolekuteenusele juurdepääsu andmisest keelduda. Arvestades, et seadus selliseid piiranguid ei sisalda ning riik ei tohi isikuid oma suva järgi kohelda ega diskrimineerida, tähendab praegune regulatsioon, et riigil puudub õigus keelduda andmete väljastamisest nt Venemaal registreeritud äriühingule või ka lihtsalt äriühingule, kelle juhatuse liikmetel on kehtiv karistus nt ulatusliku andmekaitsenõuete rikkumise eest. Ka ei võimalda eelnõus välja pakutud regulatsioon sekkuda inimeste privaatsuse kaitseks ennetavalt AKI-l. Peame väga problemaatiliseks asjaolu, et eelnõu ei sisalda mitte mingeid filtreid nt andmesaaja või selle juhatuse liikmetele, ei nähta ette AKI poolset eelkontrolli ning sisuliselt kontrollitakse üksnes andmeturbe reeglite järgimist erinevate andmekogude põhimääruste kohaselt. Leiame, et inimeste privaatsuse kaitseks ei piisa üksnes andmeturbe ja tehniliste nõuete järgimisest, sest privaatsusriived ei seondu üksnes tehnoloogiliste lahendustega.

3. IKÜMist tulenevad, nõusolekule esitatavad nõuded (IKÜM art. 7)
Nagu ülalpool selgitatud, täpsustab IKÜMis sätestatu isikuandmete kaitse kui põhiõiguse ulatust ja sisu. Seega peab ka Eesti seadusandja antud põhiõiguse sisustamisel sellega arvestama.
IKÜM art 4 (11) kohaselt on nõusolek IKÜM mõttes „vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega“.
Euroopa Andmekaitseinspektori avaldatud juhis pöörab tähelepanu mh sellele, et vabatahtlikkuse puhul tuleb arvesse võtta ka vastutava töötleja ja andmesubjekti vahelist võimalikku ebavõrdsust.13 Samuti pöörab sellele asjaolule tähelepanu IKÜM põhjenduspunkt 43.
Kui andmekaitse subjekt annab riigile nõusoleku oma andmete väljastamiseks aga see nõusolek ei täida IKÜM art 7 poolt kehtestatud nõudeid, ei tohiks riik asjakohaseid andmeid väljastada. Ka pelgalt andmete väljastamine kujutab endast andmetöötlust IKÜM mõttes (art IKÜM art 4 (2)). Riik peab arvestama võimalusega, et enamik inimesi ei anna seda nõusolekut sellise teadlikkusega, kui eelnõu koostajad optimistlikult eeldavad. Teadlased on ammu tõestanud, et inimesed ei loe nö väikest kirja ega anna seetõttu oma nõusolekut teadlikult.14 Liiatigi on ilma andmekaitseõigusliku erihariduseta inimesel äärmiselt raske eristada kahte eraldiseisvat nõusolekut: ühelt poolt nõusolek andmete edastamiseks riigi andmebaasist ettevõtjale ja teiselt poolt hilisem nõusolek ettevõtjale isikuandmete kasutamiseks innovatiivse teenuse osutamiseks.
Samuti on Euroopa Andmekaitseinspektor selgitanud, et nõue, et nõusolek peab olema konkreetne, on suunatud sellele, et tagada andmesubjekti teatav kontroll ja andmete läbipaistvus. Nõusoleku teadlikkuse kohta on EL Andmekaitseinspektor täheldanud, et andmesubjekti peab olema teadlik igast üksikust töötlemistoimingu eesmärgist, mille jaoks nõusolekut taotletakse.15
Ehkki seda otseselt ei selgitata, nähtub eelnõu seletuskirjast, et peetakse võimalikuks ka nõusoleku andmist korduvate andmepäringute tegemiseks teatud perioodi vältel. Nõusolekuteenus annab ettevõtjale võimaluse pääseda ligi isiku andmetele pikema ajavahemiku jooksul, mille käigus võib edastatav informatsioon inimese kahjuks muutuda (nt lisanduda võivad uued haiguse diagnoosid, muutuda võib võlgniku staatus jne).
Seaduseelnõu üldistav sõnastus ei välista ka seda, et nt kindlustusandja laseb kindlustuslepingu sõlmimise eeldusena anda endale reaalajas juurdepääsu kõigile Tervisekassas sisalduvatele kindlustusvõtja terviseandmetele. Isegi kui selline lahendus täna veel tehniliselt võimalik ei ole, võib see seda olla tulevikus. Peame problemaatiliseks olukorda, kus riik loob tehnilise võimekuse ja seadusandliku regulatsiooni selleks, et nt kindlustusandjatel (aga ka muude oluliste teenuste pakkujatel) tekib võimalus seada oma teenuse kättesaadavus - või selle eest küsitav tasu - sõltuvusse sellest, et inimene annab ligipääsu oma riiklikes andmebaasides olevatele eriliigilistele isikuandmetele. Seeläbi võime end leida ühel päeval olukorras, kus nt ravi- või reisikindlustuse saamiseks oleme sunnitud andma juurdepääsu kõigile oma TEHIKus olevatele terviseandmetele.

III. Turvalisuse illusiooni loomine ja riigi vastutuse välistamine: oht usalduse kadumiseks e-riigi vastu

Üheks suureks ohuks nõusolekuteenuse puhul on ka selle näiline turvalisus: riik selgitab inimesele, et “Andmeedastuse nõusolekuteenus on e-teenus, mis võimaldab inimesel anda riigile loa turvaliselt jagada tema isikuandmeid kindla teenusepakkujaga.” Tegelikult on see turvalisus aga näiline, sest riik välistab nõusolekuteenuse tüüptingimustes igasuguse vastutuse selle eest, mis nende andmetega hiljem tehakse (vt selle kohta allpool). Sellisel kujul on nõusolekuteenus inimesi eksitav, luues turvalisuse illusiooni, ning on suur oht, et esimeste andmete kuritarvituste puhul kaotavad inimesed usalduse mitte ainult nõusolekuteenuse, vaid kogu e-riigi vastu tervikuna. Olukorras, kus riik põhjendab nõusolekuteenuse loomist inimese piiramatu privaatautonoomiaga, pannes kogu vastutuse andmeedastuse riskide osas inimesele, samas inimesi tegelikult nende ohtude eest hoiatamata ja teavitustööd tegemata, astuvad inimesed samasse lõksu nagu piiranguteta alkoholi või tubaka müügi või kiirlaenude puhul.
Meenutuseks: MKMi nõusolekuteenuse hankedokumendi lisas 3 on tõdetud, et “Hakates enda kätte kogutud põhjalikku andmestikku erasektoriga jagama, peab riik väga hoolikalt läbi mõtlema, millised riskid, sh kaugeleulatuvad sotsiaalsed mõjud (ja sellest tulenevad kulud) sellise tegevusega kaasnevad ning kuidas täpselt andmete jagamist teha tohiks, et ei toimuks nõusolekuteenuse kuritarvitamine nõusoleku saaja poolt.” Praeguse eelnõu seletuskirjast sellist analüüsi paraku ei nähtu: seletuskirjas on lihtsalt tõdetud, et “sotsiaalne mõju ei ole esialgu oluline”. Kui nõusolekuteenuse mõju inimeste jaoks tõepoolest ei ole oluline, siis miks on riik pidanud vajalikuks sõnastada nõusolekuteenuse üldtingimuste p. 2.6 järgmiselt: “2.6. RIA ei vastuta Nõusolekuteenuse vahendusel kolmandale osapoolele edastatud andmete edasise andmetöötluse eest.”?
Veelgi enam: nõusolekuteenuse üldtingimuste p. 2.5 sätestab, et “RIA ei vastuta võimalike Nõusolekuteenuse kasutamisest või mittekasutamisest tekkinud kahjude või saamata jäänud tulu eest.” Selline tüüptingimus on aga VÕS § 42 lg 3 p 1 ja § 39 lg 2 kohaselt ebamõistlikult kahjustav ja seetõttu tervikuna tühine. Sarnaste klauslite tühisust on hiljuti kinnitanud ka Riigikohus.16 Meie arvates on väga kahetsusväärne, et e-Eesti kasutab suhtes Eesti elanikega oma vastutust täielikult välistavaid ning seega ebamõistlikult kahjustavaid ja Riigikohtu poolt tühiseks hinnatud tüüptingimusi. Selline riigipoolne tegevus võib õõnestada inimeste usaldust e-riigi ja e-teenuste vastu. Veelgi enam: riik käitub meie hinnangul ka vastuoluliselt, rõhutades ühelt poolt MKMi kodulehel (ja ka käesoleva eelnõu seletuskirjas), et tegemist on inimese jaoks turvalise teenusega, teiselt poolt aga välistab nö väikeses kirjas igasuguse omapoolse vastutuse. Muuhulgas oleks antud tüüptingimuse kohaselt riigi vastutus välistatud ka juhul, kui isikuandmed lekivad riigi süü (nt vähese andmeturbe) tõttu nõusolekute haldamise andmekogust või andmeedastusel riigi andmekogust kolmandale isikule.

IV. Parlamendireservatsiooni nõue
Eelnõus plaanitu kohaselt ei määratle seadusandja nõusolekuteenuse sisu ega ulatust, vaid see jääb täitevvõimu sisustada. Põhiseadusest tulenevalt aga peab seadusandja ise otsustama kõik põhiõiguste seisukohast olulised küsimused; põhiõiguste riive tingimused ja ulatus peab selguma seadusest. Seadus peab olema üksikasjalisem, kui riive on intensiivsem. Ka põhiõiguste riivet tasakaalustavad kaitsemeetmed peab otsustama seadusandja. Nende delegeerimine määruse tasandile ei ole lubatav. Seda nimetatakse parlamendireservatsiooni põhimõtteks.17 Eelöeldust nähtuvalt kaasnevad nõusolekuteenusega väga põhimõttelist laadi põhiõiguste kaitse küsimused. Seetõttu ei ole käesolev seaduseelnõu, mille puhul seadusandja jätab nõusoleku teenuse olemuse, sisu ja ulatuse seaduse tasandil reguleerimata ning delegeerib otsustusõiguse antud küsimuses täies ulatuses täitevvõimule, kooskõlas parlamendireservatsiooni põhimõttega.

V. Kokkuvõte
Nagu eespool selgitatud, on riigil Põhiseadusest tulenev kaitsekohustus inimeste privaatsuse kaitseks ning nõusolekuteenust ei saa legitimeerida pelgalt inimese privaatautonoomiaga. Põhiseadusest tulenev kaitsekohustus tähendab, et seadusandja peab inimeste kaitseks kehtestama teatud piirangud, et piirideta privaatautonoomia tingimustes inimesed end teadmatusest ei kahjustaks. Paraku ei ole selleteemalist laiemat ühiskondlikku diskussiooni nõusolekuteenuse küsimuses alustatud, rääkimata sellest, et eksisteeriks ettepanek konkreetsete seadusandlike piirangute kehtestamiseks. Eelnõu seletuskirjas mainitakse möödaminnes, et eriliigiliste isikuandmete edastamise piirangud tuleks kehtestada muude seadustega, samas ei ole selliseid ettepanekuid tehtud ega isegi teistelt ministeeriumidelt vastavas osas nõu küsitud. Leiame, et nõusolekuteenust ei tohi käivitada enne, kui vastavad küsimused on laiema ühiskondliku debati läbinud ja asjaomased täiendavad piirangud “muude seadustega” kehtestatud. Vastasel korral on suur oht leida end peatselt olukorrast, kus Eesti ühiskond oli aastal 2015: ehkki 2000ndate aastate alguses oli peetud liigkasuvõtjalike intressidega kiirlaene innovatiivseteks teenusteks, inimeste vaba tahtega kooskõlas olevaks ja “teadlikult” võetuks, kuid ülelaenamisest tulenevad sotsiaal-majanduslikud probleemid olid 2015-ks aastaks kasvanud ühiskonnas niivõrd suureks, et Riigikogu oli sunnitud reageerima erinevate jõuliste piirangute kehtestamisega.

Ülaltoodud põhjustel peame enne käesoleva eelnõu vastuvõtmist vajalikuks laiemat avalikku arutelu isikuandmete müügi ja jagamise teemadel ning japõhjalikumat juriidilist nõusolekuteenuse käsitlust .

Lugupidamisega,

Gaabriel Tavits
TÜ õigusteaduskonna direktor

Arvamuse koostajad:
Monika Mikiver
Karin Sein
Paloma Krõõt Tupay