Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga.
Tundmatu saatja korral palume linke ja faile mitte avada.
Tervist!
Vastan siinkohal Andmekaitse Nõukoja liikmetele saadetud üleskutsele,
esitada ettepanekuid digiomnibussile. Minu ekspertiis antud juhul katab
kõige paremini IKÜM valdkonda, seega keskendun sellele.
Lähtekohad:
1) Andmekaitses on IKÜM alguspäevadest vaieldud, mis on pseudonüümne ja kas
miski saab olla anonüümne (nn “relatiivne” vs “absoluutne” andmekaitse).
Hiljutised otsused, sh Judgment of the Court in Case C-413/23 P | EDPS v SRB
(Concept of personal data) on seda sisustanud, aga üldine praktika on
lahtine. Mitmed teadlased on pakkunud, et peaks lähenema riskianalüüsiga,
mis on väga mõistlik mõte, aga pole praktikas olnud veel kuigi edukas.
2) See riskianalüüs siis hindaks mingi metoodikaga, kas mingis olukorras
mingi tehnilise meetmega isikustatavate andmete töötlemine vastaks seaduse
nõuetele või mitte. Lihtsate sõnadega - mis on see lävend, kus maalt me
suudame taasidentifitseerimist vältida?
3) Omnibuss rõhutab sellise riskianalüüsi tähtsust tulevikus. Eesti
kogemusest tehisintellekti, pilvteenuste, internetivalimiste jne
riskianalüüsidega on näidanud, et üldised juhendid on toredad, aga neid ei
osata rakendada, kui puudub vastav detailne teadmus.
4) Nt Eestis RITi tellitud pilvteenuste ja AI teenuste riskianalüüse
peetakse edulugudeks, sest nad on konkreetsed. Teaduste akadeemia
küberturvalisuse komisjoni riskianalüüsid valimiste tehnoloogia ja riigi
kriitiliste teenuste jaoks on samuti konkreetsed, annavad selgeid nõuandeid,
kuidas eluga edasi minna.
Ettepanek:
1) Eesti teeb ettepaneku, et Eestisse loodaks kompetentsikeskus, mis toetab
EDPB-d privaatsuskaitse tehnoloogiate riskianalüüsil.
2) Kompetentsikeskus toetaks omnibussi vajadusi järgmisel moel:
2.1) EL andmekaitse ja omnibussi tuumküsimuste (uued teenused, AI
rakendamine, põhiõiguste kaitse) lahendamisega, et meil oleks Euroopas
moodsad e-teenused, mis vastavad meie väärtusruumile.
2.2) Privaatsuskaitse tehnoloogiate standardimine, sertifitseerimine ja
tehnoloogiadiplomaatia.
2.3) Intsidentide töötlemise ja riskianalüüsi tugiüksus EDPB-le
2.4) Privaatsuskaitse tehnoloogiate ja riskianalüüsi võimekuse arendamine
keskus (tehnilised riskianalüüsid ja nõuanded, praktilised tehnoloogia
teekaardid, koolitusmaterjalid, e-riigi teenuste mustandid) koostöö Euroopa
ja Eesti akadeemiliste partnerite ja tööstusega.
2.5) Kriitiliste EL võimekuste loomise nõustamine andmekaitse tehnoloogiate
vaatepunktist.
2.6) Pilootprojektide koordineerimine Euroopa tasandil ja võimalusel
liitlastega, et tugevdada ka kontinentide vahelist andmete ühist kasutamist.
Põhjendused:
1) Eesti e-riik on küps nii teenuste, digitaalse identiteedi, andmete
kasutuselevõtu kui ka digisuveräänse infotehnoloogia rakendamises. Meie
kogemused on suurepärased, kuid nende kandmine Euroopasse on seni olnud
keeruline.
2) Kompetentsikeskuse töö kaudu saaksime Euroopasse suunata Eesti e-riigi
õppetunde, et ei juhtuks selliseid asju nagu COVID-19 pandeemia ajal, kui
kehtisid Adolf Hitleri ja Miki Hiire vaktsineerimistõendid, sest ei suudetud
ehitada kehtivuskinnituse teenust, mis vastaks EL andmekaitsenõuetele. Meil
oleks see võimekus olemas olnud, Eestis on sellised teenused olnud ID-kaardi
algusajast, aga meil puudus võimekus seda Euroopasse üle kanda.
3) Eesti on privaatsuskaitse tehnoloogiate varane rakendaja. Eestil on
olemas riiklik kontseptsioon ja teekaart ning ka vajadus neid rakendada.
4) Rahvusvaheliselt on Eesti seni osalenud OECD
privaatsuskaitsetehnoloogiate arenduse töörühmades. Eesti saaks
kompetentsikeskuse arendusest ise kasu ning saaks seda teadmust ka
eksportida.
Parimatega,
Dan Bogdanov, PhD
Infoturbeinstituudi direktor
Cybernetica AS (Tartu kontor)
Narva mnt 20, 51009 Tartu
Telefon (+372) 52 75 525
@danbogdanov