AKI aastaraamat ⟩ Isikuandmete rikkumine ei toonudki suurt trahvi
18. mai 2020, 18:49
Andmekaitse inspektsioon (AKI) sai möödunud aastal 4500 pöördumist kas märgukirja, kaebuse, selgitustaotluse, teabenõude või nõuandetelefonile helistamisena. Lisaks registreeriti 115 andmekaitselist turvarikkumist, millest andsid teada andmetöötlejad ise.
AKI avaldatud 2019. aasta kokkuvõttest selgus, et andmetöötlus võiks olla läbipaistev ning just läbipaistmatus on põhjuseks pea igale teisele inspektsiooni poole pöördujale.
Pöördumisi ühendas kõige sagedamini mure riive pärast privaatsusele, mis juhtus tänu andmetöötlejate puudulike teadmistele või reeglite ignoreerimisele.
AKI peadirektor Pille Lehise sõnul saab inimene end digiühiskonnas turvaliselt tunda siis, kui andmetöötlejal on tahet ja oskust isikuandmeid vastutustundlikult koguda ning nendega ümber käia. «Andmekaitsereeglite tundmine on rohkem kui kunagi varem usalduse märgiks ja mida rohkem inimesed mõistavad, kui suur kahju võib tekkida andmete sattumisel valede silmade alla või nende kadumise tõttu, seda kiiremini andmetöötlejad oma asjad korda teevad,» selgitas Lehis.
Lisaks ligi 4500 pöördumisele registreeris inspektsioon mullu 115 andmekaitselist turvarikkumist, millest andsid teada andmetöötlejad ise. Alates 25. maist 2018 kehtib selline kohustus kõigile andmetöötlejatele, inspektsioonile tuleb intsidendist teada anda 72 tunni jooksul.
AKI tõdeb oma värskes aastaraamatus, et kuigi ootus Eesti esimese suure trahvi määramiseks oli olemas, ei määranud nad 2019. aastal rikkumiste eest ühtki suurt trahvi.
Rahatrahv jäi määramata Tartu rattaringluse süsteemist toimunud isikuandmete lekkimise eest. AKI piirdus noomitusega. Tartu linnavalitsus teatas inspektsioonile rikkumisest, mille kohaselt oli volitamata isikutel võimalik Tartu rattaringluse süsteemis API kaudu juurde pääseda 20 0000 registreerunud kasutaja isiku- ja sõiduandmetele. Veel oli võimalik muuta rataste parklate asukohti, neid kustutada ning lisada juurde uusi parkla-alasid ehk andmetega manipuleerida. Andmetele juurdepääs toimus kahel erineval viisil: avalike veebilinkide kaudu oli nähtav informatsioon kasutajate kohta: nimi, e-posti aadress, telefoninumber, kasutaja ID, registreerimise aeg, staatus (aktiivne/mitteaktiivne). Lisaks oli võimalik näha kasutaja bussikaardi numbrit.
Süsteemi registreerunud kasutaja nägi aga teiste sõiduandmeid, nagu millisest peatusest on võetud ratas, tuvastatav oli ka kasutaja läbitud sõiduteekond ja aeg. Kuigi turvarike sai kiiresti kõrvaldatud, siis inspektsioon alustas 9. juulil järelevalvemenetlusega rikkumisteates esitatud asjaolude väljaselgitamiseks.
Inspektsioon monitooris rattaringluse süsteemi ja tutvus Tartu linnavalitsuse esitatud raportitega ning leidis, et sisuliselt oli tegemist rattaringluse süsteemi turvanõrkusega, mille põhjuseks ei olnud inimlik pahatahtlikkus. Kuna turvanõrkus likvideeriti kiiresti, lõpetas inspektsioon menetluse soovitusega teha enne uue rakenduse lansseerimist põhjalikumat kontrolli.