Eesti Advokatuuri intellektuaalomandi ja IT-õiguse komisjon analüüsis isikuandmete lekke 44-leheküljelist auditidokumenti ning leidis, et avalikkusele edastatud sõnumid andmete väljastamise kohta on tõest kaugel.
Hiljutistes uudistes jaanuaris valminud Siseministeeriumi auditist, (ERR, Postimees) mis hindas Pere Sihtkapitalile rahvastikuregistrist tuhandete naiste isikuandmete väljastamise õiguspärasust, jäi ekslik mulje nagu poleks põhjust olulisteks etteheideteks Siseministeeriumile kui rahvastikuregistri vastutavale töötlejale. Vaid ühelauseline märkus mainib, et audit leidis rahvastikuregistri töös ka parandamisruumi.
Me jätame siin pikemalt käsitlemata ilmselge küsitavuse erapooletusest, kui andmete kaitsmisel ministeerium ise vastutab, ise eksib, ja lõpuks ise uurib ennast. Meenutame vaid, et riigi tegevus peab ühtaegu nii aus olema kui ka aus välja paistma. Raske uskuda, et delikaatse andmelekke ohvriks langenud naisterahvad tunnevad pärast sellist menetlust, et riik nende mure tõsiselt võtaks.
Eesti Advokatuuri intellektuaalomandi ja IT-õiguse komisjon leidis auditidokumenti analüüsides, et meedias esitatud sõnumid andmete väljastamise kohta on tõest kaugel. Tegelikkuses tuvastati mitmed olulised puudujäägid, mida hiljem meediasõnumites kohatult kuid mugavalt pisendati. Lisaks ripuvad õhus mitmed Pere Sihtkapitali juhtumiga päevavalgele kerkinud vastuseta küsimused, mis peaksid määrama millist rahvastikuregistrit me tulevikus tahame.
Siseministeerium rikkus oluliselt isikuandmete kaitse seadust
Isikuandmete kaitse seadus lubab andmesubjekti nõusolekuta „teadus- või ajaloouuringu või riikliku statistika vajadusteks töödelda eelkõige pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul. Andmete töötlemine andmesubjekti tuvastamist võimaldaval kujul on lubatud üksnes erandjuhtudel.“
Siseministeerium väidab auditi aruandes, et hindas kõiki nimetatud asjaolusid seaduse nõuete täitmiseks, kuid ei vormistanud selle kohta kirjalikku dokumenti.
Audiitorid leidsid õigesti, et isikuandmete pseudonüümimine oleks olnud proportsionaalne kaitsemeede andmesubjekti huvide ja õiguste kaitseks ning Siseministeerium rahvastikuregistri vastutava töötlejana ei suutnud audiitorile põhjendada pseudonüümimata andmete väljastamise põhjendatust ja vajalikkust. Audit tuvastas, et vastavaid selgitusi Pere Sihtkapitali taotluses ei esitanud ja taotluse menetluse käigus neid ka ei küsitud.
Selline järeldus on ka loogiline, kuna riigivalitsemises ei ole mõeldav kabinetivaikuses kaalumine või hindamine ilma selle kohta midagi vormistamata. See on ausa ja läbipaistva riigi lahutamatu osa.
Arvestades isikuandmete kaitse eesmärke ja riigi olulist rolli inimeste digiprivaatsuse tagamisel, pidanuks ülikooli kõrval ka riik võtma vastutuse haavatava sihtgrupi ees, kes pidid taluma nende eraelulisi valikuid halvustava ühingu e-kirju ning hinnangute jagamist nende pereplaneerimisele. Vastutuse võtmine on vahest ka privileeg, mille Siseministeerium meie kõigi andmete kaitsjana kasutamata jättis.
„Libauuringufirmade“ ajastu peab lõppema
Pere Sihtkapitali juhtum teadvustas, et rahvastikuregistri andmed satuvad võõrastesse kätesse ka teisiti, kui üksnes riigi avaliku ülesande täitmisel. Näiteks erinevate maailmavaateliste ühingute uuringud teaduslikel, teadusega nö. külgnevatel või teadust imiteerivatel eesmärkidel.
Auditi põhjal ei ole selliste võimalustega seotud riske ja andmete väljastamise põhjendatust ühiskonna ootuste ja vajaduste kontekstis põhjalikumalt käsitletud. Seetõttu on kohane küsida, kas 22.03.2022 jõustunud rahvastikuregistriseaduse muudatused, mis võimaldavad uuringufirmadel rahvastikuregistrist andmeid võrdlemisi kerge vaevada saada, on ikkagi vajalikud või peaks seadust isikuandmete kaitse ning inimväärikuse eesmärkidel täiendama nõuetega, millele auditi aruandes on viidatud – vältida näilike teenuse osutamise lepingute sõlmimist.
Advokatuuri komisjon väljendab sügavat pettumust, et Siseministeerium kirjeldab oma rahvastikutoimingute osakonna ametnikke kui isikuid, kes ei oma „vajalikke eelteadmisi ning kompetentsi“ ning „ei saa ega peakski andma hinnangut lepingu osapoolte vahel kokku lepitud tingimustele“. Kui 2022 aastal jõustunud seaduse muudatustega tuli vannivees kaasa hulk riske, mida Siseministeerium ei ole maandanud, siis tuleb seadusemuudatus ning ka selle eesmärk uuesti läbi vaadata ning kriitiliselt hinnata.
Advokatuuri komisjon soovitab tuua seadusesse lisatingimused uuringufirmadele, et tagada andmete kaitstus poliitiliselt, religioosselt või filosoofiliselt motiveeritud ühingute eest, kelle kavatsused võivad olla vähemasti küsitavad.
Eetikaküsimus vajab ühiskondlikku arutelu
Viimaks ei saa üle ega ümber sellest, millest kogu lugu avalikkuses alguse sai.
Pere Sihtkapital küsis Tartu Ülikooli nimel rahvastikuregistrist välja tuhandete lastetute naiste andmed ja saatis küsitluse väga isiklike küsimustega, mis mõjusid halvustavalt ja tekitasid küsitluse saajates süütunnet. See põhjustas üleüldist pahameelt, mida saatis mitmete arvamusliidrite kriitika meedias.
Küsimused, mille keskmes on muuhulgas seksuaaleluharjumused ja laste mittesaamisega seotud elukorraldus, on kõige isiklikumat laadi ja riigi poolt selliste uuringute toetamine rahvastikuregistri andmete doonorlusega muudab kodaniku riigi käes vahendiks, mis on vastuolus põhiseadusest tulenevate demokraatliku õigusriigi ja inimväärikuse põhimõtetega. Seda sõltumata asjaolust, kas küsitluse saaja on konkreetsel juhul uuringu läbiviija jaoks isikustatud või mitte.
Advokatuuri komisjoni hinnangul on põhjust tõsiselt otsa vaadata ja küsida, kas me tahame sellist riiki, kus inimesed saavad rahvastikuregistri abiga juhuslikult selliseid küsitlusi või kaasatakse neid muul moel küsitava eetilise väärtusega uuringute läbiviimisesse. Või väärib rahvastikuregistrist andmete väljastamine siiski täiendavat filtrit, kus hinnatakse konkreetset projekti rohkem süvitsi kui täna. Riik peaks tagama eetilise taustsüsteemi kõikidele riikliku toega tegevustele, olgu selle keskmes rahalised vahendid või andmed. Praegune regulatsioon nõuab eetikakomitee otsust vaid eriliiki isikuandmetel (mille hulka Siseministeeriumi käsitluse kohaselt ei kuulu isikukood, nimi, elukoht ja enamik muid andmeid, mh järglaste arv) põhineva teadus- või ajaloouuringu jaoks. Kuivõrd eriliigiliste isikuandmete hulka loetakse ka andmed tervise, seksuaalse sättumuse ja seksielu kohta, siis ei ole välistatud, et lastetuse andmete väljastamiseks on ja oli tarvilik eetikakomitee otsus. Kas väljastatavad isikuandmed on eriliigilised tuleb igakordselt ja konteksti arvestades hinnata ning vastavat klassifitseerimist ka põhjendada – seda ei ole tehtud.
Teadusuuringu enda täpsemat sisu nagu selle tarbeks esitatavad küsimused, uurimisobjekt, uuringu kasutatavus jms rahvastikuregistri andmete väljastamise menetluses täna ei hinnata, nagu see oli ka Pere Sihtkapitali juhtumi puhul.
Loodame, et Siseministeeriumil ja valitsusel on julgust eelpool toodud küsimusi juba peagi laiapõhjaliselt avada ning huviorganisatsioonide ja ekspertidega arutada. Rahvastikuregister kui riigi üks olulisemaid andmebaase vajab õiget tasakaalu, kus inimeste andmed on kaitstud ja andmete väljastamisel on inimeste õiguste ning huvidega piisaval määral arvestatud.