Andmekaitse inspektsiooni (AKI) peadirektor Pille Lehise sõnul teeb inspektsioonile muret Euroopa trend ja riikide soov ning surve arendada erinevaid nii-öelda koroonaäppe ilma, et teaksime, kas nendest on ikka kasu pandeemiast jagu saamisel.

Peadirektori juhtis tähelepanu, et koroonaäpi arenduses tuleb pöörata tähelepanu Euroopa andmekaitsenõukogu välja antud suunistele. Äpi IT-arenduse osas leiab Lehis, et see olgu läbimõeldud, turvaline ja läbipaistev.

Koroonaäpi tegijad ei ole AKI-ga ühenduses olnud

Aprillist saadik arendatakse sotsiaalministeeriumi juhtimisel riiklikku koroonaäppi, mis lihtsustaks koroonaviirusesse nakatunute ning nende lähikontaktsete kaardistamist. Äpi arenduse küsimus tõstatus ka sel esmaspäeval toimunud AKI peadirektori ja õiguskantsler Ülle Madise vahelisel kohtumisel.

Mida te esmaspäeval koos õiguskantsleriga koroonaäpi teemal arutasite?

Terviseandmetel tuginevate mobiilirakenduste arendamine oli üks paljudest teemadest, mida kohtumisel õiguskantsler Ülle Madisega puudutasime. Mõlemale institutsioonile teeb muret Euroopa trend ja riikide soov ning surve arendada erinevaid nn koroonaäppe ilma, et teaksime, kas nendest on ikka kasu pandeemiast jagu saamisel. Kohtumise eesmärk oli peamiselt siiski AKI aastaraamatu tutvustamine.

Kas olete uurinud erinevaid koroonaäppe, mis on maailmas kasutusele võetud?

Oleme jälginud infovoogu ja üritame olla kursis loodavate äppidega, aga tõtt öelda on selles valdkonnas katsetusi nii palju, et keeruliseks läheb järjepeal püsimisega. Andmekaitse Inspektsiooni tänaseid ressursse arvestades saame suunata oma tegevuse ennekõike sellele, et Eesti andmetöötlejate tegevus oleks andmetöötlusreeglitega kooskõlas ja seaduslik. Tööpõld on AKI-l lai.

Mis on peamised punktid, millele peab äpi puhul andmekaitse alaselt tähelepanu pöörama?

Esiteks, nagu mistahes andmetöötluse puhul, tuleb järgida minimaalsuse põhimõtet, eesmärk tuleb saavutada minimaalsete andmetega ja teiseks, kui eesmärk on täidetud, tuleb andmed kustutada. Kuid selle põhimõtte rakendamine sisaldab n –ö sadu detaile vastavalt sellele, millises valdkonnas, ülesande täitmisel ja andmete koosseisu juures seda rakendatakse.

Euroopa Andmekaitsenõukogu on välja andnud suunised koroonaäpi loojatele. Sealt saab hea ülevaate, millele tähelepanu pöörata.

Äpi tegijad sotsiaalministeeriumist on öelnud, et äpi kaudu saavad kasutajad tagasisidet selle kohta, kas nad on viibinud nakatunute läheduses, mis on kõige olulisem tähelepanek sellise funktsiooni puhul?

Sellele vastamine eeldaks analüüsi, mida saab teha materjalide põhjal. Üldisel tasemel on tehtud juba varasemalt mitmeid tähelepanekuid. Esmalt see, et kui äpp on vabatahtlik, siis selle kasutus ei pruugi tagada 100% tõele vastavat olukorda nakatunute osas, sest kõik äppe ei kasuta ja kui inimene peaks ise infot sisestama, siis see jääb kontrollimata. Kui aga äpp teha inimestele kohustuslikuks, siis eeldaks see esmalt seadet, millesse äpp laadida, aga veel enam on küsimuse all andmekaitse vaatevinklist privaatsuse tagamine.

Et me inimestena saaksime olla kindlad, et keegi andmete saajatest, keda võib olla rohkem kui näiteks terviseamet, ei tee meie andmetega vargsi teisi toiminguid, on vaja arvestada vaikimisi ja lõimitud andmekaitse põhimõtteid. Õige on arvestada neid põhimõtteid juba siis, kui hakatakse koroonaäpi loomise ideed projektiks visandama. Iga IT-arendus olgu läbimõeldud, turvaline ja läbipaistev! Nagu öeldakse, asjad ei pea olema vaid õigesti tehtud, aga nad peavad ka õigesti tehtuna välja paistma.

Kas koroonaäpp tohib nakatunute ja lähikontaktide kohta edastada infot pilve või tohib seda hoiustada vaid äpi siseselt konkreetses telefonis?

On paratamatu, et teatud andmestikku tuleb hoida ka nn keskserveris. Euroopa Andmekaitsenõukogu suuniste dokumendi punkt 42 ütleb samuti, et nakatunuga kokku puutunud isikute kindlakstegemise lahenduste puhul võidakse järgida tsentraliseeritud või detsentraliseeritud lähenemisviisi. Paigas peavad olema piisavad turvameetmed. Kas see server võib asuda pilves, siis vastus on üheselt lühike, avalikus pilves kindlasti mitte. Server peab olema majutatud Eesti või Euroopa majanduspiirkonna ettevõtte pilve, kes mõistagi hoiab andmeid samuti vaid Euroopas.

Kas Eestis loodud äpi arenduseks koostatud konsortsium on AKI-ga ühenduses olnud?

Ei ole.

Kas koroonaäpp riivab inimeste põhiõigusi ja/või vabadust?

Kui inimest pidevalt pandeemia levimise kartuses jälgida, kas inimese heaolu eraelu loovutamisest ikka paraneb? Või paraneb tema heaolu siis, kui tal on turvatunne teadmisest, et ta saab abi, kui ta seda vajab. Eks see ongi keeruline küsimus ja tegelikult on oluline, et kui me midagi ette võtame inimese tervise kaitseks ning kasutame selleks tehnoloogiat, siis ei saa ju olla nii, et tahame inimesele parimat, aga ei mõtle, kuidas seda teha nii, et ka tema põhiõigus privaatsuse näol oleks tagatud.