Selle nädala “Pealtnägija” lugu ehitisregistrist näitas valusalt, kui suur meie avalikus sektoris andmekaitse probleem tegelikult on. Nagu saates selgitati, on ehitisregistrisse aastate jooksul jõudnud väga detailseid dokumente ja fotosid inimeste kodudest, mida portaali sisseloginud kasutajad lihtsa vaevaga otsida ja vaadata saavad. Värvikamate näidetena leidus näiteks pilte inimeste kodudes olevatest tubadest, paaril näiteks toodud fotol olid peale jäänud isegi kodudes elavad inimesed. Ehitisregistris leidub lisaks fotodele ka lepinguid ja muud teavet, võimaldades inimesi seostada konkreetsete aadresside ja kinnisasjadega.
Selleks ajaks, kui saade “Pealtnägijas” ilmus, oli portaali haldaja ehitisregistrisse ligipääsu juba piiranud. Mõistetavalt oli saate valmimine häirekellaks, et midagi on väga valesti läinud. Samuti näeme, et paar päeva tagasi on ehitisregistri veebilehel avaldatud uus teade, mis kutsub osapooli kontrollima, et nad registrisse isikuandmeid üles ei laeks. Need on siiski vaid viimases hädas kasutusele võetud meetmed, et juba tekkinud tulekahju liiga suureks ei lahvataks. “Pealtnägijas” väideti, et AKI on algatanud ka järelevalvemenetluse.
Ent kuidas sai selline eraelulise info maassiivne avaldamine üldse juhtuda ja mida oleks pidanud teisiti tegema?
Avalikul sektoril on vaja isikuandmete kaitse baaskoolitust
Tavainimesele tundus saadet vaadates ilmselt kummastav, et registrisse, mille eesmärk on talletada ehitustegevusega seotud andmeid, on jõudnud nii palju tundlikku informatsiooni. Andmekaitsega igapäevaselt tegelevatele ja ka avaliku sektori asutusi nõustanud inimeste jaoks ei ole see aga kahjuks isegi nii üllatav. Sageli ei mõista erinevate sektorite esindajad, kui palju eraelulist infot nende valdkonnas tegelikult kogutakse, talletatakse ja nagu “Pealtnägijast” nägime, ka ilma riske adumata avalikustatakse. Digilahenduste loojatel on kas meelest läinud või ei olnudki nad kunagi teadlikud Euroopa Liidus juba ammu kehtiva isikuandmete kaitse üldmääruse ühest olulisemast sättest: “isikuandmeteks” on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmeteks, mille avalikustamise seaduslikkust peab hindama, on ka isikule kuuluvate kinnisasjadega seotud info.
Muidugi ei tähenda see, et me ei peaks arendama mugavaid ja väärtust loovaid digitaalseid lahendusi, nagu seda ehitisregister kindlasti on. Kindlasti on seal vajalik ka inimeste andmete töötlemine, aga seda teatud mahus ja läbimõeldult. Praegusel juhul on näha, et selles osas jäi eeltöö tegemata.
Riik andis võimaluse näha sinu lastetuppa
Nagu ülal mainitud, on osade majade puhul võimalik registris näha detailseid fotosid majas olevatest tubadest. Samasuguseid, nagu võime leida kinnisvaraportaalide müügikuulutustes. Kõnealuse juhtumiga seoses väärib eraldi kommenteerimist Maa- ja Ruumiameti poolt öeldu, justkui ei ole foto inimese magamistoast lapsena väga suur rikkumine, sest need inimesed on nüüdseks niikuinii ammu täiskasvanud.
Paraku on GDPRi järgi olukord just vastupidine. Laste isikuandmed on määruse järgi erilise kaitse all ja põhjuseks just see, et laps ei pruugi aduda, millist mõju võib näiteks tema andmete avalikustamine avaldada talle hiljem täiskasvanueas. Kui laps saab täiskasvanuks, ei taha ta, et tema praegune või tulevane tööandja, äripartner või klient saaks otsida riiklikust registrist välja foto tema lapsepõlve magamistoast, kus ripuvad Britney Spearsi postrid.
Kuidas saaks paremini?
Loodetavasti saame sellest loost õppida, et andmekaitse teemasid peab võtma tõsiselt, seda ka valdkondade puhul, mis sektori enda esindajatele esmapilgul ei tundu isikuandmete kaitsega väga seotud olevat. Tegelikult oleks juhtunud ilmselt saanud üsna lihtsasti ära hoida, kuid võtmeks on õigete asjade märkamine digilahenduse planeerimise algfaasis.
Igal avaliku sektori asutusel, kes seaduse alusel mõnda andmekogu peab, on kohustus oma meeskonnas omada sellist inimest nagu andmekaitsespetsialist. Ühelt poolt on see GDPRist tulenev selgesõnaline nõue. Samas näitab “Pealtnägija” juhtum ilmekalt, miks on andmekaitseeksperdi kaasamine kodanike infot kasutavate digilahenduste loomisesse hädavajalik. See inimene peab saama kohe alguses öelda, et lisaks muudele analüüsidele on vajalik ka andmekaitse analüüs, mille järeldused peavad mõjutama digilahenduse sisu, IT arhitektuuri, juurdepääsupiiranguid ja muud.
Kui konkreetselt ehitisregistri näitest rääkida, näeme, kui oluline on ka andmekogu kasutavate teiste osapoolte rollide ja vastutuse läbimõtlemine. Iga osapool, kes ehitisregistrisse jooniseid, pilte, lepinguid või muid dokumente üles laeb, peab ise teadma, mis rollis ta isikuandmete töötlejana on. Vastasel juhul ei tea lõpuks keegi, kes vastutab.
Avaldatud ERR-is 7.02.2026
