Liialdamata võib öelda, et eriolukorra piirangud tegi üldse võimalikuks infoühiskonna tehnoloogia ning uuenduslikud rakendused on aidanud ka otseselt pandeemia leviku vastu võidelda, ent tundlike isikuandmete kasutamine kätkeb endas alati ka riske.

Luukas Kristjan Ilves

Luukas Kristjan Ilves

Kujutagem hetkeks ette, kuidas mõjunuks COVID-19 leviku tõkestamise eesmärgil kehtestatud meetmed infoühiskonnaeelsel ajastul. Majandusliku ja ühiskondliku tegevuse seiskamine olnuks totaalne. Jah, eriolukorra piirangute mõju on olnud ränk, ent mitte totaalne. Arvestatav osa töötajaist jätkab töötamist kodus. Koolitunnid on kolinud veebi, samuti on suure osa ärireisidest ja koosolekutest asendanud videoühendus. E-kaubandus võimaldab nii toitu kui ka kaupu edasi tarbida. Suhtlus säilib nii kaugel kui ka lähedal olevate sugulaste ja sõpradega, isegi näost näkku kokkusaamised on asendunud FaceTime’i ja Facebookiga.

Kriisi järgmises etapis on digitehnoloogia veelgi määravama tähtsusega. Riigid on silmitsi raske dilemmaga: rangete piirangute säilitamine laastab majandust (ja ka inimeste vaimset heaolu), ent liiga leebe suhtumine COVID-19-ga kaasnevasse ohtu võib tuua kaela uue haiguspuhangu. Eduka kesktee leidmise preemiaks on normaalsust meenutava elu taastumine ja rahvusvahelises konkurentsis ka teatud eelis nende riikide ees, kes jäävad pendeldama järskude piirangute ja leevenduste tsüklisse.

Kriisi leevendamine andmetega

Dilemmast on võimalik väljuda tehnoloogia ja andmete abiga, rakendades riski maandamiseks nii suurandmeid kui ka isikustatud andmeid. Hiinas, Singapuris, Taiwanis ja mujal kasutatakse mobiilirakendusi, et jälgida karantiininõuete täitmist ja selgitada välja äsja nakatunutega hiljuti kokku puutunud inimesed. Järgmises etapis võidakse anda välja immuunsus- ja vaktsiinipasse ning määrata tervishoiu meetmeid mitte kogu riigi, vaid paindlikumalt linnaosa või lausa hoone täpsusega. Ideid on palju. Eestist innustust saanud ja siit juhitud globaalses COVID-19 häkatonis osales 500 võistkonnas kokku üle 10 000 inimese, kellest suur osa töötas just sellistele küsimustele lahenduste otsimise kallal.

Euroopa riikide jaoks on andmete nutikas kasutus eriti oluline. Oleme Kagu-Aasiaga võrreldes kollektiivses järelõppes, SARSi-laadse kogemuse puudumisest tingituna pole meil ka samas ulatuses koolitatud spetsialiste või koostöökorda tervishoiu ametkondade ja tööandjate vahel. Ükshaaval nakatunute kontaktide jälgimine on äärmiselt töömahukas ja nõuab ka väikeses Eestis sadu uusi spetsialiste. Appi tulevad rakendused.

Mõistagi tekib mure isikuandmete kaitsega. Kontakte jälgivate rakenduste taga on suuremahuline väga tundlike andmete töötlemine – tervis, lokatsioon, inimeste käitumine. Valedes kätes või väärkasutatuna võivad need andmed viia politseiriigi tekkeni või toita tehnoloogiahiide, kes rikastuvad meie isikuandmete põhjal sihitud reklaamidest ning toodetest.

See dilemma pole pelgalt akadeemiline, vaid sellel on ka praktiline väljund. Ühe näitena seavad Euroopa Komisjoni soovitused viiruse jälgimise rakendustele andmekaitse huvides märkimisväärseid piiranguid, sh peaks rakenduste kasutamine olema vabatahtlik, hoiduda tuleks isiku asukohaandmete kogumisest, kõik andmed tuleb teha anonüümseks ning rakendused tuleks kriisi möödudes kohe kinni panna.

Samal ajal aga piiravad need Euroopa Komisjoni seatud meetmed taoliste kasutajaid jälgivate rakenduste toimet. Näiteks asukohaandmed võimaldavad epidemioloogidel jälgida haiguse levikut ning anda eelhoiatusi kontoritele, restoranidele ja teistele asutustele, kus mõni nakatunu on hiljuti viibinud. Edukas telefonipõhine kontakti jälgimine eeldab, et rakenduse laadib alla rohkem kui 60% rahvastikust, ent vabatahtlikult on seda nt Singapuris ja Iisraelis teinud vaid 15–20%. Kui andmed muudetakse anonüümseks, ei ole meditsiiniasutustel võimalik nakatunuga kokkupuutunutega otse ühendust võtta. Mis juhtub aga siis, kui COVID-19 põdemise järel ei teki loodetud pikemaajalist immuunsust ning haigus saab permanentseks osaks meie elust?

Ettepanekuid tundlike isikuandmete kasutamiseks tuleks kaaluda ainult juhul, kui need tagavad selge kasu tervishoiule, mõõdetuna lõpuks säästetud eludes ja tervelt elatud aastates. See põhimõte tagab, et risk võetakse ainult õigustatud juhtudel.

Andmekaitse dilemmad

Massjälgimise ja koroonamaailmas hakkamasaamisega seoses on tekkinud uus dilemma. Isikuandmete kaitse on oluline põhiõigus, aga seda on ka elu, tervis, majandustegevus ning vaba liikumine. Seda dilemmat ei lahenda andmekaitse eksperdid omapäi – see on poliitiline küsimus, milles peab osalema iga kodanik.

Olgu kohe öeldud, et on üks meede, mida uus olukord meilt ei nõua, nimelt Euroopa isikuandmete kaitse üldmääruse ehk GDPRi peatamist. GDPR sisaldab erandeid nii tervishoiu kui ka eriolukordade kontekstis. Keerukus seisneb pigem teadmises, kas ja kuidas neid erandeid kasutada. On kolm põhimõtet, mis aitavad tagada, et andmekaitse meetmetele COVID-19 tõkestamise nimel tehtud leevendused jäävad mõistlikeks.

Proportsionaalsus. Paljud uued COVID-19 rakendused on mõelnud välja tehnoloogide meeskonnad, kel puuduvad sügavamad kogemused tervishoiu, epidemioloogia või ühiskonnateaduse vallas. Pakutakse ideid, mis küll võimaldavad koguda massiliselt isikuandmeid, aga millel puudub lubatud positiivne mõju. Ettepanekuid tundlike isikuandmete kasutamiseks tuleks kaaluda ainult juhul, kui need tagavad selge kasu tervishoiule, mõõdetuna lõpuks säästetud eludes ja tervelt elatud aastates. See põhimõte tagab, et risk võetakse ainult õigustatud juhtudel.

Eesmärgipärasus. Tervishoiu nimel COVID-19 vastaseks võitluseks kogutud delikaatseid isikuandmeid tohib kasutada AINULT sellel eesmärgil. Neid ei tohi edastada täiendavalt politseile, maksuametile või muule järelevalveorganile kõrvaliste menetluste sooritamiseks. Erakätes olevaid andmeid ei tohi ka taaskasutada „teenuse optimeerimiseks” või reklaami suunamiseks. Rääkimata sellest, et keegi neid andmed edasi müüks. See põhimõte tagab, et võetud riskide tagajärjed ei kasva üle pea.

Läbipaistvus. Seni suurimad andmekaitse skandaalid (nt Cambridge Analytica, PRISM-programm) on seisnenud andmesubjekte teavitamata isikuandmete salaja kasutamises teisestel eesmärkidel (olgu see terrorismi tõkestamine või paremini sihitud reklaam). Läbipaistvus paneb andmete väärkasutusele päitsed pähe ning nõuab vastutuse võtmist. See tagab ühiste põhimõtete järgimise ning võimaldab avalikkusel kiiresti sobimatutele arengutele reageerida.

Nii on läbipaistvus nii kollektiivne küsimus – mida on tehtud delikaatsete andmetega tervikuna? – kui ka individuaalne küsimus – mida on tehtud MINU andmetega? GDPR tagab üksikisikutele rea „andmesubjekti õigusi”: õigus saada enda andmetele ligipääs, teada, kellele neid on edasi jagatud, parandada nendes vigu, neid kustutada või ise edasi jagada. Oluline on säilitada neid õigusi ka kriisi tingimustes. Just tänu sellistele õigustele on kodanikuaktivistidel võimalik kiiremini andmete väärkasutust avastada ning veenduda, et järelevalveorganid toimetavad adekvaatselt.

Kokkuvõtteks

Eesti teeb andmekasutuse läbipaistvuses ja kontrollis ülejäänud maailmale silmad ette. Oleme üks väheseid riike maailmas, kus avalikkust teavitatakse regulaarselt ametnikest, kes on oma ligipääsu isikuandmetele kuritarvitanud (ning neid ametnikke ka karistatakse päriselt). Eestlane saab jälgida reaalajas ligipääsu tema tervise- ja rahvastikuregistri andmetele, mis tagab, et riik on kasutanud tema isikuandmeid ainult õigustatud juhtudel. Sarnase läbipaistvuse garanteerimine praegustes oludes annaks meelekindluse, et COVID-19-ga seotud andmete kasutamine jääb kokkulepitud piiridesse.

Eestil on läinud COVID-19 vastases võitluses seni hästi, ent kriis pole läbi, pikaajaline heitlus alles algab. Järgmises etapis tuleb meil luua ühiskonnana ulatuslik, täpne ja efektiivne tervishoiu eelhoiatus- ja kiirreageerimissüsteem. Tehnoloogia on siin oluline võimendaja. Kui järgime põhimõtteid, et delikaatsete isikuandmete kasutus on proportsionaalne, eesmärgipärane ning läbipaistev, siis maandame riske ning tagame andmekasutuse üle demokraatliku kontrolli. Senikaua säilivad Eestis õigusriik ja demokraatia.

Luukas Kristjan Ilves on infotehnoloogia ja küberturbe ettevõtte Guardtime strateegiajuht.