Jätkates Digitarga kasutamist oled teadlik küpsiste kasutamisest.

Aina enam digitaliseeruvas ühiskonnas teavad ja kontrollivad inimesed üha vähem seda, kuidas eri teenusepakkujad nende andmeid kasutavad või milliseid andmeid nende kohta üldse teatakse ja kogutakse. Ka valitseb teadmatus ja selgusetus selle osas, mis saab andmetega pärast inimese surma.

 

Telia IT-juhtide klubis, kus arutletakse aktuaalsete tehnoloogiateemade üle, oli hiljuti juttu privaatsusest. Räägiti sellest, kuidas mõjutab privaatsus ja selle erinev käsitlus (info)tehnoloogia arengut ning millele peaksid ettevõtted privaatsust silmas pidades tähelepanu pöörama.

Oma mõtteid jagasid LHV Panga IT juht Jüri Heero, TalTechi teadur ja endine RIA juht Jaan Priisalu ning Telia küberturbe valdkonna juht Aigar Käis.

 

Privaatsus tänapäeva ühiskonnas

Üldjuhul hindame me inimestena privaatsust ja isikliku elusfääri kaitset. Hindame teatavat kontrolli selle üle, kes ja mida meie kohta teab. Me ei soovi, et meie isiklik teave oleks igal ajal ja kõigile kättesaadav.

Digitehnoloogia hiljutised edusammud on seda kontrolli aga märgatavalt vähendnud, pannes meid igal sammul maha jätma oma isiklikke andmeid ja võimaldades neile juurdepääsu erinevatel institutsioonidel. Sagenenud on ka küberrünnakud nende andmete kättesaamiseks ja kuritarvitamiseks.

„Uus reaalsus vajab rangemaid andmekaitsereegleid.“ Aigar Käis, Telia küberturbe valdkonna juht

21. sajandist on saanud suurandmete ja kõrgtehnoloogia, suurte tehnoloogiaettevõtete esiletõusu ja platvormimajanduse sajand, millega käib kaasas tohutul hulgal andmete salvestamine ning töötlemine. Telia küberturbe aldkonna juhi Aigar Käisi sõnul on möödapääsmatu, et selline areng vajab ka teatavaid vastumeetmeid, et viia andmete kaitse kõrgemale tasemele. Vajalikud on rangemad andmekaitsereeglid.

Traditsioonilised eraelu puutumatuse kontseptsioonid ­– meie õigus privaatsusele ja üksiolemisele – ning aluspõhimõte, mille kohaselt peaks meie suhtluse sisu jääma konfidentsiaalseks, seatakse digitehnoloogia arenguga kahtluse alla.

Tänases infoühiskonnas, kus isikuandmeid kogutakse, luuakse, kasutatakse, töödeldakse, analüüsitakse ja jagatakse igal sammul üha suurenevast hulgast ühendatud seadmetest (nutitelefonid, nutikellad, nutikad mänguasjad, autod, droonid, isiklikud assistendid nagu Amazon Alexa jne) on peaaegu võimatu rakendada põhimõtet, mille kohaselt üksikisikud peaksid saama igal hetkel kontrollida, kas nende isikuandmeid koguvad kolmandad osapooled ja kuidas neid kasutatakse.

Seejuures ei suuda me ise põhjalikult läbi töödelda kõiki privaatsuspoliitikaid, millega erinevaid teenuseid kasutades kokku puutume ja millele oma nõusoleku anname. Ja kas me sellest väga hoolimegi, kui kaalukausil on palju mugavam elu, mida tehnika ja infotehnoloogia areng käsikäes meile võimaldavad?


Kuidas mõjutab privaatsuse erinev käsitlus tehnoloogia arengut?

Riigiti ja kultuuriti on arusaamad ja suhtumine privaatsusküsimustesse üsna erinev. Ühes privaatsust käsitlevas palju viidatud teadusartiklis öeldakse, et privaatsusel on vähemalt seitse erinevat tähendust. Euroopa Inimõiguste Kohus on kahel korral keeldunud andmast privaatsuse täpset definitsiooni.

Lääne ühiskond, mida iseloomustab individualism, hindab ja kaitseb privaatsust kõrgemalt kui idapoolsed kultuurid, kus ollakse harjunud kõike jagama. Samas tekitab andmete omandisuhe igal juhul konflikti. Tavaliselt luuakse huvitavad andmed vähemalt kahe isiku interaktsioonis. Kui me kuulutame need andmed ükskõik millisel kaalutlustel ühe poole omandiks, siis me teeme teisele poolele liiga.

Maailmas läbiviidud uuringud on näidanud, et üldjuhul on individualismil tugev, oluline ja positiivne mõju innovatsioonile. Samas viitavad andmed ka sellele, et teatud tüüpi kollektivism (s.o patriotism ja natsionalism) võib samuti soodustada innovatsiooni riiklikul tasandil. Mistõttu on näiteks Hiina, kus järelvalvekapitalism on ühiskonnas suures osas aktsepteeritud, tehnoloogia arengus meist mitmes mõttes ees. Viimase aja üheks tõusvaks trendiks Hiinas on maksmine näotuvastuse alusel ja mitmed kohad ei võta enam vastu sularahamakseid.

Kui Euroopas valitseb arusaam, et isikuandmed on isiku omad, mida toetab ka hiljuti jõustunud GDPR regulatsioon, siis Lääne maailmas esineb ka teine käsitlus, n-ö Ameerika suund, mille kohaselt suur hulk andmeid kuulub korporatsioonidele, kes need on kogunud. Kusjuures Ameerika Ühendriikides ei ole tänapäevaseid föderaalseid privaatsuseeskirju ning valitsus võib paljudel asjaoludel isegi seaduslikult taotleda ettevõtete valduses olevaid digitaalseid andmeid.

„Kas on võimalik olukord, et privaatsus kaobki täiesti ära ja kõigil on ükskõik sellest, et kõik nende andmed on avalikud ja kõik teavad kõigist kõike?“ Jüri Heero, LHV Panga IT juht

 LHV panga IT juht Jüri Heero tõstatab vestlusringis intrigeeriva küsimuse, arutledes, kas on võimalik jõuda olukorda, kus privaatsus kaobki täiesti ära ja me oleme sellega päri. Ühiselt jõutakse arusaamisele, et probleemiks ei ole niivõrd privaatsuse kadu, kuivõrd olukord, kus inimestel puudub teadmine ja ülevaade, kuidas ja kelle poolt andmeid kasutatakse, ehk esineb asümmeetria.

„Privaatsus ei ole vaid konfidentsiaalsus.“ Jaan Priisalu, TalTech’i teadur

TalTech’i teadur Jaan Priisalu selgitab, et privaatsus ei võrdu konfidentsiaalsusega. Privaatsus on isiku õigus temaga seotud andmete turvalisusele igas mõttes – nii tervikluse, käideldavuse kui konfidentsiaalsuse seisukohast.

Heero uurib edasi, kas ühiskonnana me võidaksime rohkem ja n-ö tervik toimiks paremini, kui andmed oleks vabad? Kas privaatsust kaitsvad regulatsioonid nagu GDPR mitte ei pidurda progressi? Võime öelda, et pidurdavad küll. Innovatsioon on millegi uue, mida keegi enne ei ole proovinud, katsetamine praktikas. Mis tähendab, et see ei saa andmete deklareeritud kasutuses detailselt sisalduda. Tõdetakse, et probleem tekib siis, kui palju andmeid ühte kohta kokku koondub, sest skaleeruvad nii positiivsed kui negatiivsed tagajärjed. Tekib küsimus, kas mudel, kus andmed kuuluvad inimesele ehk üksikisikule, toimib ka tulevikus. Kindel on see, et nii privaatsuse käsitlus kui sellega seotud mudelid on koos digiühiskonna arenguga pidevas muutumises.

Jutujärjega jõutakse GDPR’i regulatsiooni, 2018. aastal jõustunud Euroopa Liidu isikuandmete kaitse üldmääruse, ning trahvideni. Kuigi Eestis teadaolevalt GDPR’i rikkumisega seoses välja mõistetud trahve ei ole või on need olnud marginaalsed, siis mujal Euroopas ­– näiteks Suurbritannias, Saksamaal ja Hispaanias – on neid juhtumeid olnud kahe aasta jooksul hulgi ning trahvisummad ulatuvad miljonitesse eurodesse. Üheks oluliseks puuduseks on isiku tuvastamine. Digitaalsete õiguste realiseerimiseks on vajalik tugev isikutuvastus. Kui räägitakse omandist, siis peab selle omaniku isik olema üheselt ja kindlalt tuvastatav. Digitaalsed lahendused isiku turvaliseks tuvastamiseks on aga mitmes riigis veel üsna puudulikud.

Paratamatult pani GDPR tööle ka krüptovara turu, määrates andmetele hinna. Kuna trahvi suurus on teada, teab kurjategija, kuidas kaubelda.

 

Kelle käes on meie andmed? Mis saab andmetega pärast meie surma?

Maailma mastaabis on kõige „andmerikkamate“ ettevõtete seas kindlasti Facebook ja Google. Enam kui 2,5 miljardi kasutajaga maailma suurima sotsiaalvõrgustiku käes on ilmselt suurim hulk inimeste isiklikke andmeid, mida ajaloos kunagi nähtud. Ühtlasi on „big data“ ehk suurandmed muutumas seda täpsemaks, mida rohkem inimesi on mingi võrgu või võrgustikuga liitunud, ning nende põhjal saab teha üha detailsemat andmeanalüüsi. Samas tõdeme Facebookist „data request“-i ehk andmepäringut sooritades, et meile väljastatakse vaid vähesel määral meie kohta käivaid andmeid. Tekib küsimus, kas ülejäänud andmehulka analüüsitakse ja kasutatakse n-ö anonüümitud kujul.

Kuigi sellele ei taheta tihti mõelda, mis juhtub meie poolt loodud ning meie kohta kogutud andmetega pärast meie surma, siis arvestades digitaalselt jalajälge, mis meist maha jääb, on seda siiski kasulik teada. IT juhtide klubi arutelust nähtub, et me tegelikult ei oma selget pilti meie andmete saatusest. Lähemal uurimisel selgub, et ka seadusandlus on veel üsna lapsekingades, mis puudutab digitaalseid andmeid ja neid omavaid erinevaid osapooli, kuigi seaduse silmis on meil samaväärne õigus nende andmete kaitsele kui füüsilise vara puhul.

Näiteks on huvitav teada, et meie poolt soetatud digitaalne meedia (iTunes, Amazon, Google Play) ei kuulu meile samal moel nagu füüsiliselt soetatud raamatud, filmid ja heliplaadid. Digitaalsete teenuste puhul on sisuliselt tegemist vaid litsentsiga neid kasutada ja, olles oma olemuselt kokkulepe kahe osapoole vahel, sureb see õigus koos meiega.

Kui meie kohta käivatele meditsiinilistele andmetele ligipääsemiseks ja nende andmete säilitamiseks on võrdlemisi ranged reeglid ­– üldjuhul hoitakse neid mingi teatud aeg, tavaliselt 10 aastat, enne kui need kuuluvad hävitamisele (jäädes anonüümitud kujul statistilisel eesmärgil siiski alles) –, siis sama ei saa öelda andmete kohta, mida koguvad meie kohta erinevad eraettevõtted ja organisatsioonid.

Google on üks ilmne näide. Erinevalt meditsiinilistest andmetest on Google’i poolt kogutud andmetega tehtavate toimingute osas palju vähem regulatsioone, ehkki e-kirjad, GPS-andmed, dokumendid ja finantsteave võivad tihti olla sama isiklikud ja privaatsed. Google ei sea piiranguid sellele, kui kaua pärast inimese surma ta neid andmeid hoiab. Lisaks pole ühtegi selget viisi erinevate ettevõtete teavitamiseks, et nende käes olevad andmed kuuluvad surnud isikule.

Google pakub siiski Inactive Account Manager teenust, mis võimaldab kasutajal määrata n-ö usaldusisiku, kes saab teate, kui kontole pole teatud aja jooksul sisse logitud. Sellele isikule võib anda loa oma fotode, dokumentide ja e-kirjade allalaadimiseks Google’i serverist või määrata automaatne käsk konto kustutamiseks. Kuid isegi siis, kui elus olev kasutaja valib oma konto kustutamise, ei ole Google suutnud tagada, et isikuandmed eemaldatakse süsteemidest täielikult. Kogutud suurandmed võivad erineval moel edasi eksisteerida, olgu siis anonüümseks muudetud ja muude andmestikega ühendatud või varukoopiates enam-vähem puutumata kujul.

Mille eest end kaitsta?

Ajaloost on teada ka mõned üsna kurioossed küberrünnakud nendesamade suurte andmekogujate vastu. Ühe näitena meenub IT juhtide klubis operatsioon „Aurora“ – 2009. aastal toimunud rida küberrünnakuid, millega väidetavalt olid seotud Hiina võimud ja sõjavägi. Samas olevat rünnak saanud teoks tänu Google’i liidesele, mida kasutasid USA luureorganisatsioonid, millest võib omakorda järeldada, et Google’i sisu lugemine luurajate poolt oli vähemalt tol hetkel industrialiseeritud. Samamoodi langes 2018. aastal küberrünnaku ohvriks Amazoni asutaja ja ajalehe Washington Post omanik Jeff Bezos. Telefoni ja WhatsApp äpi kaudu sooritatud rünnaku taga arvatakse olevat saudi kroonprints Mohammed bin Salman, keda seostatakse ka saudi dissidendi ning endise Washington Post kolumnisti Jamal Khashoggi mõrvaga.

Tohutu kiirusega kasvavad andmehulgad on turule toonud ka uue äri – äritsetakse andmeaukudega. Mida kauem andmeleke püsib, seda suuremat hinda on võimalik vastava andmeaugu eest küsida.

Seetõttu on meie tänases olukorras oluline teada, kuidas andmeid kaitsta ning millised on erinevaid võimalused. Krüpteerimine kaitseb andmeid nii, et need on võõrastele kättesaadavad, aga loetamatud, peidetud keerukuse taha. Krüpteeritud andmetele on võimalik juurde pääseda ainult vastavat võtit kasutades. Algse andmehulga kaitse asendatakse võtme kaitsmisega, mis on loodetavasti lihtsam ülesanne.

Mida saavad ettevõtted teha, et kaitsta erinevate osapoolte privaatsust?

Hiljutine Gartneri uuring näitab, et ligi 60% privaatsusriive juhtumitest pärineb ettevõtte enda töötajatelt. Privaatsusriski suurim allikas on töötajad ja seetõttu on just töötajatel nende riskide minimeerimisel suur mõju. Juhtivad organisatsioonid tegelevad järjepidevalt sellega, et muuta oma töötajad teadlikuks ohtudest, mida nad võivad põhjustada, ja jagavad juhtnööre, mida töötajad saavad oma käitumise muutmiseks ära teha. Läbimõeldud ettevõttesisene kommunikatsiooniplaan aitab privaatsuspraktikaid töötajatele läbipaistvamalt edastada ja koordineerida privaatsusteadlikkust erinevate kanalite kaudu.

Samuti oleks kasulik ettevõttes läbi viia GDPR audit, mis aitab hinnata ettevõtte vastavust isikuandmete kaitse üldmääruse direktiividega ning vajadusel kaardistada kitsaskohad, millega tegeleda.

Kommentaarid