Organisatsiooniliste lahenduste all on käesoleva töö kontekstis silmas peetud eeskätt eraõiguslike andmetöötlussuhete poolte võimalusi (ja kohustust) luua seaduses sätestatud kohustuste täitmiseks ettevõtte või muu andmetöötleja praktikat ja vajadusi arvestav, IAKS nõudeid järgiv, reeglistik, millega suhte teisel poolel, so andmesubjektil, oleks võimalik enne andmete töötlemise lubamist tutvuda.
383 Lisaks organisatsioonilistele tagatistele omavad juriidiliselt korrektsete veebilahenduste loomise sesiukohalt tähtsust ka infotehnoloogia enda pakutavad võimalused andmete kaitseks, sh kasutajanime ja parooli abil isiku tuvastamist võimaldavad lahendused, piiratud käibega teabele juurdepääsu tõkestamine teabe krüpteerimise abil jms. Seesuguseid lahendusi ei loo juristid, kuid juristidel on hääleõigus nende meetmete õiguspärasuse hindamisel. Nagu selgub, on andmekaitse tänastes mõõtmetes vajalik just automatiseeritud andmetöötlussuhete raames tekkivaid probleeme silmas pidades: infot kogutakse inimfaktori sekkumiseta, salvestatakse andmebaasides ja sellesse tehakse päringuid arvutite ja vajaliku tarkvara abiga. Sellise arengu tulemusena on võimalik hallata ja töödelda senisest suuremaid infokogumeid, mis juba iseenesest vähendab privaatsusõigustest tulenevat tagatist, kuna tõenäosus sattuda
‚valiku’ hulka on igal indiviidil varasemast määratult suurem. Informatsioonilisele enesemääratlemisele avaldavad mõju paljud veebikeskkonna ‚kujundamise’ võimalused: võimsate otsingumootorite abita ei oleks võimalik leida isiku kohta lühikese ajaga ulatuslikku ja detailset informatsiooni, ning automatiseeritud andmebaaside abita ei oleks vastavast teabest ülevaate saamine ja selle pinnalt uute seoste loomine kuigi lihtne ülesanne.
Andmetöötlusviis, millega seoses nõusolek enim probleeme tekitab, on isikuandmete kogumine veebi vahendusel. Enamus veebipõhiseid ärimudeleid kasutab veebi vahendusel kogutud isikuandmeid ka väljaspool andmete kogumiseks kasutatud veebikeskkonda, vastupidiste juhtumite hulk kahaneb pidevalt, tõstes ettevõtete kodulehed üheks juhtivaks andmete kogumise vahendiks. Eesti enamkülastatavatest veebilehtedest384 (Vt ka joonis 2.3.) kogutakse isikuandmeid umbes pooltel ning väljaspool seda keskkonda töötlevad kogutud andmeid umbes kaks kolmandikku kõnealustest ettevõtetest. Kui andmesubjekti esmakontakt ettevõttega tekib veebikeskkonnas, on äärmiselt oluline, et teave isikuandmete kogumise fakti kohta ja nõusoleku kehtivuse eelduseks olev informatsioon jõuaks andmesubjektini selges ja arusaadavas vormis, kuna kahtluse korral eeldatakse, et nõusolekut pole antud.385
Seepärast ei saa ettevõtte huve piisavalt kaitsvaks pidada praktikat, mille kohaselt veebikeskkonna avalehe allääres esitatakse link ”privaatsusleping”386 või ”sinu privaatsus N veebikeskkonnas”387, kuna kasutajalt nõusoleku saamine on IAKS kohaselt andmetöötleja riisiko.
Et enda vastutust võimalikult suures ulatuses maandada, tuleks veebikeskkonna loomisel ja arendamisel järgida ka selle iseloomust tulenevaid õiguslikke nõudeid ja piiranguid. Andmesubjekti informatsioonilise enesemääratlemise õiguse tagamiseks veebikeskkondades, kus töödeldakse isikuandmeid, tuleb töötlejal esitada nõusoleku kehtivuse eelduseks olev teave nii, et see oleks andmesubjektile lihtsalt leitav ja ligipääsetav, või, veelgi parem, tutvumiseks möödapääsmatu. Kuidas teave kasutajani viia, sõltub sageli veebikeskkonna tehnilisest lahendusest.
Teatav praktika IAKS nõuete täitmiseks on Eesti veebimaastikul kujunemas: ühe näitena on käesolevale tööle lisatud töö autori poolt koostatud isiku informatsioonilise enesemääratlemise õiguse lahendus Sampo Liisingu AS veebikeskkonnas.388
Käesoleva töö autor ei pea aga õigeks ka andmetöötleja ’absoluutset’ kohustust ja andmesubjekti asetamist tarbija positsioonile, mida toetab praegune Andmekaitse Inspektsiooni peadirektor Urmas Kukk, selgitades, et andmesubjektil puudub kohus tus teada
384 Vastav teave on kättesaadav http://editorial.reku.www.ee/?page=REKL_kylastatavus&1075961144 (viimati vaadatud 01.02.2004).
385 Tulenevalt IAKS § 12 lg 5 eeldatakse vaidluse korral, et nõusolekut ei ole antud. Seega tuleb andmetöötlejal luua olukord, kus on võimalik eeldada, et isik pidi nägema ja aru saama nii isikuandmete töötlemise faktist, kui selle eelduseks oleva nõusoleku andmise faktist ja tutvuma vastavalt ka nõusoleku andmisele eelneva teabega.
386 Vt nt Tallinna Väitlusklubi koduleht http://www.debate.ee/tvk/ (viimati vaadatud 01.02.04).
387 Vt nt www.delfi.ee (viimati vaadatud 01.02.04).
388 Vt töö lisad 1 ja 2. Lisas 1 on näidatud Sampo Liisingu veebikeskkonna andmekaitsepõhimõtete kujundamist lähtuvalt IAKS nõuetest ning lisas 2 (CD) on esitatud Sampo veebikeskkond tegelikul kujul.
oma õigusi seoses IAKS-iga.389 Käesoleva töö autor on oponeerival seisukohal, leides, et näiteks ei ole otstarbekas nõuda andmetöötlejalt IAKS § 12 lg 2 punktide 4 ja 5 täitmist juhul, kui need pole ettevõtte praktikas sisustatud, kuivõrd kõnealuse sätte täitmiseks puuduvad ka AKI lähemad juhised.
Samas on nõusoleku eeldusena esitatava teabe sisu ja ulatus otseses seoses andmetöötleja tegevusvaldkonna ja –ulatusega. Lähtuvalt isikuandmete kogumise praktikast võib eristada:
1) veebikeskkondi, milles isikuandmeid ei koguta, ent salvestatakse liiklusandmeid ja statistilisi andmeid või cookie’sid390;
2) veebikeskkondi, kus isikuandmeid kogutakse kasutaja tuvastamiseks391;
3) veebikeskkondi, kus kogutakse asjaomase ettevõtja pakutavate teenuste osutamiseks vajalikke andmeid ning lisaks isikuandmeid, mis võimaldavad veebikeskkonda haldaval ettevõttel pakkuda oma klientidele ka teiste ettevõtete teenuseid392; ja
4) keskkondi, mille eesmärgiks ja tegevusvaldkonnaks ongi isikuandmete kogumine ja töötlemine393.
Neist 3. ja 4. kategoorias tekib hulk erisusi ka lähtuvalt ettevõtja tegevusvaldkonnast:
isikuandmete töötlemisega seonduv risk on erinev nt pangandus-, kindlustus-, meditsiini- ja meelelahutussektoris. Seetõttu sõltub iga konkreetse nõusoleku eelduseks oleva teabe sisu nii veebikeskkonna, kui selle taga oleva ettevõtte tegevuse ja praktika omapärast. Lähtudes asjaolust, et Eesti ettevõtete huvi isiku informatsioonilise enesemääratlemise tagamisele veebikeskkonnas peaks olema määratud IAKS vastavate sätete jõustumisega, tasuks kaaluda standardiseeritud veebilahenduste loomisele, mis ühelt poolt võimaldaksid analüüsida ja
389 Kõnealust seisukohta väljendas U. Kukk korduvalt Äripäeva andmekaitseteemalisel seminaril „Kuidas seaduslikult spämmida?” VVV. Detsembril 2003.
390 Sellessa kategooriasse kuuluvad praktiliselt kõik veebilehed, kuna enamus internetiteenuse osutajaid pakub lisaks serverimajutusele ka statistilisi teenuseid, mille raames viidatakse veebikeskkonna külastajate IP-aadressile. Mitmete autorite hinnangu on ka IP -aadress käsitletav isikuandmetena, kui seda on võimalik seostada arvutit kasutanud füüsilise isikuga. Nt www.kobras.ee (viimati vaadatud 01.02.04), www.dll.ee (viimati vaadatud 01.02.04) jpt.
391 Sageli ei seata aga kasutaja faktilist tuvastamisest registreerumise tingimuseks. Nt http://portal.ok.ee/reg/?OKSESS=061bd9461e95c9edb4e219bfe423bb2d (viimati vaadatud 01.02.04) ja http://my.delfi.ee/r.php?l=nat&just (viimati vaadatud 01.02.04).
392 Nt www.cv.ee (viimati vaadatud 01.02.04), www.osta.ee (viimati vaadatud 01.02.04).
393 Nt www.krediidiinfo.ee (viimati vaadatud 01.02.04).
Joonis 2.3. Veebisaitide nädalane külastatavus 22. - 28.09.2003.394
arendada juba kujunenud praktikat, teha ettepanekuid selle kohandamiseks seaduse ning AKI ja kohtute tõlgendustega ning teisalt teha tähelepanekuid isiku infoprivaatsuse mudeli kohta seoses andmetöötlusega veebikeskkonnas. Vastava automatiseeritud infosüsteemi ideekavand on käesoleva töö pinnalt kasvanud produktina ka sellele lisatud. (Vt Lisa 2).
394 Statistika ja joonis veebis http://editorial.reku.www.ee/?page=REKL_kylastatavus&1075961144 (viimati vaadatud 01.02.04).
2.8. Informatsioonilise enesemääratlemise õiguse Eesti mudeli realiseerumisest