Eesti andmekaitse: kui lubad rakendusele ligipääsu oma kontaktidele, siis rikud seadust

img_1c932e5241c6-1.jpeg

Kui Postimees kirjutas SEB panga mobiilirakenduse uuendusest, millega saab teha ülekandeid teisele inimesele mobiilinumbri põhjal, reageeris andmekaitse inspektsioon (AKI) keelavalt. Probleem on nimelt selles, et kui telefoniomanik ei tohiks rakendusel lubada näha oma telefonis olevaid mobiilinumbreid ja asi pole ainult SEB-s, vaid selline tegevus on üleüldse Eestis ebaseaduslik.

Lihtsustatult on selleks üks väga lihtne põhjus: keegi ei saa anda isikuandmete töötlemiseks luba kellegi teise eest. Kui keegi lubab mõnel rakendusel enda kontaktide loetelu vaadata, on rakendus saanud ligipääsu ka kolmanda isiku andmetele, mille jagamiseks rakenduse paigaldajal õigust ei ole.

“Igasugune isikuandmete töötlemine on lubatud üksnes inimese enda eelneval nõusolekul või seaduses sätestatud alusel. Kellegi teise eest ei saa anda nõusolekut tema andmete töötlemiseks,” selgitas AKI avalike suhete nõunik Maire Iro. “Seega ei ole seadusega kooskõlas olukord, kus teenusepakkuja küsib kliendilt juurdepääsu tema mobiiltelefoni kontaktide loendis olevatele andmetele. Klient ei saa anda teiste inimeste eest pangale nõusolekut nende mobiilinumbrite, aadresside, e-postiaadresside või muude isikuandmete töötlemiseks,” lisas ta. Iro selgitas, et isikuandmete töötlemiseks loetakse kõiki nende andmetega tehtavaid toiminguid, sealhulgas lisaks kogumisele ja salvestamisele näiteks ka juurdepääsu võimaldamist isikuandmetele, päringute teostamist ja erinevate andmete ühendamist.

Kui inspektsioon tuvastab, et mõni rakendus rikub kehtestatud nõudeid, küsitakse teenusepakkujalt lisaselgitusi ja tehakse soovitusi rakenduse muutmiseks või parandamiseks.

Siiski ei tasu hakata kõiki juurdepääsu õigusi koheselt piirama. Teatud juhtudel on rakendusel siiski õigus kasutajate andmeid töödelda. Iro sõnul on omavaheline andmete vahetamine lubatud klientide vahel, kes ise teenust kasutavad ja oma andmete edastamisega nõus on. “Küll aga ei ole lubatud väljastpoolt ligi pääseda kogu kontaktandmestikule ning neid andmeid rakendusest väljapoole edastada,” ütles ta.

Välismaistele rakendustele nõuded ei kehti

Pea kõik välismaised populaarsed rakendused paluvad ligipääsu kõikidele seadmes olevatele kontaktidele. Seda teevad näiteks ka Eestis ametliku statistika kohaselt kõige populaarsemad rakendused nagu Facebook Messenger, Snapchat, Uber, Facebook või Skype. Samuti saab ligipääsu kontaktidele ka Google, kui telefoniomanik kasutab Androidi tarkvaras olevat võimalust oma telefoniraamat pilve kopeerida. Ka Apple’i telefon iPhone toimib nii, et sellega saab telefoniraamatu varundada firma pilveteenusesse iCloud.

Selgub aga, et välismaiste rakenduste puhul ei olegi see seaduserikkumine.

“Välismaised rakendused jäävad väljapoole meie õigusruumi,” ütles Iro. “See tähendab, et reeglid võivad erineda, ent seda enam soovitame just välismaiste rakenduste puhul läbi mõelda, millega teenust kasutama asudes nõustutakse.”

AKI: mõelge läbi, miks rakendusel kontakte vaja on

Iro sõnul tasub mobiilirakendusi kasutusele võttes alati esmalt süveneda kasutustingimustesse ja mõelda läbi, millistele andmetele ja miks rakendusel ligipääsu vaja on. “Paraku üldjuhul üht või teist rakendust alla laadides selle peale väga ei mõelda – hinnatakse rakendust küll kasutajamugavuse ja funktsioonide poole pealt, aga kasutajatingimustesse ja privaatsussätetesse ei süveneta. Me soovitame alati läbi mõelda ka see, millistele andmetele teenusepakkuja äpi kaudu ligi pääseb,” ütles ta. “Ühe markantse näitena võib välja tuua taskulambi rakenduse, mis küsis kasutajalt ligipääsu kontaktiloendile ja kaamerale. Sellised näited peaksid ettevaatlikuks tegema,” illustreeris Iro rakendustele lubade andmise ohtlikkust.

 

Foto: Scanpix/PM/Mihkel Maripuu