2021. aasta lõpust võeti Eestis kasutusele nõusolekuteenus (NT), mis annab inimestele võimaluse jagada seni vaid riiklikes andmebaasides olnud andmeid erasektoriga. Näiteks järelmaksu taotledes ei pea enda maksevõime tõestamiseks maksu- ja tolliametist vajalikke andmeid välja võtma, vaid pank saab need nõusoleku alusel sealt ise kiirelt ja mugavalt kätte.

Kuidas andmed riiklike andmekogude ja erasektori vahel liiguvad, mis kasu me sellest saame ning milline järelkontroll on kodanikul oma andmete jagamise üle, räägib RIA nõusolekuteenuse tootejuht Piret Pärna.

Erasektor on teenuse soojalt vastu võtnud

NT arendamine algas 2020. aasta juulis tulenevalt Eesti digiühiskonna arengukavast. “Nõusolekuteenus on asutuse andmekogu juurde ehitatud digiteenus, millega inimene saab nõusolekut anda, vaadata ja tagasi võtta. Nõusolekuteenuse abil saab erasektor avaliku sektori käest isiku nõusolekul andmed kätte, selleks et pakkuda isikule mingit teenust,” selgitab Pärna. Kõige lihtsamalt öeldes on tegemist lahendusega, mis tagab nõusolekupõhise andmevahetuse riigi ja erasektori vahel.

Kui avalikul sektoril on alati olnud seaduslik alus avalikes registrites olevaid isikuandmeid kasutada, siis erasektoril see võimalus veel paar aastat tagasi puudus. Tegelikult näeb GDPR (EL-i isikuandmete kaitse üldmäärus – toim.) ette, et isiku nõusolekuga on ka erasektoril õigus neid andmeid kasutada. “Selleks ongi nõusolekuteenus välja arendatud, et andmete kasutamine oleks kõigile ühtmoodi lihtne, mugav ja läbipaistev,” ütleb Pärna.

Esimene pilootprojekt algas detsembris 2021. Pärna sõnul on teenus erasektori poolt hästi vastu võetud. “Teenus läks laivi ühe andmekogu (maksukohustuslaste register – toim.) ja ühe ettevõttega. Tänaseks on liitunud veel kaks andmekogu (ravikindlustatute register ja retseptikeskus – toim.) ja üle 20 ettevõtte,” sõnab Pärna.

Andmeid ei liigutata meilitsi või mälupulga peal

Nii riigi, ettevõtja kui ka kodaniku vaatest tähendab NT mugavust, läbipaistvust ja turvalisust. “Nõusoleku andmine käib usaldusväärses keskkonnas ja see on ka kiire. Kõik nõusolekud on keskselt hallatud eesti.ee-s, kust kodanik näeb, mis ajahetkel on tema andmeid erasektorile ehk teenusepakkujale edastatud,” selgitab nõusolekuteenuse tootejuht.

Samuti saab eesti.ee-st täpselt üle kontrollida, milliseid andmeid ja mis eesmärgil edastatakse, ning kõiki nõusolekuid igal ajahetkel tagasi võtta. Teenuse kasutamine ja nõusolekute andmine on alati vabatahtlik. Niisama kellegi andmeid võtta ei saa.

Andmete liigutamine avaliku sektori käest erasektori kätte käib üle X-tee. X-tee on keskkond, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust riigiasutuste vahel ja erasektoriga. Kui eraettevõte soovib NT-ga liituda, peab ta liituma ka X-teega. “Kodaniku vaatest on oluline teada, et andmeid liigutatakse turvaliselt, mitte mälupulga peal või meiliga,” ütleb Pärna.

Üleliigseid andmeid kellelegi ei väljastata

Kuidas nõusolekuteenuse kasutamine praktikas välja näeb? Võtame näiteks kõige esimese andmekogu, mis teenusega liitus – maksukohustuslaste registri. “Kui ma lähen näiteks panka ja soovin saada laenu või näiteks poes järelmaksu ja nõusolekuteenus on juba ärimudelisse sisse pandud, siis küsitakse isiku käest nõusolekut, mille järel tehakse maksu- ja tolliametisse päring. Seejärel saadakse vajalikud andmed, mille põhjal analüüsitakse isiku krediidivõimekust, kas nad saavad laenu või järelmaksu pakkuda. Edastatavad andmed avaliku sektori andmekogu ja erasektori vahel on eelnevalt kokkulepitud ja isikul on edastatavate andmete loetelu nõusolekul näha. Üleliigseid andmeid seal pole,” selgitab nõusolekuteenuse tootejuht.

Sama kehtib ka terviseandmete kohta. Näiteks kasutab NT-d videokonsultatsiooni platvorm Minudoc, mis pakub veebi teel professionaalset tervisenõustamist. “Näiteks enne diagnoosi panemist või retsepti väljakirjutamist tehakse päring retseptikeskusesse. Selleks on vaja küsida kodaniku nõusolekut,” toob Pärna näite. Nõusolekuteenus on mugavusteenus ning hea võimalus mingi teenuse pakkumist kiiremaks teha. Kui NT-d poleks, peaks patsient hakkama ise vajalikke andmeid pärima, küsima – esiteks küsima andmekogu omaniku käest ja siis need teenusepakkujale edastama.

Keegi ei saa niisama sinu andmeid võtta

Oluline on mõista, et nõusoleku andmine on konkreetse teenusega seotud protsess. “Nõusoleku andmise protsess algab kolmanda osapoole keskkonnas ehk erasektori juurest. Kui mina soovin tarbida erasektori poolt pakutavat teenust, siis see ettevõte, kes teenust pakub, genereerib mulle nõusoleku. Mina saan nõusoleku kätte kas meili teel või SMS-iga. Alles siis, kui nõusolek on antud, liigutatakse andmeid turvaliselt üle X-tee. Omavoliliselt ettevõtted isiku andmeid avaliku sektori andmekogust pärida ei saa,” kinnitab Pärna.

Igal nõusolekul on kindel ajaline määrang – algus ja lõpp. Kui kaua nõusolek kehtib, sõltub teenuse eripärast, kuid lõpmatuseni ühtki nõusolekut anda ei saa. See on oluline andmekaitse seisukohast. “Näiteks kui ettevõte teeb kliendile personaliseeritud pakkumise, mis kestab 14 päeva, siis nõusolek kehtib samuti 14 päeva. Nõusolek antakse konkreetse pakkumise, sündmuse või kaasuse raames,” ütleb Pärna. “Uute arendustega oleme muutnud nõusolekute andmist paindlikumaks, kus nõusolekuid saab vajadusel allkirjastada, pikendada,” lisab NT tootejuht.

Ühtki kaebust isikuandmete edastuse või ebasihipärase kasutuse kohta RIA-ni jõudnud pole. Kontrolli selle üle teostab Andmekaitse Inspektsioon. Pärna hinnangul on ettevõtted GDPR-ist ja isikuandmete töötlemisest tänapäeval väga teadlikud. “Kui andmekogu omanikule jõuab signaal, et andmeid ei kasutata vastavalt kokkuleppele või sihipäraselt, siis tasub kaaluda, kas antud ettevõttele tasub nõusolekuteenust pakkuda,” ütleb Pärna.

Töö käib edasi

Lähitulevikus on lootust, et nõusolekupõhine andmevahetus laieneb. Näiteks on välja töötatud lahendus, mis annab võimaluse vanematel laste eest nõusolekut anda. Sellest on kasu just eeskätt haridusvaldkonnas. Ka meditsiinis nähakse NT-l praegusest suuremat potentsiaali.

Praegu on testimisjärgus klientrakenduses nõusoleku andmine. “See kõlab keeruliselt ja palju detaile, millega arvestada, aga tähendab seda, et kui lähed teenusepakkuja kodulehele, logid iseteeninduskeskkonda, siis saad otse sealt nõusoleku anda. Praeguse lahenduse juures suunatakse nõusolekut andma riigiportaali eesti.ee kaudu,” räägib Pärna, kuidas elu jälle mugavamaks tehakse. Nii saab kasutaja ilma kodulehelt lahkumata nõusoleku ära anda ja teenust edasi tarbida.

Lisaks nõusoleku andmise mugavamaks tegemisele on andmekogude omanikel võimalik saada ülevaadet nõusolekute statistika kohta.