SUUR GDPR-TEEMALINE INTERVJUU | Andmekaitsespetsialist: keegi ei taha veeta tervet oma elu andmetega tegeledes ja see on täiesti normaalne
25. mail hakatakse kohaldama uut Euroopa andmekaitseregulatsiooni GDPR-i. Seoses sellega istusime maha Latitude59 konverentsi raames Tallinnas esinenud isiklike andmete kaitsega tegeleva Paul-Olivier Dehaye-ga ning rääkisime andmetest ja nende kaitsmisest. Avaldame intervjuu täismahus.
Paul, sa oled andmekaitsespetsialist ja huvitud just inimeste isiklike andmete kaitsmisest. Isiklikud andmed ja suured andmehulgad (inglise keeles big data) on aga omavahel väga tihedalt seotud. Kuidas sa selgitaksid tavainimesele, mida suured andmehulgad üldse tähendavad?
Suurte andmehulkade eesmärk on koguda kellegi või millegi kohta väga palju andmeid. Nende andmete põhjal on hiljem võimalik teha tulevikuennustusi või ennustusi teiste parameetrite kohta. Üks oluline element, mis oli suurte andmehulkade puhul algul ootamatu, oli just see, et mõõtes ühe sensoriga üht parameetrit on võimalik ennustada teisi parameetreid.
Näide, mis on selles valdkonnas kuulsaks saanud, on järgnev: kellegi Facebooki meeldimiste puhul on võimalik neid kasutada, et selle inimese kohta palju teada saada. Eriti seda, mis puudutab inimese psühhograafilist pilti: kuidas ta mõtleb ja kuidas ta reageerib välistele teguritele. Ei tundu väga tõenäoline, et kellegi Facebooki meeldimiste abil selliseid järeldusi teha saab.
Hiljutised sündmused on näidanud, et inimesed ja eriti mittetulundusorganisatsioonid on suurte andmehulkade kasutamise suhtes väga kriitilised. Mis sa arvad, miks asjad nii läksid? Miks muutusid inimesed nii järsku suurte andmehulkade suhtes nii kriitiliseks?
Selle tööriistaga seotud võim on tohutu. Kõigepealt tuleb majanduslik võim - kui sa suudad ennustada tulevikku, on sul võimalik teenida väga palju raha. Kui sul on ajaeelis, on sul võimalik seda veelgi enam teha. Teenitud raha aga aitab sul enda olukorda veelgi enam kinnistada ning sa saad veelgi enam võimu. Mõtle suurtele: Facebook ja Google näiteks on mõlemad nii teinud.
Selle võimuga tulevad mõnes mõttes ka kohustused, aga turu poolt vaadates ei ole nendel kohustustel mingit kohta meie praeguses majandusmudelis. Facebooki ei huvita, kas nende poolt kogutavad suured andmehulgad võivad olla inimestele ohtlikud, nemad huvituvad sellest, kuidas müüa rohkem reklaame.
Aga miks on see hetk just praegu?
See faktorite hulk on suur. GDPR jõustub nüüd ja paljud inimesed on seda hetke oodanud, et nad saaksid öelda: "Nii, nüüd on aeg muutusteks." Lisaks sellele on veel hiljutised skandaalid: Cambridge Analytica skandaal on neist kõige tuntum. Uudne on selle skandaali juures just see, et see oli uudistes privaatsusskandaali kohta niivõrd pikalt. Tavaliselt need kaovad uudistest päris kiiresti.
Aga see skandaal kestis mitmel põhjusel. Esiteks oli see väga keeruline skandaal: see hõlmas paljusid riike, paljusid firmasid ja erinevaid valimisi üle maailma. Lisaks sellele oli see kihiline skandaal - eri aegadel selgus, kes teab mille kohta mida. Algul rääkis skandaal ainult Cambridge Analyticast, pärast lisandus sellele juba Facebooki mõõde. Facebook on paljude inimeste jaoks väga huvitav teema ja siis pälvis see skandaal ka laiema tähelepanu.
Pealegi, vaadata seda (isiklike andmete - Forte) probleemi kollektiivsest vaatepunktist on täiesti uus lähenemine. Küsimus ei ole enam ainult puhkusepiltides, mida sa võid või ei pruugi jagada oma sõpradega. Küsimus on nüüd selles, et igaühe individuaalsed andmed võivad mõjutada valimisprotsessi, mis omakorda mõjutab meid kõiki.
Niisiis on igaühe isiklike andmete kaitsele lisandunud nüüd kollektiivne mõõde ja see on midagi uut. See muudab uued inimesed, eriti poliitikud, kogu asja eest vastutavaks. See ei ole enam see, et: "Inimesed tahavad lihtsalt jagada oma puhkusepilte, milles probleem on?" Nüüd on inimesed aru saanud, et kui sa annad oma andmed kasutada firmale, mis teeb nendega äri, siis võivad sellel olla riigile strateegilised tagajärjed. See on täiesti teine asi.
Kas sa saad mulle selgitada GDPR-i nii, nagu sa selgitaksid seda kellelegi, kes ei tea midagi andmetest ega nende kaitsest? Kuidas sa selgitaksid seda tavainimesele?
Selles peituvad erinevad elemendid. GDPR-i tuum on see, et anda inimestele võim nende isiklike andmete üle. Et anda neile võim teha otsuseid. Et anda sulle võimalus otsustada, kus sa tahad, et su andmeid kasutataks, kuidas sa tahad, et su andmeid kasutataks, mida su andmetega teha saab. Kõik sellised asjad.
Ma toon sulle näiteks selle tooli, millel ma istun. Praegu istun ma toolil ja see on selle tooli tavaline kasutusviis. Aga kui järsku on mul vaja vahetada lambipirni, siis ma saan selle tooli peale püsti tõusta ja lambipirni ära vahetada. Täpselt samamoodi on ka meie andmetega: igaüks omab enda andmeid, võib neid hävitada, neile muu otstarbe leida.
Sa võid ka võtta oma tooli ja naabritega suure peo korraldada. Ka see on võimalik. Täpselt sama asi on võimalik andmetega. Sa võid oma sõpradega andmed kokku panna ja kasutada neid kuskil mujal vastavalt oma soovidele. Need ei pea olema selle firma käes, kes need algselt kokku kogus.
GDPR-i üks oluline aspekt on see, et paljud asjad, mida see reguleerib, on olnud seadustesse kirjutatud juba 30 aastat. Nii et selles mõttes ei ole GDPR suur muudatus. Ainus erinevus on nende regulatsioonide jõustamises. Nüüdsest peaksid olemas olema vajalikud mehhanismid, et neid seadusi rakendada ning samuti on trahvide osa muutunud olulisemaks.
Praeguseni on paljud suurfirmad vaadanud andmekaitseseadusi ja mõelnud: "Meid ei huvita, sest isegi kui me vahele jääme, on trahv ainult 100 000 eurot ja see ei ole probleem. Ja nagunii keegi ei saa kunagi trahvi."
Kuid nüüd on trahvid muutunud palju suuremaks. See ei tähenda, et neid peaks rakendama. Oluline on see, et juristid arvestavad nende trahvide olemasoluga. Nüüd on nende jaoks kaalukausil üheltpoolt seaduste täitmiste kulukus ja teisel pool trahvid ja mainekahju.
Niisiis, mis sa arvad, kas GDPR täidab oma eesmärki?
Ma arvan, et see on suur samm selle poole. Tõenäoliselt ei ole see ideaalne, kuid minu jaoks näeb see vähemalt paberi peal hea välja. Samas nägi minu jaoks olukord paberi peal hea välja juba enne, siis kui andmekaitseseadusi ei jõustatud. Ka GDPRi puhul ei ole kõige olulisem küsimus selle olemasolu, vaid hoopis see, kuidas seda rakendatakse.
Kas andmekaitsega tegelevad reguleerijad saavad aru trahvide olulisusest ja ei ürita neid balanseerida teiste huvidega, näiteks majanduslike huvidega. Siiamaani on see olnud reaalsus. Reguleerijad on olnud suurfirmadega järeleandlikud. Kui suurfirma on öelnud: "Me väga ei näe asjal mõtet ja meie jaoks on tegemist kõigest lisakuluga," siis andmekaitsega riiklikult tegelejad on tihti enda silma kinni pigistanud.
Mida teeks sina, kui keegi, kes on väga huvitatud isiklike andmete kaitsest, et kaitsta inimeste isiklikke andmeid? Mida tuleks lisaks GDPR-i elluviimisele veel teha?
Väga hea küsimus - on seadused ja on nende jõustamine, sealhulgas tehnilisel tasandil. Ma usun, et on olemas väikesed rakendusaktidega lahendatavad konkreetsed sammud, mis muudaks olukorda tohutult palju.
Näiteks: sul on enda andmetega seoses väga palju õigusi, kuid samal ajal sa ei taha veeta tervet oma elu neid õigusi taga ajades. Keegi ei taha veeta tervet oma elu enda andmeid haldades ja see on täiesti normaalne. Kõik tahaksid seda mugavalt teha.
Mina usun, et võiks olla võimalus luua agente, kes saaksid töötada tavainimeste asemel, et nende andmeid kaitsta. Nendele agentidele tuleks loomulikult maksta. Mõtle neist kui väga odavatest advokaatidest. Need agendid saaksid olla odavad, sest palju sellest teenusest oleks automatiseeritud.Selliste automatiseeritud agentide puhul ei tekiks mingit huvide konflikti: sa saaksid olla kindel, et nad on sinu poolt. Sellised agendid hakkaksid siis tegelema kõigi sinu andmete haldamisega kümnete firmade andmebaasides.
Hetkel GDPR-i aluseks võttes pole selline olukord võimatu. Samas ei ole ka elemente, mille kohaselt see oleks võimalik. Ettevõte võib lihtsalt keelduda selle agendiga rääkimast, nad võivad lihtsalt öelda: "Ei, me tahame rääkida andmete omanikuga." Ja see on lihtsalt probleemide tekitamine. Seega samm, mis reguleeriks agentide kasutamist oma andmete kaitseks, oleks äärmiselt kasulik.
Millega tegeleb su enda firma PersonalData.io, kas see töötab sama põhimõtte alusel, mida just kirjeldasid?
See on see, kuhu me tahaksime jõuda. Võib-olla. Aga nagu ma ütlesin, on seda praegu võimatu teha ilma selleta, et firmad koostööd teeksid. Reaalsuses on nende firmade tegevus, kes ei soovi koostööd teha, tõenäoliselt tavainimese jaoks kõige kahjulikum.
See, mis me praegu teeme, on sisuliselt sama asi, aga nõrgemas vormis. Me üritame aidata üksikisikutel oma õiguste raames käituda nii, et see oleks seadusega kooskõlas. Osaliselt on see (PersonalData.io - Forte) ka lihtsalt tööriist, mis aitab inimestel oma õigusi avastada.
Ja kuidas te ise sellest kasumit saate?
Me ei saa sellest kasumit. Me ei ole mittetulundusühing, aga me ei aja ka kasumit taga. Tegelikult on tegemist kõigest väikese projektiga, mis hõlmab ainult mind. Seda võib võtta pigem kui hobi, mis mingil hetkel võib muutuda millekski konkreetsemaks.
Veel üks küsimus seoses suurte andmehulkadega: võib väita, et suurte andmehulkade analüüs viib meid lähemale sellele, mida me tegelikult tahame, ilma, et me ise seda teaks. Kuidas sa seda väidet kommenteeriks, kas see on tõene?
Osaliselt. Kuid näiteks: mis vahe on manipulatsioonil ja veenmisel? Kui sa mõtled selle peale, siis sa tunned end manipuleerituna juhul, kui sa ei mõista, mis tehnikat sinu veenmiseks kasutati. See on see oluline erinevus, mille ma välja tooks ja ka suurte andmehulkade analüüsi puhul rakendaksin. Kui sa ei tea infoallikaid, on väga keeruline öelda, kas tegemist on ausa vahetuskaubaga või kas mingi ennustus vastab tõele.
Niisiis, kas sa ütleksid, et Facebooki reklaam, mille all on kirjas, et seda reklaami kuvatakse mulle näiteks mingi konkreetse meeldimise põhjal, oleks siis õige reklaam?
Huvitav küsimus. Tegelikult on selle kohta palju tõendeid: kui sa lähed Facebooki ja näed seal reklaami ning liigud paremal nurgas oleva väikese noolekese peale, võid sa tegelikult praegugi näha, miks sulle konkreetset reklaami näidatakse. Nad peavad seda tegema.
Ühe uuringu kohaselt tuleb aga välja, et nad teevad seda väga üldiselt - nad näitavad kõigest üht või kaht sinu jaoks kõige vähemisiklikku tunnust. Seejuures näitas uuring, et süstemaatiliselt näitab Facebook just kõige üldisemaid tunnuseid. Sinu puhul ütleks reklaam näiteks tõenäoliselt: "Mees ja elab Eestis." Seega see on väga petlik läbipaistvus.
On veel üks uuring, mis käsitleb reklaamide korduvsuunamist. Näiteks: kui sa oled veebipoes ja lisad midagi oma ostukorvi ostu lõpetamata, siis pärast mitut päeva võib tulla sulle teade, et sul on ostukorvis veel esemed. Uuring näitabki, et sellise reklaami kliendile uuesti suunamise puhul on reklaamid vähem efektiivsed juhul kui kliendid ei tea, kust sellised andmed võetakse ja miks neid kuvatakse.
Ma arvan, et läbipaistvus on kogu kogu selle asja juures üks oluline ja väga alahinnatud aspekt. Paljud inimesed ütlevad mulle: "Kui nende firmade tegevus olekski läbipaistev, siis mis tulemus sellel oleks?" Minu jaoks oleks sellel väga selge tulemus.
Kas me peaks veebis liikuma personaalsema kogemuse poole ning kui vastus on jah, siis kuidas me saaks seda teha ilma, et me rikuks inimeste isiklikke õigusi?
Ma ei ütleks, et me peaks veel enam liikuma personaalsema kogemuse poole. See toimub juba niikuinii. Veeb on äärmiselt isikustatud, inimesed ei saa sellest lihtsalt aru. See hetk, mil veeb on kõige vähem personaalne, on see, kui sa lähed veebilehele ja nõustud sealsete kasutustingimustega. Sellel hetkel on meie kõigi kasutuskogemus täpselt sama. Kõigile näidatakse samu kasutajatingimusi, sama lepingut.
Kas see ei olegi see, millega GDPR tegeleb?
Selle vältimisega, jah. Või sellega, et muuta seda protsessi läbipaistvamaks, teha need lepingud tavainimesele arusaadavamaks. Mu mõte seisnes selles, et kõik need lepingud on samasugused. Näiteks on meil kõigil Facebookiga samasugune leping. Pole mingit valikut seda lepingut personaalsemaks muuta. Meile küll pakutakse mõningaid valikuid näiteks reklaamide suunamise suhtes, kuid need on väga piiratud valikud.
Lisaks on need väga läbipaistmatud valikud: inimesed ei saa täpselt aru, mida need tähendavad ja need on menüüdesse ära peidetud. Sa ei saa enda kasutuskogemuse üldist struktuuri isikustada. Su kasutuskogemus on küll isikustatud, aga sa ei saa seda ise muuta.
Seda saab muuta, aga sa ei tea kunagi, millised on selle tulemused. Igal tegevusel, mis sa Facebookis teed on mõju, kuid sa ei pruugi mõista milline see mõju täpselt on.
Jah. Aga vaatame näiteks Facebooki uudisvoogu. Mõningatele inimestele ei meeldi see ja nad kasutaks pigem kronoloogilist uudisvoogu. Tegelikult on võimalus selle kronoloogiliseks muutmiseks olemas, aga seda ei saa teha vaikeseadeks. Sa pead seda muutma iga kord, kui Facebooki lähed. Kronoloogiline ajajoon on valik, mille suhtes on paljud inimesed soovi avaldanud.
Isikustamise mõistes on see täielik läbikukkumine: mõned inimesed tahaksid kronoloogilise vaatega Facebooki uudisvoogu, aga Facebook ei luba seda, sest neil on liiga palju võimu, mis sellega kaasneb. Nad teenivad raha uudisvoo segiajamisest ning see võimaldab neil pikkida su uudisvoogu reklaame ja sulle huvitavat sisu. Kõik see on selleks, et sind seeläbi kauem seal keskkonnas hoida.
Kas on midagi, mida soovitaksid tavainimestel teha, et oma andmeid veebis kaitsta?
Hetkel on tehniliselt kõige lihtsam asi reklaamiblokeerija installeerimine. Isegi vaatamata asjaolule, et paljudel juhtudel on reklaamiblokeerijatel ähmased ärimudelid, kuna nad blokeerivad ometigi reklaame või vähemalt mõningaid neist. Kuid nad ei blokeeri jälgimist (tracking). Selleks, et nad seda teeks, on vaja need vastavalt seadistada. Pärast õiget konfigureerimist võivad reklaamiblokeerijad aga isiklike andmete kaitseks päris kasulikud olla.
Kas olete juba teinud reaalseid samme selles suunas, et agendid saaksid tegeleda inimeste isiklike andmete haldamisega?
Jah. PersonalData.io on teenus, kuhu on igaühel võimalik registreeruda. Klient valib paar firmat - meil on neid küll ainult paar, aga see on skaleerimise küsimus. Seejärel aitab teenus sul kätte saada oma isiklikud andmed. See genereerib juriidilise teatise ning saadab selle teenusele. See ei käitu nagu agent, sest nagu varem mainisin, see on juriidiliselt keeruline.
Meie teenus teeb oma info omandamise ja kirja saatmise aga lihtsaks. Üks asi veel, mida on võimalik teha on see: sa annad mulle oma seadme identifitseerimisnumbri ning lisad selle meie "kampaaniasse", me nimetame oma iga individuaalset andmete hankimist nii. Seejärel saadetakse umbes kaheteistkümnele andmekogujale kiri, milles palutakse neil saata sinu kohta kogutud isiklikud andmed sinule. Meie neid andmeid ei näe ja see ei ole ka oluline.
Need kirjad on aga väga algeline moodus isikuandmete kaitse arendamiseks. Firmadele saadetakse kirju iga päev hunnikutes. Kui seda teevad aga paljud inimesed, kes nõuavad kõik üht asja, siis vaatame seda korra firma perspektiivist: järsku on neil väga palju nõudeid ja nende nõuete käitlemine on nende jaoks võimatu. Niisiis peavad nad tekitama tehnilise süsteemi, mis selliseid nõudeid käitleb. See muudab aga tavainimeste jaoks enda andmete kätte saamise lihtsamaks ning muudab protsessi läbipaistvamaks.
Kuidas sa hindaks, kas on reaalne võimalus, et agendid meie eest meie isiklikke andmeid haldama hakkavad ja millal see juhtuks?
Ma arvan, et see on väga tõenäoline. Küsimus on selles, kes neid agente kontrollib. Näiteks, on suur võimalus, et agente kontrollib Facebook või Google. Sellisel juhul tegeleksid agendid aga tõenäoliselt sellega, et kaitsta su infot teiste firmade eest, samal ajal kogudes infot siiski selle teenuse alla, kes sulle agente pakub.
Veel üks küsimus GDPR-i kohta: kas on midagi, mida tavainimene peab GDPR-iga seoses tegema?
Ei. Sa võid elada täpselt samamoodi nagu enne elasid. Kõige olulisem asi, mida on vaja teada, on see, et Internet ei ole mingi eraldi ruum, kus seadused puuduvad. Ka veebis kehtivad seadused. Sa ei pea leppima sellega, et seal valitseb Metsiku Lääne mentaliteet. Sul on õigused.
Sa võid minna iga firma juurde, veebis või päriselt, ja küsida enda kohta kogutud andmeid. Sa võid esitada protesti teatud andmetöötlusvormide kasutamise vastu. Sa võid nõuda, et su andmed kustutataks. Sa võid võtta oma andmed ja kolida need kuhugi mujale teenusesse. Sul on kõik need õigused. Hetkel on neid küll keeruline rakendada, kuid praegu on väga palju inimesi, kes kavatsevad oma õigusi lähiajal kasutada. Ja see muudab nende õiguste kasutamise ka meie kõigi jaoks lihtsamaks.
Nii et GDPR aitab inimestel, kes seda soovivad enda isiklikke andmeid veebis kaitsta?
Jah, kuna hetkel on seda raske teha. Mida rohkem inimesi seda teeb, seda lihtsamaks see muutub. Lõpuks on selle tulemusel ka nendel inimestel, kes teemast huvitatud ei ole, olemas raamistik, kuidas seda teha.
Inimesed ei viitsi sellega tegeleda.
Täpselt. See on ka põhjus, miks agendid on niivõrd olulised. Need muudavad meie kõigi elu mugavamaks.