Euroopa ühisuuring tõi suuremate puudustena välja muuhulgas vähese teadlikkuse, puuduliku mõjuhindamise ning üheselt määratlemata rollid

Euroopa Andmekaitsenõukogu eestvedamisel läbiviidud esimene andmekaitse ühisjärelevalve, mis võttis luubi alla pilveteenuste kasutamise avalikus sektoris, leidis, et suuremateks kitsaskohtadeks uuritavates asutustes olid vähene teadlikkus sellest, kas ja milliseid isikuandmeid pilvteenustes töödeldakse, valdavalt osaliselt puudusid asutustel andmekaitseliste mõjude hindamised, puudulikult olid ka määratletud andmetöötlusega andmekaitsega seotud rollid asutustes ja pilveteenuse osutaja vahel.

Kokku osales uuringus 22 andmekaitseasutust üle Euroopa, nende hulgas Andmekaitse Inspektsioon. Inspekteeriti ligi 100 Euroopa Liidu ja riikide avaliku halduse institutsiooni, mis tegelevad tervishoiu, rahanduse, hariduse, transpordi ja infotehnoloogiaga. Uuringu aluseks oli liikmesriikide ühiselt koostatud küsimustik, mida sai vastavalt vajadusele ka kohandada. Eelkõige uurisid järelevalveasutused, millised on avaliku sektori asutuste peamised väljakutsed isikuandmete kaitse üldmääruse järgimisel pilvepõhiste teenuste kasutamisel. Eestis olid seiresse kaasatud Transpordiamet, Eesti Haigekassa, Haridus- ja Teadusministeerium ning Tallinna Linnavalitsus.

Lisaks kolmele väljatoodud sagedasemale puudusele tõi uuring organisatsioonide puhul välja veel puudulikku teadmist pilveteenuse alltöötlejast, diagnostika ja telemeetria andmete töötlusest ja rahvusvahelisest andmeedastusest. Ka ei vastanud lepingud alati isikuandmete kaitse üldmääruse artikkel 28 nõuetele.

"Meie eesmärk oli kaardistada pilveteenuseid kasutavate asutuste kitsaskohad ja koostada neile soovitused probleemide ületamiseks ning riskide haldamiseks. Ikka selleks, et avalike pilveteenuste kasutamisel oleks isikuandmed kaitstud," märkis Andmekaitse Inspektsiooni tehnoloogia valdkonnajuht Urmo Parm. Ühiselt kokkupandud soovitused on plaanis avaldada lähiajal, lisaks soovituste avaldamisega plaanime seires osalenud asutustele avastatud kitsaskohti ja edasisi soovitusi ka personaalselt tutvustada.

EuroStati andmetel on pilveteenuste kasutamine ettevõtetes viimastel aastatel kogu Euroopa Liidus mitmekordistunud. Koroonapandeemia tõi kaasa organisatsioonide ümberkujundamise ning ka paljud avaliku sektori asutused on asunud kasutama üha enam pilvepõhiseid tehnoloogiaid. Seejuures võib aga riigi- ja kohaliku omavalitsuse asutustel olla keerukas leida tooteid ja teenuseid, mis vastavad ELi andmekaitsereeglitele.

Ühisalgatuse laiem eesmärk oli ühtlustada ja tugevdada andmekaitselast järelevalvet Euroopas ning tõhustada andmekaitseasutuste rahvusvahelist koostööd.

Pilveteenuste seire kokkuvõtet on võimalik lugeda aadressilt: https://edpb.europa.eu/our-work-tools/our-documents/report/coordinated-enforcement-action-use-cloud-based-services-public_en