Andmekaitse Inspektsioon viis perioodil mai-juuli 2016 läbi omaalgatusliku seire, et saada ülevaade isikuandmete töötlemise olukorrast avaliku WiFi teenuse osutamisel kaubanduskeskuste külastajatele.

WiFi teenuse osutaja peab arvestama võimalusega, et teenuse raames töötleb ta erinevaid isikuandmeid.

Isikuandmeteks on näiteks:

• inimese nimi,
• e-posti aadress ja
• kontaktandmed.

Aga samuti inimesega seotud nutiseadme nimi või seadme unikaalne võrgukaardi MAC aadress (Media Access Control Address). 

Vastavalt isikuandmete kaitse seadusele (IKS) on isikuandmed mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata sellest, millisel kujul või millises vormis need andmed on (IKS §4 lg 1).

Isikuandmete töötlemine on isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, juurdepääsu võimaldamine või päringute teostamine ja väljavõtete tegemine(IKS §5).

Igasuguseks isikuandmete töötlemiseks peab olema alus: inimese nõusolek või erinorm seaduses, mis lubab isikuandmete töötlemise ilma nõusolekuta (IKS § 10 lg 1).

Isikuandmete töötleja on kohustatud:

1. kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks(IKS § 25 lg 1);
2. kujundama ettevõtte, asutuse või ühenduse töökorralduse niisuguseks, et see võimaldaks täita andmekaitse nõudeid(IKS § 25 lõige 2 punkt 7).

Juhul kui WiFi teenuse osutamise käigus saavad teenuse osutajale teatavaks isikut otseselt tuvastavad andmed (nimi, e-post), on teenuse osutajal edaspidi võimalik isik kaudselt tuvastada, teades ainult inimese nutiseadme MAC aadressi. Sellisel juhul peab arvestama, et MAC aadress on isikuandmed.

Seire käigus uuris inspektsioon üheksalt suuremalt kaubanduskeskuselt, kas külastaja peab end WiFi teenuse kasutamiseks registreerima, milliseid andmeid külastajalt teenuse kasutamiseks küsitakse ning kuidas saadud andmeid kasutatakse. Samuti küsis inspektsioon infot selle kohta, kas teenuse osutamise käigus registreeritakse ja kogutakse kaubanduskeskuse külastajate nutiseadmete MAC-aadresse juhul, kui seadmes on WiFi küll aktiveeritud, kuid seade pole võrku ühendatud.

Seire läbiviimiseks saatis Andmekaitse Inspektsioon 9-le Eesti kaubanduskeskusele küsimustiku, millele vastasid Kaubamaja AS, AS Viru Keskus, Solaris Keskus AS, Lõunakeskus OÜ, Port Artur Haldus OÜ. 

Suurematest kaubanduskeskustest jätsid seire käigus saadetud küsimustikule vastamata neli ettevõtet-Ülemiste Center OÜ, Kristiine Keskus OÜ, Rocca al Mare Kaubanduskeskuse AS ning AS ASTRI-NARVA. 

Kokkuvõtvalt on Andmekaitse Inspektsiooni arvamusel, et olukorda WiFi teenuse osutamisel kaubanduskeskustes saab lugeda heaks. Kõigi vastanute sõnul on WiFi teenus külastajatele avalikult, ilma registreerimiseta kättesaadav. Kaubanduskeskused WiFi teenuse raames külastajate isikuandmeid sh seadme MAC aadresse ei kogu ega säilita.

Kahel juhul mainiti, et teenust osutab sideettevõtja. Kolmes kaubanduskeskuses peavad külastajad WiFi teenuse kasutamiseks nõustuma teenuse kasutustingimustega.

Juhul, kui teenust osutas sideettevõtja, mainiti ühel juhul, et sideettevõtja kogub ja säilitab  MAC aadresse üks aasta. Andmekaitse Inspektsiooni hinnangul on see õiguspärane, kuna vastav säilitustähtaja nõue tuleneb elektroonilise side seadusest.

Ühegi vastanu sõnul ei kasuta nad külastajate liikumis- ja tarbimisharjumuste uurimiseks WiFi võrgu põhist asukohamääramist või mõnda teist tehnoloogiat.