Telefonirakendus „HOIA“ privaatsustingimused

See dokument selgitab, mis andmeid HOIA rakendus kogub ja kuidas ta neid kasutab. Ühtlasi selgitab see Teie õigusi oma andmete kasutamise osas.

  1. Rakenduse omanik ja haldaja

Rakendus kuulub Terviseametile (registrikood 70008799). Rakenduse ülalhoiu tagab Tervise ja Heaolu Infosüsteemide Keskus (registrikood 70009770) (edaspidi „TEHIK“).

  1. Rakenduse loojad

Rakendus on loodud konsortsiumi poolt, kuhu kuuluvad Sotsiaalministeerium (registrikood 70001952) ja järgnevad Eesti ettevõtted:

Iglu OÜ (registrikood 12397439)

Cybernetica AS (registrikood 10140133)

Osaühing IceFire (registrikood 10885324)

GuardTime OÜ (registrikood 11313216)

Velvet DP OÜ (registrikood 11273445)

Mobi Lab OÜ (registrikood 12523996)

Mooncascade OÜ (registrikood 11409711)

Fujitsu Estonia AS (registrikood 10239452)

FOB Solutions OÜ (registrikood 12449455)

HEISI IT OÜ (registrikood 12765966)

ASA Quality Services OÜ (registrikood 11045744)

  1. Kuhu edastada andmekaitsealased küsimused?

TEHIKu andmekaitsespetsialistiga saab ühendust võtta, kirjutades aadressil abi@tehik.ee. Terviseameti andmekaitsespetsialistiga saab ühendust võtta, kirjutades aadressil andmekaitse@terviseamet.ee. Kõigis küsimustes, mis on seotud Teie isikuandmete töötlemisega Sotsiaalministeeriumis, saate vastuse meie andmekaitsespetsialistilt. Palume kirjutada aadressil andmekaitse@sm.ee.

  1. Kas HOIA kasutamine on vabatahtlik?

HOIA on vabatahtlik telefonirakendus, mille kasutamine on iga inimese enda otsustada. Telefonirakenduse alla laadimine enda isiklikku telefoni ja selle kasutamine toimub isiku vabal tahtel.

  1. Milliseid õiguseid kasutab HOIA?

Äpi installeerimise järel palub äpp Teilt luba lähikontaktide salvestamiseks:

  • Selle loaga võimaldate äpil kasutada Teie telefoni operatsioonisüsteemi funktsionaalsust nimega „COVID-19 kokkupuute märguanded“ (Android) või „COVID-19 Exposure Logging“ (iPhone).
  • Selle funktsionaalsuse sisselülitamine annab äpile õiguse saata Teile teavitusi ning kasutada Bluetoothi.
  • Bluetooth on oluline selleks, et rakendus saaks märgata teisi telefone enda lähiümbruses ja vahetada nendega isikustamata koode („juhuslik ID“ või „random ID“).
  • Teavitused on olulised selleks, et äpp võiks Teile märku anda, kui olete olnud lähikontaktis meditsiiniliselt kinnitatud nakatunuga.
  • Lähikontaktide salvestamise alla kuulub ka äpi ja telefoni operatsioonisüsteemi vaheline suhtlus selleks, et tuvastada lähikontakti toimumine (loe lähemalt punktist 6a "COVID-19-ga kokkupuute märguanded" juures).

Lisaks palub Android rakendus õigust töötada taustal. Taustal töötamine on vajalik lähikontaktide teavitustes viivituse vähendamiseks. Äpile antud õigusi saab alati tagasi võtta kuval „Seaded“ või telefoni seadetest.

Teie nõusoleku alusel on võimalik äpist käivitada ka nakatumise kinnitamise protsess, vajutades nupule „Jäin haigeks“. Sealt suunatakse teid edasi riiklikku Patsiendiportaali. Viimane kuulub Tervise infosüsteemi alla ja pole osa rakendusest. Tervise infosüsteemis on teil võimalik anda nõusolek, et edastada rakendusele kinnitus teie nakatumisest COVID-19-sse. Kui olete vastava nõusoleku Patsiendiportaalis andnud, küsib HOIA lisaks õigust jagada Teie isikustamata koode rakenduse serveriga.

  1. Mis andmeid HOIA töötleb?

Ülevaate andmetest, mida HOIA või Teie telefoni operatsioonisüsteem HOIA kaudu talletab leiate kuvalt „Minu andmed“. Äpp töötleb järgnevaid andmeid:

  • Lähikontaktide teavitused Teile

Kui olete olnud lähikontaktis nakatunuga (puutunud temaga kokku enam kui 15 minutit kaugusel kuni 2 meetrit), saadab telefon Teile selle kohta vastava teavituse, mis salvestatakse.

  • Ülevaade Teie haigestumise staatusest

Kui olete äpi kaudu kinnitanud oma nakkushaiguse, saadab äpp Teile selle kohta kinnitava teate, mis salvestatakse.

  • Teie sümptomite alguse või asümptomaatilisena testimise kuupäev

Kui olete nakatunud, siis talletab äpp ka Teie sümptomite alguse kuupäeva või sümptomite puudumisel päeva, mil käisite koroonatesti tegemas.

Kõiki neid andmeid on võimalik igal hetkel kustutada, vajutades nupule „Kustutan andmed“.

Lisaks, kui asute kinnitama oma nakkushaigust, genereerib Teie rakendus selle tarbeks ajutise krüptograafilise võtme (tuvastuskood), mis saadetakse tervise infosüsteemi ning rakenduse serverisse. See võti seotakse rakenduse serveris teie isikustamata koodiga ja kustutatakse seejärel Teie telefonist. Krüptograafilise võtme alusel ei ole võimalik Teie isikut tuvastada, ka mitte siis, kui see siduda Teie isikustamata koodiga.

Lisaks rakendusele töötleb andmeid ka Teie telefoni operatsioonisüsteem, mis on osa äpi toimimistsüklist, aga on formaalselt eraldiseisev rakendusest endast. Nendeks andmeteks on:

  • Teie äpi isikustamata koodid

Need on koodid, mida vahetate teiste telefonidega. Telefoni operatsioonisüsteemi tasandil kutsutakse neid koode nimega „juhuslik ID“ või „random ID“. Koodid vahetuvad sageli ning nende alusel ei ole võimalik Teid otseselt tuvastada.

  • Teie lähikontaktide isikustamata koodid

Need on koodid, mille saate teistelt kasutajatelt, kellega puutute kokku. Telefoni operatsioonisüsteemi tasandil kutsutakse neid koode nimega „juhuslik ID“ või „random ID“. Need koodid vahetuvad sageli ja nende alusel ei ole võimalik kedagi tuvastada. Iga laekunud koodi kohta koguneb Teie telefonisse ka metainfo koodi kohta: selle nägemise kuupäev, kestus ning sellega seostatud signaalitugevus, mis on vajalik selleks, et arvutada välja, kas aset võis leida lähikontakt.

  • Nakatunute isikustamata koodid

Äpi serverist laeb äpp alla nakatunud isikute isikustamata koodid ning edastab need Teie telefoni operatsioonisüsteemile võrdlemiseks Teie lähikontaktide isikustamata koodidega. Nende koodide alusel ei ole võimalik kedagi tuvastada.

Teie telefoni operatsioonisüsteemi tasandil kogutud andmeid on võimalik kustutada, kui lähete Seaded > Google > COVID-19 kokkupuute märguanded > Kustuta juhuslikud IDd (Android) või Settings > Privacy > Health > COVID-19 Exposure Logging > Delete Exposure Log (iPhone).

Lisaks teie telefonis olevale rakendusele ja teie telefoni operatsioonisüsteemile töötleb andmeid ka rakenduse server. Rakenduse serverisse laekuvad teie isikustamata koodid, kui olete edukalt kinnitanud oma nakkushaiguse rakendusele. Erinevalt infost, mis talletub äpis või teie telefonis, ei ole neid koode võimalik serverist nõude peale kustutada, sest need pole seostatavad teie isikuga (serveri haldaja ei oskaks öelda, millised koodid kuuluvad teile ja seega ei oskaks neid ka kustutada). Nakatunute isikustamata koodid kustuvad serverist automaatselt 14 päeva möödumisel.

  1. Mis on andmete töötlemise õiguslik alus?

HOIA toimimistsükli käigus toimub isikuandmete töötlus ainult Teie nõusoleku alusel. Isikuandmeid töödeldakse ainult nakkuse kinnitamise protsessi juures, mis käivitub nupu „Jäin haigeks“ vajutamisel. See andmetöötlus toimub väljaspool rakendust tervise infosüsteemis. Teiste kasutajate ega ka äpi serveriga isikuandmeid ei vahetata kusagil äpi toimimistsükli käigus.

Nakkuse kinnituse protsessi käigus vastav tahteavaldus Teie isikuandmete töötlemiseks salvestatakse tervise infosüsteemis. HOIA ja tervise infosüsteemi vaheline andmevahetus on ära kirjeldatud tervise infosüsteemi põhimääruses1.

Lähikontaktide salvestamine ja vastavate teavituste saatmine Teile toimub Teie telefoni operatsioonisüsteemi tasandil väljaspool HOIA rakendust. Vastavat operatsioonisüsteemi funktsionaalsust nimetatakse nimega “COVID-19-ga kokkupuute märguanded” Android telefonidel ja “COVID-19 Exposure Logging” iPhone-del. Vastavat funktsionaalsust pakub Teie telefoni operatsioonisüsteemi tootja (iPhone puhul Apple, Android puhul Google) ning allub nende privaatsustingimustele.

Operatsioonisüsteemi tasandil toimuvast andmetöötlusest saate lugeda lähemalt järgnevatest kohtadest:

  1. Android: https://support.google.com/android/answer/9888358?hl=en.

  2. Apple: Kui lähete „Settings“ > Privacy > „Health“ > „COVID-19 Exposure logging“.

  1. Kellele on äpp suunatud?

Äpp on suunatud Eestis viibivatele inimestele.

  1. Mis on äpi funktsioonid?

a. COVID-19-ga kokkupuute märguanded

Äpi peamine funktsioon on selgitada välja, kas on toimunud kokkupuuteid COVID-19 nakatunuga ning kasutajat sellest vastavalt teavitada. Kasutajal on võimalik saada anonüümseid teavitusi, kui ta on olnud lähikontaktis COVID-19 nakatunuga. Lähikontaktis olnud kasutajatele kuvatakse juhised, kuidas selles olukorras käituda.

Kokkupuute märguannete sisse- või väljalülitamiseks peate minema äpis kuvale „Seaded“ ja valima sealt "Lähikontaktide salvestamine". Lähikontaktide salvestamine leiab aset kahes paralleelses astmes. Esimeses astmes lülitab telefon sisse Bluetoothi ja hakkab skanneerima oma lähiümbrust, et märgata teiste kasutajate telefone. See protsess toimub püsivalt (keskeltläbi iga 5 minuti tagant) ja selle käigus laekuvad telefonisse teiste kasutajate isikustamata koodid, kui nad on teile piisavalt lähedal. Teises astmes hakkab äpp mitu korda päevas laadima alla nimekirja nakatunud kasutajate isikustamata koodidest. Need koodid laetakse alla äpi serverist, mis paikneb TEHIK-u hallatavas Eestis asuvas riigipilve serveris. Kui koodid on äpi kaudu alla laetud, jagab äpp neid Teie telefoni lähikontakti kokkupuute märguannete funktsiooniga, mis on osa telefoni operatsioonisüsteemist. Teie telefon võrdleb allalaetud koode nende koodidega, mida telefon on juba salvestanud. Kui telefon leiab, et mõne nakatunud isiku kood ühtib Teie telefonisse salvestunud koodiga, saadab ta äpile vastu selle koodi nägemise päeva, aja ning seostatud signaalitugevuse. Samas ei ütle telefon äpile, millise koodi kohta need andmed käivad ega kuva aega, päeva ja signaalitugevust kasutajale. Äpp kasutab koodi nägemise aega, kuupäeva ja signaalitugevust, et arvutada välja, kas kokkupuude nakatunud isikuga võis olla lähikontakt (kas nakatunuga puututi kokku vähem kui kahe meetri kaugusel kauem kui 15 minutit tema nakkusohtlikul perioodil). Kui äpp leiab, et risk lähikontaktiks on piisavalt suur, kuvab see kasutajale märguande kokkupuutest COVID-19 nakatunuga.

Algoritm, mis lähikontakti tuvastab, tugineb viimastele teadusuuringutele, ja Terviseamet võib algoritmi aja jooksul muuta, kui tulevad peale uued uuringud. Lähikontakti tuvastamiseks vajalikud arvutused toimuvad ainult Teie telefonis ja andmeid töödeldakse võrguühenduseta. Andmetöötluse tulemusena välja arvutatud lähikontakti risk talletatakse ainult Teie telefonisse ja seda ei edastata mitte ühelegi teisele osapoolele. Sealhulgas ei saa Teie lähikontakti riskist teada Terviseamet, TEHIK, Apple ega Google.

b. Enda nakatumisest teavitamine

Kui Teile tehakse tervishoiuteenuse osutaja poolt COVID-19 PCR test, mis osutub positiivseks, on teil võimalik anonüümselt teavitada teisi äpi kasutajaid oma nakatumisest. Selleks peate äpi avaekraanilt valima "Jäin haigeks". Selle peale käivitub protsess Teie COVID-19 nakkushaiguse kinnitamiseks. Esmalt peate äppi sisestama, millal teie sümptomid algasid. Kui olete teavitamise hetkeni asümptomaatiline, siis tuleb kirja panna, millal käisite andmas koroonaviiruse testi. NB! Kuupäeva saab valida ainult viimase 14 päeva seast. Seejärel suunab äpp Teid edasi riiklikku Patsiendiportaali, ehk siis formaalselt väljute äpist.

Patsiendiportaali kasutamine on oluline selleks, et äpp saaks kinnitada, et tegu on päris COVID-19 nakatunuga. Selleks peate Patsiendiportaalis end tuvastama, kasutades mõnda Eestis levinud autentimismeetodit (nt mobiil-ID). Kui tuvastus on edukas, tuvastab tervise infosüsteem, kas Teie kohta on viimase 14 päeva jooksul edastatud tervishoiuteenuse osutaja poolt saatekirja vastus, mis sisaldab Teie positiivset COVID-19 PCR testi. Kui saatekirja vastus on olemas, kinnitab tervise infosüsteemi patsiendiportaal äpi serverile Teie nakkuse, mis omakorda lubab Teie äpil laadida üles Teie isikustamata koodid. Äpi serveri kaudu tehakse Teie isikustamata koodid kättesaadavaks teistele kasutajatele. Isikustamata koodid tehakse teistele kasutajatele kättesaadavaks Teie nakkusohtlikust perioodist ehk siis 3 päeva enne teie sümptomite teket ja 7 päeva pärast (või analoogselt seoses teie testimise kuupäevaga, kui olete üleslaadimise päeval asümptomaatiline).

  1. Kui kaua äpp andmeid talletab?
  • Nakatunud kasutajate isikustamata koodid kustutatakse äpist koheselt ning Teie telefonist kustutatakse need 14 päeva möödumisel.
  • Teie isikustamata koodid kustutatakse Teie telefonist 14 päeva möödumisel. Teie koode äppi ei salvestata. Nii Teie enda kui ka teiste kasutajate isikustamata koode saate kustutada igal hetkel oma telefoni seadetest (vt punkt 3 „Mis andmeid HOIA töötleb?)
  • Lähikontaktide teavitused Teile, ülevaade Teie haigestumise staatusest ja Teie sümptomite alguse kuupäev kustuvad siis, kui Te need kustutate kuvalt "Minu andmed".
  • Kui osutute nakatunuks ja teavitate sellest teisi kasutajaid, siis kustutatakse Teie isikustamata koodid äpi serverist 14 päeva möödumisel üleslaadimisest.
  1. Kes minu andmeid näeb?

Kui nõustud teisi teavitama sinu nakatumisest, siis tehakse sinu nakkusohtlikust perioodist pärit isikustamata koodid kättesaadavaks teistele kasutajatele äpi serveri kaudu. Äpi serveris oleva info alusel ei ole Teid võimalik tuvastada ei serveri haldajal ega teistel kasutajatel. Äpi serverit haldab TEHIK kui Terviseameti volitatud töötleja.

  1. Kas andmeid edastatakse kolmandatesse riikidesse?

Äpi server paikneb Eestis. Tagamaks äpi koosvõime teiste Euroopa Liidu (EL) ja Euroopa Majanduspiirkonna (EEA) riikidega, võib äpi server tulevikus vahetada isikustamata koode teiste EL ja EEA riikidega.

  1. Kuidas ma saan äpile antud õigusi tagasi võtta? Kuidas ma saan andmeid kustutada?

Äpile antud õiguseid saab igal hetkel tagasi võtta ning talletatud andmeid kustutada. Õiguse lähikontaktide salvestamiseks saab tagasi võtta äpi seadete kuvalt. Kui Te ei soovi, et äpp hoiaks infot Teie haigestumise staatusest, lähikontaktide teavitustest Teile ja Teie sümptomite alguse kuupäevast, võite need andmed äpist kustutada "Minu andmed" kuvalt. Kui soovite kustutada isikustamata koodid, mis Teie telefonisse on salvestunud, peate seda tegema telefoni Seadete rakendusest (vt punkt 3 "Mis andmeid HOIA töötleb"). Juba äpi serverisse üles laetud ja teiste telefonidega jagatud andmeid ei ole võimalik äpi serverist (ega ka teistest telefonidest) tagantjärele nõude põhjal kustutada, sest neid pole võimalik seostada Teie isikuga. Äpi serverisse laetud isikustamata koodid kustutatakse 14 päeva möödumisel. Teistesse telefonidesse laekunud isikustamata koodid kustuvad vastavalt Google ja Apple poolt koostatud protokollis ettenähtud tähtaegadele, mida kirjeldatakse Teie telefoni operatsioonisüsteemi privaatsustingimustes (kirjutamise hetkel 14 päeva).

  1. Mis on minu õigused seoses minu andmetega?

Äpp Teie isikuandmeid ei töötle. Äpi toimimistsükli käigus võidakse Teie isikuandmeid töödelda tervise infosüsteemis (kirjeldatud punktis 6b) läbi patsiendiportaalis antud nõusoleku. Kui Teie isikuandmeid töödeldakse patsiendiportaalis, laienevad Teile andmesubjekti õigused vastavalt Euroopa isikuandmete kaitse üldmäärusele (IKÜM), mida on kirjeldatud IKÜM artiklites 15, 16, 17, 18, 20 ja 21. Samuti on Teil õigus pöörduda TEHIK-u või Sotsiaalministeeriumi andmekaitsespetsialistide poole oma küsimustega. Isikuandmete töötlemise rikkumise korral on Teil õigus esitada kaebus Eesti Andmekaitse Inspektsioonile.

Terviseamet ja TEHIK saavad Teie küsimusi lahendada ainult juhul, kui andmed, millele Te tuginete, on teiega seostatavad. Valdava enamiku äpi toimimistsükli käigus kogutavate andmete puhul ei ole võimalik andmeid seostada Teie isikuga ilma, et TEHIK või Terviseamet hangiksid juurde muud infot Teie isiku kohta. Säärane lisaandmetöötlus ei ole äpi toimimiseks vajalik ja läheb vastuollu IKÜM-iga ja Euroopa Andmekaitse Nõukogu juhistega COVID-19 kontaktijälgimistööriistade osas, mis nõuavad andmetöötluse minimeerimist. Vastavalt IKÜM artiklile 11 ei saa seega sellist andmetöötlust Terviseameti ega TEHIKu poolt teostada.

  1. Mis on äpi tehnilised nõuded?

Kuivõrd äpp kasutab Google ja Apple poolt pakutavat rakendusliidest, on teil vaja Android või Apple operatsioonisüsteemi kasutavat nutitelefoni. Apple telefonid peavad toetama iOS 13.5 operatsioonisüsteemi, Android telefonid peavad toetama Android 6 operatsioonisüsteemi ja 23. Androidi rakendusliidest. Lisaks vajab äpp toimivat internetiühendust selleks, et suhelda äpi serveriga (laadida alla nakatunute isikustamata koode ning vajadusel laadida üles enda isikustamata koodid) ning Bluetoothi, et vahetada isikustamata koode teiste kasutajate telefonidega. Samuti vajab äpp õigust töötada taustal, mis võimaldab äpil suhelda teiste telefonide ja äpi serveriga ning arvutada välja Teie lähikontakti riski ka siis, kui äpp Teil parasjagu esikuval ei ole.

[1] https://www.riigiteataja.ee/akt/106122016011?leiaKehtiv