Uudised

Sel aastal kehtima hakkavad digiteenuste ja küberturvalisuse nõuded seavad täiendavaid kohustusi suurele hulgale Eesti ettevõtetele. Eelkõige on muudatustest mõjutatud ettevõtted, kes pakuvad oma teenuseid elektroonilisel teel. Tarbija vaates muutub meie digikeskkond nende läbi turvalisemaks ja prognoositavamaks, ettevõtjatele selliselt teenuste pakkumine aga keerukamaks ja kulukamaks, kirjutavad Timo Kullerkupp ja Mikk Ilves advokaadibüroost RASK.

Tänavu veebruarist kohaldatakse nii Eestis kui ka Euroopa Liidus tervikuna digiteenuste määrust, mis kehtestab uued ja rangemad nõuded teenustele ja nende osutajatele. Esmalt puudutab see ettevõtjaid, kelle teenus seisneb teabe sidevõrgu kaudu edastamises või sellele juurdepääsu pakkumises, näiteks internetiteenuse pakkujad ning internetipõhiste sõnumite- ja kõneteenuste pakkujaid. Teiseks ettevõtjad, kelle teenuseks on teabe sidevõrgu kaudu edastamine, kuid selle käigus toimub ka teabe talletamine, näiteks erinevad sidevõrgu tugiteenuste pakkujad. Ja kolmandaks ettevõtjaid, kes tegelevad teabe talletamise ehk pilveteenuse osutamisega, kelleks on näiteks veebimajutusteenuse pakkujad või ettevõtted, mis peavad veebipõhist müügikeskkonda või sotsiaalmeediaplatvormi.

Mis muutub digiteenuste määrusega?

Esiteks lisandub kiire reageerimise kohustus ebaseadusliku sisu levitamisel. Digiteenuste määruse jõustumisest alates peavad ettevõtjad olema valmis reageerima kiirelt ja efektiivselt ning riigi korraldusel võtma kasutusele meetmed ebaseadusliku sisu levimise piiramiseks. Ettevõtja vaates tähendab see, et peab teadma, kuidas sellise korralduse saamisel käituda.

Samuti lisandub kontaktandmete avaldamise kohustus. Vahendusteenuste pakkujad peavad tagama, et neil on veebis avaldatud kontaktandmed ehk näiteks e-maili aadress, telefoninumber või sõnumi saatmise võimalus, mis võimaldab nendega kiiresti ühendust võtta.

Kolmandaks ning meie hinnangul kõige olulisemaks muudatuseks on teenustingimustele esitatud nõuete karmistumine. Digiteenuste määruse järgi peavad teenuste pakkujad lisama oma kasutajatingimustesse info kõigi piirangute kohta, mida nad võivad tarbijate edastatud teabe suhtes rakendada. Välja tuleb tuua, kuidas seda tehakse, mis teabega juhtub ja kuidas sisu modereeritakse. Seejuures ei tohi aga ülemääraselt piirata teenusesaajate väljendusvabadust ja muid põhiõigusi. Ettevõtja vaates tähendab see, et teenuse osutamine muutub keerukamaks ja selle tingimused tuleb nõuetega kooskõlla viia.

Ebaseaduslikust sisust peab saama teada anda

Lisaks kohalduvad teabe talletamise teenuste osutajatele täiendavad kohustused. Esiteks peavad olema loodud kättesaadavad võimalused, et igaüks saaks ebaseaduslikust sisust teada anda. Teiseks peab mistahes piiranguid teenuse saajale põhjendama. See tähendab, et teenuse osutaja peab olema kohaldatavad piirangud eelnevalt läbi mõelnud ning olema valmis neid teenuse saajale põhjendama. Vastav info peab sisalduma ka teenuse tingimustes.

Tarbija vaates tähendavad muudatused seda, et edaspidi on mistahes probleemide puhul teenuse osutajaga lihtne ja kiire ühendust saada. Kui teenuse osutaja piirab tarbija võimalust teenust kasutada (näiteks sulgeb ta sotsiaalmeedia konto), siis ei tohi ta enam teenuse saajat nö pimedusse jätta ning peab andma talle info ka selle kohta, kuidas ta saab oma õigusi nende meetmete suhtes kaitsta. Kahtlemata tähendab see kõigile osapooltele aga ka seda, et teenused muutuvad kallimaks.

Digiplatvormidele, kellel on üle 50 töötaja ning aastane käive ja/või aastabilansi kogumaht ületab 10 miljonit eurot, paneb digiteenuste määrus täiendava kohustuse luua ettevõttesisene kaebuste menetlemise süsteem. Ühtlasi kehtestatakse nõuded reklaami esitamiseks ning alaealiste kaitseks.

Küberturvalisuse nõuded karmistuvad

Uued kohustused kaasnevad ka küberturvalisuse teise direktiiviga, mille liikmesriigid peavad üle võtma hiljemalt 17. oktoobriks 2024. See tähendab, et täpsed Eestis kehtima hakkavad nõuded veel teada ei ole. Küll aga annab direktiiv hea indikatsiooni, mida oodata. Sellel on kaks olulisemat muudatust.

Esmalt laieneb ettevõtete ring, kellele kohustusi kehtestatakse. Nüüd peavad selle järgi joonduma ka usaldusteenuste-, pilvetöötlusteenuste-, andmekeskus-, üldkasutatavate elektroonilise side võrkude- ja üldkasutatavate elektroonilise side teenuste pakkujad ning mitme muu valdkonna esindajad.

Teiseks muutuvad riskimeetmed kohustuslikuks. See tähendab, et ettevõte peab juhtima riske, mis ohustavad nende üksuste tegevuses või teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust ning koolitama nii juhtorganite liikmeid kui ka töötajaid küberturvalisuse alal korrapäraselt. Muuhulgas annab direktiiv ka tehniliste minimaalsete meetmete loetelu. Erinevalt varasemast võib nõuete eirajaid ees oodata karistus.

Tasub hakata varakult valmistuma

Arvestades Eesti varasemat direktiivide ülevõtmise praktikat, võivad Eestis õige pea kehtima hakkavad küberturvalisuse nõuded olla direktiivis toodust isegi rangemad. Seetõttu soovitame ettevõtetel alustada ümberkorraldustega varakult. Vastasel korral võivad aasta teises pooles kehtima hakkavad nõuded osutuda liiga mahukaks ning muudatuste kehtima hakkamise ajaks saavutamatuteks, avades ettevõtte ja tegevuse võimalikele sanktsioonidele. Kuna üheselt mõjutavad nõuded ka teenuste hinda ja jätkusuutlikkust, siis tuleb ka nende teemadega varakult tegeleda.

Kokkuvõttes on digiteenuste määruse ja küberturvalisuse teise direktiiviga kaasnevad muudatused tervitatavad, kuna muudavad meie digikeskkonna turvalisemaks, lihtsustavad teenusesaajate ja teenusepakkujate vahelist suhtlust ja tagavad ühtsed nõuded kogu Euroopa Liidus. Samas, nagu nõuetega ikka, võib see mõjutada teenuste kättesaadavust ja tingimusi ning võimalik, et toob kaasa ka ümberkorraldusi turul.