Uudised, sündmused ja blogi

CENTR Jamboree: Kas domeeniregister vastutab sisu eest või mitte?!

Töörühma arutelu algas avatud mikrofoniga, kus iga domeeniregister sai jagada nendel päevakorras olevaid teemasid. Nimetatu taustal on paslik viidata just Rootsi domeeniregistri kuulsale Pirate Bay kohtusaagale– nimelt nõustus ringkonnakohus otsuses alama astme kohtu seisukohtadega ja kinnitas, et registreeritud domeen ei kuulu Rootsi domeeniregistrile ja seetõttu ei saanud Rootsi domeeniregister panna kaastäideviijana toime ka Pirate Bay kodulehel autoriõiguste rikkumist. Seeläbi rõhutas kohus, et Rootsi domeeniregister omab DNS teenuse osutamisel üksnes administratiivset rolli. Kas see nii ikka on, pole rootslased veendunud ja andsid mõista, et kaebavad ilmselt otsuse edasi kõrgema astme kohtusse. 

Minule kõige paeluvam teema oli see, kas domeeninimesid haldav register vastutab ja peab sulgema domeeni, kui domeeni taga oleval kodulehel toimub nt autoriõiguste rikkumine või muu ebaseaduslik tegevus. Praktikas läbikäinud juhtumeid esitlesid nii EURid (.eu), DENIC (.de) kui NOMINET (.uk) ja arutleti, kuidas teised registrid sarnastes olukordades käituvad. Diskussiooni käigus moodustus justkui kaks leeri, on neid domeeniregistreid, kes kaaluvad iga üksikjuhtumi ja põhjendatud vajadusel sulgevad domeeni kui selliseid, kes ei tee seda mitte kunagi. Huvitav oli just sakslaste seisukoht, kes ütlevad kõigile taotlustele- olgu see siis prokuratuur, politsei või CERT “ei” ja ei tegele kodulehekülje sisuga mitte kunagi. Märkimist vääriv näide tuli ka NOMINET-lt, kes esitles USA kohtust tulnud määrust, kui paluti sulgeda domeen, kuna selle kodulehel toimus autoriõiguste rikkumine (kusjuures sarnane määrus saadeti paljudele domeeniregistritele, k.a EIS-le)- NOMINET otsustas täita määrust just asjaolul, et tegemist oli nendele sarnaselt common law õigussüsteemist tuleva määrusega, mille sisus nad ei kahtle. Kahetsusväärselt tuli aga hiljem välja, et see USA kohtust tulnud määrus oli võltsitud.  

Eeltoodud teemast lähtuvalt on sobilik viidata .ee domeenireeglite punktile 6.1.7, mis lubab mõjuval põhjusel domeeninime mitte registreerida või peatada (domeeni kasutamine on blokeeritud), kui sellekohane põhjendatud taotlus esitatakse pädeva riigiasutuse poolt. See tähendab, et kui esitatud taotlus on proportsionaalne soovitud eesmärgi suhtes ja põhjendatud, võib EIS domeeni mitte registreerida või peatada. Selle sätte kohta arvasid muidugi sakslased, et EIS võtab endale liiga laia kaalutlusruumi. Kas ikka võtab? Mina selle väitega ei nõustu just seetõttu, et teatud olukorras, nt küberrünnaku või pahavara levitamise korral, mille tegevuse kahju võib olla üüratu ja kaitstav väärtus muudest teguritest oluliselt suurem, on vaja kiiresti võimalik kahju elimineerida. Tegemist on muidugi väga erandliku näidetega, kuid just sellistel harvadel juhtudel on tähtis, et domeeniregister saaks omalt poolt appi tulla, aidata suurem kahju ära hoida ja muidugi hoida läbi selle ka tippdomeeni mainet. Üldjuhul on selle sätte kohaselt EIS-i jaoks põhjendatud taotlused nt kohtust tulnud määrused ja otsused, kuid nagu öeldud, pole välistatud ka muud juhtumid. 

Huvitamatest aruteludest tõstan veel esile ettekanded seoses isikuandmete kaitsega. Nimelt on Euroopa Kohtus hetkel kaasus, kus on küsimuse all, kas dünaamiline IP-aadress on teave isiku isikuandmete kohta või mitte. Euroopa Kohtu kohtujurist on leidnud (kes annab kohtunikele otsuse tegemisel nõu), et füüsilise isiku dünaamiline IP-aadress koosneb isikuandmetest. See arvamus tekitas töörühma arutelul palju disskussiooni, kuna võib ccTLD-le omada märkimisväärset mõju. Kuna küsimus on veel lahtine, siis ei tasu hetkel ka liigselt muretseda enne, kui Euroopa Kohus on oma lõpliku otsuse teinud. See peaks kõigi eelduste kohaselt tulema veel selle aasta jooksul. 

Viimaks on eeltoodud arutelu taustal oluline viidata ka töörühmas räägitud uuest isikuandmete kaitse määrusest, mida tuleb puudutatud isikutel- kes hoiustavad ja käitlevad isikute (nt. klientide) andmeid- hakata rakendama alates 25. maist 2018. Sellel teemal teen tulevikus sisukama blogipostituse ja kindlasti plaanib EIS seda süvitsi arutleda ka enda parnteritega. Antud juhul toon aga välja olulisema-  määruse kohaselt on isikuandmed EL-i kodaniku füüsilise isiku nimi, isikukood, võrguidentifikaator jms ning määruse alusel tuleb füüsilisele isikule, kelle andmeid töödeldakse, väga konkreetselt anda teada, mis eesmärgil ja miks tema kohta andmeid kogutakse, kui ka küsima temalt selleks konkreetne nõusolek. Samuti on isikul õigus “olla unustatud”, kui tema andmeid enam vajalikul eesmärgil ei töödelda. Töörühmas tekitas elavat diskussiooni  määruses olev erand, mille kohaselt võib andmeid töödelda ajaloolisel või statistilisel eesmärgil ka kauem- kas domeeniregistritel on õigus sellele tugineda, on hetkel kahjuks veel teadmata ja selgub tulevikus. 

Kuna EIS ja tema registripidajad on uue määruse valguses puudutatud isikud, vajavad kindlasti ülevaatamist .ee domeenireeglid ja muud seotud dokumendid. Siit ka üleskutse meie partneritele- kui Teil on juba tekkinud isikuandmete kaitse määruse kohta täiendavaid küsimusi, tähelepanekuid vms, andke teada, et saaksime aegsasti Teie mõtetega arvestada ja koosviibimisel sisukalt arutleda!  

Järgmine CENTRi õiguse töörühma kohtumine toimub 28-29 september Gdanskis, Poolas.