Uudised

Domeeniregistrid regulatsioonide rägastikus - muljed CENTRi juristide töökohtumisest Stockholmis

GDPR tuli, et jääda. Kui 2018. aastal oli see erakordselt suure tähelepanu all, siis meie valdkonnas ei ole teema kuskile kadunud! Vastupidi - see on endiselt väga elav ja igapäevane praktiline küsimus. Eriti teravalt on fookuses ajalooandmete säilitamine ning see, kui kaua ja millisel õiguslikul alusel registrid andmeid hoiavad. Hollandi ettekandest tuli ilmekalt välja, et üha enam küsivad domeeni registreerijad ka registritelt detailset infot andmetöötluse kohta: milliseid andmeid säilitatakse, mis eesmärgil ja kui pikaks ajaks. Läbipaistvuse nõue ei ole enam abstraktne põhimõte, vaid muutunud väga konkreetseks registreerija ootuseks.

Huvitava faktina jagas Hollandi register SIDN ka seda, et mõnes riigis ulatuvad domeeniregistrite ajaloolised andmed 1980ndatesse aastatesse. See tekitab praktilise dilemma: ühelt poolt kehtivad seadusest tulenevad säilitamiskohustused ning vajadus arvestada aegumistähtaegade ja teadusliku uurimistööga. Teisalt nõuab GDPR, et andmeid ei säilitataks kauem kui vajalik. Arutati lahendust, kus kustutatud domeenidega seotud andmeid säilitatakse piiratud aja ning seejärel anonümiseeritakse, kuid praktikas on selliste poliitikate tehniline elluviimine osutunud oodatust keerulisemaks.

Üks kohtumise vaidluskohti oli ka see, milliseid  ja mis õiguslikul alusel tohib WHOISi kaudu avaldada registreerija andmeid. Arutelu algatas Portugali ettekanne, kus leiti, et ka juriidilise isiku esindaja andmed võivad olla teatud juhul isikuandmed ning neid ei saa WHOISi kaudu avaldada. Tugineda ei saa ka nõusolekule, sest selline nõusolek ei pruugi olla vabatahtlik.

Lähenemised on Euroopas erinevad. Ühelt poolt leitakse, et halduskontakt tegutseb juriidilise isiku seadusliku esindaja või volitatud isikuna mitte eraisikuna. Teiselt poolt tuuakse välja, et halduskontaktiks määratud isik ei pruugi mõista sellega kaasnevaid tagajärgi ning avaldatavad kontaktandmed (nt e-post ja telefon) on siiski tema isiklikud andmed. Seetõttu käsitatakse teatud juhul ka juriidilise isiku esindaja andmeid isikuandmetena. Selgelt jäi arutelu tulemina kõlama, et ühtset Euroopa praktikat selles küsimuses pole ning iga register on leidnud oma tasakaalu.

Kohtumisel jäi Euroopa Liidu õiguse arengutest kõlama, et 2026. aasta toob jätkuvalt kaasa tugeva fookuse küberturvalisusele. Arutelu all olid Digital Omnibus, Cybersecurity Act 2.0 ning võimalikud muudatused NIS2 direktiivis. Eesmärk on ühelt poolt lihtsustada nõudeid (näiteks ühtne intsidentidest teavitamise kanal ja väikeste DNS-teenuse osutajate võimalik väljajätmine), teisalt aga tugevdada kontrolli tarneahelate üle ja käsitleda DNSi kui avatud interneti „olulist avalikku ruumi“. See tähendab, et tulla võivad veelgi rangemad nõuded ning suurem järelevalve. Nagu ikka, hoiame osapooli arengutest kursis!

Lühidalt käsitleti ka DORA määrust, mille eesmärk on tugevdada finantssektori digitaalset vastupanuvõimet. Registrite jaoks on keskne küsimus, kas meid saab käsitada ICT kolmanda osapoole teenusepakkujana. Kui vastus oleks jaatav, peaksid finantsasutused sõlmima registritega DORA artikli 30 kohased lepingud, mis sisaldavad detailseid nõudeid teenuse kirjelduse, turvameetmete, auditite ning intsidentide käsitlemise kohta. Kohtumisel jäi aga kõlama pigem seisukoht, et registrid ei näe end selles küsimuses klassikalise kolmanda osapoole teenusepakkujana.

Lisaks arutati registrite igapäevast rolli registripidajate järelevalvajana, mis on riigiti endiselt üsna erinev. Näitena toodi välja registripidajate auditeerimise praktikad, kuidas partnereid regulaarselt jälgitakse (nt erinevate automatiseeritud IT-lahenduste abil) ning kuidas lepingurikkumistele reageeritakse. Nii jagati omavahel kogemusi, kuidas teostatakse domeenivaldkonnas sisuliselt järelevalvet.

Kokkuvõttes oli kohtumine sisukas ja praktiline, pakkudes palju mõtteainet erinevate õigusküsimuste osas. Järgmisena aga ootab meid ees juba põnev CENTRi töögruppide ülene kohtumine Jamboree, mis on iga-aastane suurem kokkusaamine, et arutada strateegilisi ja tulevikku vaatavaid domeenivaldkonna teemasid.

Hoiame arutelude arengutel silma peal ja jagame teiega olulisemaid mõtteid ka edaspidi!