15.12.2023, 11:18

Andmekaitse liit: lekke ohvritel on õigus nõuda kahju hüvitamist

Pilt on illustreeriv.

FOTO: Tiit Blaat | Delfi Meedia

„Küberrünne Asper Biogene OÜ vastu on taunitav – nagu igasugune kuritegevus, kuid siit tuleb võtta õppetunnid meil kõigil ja nendest rääkida,“ ütleb andmekaitse liidu juhatuse liige Marit Saaretalu.

Ta märkis, et iga ettevõte, mis tegeleb täna isikuandmetega peab suutma tagada infosüsteemi tervikluse, konfidentsiaalsuse, kättesaadavuse ja vastupidavuse. „Isikuandmete kaitse üldmääruse artikkel 32 kohustab andmetöötlejaid rakendama piisavaid infoturbe meetmeid arvestades töödeldavate isikuandmete tundlikkust ja hulka. Toimiv andmekaitse on tihedalt seotud infoturbe meetmete ja infohalduse praktikate rakendamisega kõigis organisatsioonides.“

Ta ütles, et küberrünnakust puudutatud füüsilistel isikutel on õigus nõuda mittevaralise kahju hüvitamist. Ta märkis, et Euroopa Kohus asus äsja seisukohale, et mittevaraline kahju saab hõlmata olukorda, kus rikkumisest puudutatud füüsiline isik tugineb hüvitise saamiseks oma kartusele, et kolmandad isikud hakkavad tulevikus tema isikuandmeid kuritarvitama, kuna on toimunud isikuandmete töötlemisel turvanõuete rikkumine.

„Selle otsuse mõju saab olema huvitav jälgida kindlasti Eesti menetluspraktikas, sest isikuandmete töötlemise rikkumise tulemusena isikutele tekkinud mittevaraline kahju saab hõlmata ka olukorda, kus füüsiline isik kardab ja tunneb hirmu, et kolmandad isikud (nt küberründe toimepanijad), hakkavad tulevikus tema isikuandmeid kuritarvitama. Arvestades, et konkreetsel juhul lekkisid tundlikud terviseandmed võib seda hirmu pidada põhjendatuks.“

Lõuna prefektuuri kriminaalbüroo alustas kriminaalmenetlust, et koguda tõendeid geneetilise testimisega tegeleva ettevõtte andmebaasist terviseandmeid sisaldavate failide ebaseadusliku allalaadimise kohta. Andmekaitse Inspektsioon alustas andmetöötleja suunal järelevalvemenetlust.

Novembri keskel teatas Asper Biogene OÜ politseile, riigi infosüsteemi ametile ja andmekaitse inspektsioonile, et ettevõte sai 11. novembril teada, et keegi on nende andmebaasi ebaseaduslikult sisse tunginud ning laadinud alla erinevaid faile. Asjaolude selgitamiseks alustas politsei kriminaalmenetlust ja andmekaitse inspektsioon alustas andmetöötleja suhtes järelevalvemenetlust.

Andmebaasist laaditi alla ligikaudu 100 000 erineva faili koopiat, milles on praegustel andmetel umbes 10 000 inimese isiku- ja terviseandmeid.

Kommenteeri Loe kommentaare (25)