Massilise andmelekke ohvrid võivad AKI hinnangul suure tõenäosusega suud hüvitisest puhtaks pühkida

Andmekaitse inspektsiooni peadirektor Pille Lehise sõnul on asutus saanud mitmeid kirju kodanikelt ja asutus võtab teemat väga tõsiselt, kuid praeguse seisuga ei ole AKI-l senisele PPA ja RIA tegevusele andmelekkega tegelemisel etteheiteid.

„Andmete vargus peatati, seda teinud isiku suhtes on tehtud esimesed menetlustoimingud, PPA teavitas juhtunust AKI-t ning PPA on ka inimestele, kelle andmed varastati, teavituse koos selgitustega saatnud,“ kirjeldas Lehis sündmuste kulgu.

„Tõsi, inimestele saadetud teavituses oleks pidanud olema lisaks RIA üldkontaktile ka andmekaitsespetsialisti või muu konkreetse inimese nimi ja kontaktid, kes juhtunu kohta täiendavat teavet jagab – see on isikuandmete kaitse üldmääruse nõue,“ lisas ta.

AKI-l aga ei ole õigust riigiasutusi trahvida ega määrata neile sunniraha, vajadusel saab AKI siiski ka riigiasutustele teha täitmiseks kohustuslikke ettekirjutusi.

Hüvitise saamine on vähetõenäoline

Andmekaitse inspektsiooni õigusnõunik Liisa Ojangu sõnul on teine murekoht, millega inimesed ameti poole on pöördunud võimalik hüvitis. Tema hinnangul aga on vähetõenäoline, et selle taotlemine vilja kannaks.

„Üldmäärus näeb inimesele ette õiguse nõuda kahju hüvitamist andmete töötlejalt, kellele ta oma andmed oli usaldanud, kui talle on tekkinud kahju, sealhulgas mittevaraline kahju, näiteks mainekahju. Antud juhul tuleks kahju hüvitamise nõudega pöörduda PPA või RIA poole ning kui kokkulepet hüvitise osas ei saavutata, siis halduskohtu poole. AKI-l ei ole õigust kahjuhüvitisi välja mõista,“ selgitas Ojangu.

Kahju tekkimise ja andmetöötleja üldmääruse nõudeid rikkuva tegevuse vahel peab olema selge seos ning vähemasti varalise kahju tekkimist peab olema võimalik tõendada. „Siiski ei ole riigikohus olukorras, kus inimese tundlikud terviseandmed olid mitu kuud avalikult kättesaadavad riigiasutuse dokumendiregistris, pidanud rahalise hüvitise määramist vajalikuks. Iga mittevaralise kahju tekkimise juhtumi asjaolud on unikaalsed ning kohus võtab hüvitise määramise otsustamisel arvesse kõik konkreetse juhtumi asjaolud,“ lisas Ojangu.

Ojangu sõnul näitab dokumendifotode varguse juhtum aga selgelt, et isikuandmed on üha väärtuslikum „kaup“. „Iga inimene peaks ka ise oma andmete käekäigu vastu huvi tundma, enne kui mõnele ettevõttele oma andmeid jagada või nendele ligipääsu lubada, ka sotsiaalmeedias, tuleks tutvuda ettevõtte andmekaitsetingimustega ja veenduda, et see, mis eesmärgil, kui kaua, millisel õiguslikul alusel ettevõte tema andmeid säilitab ja kellele edastada plaanib, on talle vastuvõetav,“ selgitas ta.

Andmekaitse läbiv põhimõte on läbipaistvus ehk inimesel peab olema ülevaade, milleks ja kuidas tema andmeid kasutatakse. Samuti on inimesel õigus andmetöötleja poole selgituste saamiseks pöörduda ja nõuda ka koopiat oma isikuandmetest.

„Andmekaitsevaldkonnas sõltub andmetöötlejate, sh riigi suhtumine ja teod väga palju inimeste enda teadlikkusest ja nõudlikkusest andmetöötlejate suhtes – kui inimesed suhtuvad oma andmete käekäiku leigelt, on ka andmetöötlejad varmad nurki lõikama,“ lisas Ojangu.