Millised olid rikkumised ja nende põhjused?

Inimeste privaatsus oli inspektsioonile edastatud rikkumisteadete järgi ohus 2019. aastal 115. korral, kuna inspektsioon registreeris aasta jooksul selles arvus intsidente.

Intsidente juhtus nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui haridusteenusteste valdkonnas. Suur osa nendest leidis aset veebiteenuste osutamisel.

„Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist.“

Sageli oli eksimise põhjus aegunud või turvamata tarkvara kõrval just töötaja tähelepanematus või puudulik teadlikkus, näiteks finantsasutuse aegunud võlaandmete avaldamine. Kui rikkumisi üldistada, siis võibki need jagada kahte kategooriasse – (1) tehnoloogiast tingitud intsidendid ning (2) inimtegevus, olgu siis kas üksikeksimus või lohakus mille tagajärjel võib sündida kahju paljudele teistele inimestele.

Paljud eksimused juhtusid hooletusest ja teadmatusest. Näiteks oli üks sellistest õngituskirja avamine. Kõik andmetöötlejad peaksid olema õngituskirjade ärahoidmiseks suutelised rakendama levinud turvatehnoloogiad nagu DMARC protokoll või e- kirjade turvalist edastamist võimaldavat STARTTLS krüpteerimismeetodit.

Möödunud aastasse jääb ka selliseid juhtumeid, kus töötaja eksimuse pärast andmekaitsereeglite vastu otsustas ettevõte ta vallandada. Äärmuslikku meedet rakendati näiteks ettevõttes töötajate suhtes, kes vaatasid aluseta teise inimese andmeid infosüsteemist. Samuti lõpetati tööleping töötajaga, kes lubas turvasalvestistele ligi kolmandaid isikuid. Töötaja hooletus põhjustas vallandamise neljal korral.

Rikkumisest teatajate arv oli võrreldes 2018. aastaga suurem. Samuti kasvas  rikkumisteadete kuupõhine koguarv 16%. võrra. Kuid arvestades ainuüksi inspektsioonile edastatavaid märgukirju võib järeldada, et kõik vastutavad andmetöötlejad juhtunud intsidentidest veel ei teavita ning isikuandmetega juhtub ilmselt rohkem, kui registreeritakse.

Üldine teadlikkus andmekaitsest ei ole kahjuks veel kindlasti jõudnud tasemele, kus võiksime igas olukorras teenusesaajatena end alati turvaliselt tunda. Selliseid juhtumeid, kus töötaja avaldab valele adressaadile näiteks e-postiga kellegi tundlikud andmed, ei saa kunagi lõpuni ära hoida. Kui aga valed inimesed saavad infosüsteemi puuduliku seadistuse tõttu ligipääsu suure hulga klientide tundlikule eraelulisele infole või kasutajakonto andmetele, siis niisuguseid juhtumeid peaks saama küll koolitustega ära hoida. Samuti saab ennetada lekkeid dokumendiregistritest, kus ka möödunud aastal avastati mitme riigiasutuse dokumendiregistritest avalikke piiratud juurdepääsuga dokumente.

Isikuandmete kaitse üldmääruse (IKÜM) kohaselt peab vastutav andmetöötleja isikuandmetega seotud rikkumisest inspektsiooni teavitama. Rikkumisteadete esitamise kohustus algas 2018. aasta 25. maist.

„Üldine teadlikkus andmekaitsest ei ole kahjuks veel kindlasti jõudnud tasemele, kus võiksime igas olukorras teenusesaajatena end alati turvaliselt tunda.“

Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. Kui juhtum põhjustas või võib tõenäoliselt põhjustada inimestele märkimisväärset kahju, tuleb sellest 72 tunni jooksul inspektsioonile teatada.