2024. aastal tegeles AKI lisaks järelevalvemenetlustele senisest suuremas mahus ka eri väärteomenetlustega (VTM). Kokku algatas AKI 12 eri väärteomenetlust, millest 9 füüsilise isiku osas ja 3 juriidilise isiku osas, suurem osa menetlustest on veel pooleli. Samuti jätkasime varasemalt alustatud juriidiliste isikute menetlusi, mis jõudsid otsuseni 2024 aastal. Lisaks on AKI teinud sel aastal ka mitu suulist väärteohoiatust, kui rikkumine on olnud selge, kuid oleme leidnud, et see meede osutus piisavaks.
Suures osas on väärteomenetlused välja kasvanud kaebuse või rikkumisteate põhjal algatatud järelevalvemenetlustest, kus on asjaolude uurimisel selgunud, et toime võib olla pandud väärtegu. Näiteks kaks juriidilise isiku suhtes algatatud väärteomenetlust on algatatud seoses isikuandmete, sh eriliigiliste isikuandmete, suuremahulise lekkimisega. AKI ei algata siiski väärteomenetlusi kõikidel eriliigiliste isikuandmete töötlemise nõuete rikkumise juhtudel, vaid teeme otsuse kaalutlusõigusest lähtuvalt – kas konkreetse rikkumise asjaolud on sellised, et on vajalik ka väärteomenetluse algatamine.
Kriteeriumid, mida võetakse VTM algatamise otsustamisel kogumis arvesse, on näiteks asjaolu, kas rikkumine on juba lõppenud või pooleli, rikkumise ulatus, raskusaste, kestus, millised isikuandmed olid puudutatud jms informatsioon. Lähtume ka IKS § 56 lõige 2 p-s 3 sätestatust, mille kohaselt on inspektsioonil õigus algatada vajaduse korral väärteomenetlus ja kohaldada karistust, juhul kui teiste haldusõiguslike meetmetega ei ole võimalik isikuandmete kaitse nõuete täitmist saavutada. Lisaks oleme juhindunud väärteomenetluse seadustiku eelnõu seletuskirjast, mille kohaselt alustab riikliku järelevalve pädevusega kohtuväline menetleja väärteomenetluse üldjuhul pärast seda, kui riikliku järelevalve abinõud rikkuja korrale kutsumiseks on ammendunud.
Järgnevalt on välja toodud mõned näited AKI väärteomenetlustest.
Uudishimupäringute väärteomenetlused
AKI saab igal aastal hulga kaebuseid inimestelt, kelle terviseandmeid on vaadanud patsiendile tuttav või tundmatu tervishoiutöötaja. Füüsiliste isikute puhul algatatud väärteomenetlused (9) on seotud just selliste olukordadega, kus tervishoiutöötajad (õde, perearst, hambaarst vm tervishoiuasutuse töötaja) on tööülesannete väliselt ilma ravisuhteta vaadanud kellegi teise andmeid, kas nt mõne kolmanda isiku soovil või omaalgatuslikult uudishimust ja teinud asutusesiseses infosüsteemis või Terviseportaalis päringuid (n-ö uudishimupäringud). Olenemata sellest, kas andmeid vaadati murest lähedase tervise pärast, kellegi teise palvel, teiste arstide praktika vaatamiseks vms põhjusel, on sellised vaatamised lubamatud. Selliseid olukordi tuleb siiski eristada ekslikest päringutest, mille kohta oleme varem kirjutanud artiklis „Mis saab, kui arstid teevad uudishimupäringuid?".
Uudishimupäringute korral viiakse menetlus läbi enamasti isikuandmete kaitse seaduse (IKS) § 71 koosseisu järgi, mille eest on võimalik karistada rahatrahviga kuni 200 trahviühikut ehk kuni 800 eurot. IKS §-s 71 sätestatud väärteokoosseisuga kaitstakse andmesubjektide privaatsust ja eraelu puutumatust, mis on põhiseadusega kaitstud õigushüve. Lisaks nõuab ka isikuandmete kaitse üldmäärus, et tuleb tagada isikuandmete, eriti eriliiki isikuandmete kõrgetasemeline kaitse.
Uudishimupäringute kohta lõpetatud väärteomenetlustes tehtud trahvid jäävad vahemikku 300– 800 eurot. Trahvi suurus on sõltunud eelkõige sellest, kui palju on päringuid tehtud, kui pika perioodi jooksul, kui paljude inimeste kohta, mis eesmärgil ja milliseid andmeid vaadati. Vaimse tervise või muu tundlikuma sisuga infoga seotud epikriiside vaatamine on üldiselt suurema kaaluga kui näiteks hambaravikaardi andmete vaatamine. Kui tervishoiutöötaja on vaadanud 1–2 epikriisi ühel korral ja ühe isiku kohta, on AKI piirdunud väärteomenetluse seadustiku alusel tehtava suulise hoiatusega.
2024. aastal tegi AKI ühe trahvi suuruses 500 eurot karisusseadustiku § 1571 alusel, mis näeb ette vastutuse eriliiki isikuandmete ebaseadusliku avaldamise eest. Kui eelnevalt mainitud juhtumitel vaadati andmeid, kuid teadasaadust kellelegi edasi ei räägitud (nt töökaaslastele) või seda muul kellelegi kolmandale ei avaldatud, siis selles menetluses leidis tõendamist asjaolu, et perearst avaldas suuliselt oma sõbrannale tolle töötajate terviseandmeid.
Karistuse määramisel AKI lisaks eeltoodule arvesse ka kergendavaid ja raskendavaid asjaolusid (karistusseadustiku §-d 57 ja 58), võimalust mõjutada süüdlast edaspidi hoiduma süütegude toimepanemisest ja õiguskorra kaitsmise huve. Lisaks lähtutakse asjaolust, et tervishoiutöötajatele on ühiskonnas usaldatud juurdepääs terviseandmetele tingimusel, et nad tagavad isikuandmete töötlemise seaduslikkuse, sh töötlevad andmesubjektide isikuandmeid ainult tööülesannetest lähtuvalt. Juhul kui tervishoiutöötaja on seda usaldust rikkunud, lähtudes enda isiklikest huvidest, mõjutab ta sellega ka tervishoiusüsteemi kui terviku usaldusväärsust.
Seega on oluline, et kõikideks päringuteks oleks alati olemas õiguslik alus, kas siis nt isiku enda nõusolek või raviteenuse osutamisest tulenev selgevajadus, ning et andmeid ei avaldataks teistele isikutele. Kahtluse korral tuleb pöörduda asutuse andmekaitsespetsialisti poole, kes saab anda nõu ja selgitada, kas ja milline päring on lubatav. Kui tehakse ekslikuid päringuid (nt ekslikult vale isikukoodi sisestamine), siis tuleb see andmekaitsespetsialistil
fikseerida lasta. See kaitseb ka tervishoiutöötajat ennast, sest hiljem ei mäleta enam keegi, miks päring on tehtud, kuid andmejälgijas kajastub see patsiendi jaoks veel aastaid.
Enda kohta tehtud päringutega on võimalik tutvuda Terviseportaali andmejälgijas/logiraamatus. Tekkinud küsimuste korral tuleb esmalt pöörduda andmetöötleja (päringu teinud asutuse) poole, kes peab pöördumisele vastama 30 päeva jooksul. Tundmatu arsti/õe nimi ei pruugi siiski alati tähendada rikkumist, sest andmeid võis vaadata ka näiteks asendaja.
Viljandi Haigla väärteomenetlus
Üks juriidilise isiku kohta läbi viidud menetlustest puudutas SA Viljandi Haiglat, kellele AKI määras 40 000 euro suuruse trahvi IKÜM-i artiklites 5–7 ja 9 sätestatud andmesubjekti nõusoleku andmise korra rikkumise eest. Kaasus puudutas haigla ühes osakonnas kaduma läinud ravimit ning vargusjuhtumi lahendamiseks viis haigla läbi osakonna töötajate uriinianalüüside kogumise. Töötajatele pakuti võimalust anda analüüs nõusoleku alusel, st töötaja võis proovi andmisest ka keelduda. Siinkohal on oluline rõhutada, et IKÜM näeb nõusolekule ette konkreetsed nõuded (vabatahtlik, teadlik, ühemõtteline ja konkreetne), mis peavad olema kõik samal ajal täidetud. AKI hinnangul ei olnud Viljandi Haigla neid nõudeid uriinianalüüside kogumisel täitnud. Peamiselt eksiti vabatahtlikkuse kriteeriumi vastu, sest kuna tööandja on jõupositsioonil, ei ole võimalik välistada, et osa töötajatest võib tunda survet proovi anda, kartes teiste hukkamõistu ja/või hirmu töökoha kaotamise pärast ja/või hirmu sattuda kahtlusaluseks. Samuti ei saanud üheselt öelda, et nõusolek oli teadlik ja ühemõtteline, sest töötajatele selgitati, et uriiniproovide kogumise ja töötlemise eesmärk on tuvastada kadunud ravimi võtnud isik. Tegelikkuses oli eesmärkideks ka patsiendiohutus ja pingete leevendamine osakonnas, kuid neid eesmärke töötajatele ei tutvustatud.
AKI võttis karistuse määramisel muu hulgas arvesse, et haigla tegi menetluse kestel igakülgset koostööd, peab andmekaitset asutuses väga oluliseks ning tõstab regulaarselt selles vallas töötajate teadlikkust. Samuti võttis AKI arvesse, et rikkumine oli lühiajaline ning puudutatud isikute ring oli piiratud kitsalt ühes osakonnas valveid teinud töötajatega, kes olid vähemalt osaliselt teadlikud sellest, mida ja mis eesmärgil nende andmetega tehakse. Küll aga asus AKI lõppastmes seisukohale, et kuna terviseandmed on oma olemuselt kõige tundlikumad andmed, siis neid tuleb kaitsta oluliselt hoolikamalt kui tavalisi isikuandmeid. Niisamuti tuleb kaitsta ka andmesubjektide õigust kontrollida enda terviseandmete töötlemist. Töötajate terviseandmete töötlemise korral on tööandja jõuspositsioonil ning töötajate tegeliku vaba tahte realiseerimine sellevõrra keerulisem. Seega tuleb ka nende andmete töötlemisele pöörata tavapärasest rohkem tähelepanu ning vastavalt peab ka karistus olema õiguskorra huvide kaitseks piisavalt tõhus. Ühtlasi peab arvesse võtma, et tegu ei olnud ühe füüsilise isiku toime pandud üksiku teoga, vaid teo pani toime juriidiline isik inimeste grupile (töötajad), mis tähendab, et vastutava töötlejana on ka vastutuse koorem selle võrra suurem.
Viljandi haigla vaidlustas kohtus AKI väärteootsuse. Maakohus leidis, et kaebus tuleb rahuldada ja väärteomenetlus lõpetati väärteotunnuste puudumise tõttu. AKI sellega ei nõustu ning esitab kassatsiooni.
Pere Sihtkapital SA väärteomenetlus + Siseministeeriumi menetlus
2023. aasta suvel sai laia tähelepanu osaliseks Pere Sihtkapital Sihtasutus algatatud lastetute pereuuring, kus esmalt taotles sihtasutus rahvastikuregistrilt 12 000 lastetu 20–44-aastase naise kontaktandmeid ja saates neile seejärel uuringus osalemise kutse. Uuring toimus veebiküsitlusena. Inspektsioon algatas järelevalvemenetluse, milles esmalt tehti ettekirjutus uuringu läbiviimise peatamiseks ja hiljem ettekirjutus kõikide uuringus töödeldud isikuandmete kustutamiseks. Kuna järelevalvemenetluses kogutud teabe põhjal nähtusid väärteotunnused, algatas inspektsioon väärteomenetluse.
Peamised sihtasutusele etteheidetavad teod seostusid isikuandmete töötlemisel vastutavat töötlejat puudutavate nõuete, isikuandmete töötlemise läbipaistvuse ja andmesubjekti õiguste rikkumisega. Samuti ei ilmnenud, et sihtasutus oleks uuringu kooskõlastanud eetikakomiteega, kuigi uuringuga koguti eriliiki isikuandmeid.
2024. aasta juunis määras Andmekaitse Inspektsioon sihtasutusele väärteomenetluses trahvi väärtuses 30 000 eurot.
Sihtasutus kaebas otsuse edasi ja nii selgub edasine juba kohtumenetluses.
Seoses sihtasutusele rahvastikuregistrist kontaktandmete väljastamisega algatas inspektsioon järelevalvemenetluse ka Siseministeeriumi üle. Järelevalvemenetluses tegi inspektsioon Siseministeeriumile nii ettepanekud kui ka ettekirjutused isikuandmete kaitse nõuete täitmiseks. Siseministeerium on inspektsiooni ettekirjutused täitnud ja teinud sellest tulenevalt oma tegevuses mitu muudatust.
Inspektsioon soovib rõhutada, et enne isikuandmete töötlemise alustamist tuleb veenduda, et töötlemisel järgitaks kõiki isikuandmete kaitse nõudeid. Nõuete osaline järgimine ei ole piisav.
Eesti Metsakinnistud OÜ väärteomenetlus
Inspektsioon algatas väärteomenetluse Eesti Metsakinnistud OÜ suhtes, kes kogus ilma õigusliku aluseta inimese isikuandmed ja helistas talle metsamaa ostu või raieõiguse võõrandamise eesmärgil. Inimene soovis teavet, kust tema kontaktandmed on saadud, kuid ettevõte inimesele teavet andmete allika kohta ei andnud.
Ettevõttele oli varasemalt sarnaste asjaolude kohta tehtud ettekirjutus, kuid rikkumine toimus sellest hoolimata. Seetõttu pidas inspektsioon vajalikuks algatada väärteomenetlus ning kohaldada karistust.
Peamised etteheited Eesti Metsakinnistud OÜ-le olid, et isikuandmeid on töödeldud (kogutud) ilma seadusliku aluseta ning rikuti andmesubjekti õigusi seoses isikuandmete töötlemise kohta teabe saamisega ja taotlusele vastamata jätmisega.
2024. aasta detsembris määras Andmekaitse Inspektsioon Eesti Metsakinnistud OÜ-le väärteomenetluses 5 000 euro suuruse trahvi.
Asper Biogene OÜ väärteomenetlus
2023. aasta sügisel leidis aset Eesti suurim andmeleke, kui Asper Biogene OÜ süsteemide vastu pandi toime rünne ning laeti alla ca 100 000 terviseandmeid sisaldavat faili. AKI algatas intsidendi suhtes väärteomenetluse ning määras Asper Biogene OÜ-le 85 000 euro suuruse trahvi, millest 5000 eurot IKÜM art 38 lg-s 6 ja art 37 lg-s 5 sätestatud nõuete rikkumise eest (I väärteokoosseis) ja 80 000 eurot IKÜM artiklis 5 lg 1 p-s f ja artiklis 32 sätestatud nõuete rikkumise eest (II väärteokoosseis).
AKI heitis I väärteokoosseisus ette, et andmekaitseametniku määramisel on rikutud huvide konflikti vältimise kohustust (IKÜM art 38 lg 6) ja pädeva andmekaitseametniku määramise kohustust (IKÜM art 37 lg 5). Andmekaitseametniku valimisel peab vastutav töötleja lisaks isiku kutseoskustele ja ekspertteadmistele lähtuma ka sellest, kui keeruline on andmete töötlemine, kas see hõlmab suurt hulka (eriliiki) isikuandmeid ning millise ulatusega on töötlus (nt siseriiklik või piiriülene). Samuti peab olema tagatud, et andmekaitseametnik ei saa oma ülesannete täitmise suhtes juhiseid ning et tal on võimalik täita oma ülesandeid sõltumatul viisil.
II väärteokoosseisu puhul heitis AKI ette, et Asper Biogene OÜ poolt kasutatud turvameetmed isikuandmete kaitsmiseks ei suutnud tagada IKÜM-i nõuetele vastavat turvalisuse taset. Süsteemi turvanõrkuseid ära kasutades sai võimalikuks küberrünne nende süsteemidesse, mille tagajärjeks oli ulatuslik andmeleke. IKÜM kohustab nii vastutavat kui ka volitatud töötlejat tagama andmetöötluse turvalisus. Võetud korralduslikud ja tehnilised meetmed peavad olema proportsionaalsed füüsiliste isikute õigusi ja vabadusi ähvardavate ohtudega, mis tulenevad isikuandmete juhuslikust või ebaseaduslikust hävitamisest, kaotsiminekust, muutmisest ja loata avalikustamisest või neile juurdepääsust. Eriti oluline on tagada, et kõrvalised isikud ei pääseks ligi isikuandmetele ning eesmärk on tagada andmesubjektide õiguste kaitse. AKI hindas eeltoodut Asper Biogene OÜ isikuandmete töötlemise kontekstis ning leidis, et kuivõrd tegemist on ulatusliku terviseandmeid töötleva ettevõttega, kes pakub oma teenust ka välisriikides, on töötlustoimingutega kaasnev oht andmesubjektide õigustele ja vabadustele suur, mistõttu Asper Biogene OÜ peab tagama suurele ohule vastava turvalisuse taseme.
Karistuse määramisel võttis AKI arvesse, et Asper Biogene OÜ tegi AKI-ga igakülgset koostööd ning mh rakendas vahetult peale ründe toimumist lisameetmeid isikuandmete kaitseks. Küll aga leidis AKI, et võttes arvesse lekkinud isikuandmeid ja nende hulka ning rakendatud turvameetmeid, oli rahatrahvi määramine antud olukorras proportsionaalne ja sobiv meede.
Asper Biogene OÜ on otsuse vaidlustanud ja edasine selgub kohtumenetluses.
Väärteotrahvidest
Kokkuvõtteks võib olla huvipakkuv väike tagasivaade sellele, kuidas on IKÜM-i kohaldamise perioodil kujunenud ja jätkuvalt kujunemas AKI väärteomenetlustes määratud trahvide praktika.
IKÜM-i kohaldatakse kõikides Euroopa Liidu liikmesriikides alates 25. maist 2018. Eestis võttis seadusandja IKÜM-i rikkumiste eest ette nähtud vastutuse sätted isikuandmete kaitse seaduses (IKS) vastu alles 12.12.2018, seadus jõustus 15.01.2019. Seetõttu on tõenäoliselt mõistetav, et 2018. ja 2019. aastal IKÜM-i rikkumiste eest väärteotrahvideni AKI-s ei jõutud.
Esimesi IKÜM-i rikkumiste eest ette nähtud trahve hakkas AKI määrama 2020. aastal. Seejuures on tähelepanuväärne, et nii 2020. kui ka 2021. aastal määrati peaaegu kõik rahatrahvid kas politseiametnikele või tervishoiuteenuse osutajatele (arstidele, õdedele) selle eest, et nad olid töö- või teenistusülesannete väliselt teinud ebaseaduslikke päringuid vastavatest andmekogudest (nn uudishimupäringud). Rahatrahvide summa jäi vahemikku 12–280 eurot, keskmine rahatrahv oli neil aastatel 66 eurot ja kõik trahvid määrati üksnes füüsilistele isikutele. Nn uudishimupäringute menetlemine jätkus ka 2022. aastal, kuid kõik trahvi määramiseni jõudnud menetlused puudutasid nüüd juba vaid tervise infosüsteemis tehtud õigusliku aluseta päringuid. Määratud trahvide summa oli vahemikus 4–280 eurot, keskmine trahv 101 eurot. Trahvid määrati üksnes füüsilistele isikutele.
2023. aasta oli väärteomenetluses AKI jaoks mõneti murranguline, sest esmakordselt jõuti väärteootsuseni juriidilise isiku teo kohta. Tegemist oli haiglaga, kellele heideti ette, et renoveerimise käigus olid polikliiniku ees prügikonteineris avalikult kättesaadavad terviseandmeid sisaldavad dokumendid. Kuigi Riigikohus tühistas AKI otsuse, oli märkimisväärne, et AKI otsustas sel korral võtta vastutusele haigla kui juriidilise isiku.
2024. aastal, nagu eestpooltki nähtub, ei ole paraku jätkuvalt vähenenud tervise infosüsteemis tehtavate uudishimupäringutega seotud juhtumid. Nende kõrval on AKI siiski järjest enam hakanud läbi viima väärteomenetlusi ka juriidiliste isikute vastu ja seda eelkõige kantuna mõttest, et isikuandmete töötlemise eest saab vastutada ja teinekord peabki vastutama juriidiline isik kui äriühing või organisatsioon tervikuna, mitte aga üks konkreetne inimene seal taga. 2024. aasta detsembri seisuga on jõustunud trahvisummade kogusumma 1900 eurot, keskmine trahv füüsiliste isikute puhul on 475 eurot. Eespool tutvustatud jõustumata otsuste osas jätkuvad asja lahendamised kohtus.
Kokku on alates maist 2018 kuni 2024. aasta detsembrini väärteomenetluse otsuseid tehtud, s.o trahve määratud 35 korral, neist kaks otsust on tühistatud. Arvestusest on välja jäänud menetlused, mis on küll algatatud, kuid mille osas on piirdutud kas suulise hoiatusega või mis on lõpetatud muudel alustel. Eelkõige nähtub aga väärteomenetlustele tagasi vaadates selge suundumus sellele, et tõsiste rikkumiste korral tuleb kaaluda ka juriidilise isiku kui äriühingu või organisatsiooni vastutuselevõtmist. Samuti on keerulisemaks muutumas väärteomenetlustes menetletavate rikkumiste olemused. Seda ilmselt ka seetõttu, et andmetöötlustoimingud iseenesest muutuvad tehnoloogia arenguga seoses järjest keerukamaks.
- Kommenteerimiseks logi sisse või registreeru