Asper Biogene’i andmelekkest võib saada Eesti esimene suur andmekaitseprotsess hulga kohtuvaidluste ja kahjunõuetega, seejuures vastutavad kahjude eest vastava eriala advokaadi hinnangul ka Asper Biogene’i teenuseid kasutanud tervishoiuasutused.
Advokaat: andmelekke eest vastutavad ka Asper Biogene’i kliendid
«Lekkinud failides oli erakordselt tundlikke andmeid, mille avalikukstulek võib inimesi rängalt kahjustada,» rõhutas tehnoloogia ja andmekaitse advokaat Risto Hübner. «Seaduse järgi vastutavad tervishoiuteenuse pakkujad kogu tarneahela eest, ehk vastutavad ka tervishoiuasutused, kelle patsientide andmed Asper Biogene’ist lekkisid.»
Andmekaitse inspektsiooni andmetel puudutab andmeleke 42 tervishoiuasutust (sh mitu suurt haiglat) ja muud Asper Biogene’i teenuseid kasutanud ettevõtet. «Eestis puudub nii suure andmelekke pretsedent, aga suure tõenäosusega peab andmekaitse inspektsioon algatama järelevalvemenetluse ka Asper Biogene’i klientide suhtes,» selgitas Hübner. «Välja tuleb selgitada, kas Asper Biogene’i kliendid, kelle patsientide andmed on lekkinud, on isikuandmete vastutava töötlejana teinud andmete kaitsmiseks kõik vajaliku.»
GDPRina tuntud Euroopa Liidu andmekaitse üldmäärus paneb isikuandmete vastutavale töötlejale kohustuse tagada vajalikud meetmed andmete turvaliseks käitlemiseks. Isikuandmete vastutavad töötlejad (antud juhul näiteks haiglad) peavad suutma tõendada, et on rakendanud vajalikke tehnilisi ja korralduslikke meetmeid andmete kaitsmiseks. «Näiteks isikuandmete krüpteerimata kujul edastamist on raske näha piisava meetmena, mis tähendab, et tõenäoliselt satuvad haiglad kaasvastutajate sekka,» nentis Hübner.
Euroopa Liidu kohus leidis alles eile avaldatud otsuses, et ainuüksi inimese kartus tema lekkinud isikuandmete võimaliku väärkasutuse pärast võib olla käsitletav mittevaralise kahjuna ning anda aluse kahjunõudeks.
Hübneri kinnitusel sarnaneb juhtum hiljutise andmelekkega Soomes, mis lõppes 2000 patsiendi andmed kurjategijatele kaotanud tervishoiufirma Vastaamo pankrotiga.