Andmekaitseuudised

Andmelekked tervishoius – lühiülevaade trahvidest.

Postitatud

Eesti avalikkuse ette on jõudnud mitmed massiivsed andmelekked tervishoiuvaldkonnas, sh nt „Apotheka“ juhtum (700 000 inimese andmed) või  „Asper Biogene“ (10 000 geenitesti andmed).

Seega tasub vaadelda, kas ja millised tagajärjed on analoogilistel leketel olnud mujal EL riikides.

Tänase seisuga on ülejäänud 26 liikmesriigi andmekaitseasutused teinud haiglatele, apteekidele, arstidele ja meditsiinitoodete müüjatele, isikuandmete kaitsega seotud rikkumiste eest kokku 202 trahvi – neist enim Itaalias, Rumeenias ja Hispaanias.

Peamised rahalist karistust väärinud rikkumised on samuti olnud seotud ebapiisavate tehniliste ja organisatoorsete turvameetmete rakendamisega. Lisaks GDPR-s sätestatud preventiivsetele meetmetele on probleeme ka meetmete rakendamisega rikkumise ajal kui pärast seda.

Mõned näited:

  • Kõige suuremahulisem isikuandmetega seotud rikkumine leidis aset Iirimaal ja päädis 460 000 euro suuruse trahviga. Lunavararünnaku abil saavutasid kurjategijad juurdepääsu isikuandmetele, mida nad omavoliliselt muutsid ja hävitasid. Ligikaudu 70 000 inimese isikuandmeid puudutav rünnak oli edukas puudulike turvameetmete tõttu. Lisaks sellele ei suutnud isikuandmete töötleja juhtunut adekvaatselt dokumenteerida, mistõttu jäi ebaselgeks rikkumise iseloom.

 

  • Turvameetmete ebapiisavus oli põhjuseks ka kahe Itaalias aset leidnud juhtumi puhul. Esimesel juhul sai volituseta juurdepääs haiguslugudele võimalikuks puudujääkide tõttu haiguslugude elektroonilise halduse süsteemis. Teisel juhul õnnestus lunavararünnak, mille tulemusel piiras ründaja viiruse abil haiguslugudele juurdepääsu. Menetluse käigus leiti puudujääke autentimises, kuid vajaka jäi ka võimekusest probleemi märgata. Rikkumine mõjutas enam kui 800 000 patsiendi andmeid – mõlemal juhul määrati isikuandmete töötlejale 30 000 euro suurune trahv.

 

  • Covid-19 viirusega seotud juhtumil Itaalias oleks töötleja pidanud pandeemia lõppedes ümber hindama mõningate isikuandmete töötlemistoimingute õiguslikud alused. Rahvatervisega seotud avalik huvi oli piisav pandeemia ajal, kuid ebasobiv selle järgselt. 60 000 euro suurune trahv rõhutab kohustust isikuandmete töötlemise toimingute õiguslikke aluseid hinnata mitte ainult töötlemist alustades, vaid ka hiljem.

 

  • Teises Itaalias aset leidnud juhtumis määras andmekaitse järelevalveasutus töötlejale 40 000 euro suuruse trahvi selle eest, et töötaja andis ühe abikaasa covid’i testi tulemuse teisele abikaasale ilma vastava volituseta.

Kokkuvõtteks.

Hetkeseisuga ca. 2,2 miljardilise eelarvemiinusega Eestis võib vähemalt ühegi jõussejääva andmekaitsetrahvini jõudmine (6 aastat pärast GDPR jõustumist) olla lisaks ka mõningaseks fiskaalseks abivahendiks.

 

Allikas:

https://www.enforcementtracker.com/