Andmekaitse Inspektsiooni logo

7. peatükk. Isikuandmetega seotud rikkumine. Oht (kahju)

Alljärgnevalt on kirjeldatud isikuandmete rikkumise olemust ja seda, millistel juhtudel ja kuhu tuleb sellest teavitada.
Vt. üldmääruse art. 4 p. 12, art. 33, 34, pp. 75, 85-88; direktiivi art. 3 p. 11, art. 30, 31, pp. 61-62; IKS § 44, 45. Vt. Euroopa andmekaitsenõukogu juhend „Suunised, mis käsitlevad isikuandmetega seotud rikkumistest teatamist määruse 2016/679 alusel“ Vrd küberturvalisuse seaduse küberintsidendist teatamise sätetega, eeskätt § 8.

Mis on rikkumine?

Kellele tuleb sellest teatada? Isikuandmetega seotud rikkumine on üldmääruse/direktiivi ning seda üle võtva IKS-i tähenduses turvanõuetega seotud rikkumine, mis põhjustab andmete: 

  • lubamatu hävimise, kaotsimineku või muutmise või
  • lubamatu avalikustamise või lubamatu juurdepääsu võimaldamise.

Isikuandmetega seotud rikkumise korral kehtib andmetöötlejaile neli kohustust:

1) igasugune rikkumine tuleb dokumenteerida,

2) kui rikkumine põhjustas või tõenäoliselt põhjustab andmesubjektide õigustele ja vabadustele ohu (kahju), peab vastutav töötleja Andmekaitse Inspektsioonile rikkumisteate esitama;

3) kui rikkumine põhjustas või tõenäoliselt põhjustab andmesubjektidele suure ohu (suure kahju), peab vastutav töötleja sellest ka andmesubjektidele teada andma;

4) volitatud töötleja peab rikkumisest vastutavale töötlejale teada andma. Täiendav, viies kohustus tuleb küberturvalisuse seadusest ja puudutab riigi- ja omavalitsusasutusi ning erasektorist üksnes elutähtsaid/olulisi teenusepakkujaid. Nemad peavad infosüsteemi turvalisust ohustavast olulisest küberintsidendist (nt. ründest arvutivõrgu vastu, pahavara kasutamisest) teatama Riigi Infosüsteemi Ametile.

Mida tähendab (suur) oht?

Isikuandmetega seotud rikkumisest teatamise kohustus sõltub sellest, mis on oht andmesubjekti õigustele ja vabadustele. Andmekaitsespetsialisti määramise ja andmekaitsealase mõjuhinnangu tegemise kohustuse juures nimetavad üldmäärus ja direktiiv samuti (suurt) ohtu.53 Selle juures peetakse silmas riske, mida põhjustab tundlik ja/või mahukas andmetöötlus. Näiteks seostame 5000 inimese terviseandmete või 50 000 inimese nö lihtandmete töötlemist suure ohuga (kõrge riskiga), mis tingib vajaduse määrata andmekaitsespetsialist ja teha mõjuhinnang.54 Rikkumisteatele seda kohaldada ei saa. Tõik, et ettevõtte kliendinimistusse on kogunenud üle 50 000 inimese andmed, ei ole ju rikkumine. Rikkumine on, kui nende andmetega juhtus või tõenäoliselt juhtub midagi halba:

Näide A: kaupluse klientide kodused ja e-posti aadressid said tehnilise vea või inimliku eksimuse tõttu avalikkusele nähtavaks.55 Mõned väljaspool Euroopa Liitu asuvad ettevõtted kopeerisid need andmed ning hakkasid saatma rämpsposti. Otsene kahju seisneb rämpspostiga tülitamine. Tõenäoliselt oodatav lisaoht seisneb selles, et lekkinud andmete üle kadus kontroll, „mustalt“ tegutsevad ettevõtted üritavad tõenäoliselt neid edasi müüa ning väljaspool Euroopa Liitu on raske nende tegevust tõkestada.
Näide B: lekkisid e-poe klientide kasutajanimed ja salasõnad. Tulemuseks on või tõenäoliselt võib olla, et keegi võõras teeb nende nimel ja arvel oste – see on otsese kahju oht inimese varale.
Näide C: retseptikeskuse infosüsteemi rikke tõttu ei saanud patsient apteegist talle määratud ravimit kätte. Kuigi järgmiseks päevaks oli rike kõrvaldatud, oli see isikuandmetega käideldavusega seotud rikkumine. Rikkumise definitsiooni mõttes oli tegu andmete ajutise kaotsiminekuga.56

Seega rikkumisteate esitamise kohustuse puhul peetakse ohu puhul silmas mitte üldist riski, vaid reaalselt saadud või tõenäoliselt saadavat kahju. Kahju tuleb siduda inimese õiguste ja vabadustega, näiteks:

  • riive elule ja tervisele (haige ei saa infosüsteemi vea tõttu kätte talle määratud ravimit või veel hullem – saab vale ravimi),
  • riive eraelule (kontaktandmed koos varasema ostuajalooga lekkisid, tulemuseks oli inimese profileerimine talle tundmatute isikute poolt, rämpspost ja kontrollimatu andmete edasimüümine),
  • riive aule ja heale nimele (inimese kohta loodi tagaselja täiskasvanute portaali libakonto tema õigete kontaktandmetega, portaalis puudus konto loomisel kontroll, kas lisatud eposti aadress ja telefoninumber on konto looja kontrolli all),
  • vaba eneseteostuse ja ettevõtlusvabaduse takistus (inimese kohta levis piinlik väärinfo, mis ei lasknud tal edukalt ettevõtjana tegutseda),
  • takistus tegevusala, elukutse ja töökoha valimise vabadusele (infosüsteemis hävisid inimese hariduskäigu kohta käivad andmed, mistõttu ta ei saanud õigel ajal kandideerida soovitud töökohale),
  • riive omandi puutumatusele (salasõnade lekkimise tulemusena saadi juurdepääs inimese kasutajakontole ja tehti oste tema nimel ja arvel).

Rikkumisteate esitamise kohustus ei olene sellest, kui mitut inimest või kui suuri andmemahte oht puudutab.

Näide: kui veregrupp muutus tehnilise rikke tõttu infosüsteemis valeks või ei olnud kriitilisel hetkel kättesaadav, siis võib inimene operatsioonilauale sattudes selle pärast surra. Arvuliselt võttes puudutab see ühe inimese kohta käivat ühte tähemärki, kuid kahju oleks rängim, mis üldse juhtuda saab.

Suure ohu ja lihtsalt ohu eristamine sõltub kahju suurusest ehk tagajärje raskusest. Suur oht isikuandmetega seotud rikkumise mõttes on eelkõige:

  • oht inimese elule, tervisele, varale ja mainele, aga samuti
  • juhtumid, kus andmetöötluse probleemide tõttu ei saa inimene mingis ettevõtmises osaleda, kuhugi kandideerida, midagi taotleda, midagi tõendada. Isegi kui neid olukordi saab hiljem ilma otsese rahalise kuluta heastada, võib see tähendada arvestatavat aja-, töö- ja närvikulu.

Lihtsalt ohu näite alla kuuluvad need juhtumid, mis ei põhjusta märkimisväärt tagajärgi.

Näide A: infosüsteemi tõrge, mis ei lase aia- ja ehituskaupa müüva e-poe teenuseid kasutada ega omaenda ostuajalugu vaadata, on lihtne oht. Seevastu retseptikeskuse või e-tervise infosüsteemi tõrge on ilmselgelt suur oht.
Näide B: kaupluse kolme kliendi ostuajaloo väljavõtted said inimliku eksituse tõttu kättesaadavaks võõrale isikule – üksnes tehtud ostud koos pärisnimest erinevate kasutajatunnustega. Võimalus, et võõras nende järgi suudab isikuid tuvastada, ei olnud konkreetseid asjaolusid arvestades tõenäoline. Seevastu ostuajaloo leke koos kliendi nime või kontaktandmetega või lausa koos salasõnadega on suur oht.

Tähele tuleb panna ka isikuandmetega seotud rikkumise ja küberintsidendi tähenduse erinevust:

1) isikuandmetega seotud rikkumine on seotud kahjuga inimese (nt. kliendi, töötaja, kodaniku) õigustele ja vabadustele. Kahju ettevõttele/asutusele endale ei puutu asjasse.

Näide: kaupluses avastati, et elektrooniline kliendiandmebaas on tehnilise rikke tõttu hävinud. Siiski õnnestus esialgu paberdokumentatsiooni kasutades tööd jätkata ning veidi hiljem varukoopiate ja paberdokumentide abil andmebaas taastada. Kauplusele tähendas see arvestatavat lisakulu, kuid kliente see ei mõjutanud. Vajadust rikkumisteate inspektsioonile saatmiseks ei ole.

2) küberintsident on seotud ohuga olulistele võrgu- ja infosüsteemidele ja nende teenustele.

Näide: küberturvalisuse seaduse mõttes olulist teenust pakkuva ettevõtte veebipõhist kliendiandmebaasi ei saanud võrguliikluse ründamise tõttu kasutada. Andmed ei lekkinud (neid ei saanud lihtsalt kasutada) ning teenuse pakkumist jätkati kohe ettevõtte tagavaraserveri pealt. Tegu oli olulise küberintsidendiga, kuid mitte isikuandmetega seotud rikkumisega. Kui aga teenuse osutamine oleks mõneks tunniks katkenud ning tegu on näiteks tervishoiu- või pangandusteenusega (mõju elule, tervisele või varale), siis tähendaks see ka andmekaitseliselt suurt ohtu.

Kuidas ohte hinnata ja vähendada?

Näpunäiteid spetsialistile Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja mõju tehakse kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest.57 Ohtusid hinnataks objektiivse hindamise põhjal, millega tehakse kindlaks, kas andmetöötlustoimingutega kaasneb oht või suur oht.

Organisatsioonidele peaks ohu (riski) käsitlus olema tuttav nt IT- või kvaliteedijuhtimisest. Kui vaadata infoturvet, siis seni hinnati riske infovara käideldavusele, terviklusele ja konfidentsiaalsusele. Määrati riski allikad ja hinnati riski taset (kombinatsioonis tõenäosuse ja mõjuga). Riski hinnati mõjuna eelkõige organisatsioonile (varaline ja mainekahju).

Üldmääruse ohukäsitlus tähendab riskide hindamist isikule avalduva (tõenäolise) kahju seisukohast. Andmetöötleja, olles määranud riskid infovarale, peab nüüd lisaks hindama, milline on ohu teokssaamisel isikule tekkiv võimalik kahju. Määratakse riski tase isikule, nt skaalal madal, keskmine, kõrge. Valitakse meetmed riskide haldamiseks ja aktsepteeritakse jääkrisk. Toome ka mõned näited meetmetest, mille abil ohte vähendada:

  • andmeid kogutakse ja kasutatakse minimaalselt (nii vähe kui võimalik) ja säilitatakse üksnes seniks, kuni neid vajatakse;
  • piiratakse andmetele juurdepääsu (nii organisatsiooni siseselt kui väliselt);
  • tagatakse korrapärane isikuandmete kustutamine pärast säilitustähtaja lõppemist;
  • kasutatakse krüptimist, pseudonüümimist, anonüümimist;
  • andmeid töödeldakse piiratud juurdepääsuga ruumides;
  • rakendatakse uuemaid ja kaasaegsemaid infotehnilisi turvameetmeid;
  • koolitatakse töötajaid ja koostööpartnereid;
  • luuakse lahendusi, kus isikud saavad kergemini oma andmetele ligi (nt e-teenindus);
  • läbipaistvad kasutustingimused, mis annavad ka isikule endale võimaluse enda turvalisuse eest paremini seista.

Kuidas toimub rikkumiste dokumenteerimine?

Vastutav töötleja peab dokumenteerima kõik isikuandmetega seotud rikkumised:

  • millised on rikkumise asjaolud,
  • milline on rikkumiste mõju füüsilistele isikutele ning
  • milliseid parandusmeetmeid (nt tehnilised, korralduslikud) vastutav töötleja rakendab kahjustatud isikuandmete suhtes.

Kui aga rikkumisega seotud ohtu (kahju) pole, siis inspektsioonile rikkumisteadet esitada ei ole vaja. Toome mõned näited:

Näide A: ettevõttes toimus kliendihaldustarkvara uuendus. Juurdepääs erinevatele kliendiandmetele oli ettevõttesiseselt reguleeritud ja piiratud. Peale tarkvarauuendust avastas üks töötajatest, et ta nägi klientide kohta nüüd rohkem andmeid kui pidanuks. Töötaja informeeris sellest tööandjat. Viga sai kiirelt likvideeritud. Tegu on isikuandmetega seotud rikkumisega (konfidentsiaalsuse rikkumine), mis tuleb dokumenteerida. Kuid et rikkumine avastati kohe ning klientidele ohtu ei olnud, siis inspektsioonile teatama ei pea.
Näide B: ettevõtte töötaja sõidukist varastati sülearvuti, milles olid messil kogutud potentsiaalsete uute klientide isikuandmed. Sülearvuti kõvaketas oli ajakohaselt krüpeertitud. Tegu on isikuandmetega seotud rikkumisega (käideldavuse rikkumine), mis tuleb dokumenteerida. Ohtu isikutele aga ei ole (andmed krüpteeritud), seega inspektsioonile teatama ei pea.
Näide C: haiglat tabas lunavararünne. Blokeeriti juurdepääs osade patsientide terviseandmetele. Haigla varundas korrapäraselt andmeid. Varundatu jäi ründest puutumata. Andmete taastamine varukoopiatelt võttis aega kolm tundi. Tegu on suure ohuga – arstidel ei olnud ajakriitilise ravi puhul võimalik patsientide terviseandmeid vaadata (veregrupid, allergiad, varasem ravi). See tuleb dokumenteerida (käideldavuse, tervikluse, konfidentsiaalsuse rikkumine). Teatada tuleb nii inspektsioonile, Riigi Infosüsteemi Ametile (küberintsident) kui andmesubjektidele.

Millal ja kuidas tuleb rikkumisest teatada inspektsioonile?

Vastutav töötleja teatab inspektsioonile põhjendamatu viivituseta, võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, mis põhjustas või tõenäoliselt põhjustab ohu andmesubjektidele.

Isegi kui kõik rikkumise põhjused ei ole veel teada või pole lõplikult selge näiteks rikkumist puudutavate isikute arv, tuleks esmane teade 72 tunni jooksul siiski teha.

See annab inspektsioonile võimaluse rikkumise olemust varakult hinnata ning anda andmetöötlejale vajadusel tagasisidet ja soovitusi.

Täiendavate asjaolude ilmnemisel edastab andmetöötleja need põhjendamatu viivituseta jätkuteavitusena. Andmetöötleja peab põhjendama, miks ei olnud esialgses teatises võimalik kõiki rikkumist puudutavaid asjaolusid anda.

Kui rikkumise tuvastab isikuandmete volitatud töötleja, teavitab ta sellest põhjendamatu viivituseta vastutavat töötlejat, kes omakorda teavitab siis järelevalveasutust.

Inspektsioonile edastatud rikkumisteade peab sisaldama:

  • isikuandmetega seotud rikkumise laadi kirjeldust. Selleks võib olla näiteks andmete kaotsiminek või hävimine, vargus, koopia tegemine. Samuti volituseta muutmine, lugemine või edastamine;
  • võimaluse korral asjaomaste andmesubjektide kategooriaid ja nende ligikaudne arv ning isikuandmete asjaomaste kirjete liike ja ligikaudset arvu;
  • andmekaitsespetsialisti või muu kontaktisiku nime ja kontaktandmeid;
  • isikuandmetega seotud rikkumise võimalike tagajärgede kirjeldust;
  • meetmete kirjeldust isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

Inspektsioon on koostanud rikkumisteate täpsema vormi valikvastustega. Vorm on kättesaadav inspektsiooni võrgulehel. Üldkasutatava elektroonilise sideteenuse osutaja suhtes kehtis rikkumisteate esitamise kohustus juba varem. Nende teadete nõuded ja sisu on kehtestatud Euroopa Komisjoni määrusega (EL) 611/2013.

Millal ja kuidas peab rikkumisest teatama andmesubjektile?

Kui rikkumise tulemusena tekib inimeste õigustele ja vabadustele tõenäoliselt suur oht, peab vastutav töötleja põhjendamatu viivituseta sellest teavitama ka andmesubjekti.

Teavituse eesmärk on lisaks andmetöötlejale võimaldada ka andmesubjektil endal võtta vajalikke ettevaatusabinõusid ohu leevendamiseks (näiteks salasõna muutmiseks).

Teates tuleb kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda soovitusi võimaliku kahjuliku mõju leevendamiseks.

Isikule edastatavas teates peavad olema:

  • selges ja lihtsas keeles selgitatud isikuandmetega seotud rikkumise olemus;
  • andmekaitsespetsialisti või muu kontaktisiku nimi ja kontaktandmed;
  • isikuandmetega seotud rikkumise võimalike tagajärgede kirjeldus;
  • meetmete kirjeldus isikuandmetega seotud rikkumise lahendamiseks.

Otsese ohu leevendamise vajadus eeldaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid rikkumiste jätkumise või samalaadsete rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist. Andmesubjekti teavitamist ei nõuta, kui:

  • vastutav töötleja oli juba rakendanud kohaseid kaitsemeetmeid ja neid juba kohaldati rikkumisest mõjutatud isikuandmetele (eelkõige andmete kõrvalistele isikutele kättesaamatuks muutmine, näiteks olid lekkinud andmed krüpteeritud);
  • vastutav töötleja rakendas hilisemad meetmed, mis tagavad, et suure ohu teke ei ole enam tõenäoline, või
  • teavitamine nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse andmesubjekte tulemuslikul viisil.

Kui andmetöötleja ei pea vajalikuks andmesubjekte teavitada, on inspektsioonil siiski õigus vastutavalt töötlejalt andmesubjektidele teatamist nõuda.

Kokkuvõtvalt saab öelda, et rikkumiste haldamine nõuab andmetöötlejalt ettevalmistustööd. Tuleb kaardistada kõik protsessid ning ohud (organisatsioonisisesed kui välised). Iga ohu puhul tuleb hinnata, kas ja milline mõju on andmesubjektile. Nii on rikkumise toimumisel võimalik kiirelt reageerida, sh otsustada inspektsioonile ja andmesubjektidele teatamise vajadus.

53Üldmääruse art. 37 ja 35, direktiivi art. 32 ja 27, IKS § 40 ja 38.

54Käesoleva üldjuhendi 3. ja 5. ptk, kus defineeritakse suurt ohtu sisaldavat andmetöötlust.

55Võrdluseks: avalikus sektoris on eraisikute kontaktandmed juurdepääsupiiranguga teave ning selle lekkimise eest on ette nähtud väärteokaristus – vt avaliku teabe seaduse § 35 lg 1 p. 12 ja § 541.

56Vt. üldmääruse art. 4 p. 12, direktiivi art. 3 p. 11.

57Vt käesoleva üldjuhendi lisa 4.

Last updated: 06.09.2024