Rikkumisteadete arv ületas 100 piiri

26. Apr 2019
PrintPDF Share

Andmekaitse Inspektsioon on saanud kuu aega enne isikuaandmete kaitse üldmääruse kehtima hakkamise esimest aastapäeva andmetöötlejatelt kokku juba 101 isikuandmetega seotud rikkumisteadet.

„Rikkumisteadete esitajad on astunud olulise sammu usaldusväärsuse suunal, sest andmekaitsealase rikkumise sisuline hindamine tähendabki ennekõike klassikalist riskihaldust,“ on Andmekaitse Inspektsiooni tehnoloogiadirektor Urmo Parm veendunud. Inspektsioon tunnustab kõiki andmetöötlejaid, kes on oma kohustust täitnud.

Sel aastal on andmetöötlejad esitanud 37, aga möödunud aasta 25. maist kuni 31. detsembrini esitati inspektsioonile kokku 64 rikkumisteadet, mille põhjuseks on olnud nii inimlikku eksimust, hooletust, teadmatust kui puudulikku andmeturvet.

„Andmekaitselisi rikkumisi juhtus 2018. aastal näiteks pahatahtlike rünnete tagajärjel infosüsteemidele, kuid juhtumite hulgast leiab ka teadlikult vääriti käitumist, mil töötaja on teinud uudishimupäringuid või edastanud andmeid valele isikule,“ kõneles tehnoloogiadirektor Urmo Parm. Esines ka olukordi, kus ühe inimese andmed kuvati infosüsteemis valele inimesele või kui ametnik ei olnud piisavalt hoolas kaitsemeetmete rakendamisel piiratud juurdepääsuga teabele. Osad intsidendid olid põhjustatud lappimata turvaaukudest või tegemata jäänud tarkvara uuendusest. Samuti põhjustas rikkumisi vigane versiooniuuendus.

Tehnoloogiadirektor Urmo Parm resümeeris, et rikkumisteated andsid möödunud aastal aluse väärteomenetluse algatamiseks kolmel korral ja haldusjärelevalve menetluseks ühel korral. Valdkondlikult toimus rikkumisi nii avalikus kui erasektoris. Intsidente registreeriti veebiteenuste, tervishoiuteenuste, pangandus/finantsteenuste ja transporditeenuste pakkujate hulgast. Samuti side-, tootmise - ja haridusvaldkonna andmetöötlejatelt.

 „Isikuandmetega toimunud rikkumistest  tuli hakata Andmekaitse Inspektsiooni teavitama 2018. aasta 25. maist,“ meenutas tehnoloogiadirektor, kes lisas, et siiski ei ole igast rikkumisest teavitamine kohustuslik. Inspektsiooni peab teavitama juhtudel, kui rikkumise tagajärjel võib olla tõenäoline oht inimese õigustele ja vabadustele või sünnib reaalne kahju. Inspektsiooni peab teavitama hiljemalt 72 tunni jooksul. Kui aga teavitust tegema ei pea, tuleb juhtum oma organisatsiooni jaoks registreerida.

Rikkumiseks loetakse olukordi, kui on toimunud näiteks andmete lubamatu hävimine, kaotsiminek, muutmine, lubamatu avalikustamine või juurdepääsu võimaldamine. „Oluline on veel märkida, et kui rikkumisjuhtum toimub, on teavitamise kohustus andmetöötlejal, mitte inimesel, kelle andmeid intsident mõjutab,“ selgitas tehnoloogiadirektor.

Rikkumisteadete esitamise kohta ja praktikute kibedatest päevadest riskide haldamisel loe Andmekaitse Inspektsiooni  aastaraamatust 2018. aasta kohta  https://www.aki.ee/et/inspektsioon/aastaettekanded

 

 

 

 

 

 

 


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner