Inspektsioon heitis Asper Biogenele väärteomenetluses ette kaht olulist rikkumist. Esiteks määras ettevõte andmekaitsespetsialistiks oma ainsa juhatuse liikme, kellel puudus selle rolli täitmiseks nii vajalik sõltumatus kui ka pädevus. Selline olukord on otseses vastuolus isikuandmete kaitse üldmääruses sätestatud nõuetega.
Teiseks leidis inspektsioon, et Asper Biogene ei olnud rakendanud piisavaid turvameetmeid, mille tõttu said 2023. aasta sügisel küberrünnaku käigus kõrvalised isikud juurdepääsu ettevõtte andmebaasile. Alla laaditi suures mahus andmeid, seal hulgas eriliigilisi isikuandmeid.
Juhatuse liige ei saa täita andmekaitsespetsialisti rolli
Maakohus nõustus, et andmekaitsespetsialisti määramisel oli tegemist rikkumisega. Kohus rõhutas, et juhatuse liige, kes juhib ettevõtte tegevust ja otsustab andmetöötluse eesmärkide ning vahendite üle, ei saa samal ajal sõltumatult täita andmekaitsespetsialisti ülesandeid.
„Olukorras, kus andmekaitsespetsialistiks on sama inimene, kes juhib kogu ettevõtet, on rollikonflikt vältimatu,“ selgitas inspektsiooni jurist Kirsika Kuutma. „Ühelt poolt esindab ta ettevõtte ärilisi huve, teisalt peaks ta kaitsma nende inimeste õigusi, kelle andmeid ettevõte töötleb. Sellist vastuolulist olukorda ei ole võimalik lahendada viisil, mis tagaks sõltumatuse.“
Samas leidis kohus, et rikkumine pandi toime hooletusest ning võttis arvesse asjaolu, et ettevõte on hiljem määranud pädeva spetsialisti ja rakendanud täiendavaid turvameetmeid. Kohus otsustas, et väärteomenetlus tuleb andmekaitsespetsialisti määramise rikkumise osas otstarbekusel lõpetada, sest menetlusaluse isiku süü on väike ja puudub avalik menetlushuvi. Inspektsioon nende seisukohtadega ei nõustu.
Turvalisuse tagamata jätmise osas märkis kohus, et tegu pandi toime enne 1. novembrit 2023, kui jõustusid seadusemuudatused, mis reguleerivad selgemalt juriidilise isiku vastutust. Seetõttu lõpetati selles osas menetlus väärteo tunnuste puudumise tõttu, ilma et kohus oleks sisuliselt hinnanud, kas andmekaitsenõudeid rikuti.
Sõltumatus ei ole formaalne nõue
Andmekaitse Inspektsioon on seisukohal, et andmekaitsespetsialisti sõltumatus ei ole pelgalt formaalne nõue. Seda rolli ei saa täita isik, kes samal ajal juhib organisatsiooni. Andmekaitsespetsialisti määramisel peab lähtuma nii sõltumatuse kui pädevuse nõudest ning see kehtib kõigi andmetöötlejate kohta, olenemata nende suurusest.
„Kui andmekaitsespetsialisti rolli täidab ettevõtte juhatuse liige, kes ise otsustab, milliseid andmeid ja kuidas ettevõttes töödeldakse, on see ilmne huvide konflikt. Usaldusväärsust ja läbipaistvust selline süsteem ei taga,“ märgib Kuutma.
Inspektsioon leiab, et kohtuotsus ei taga andmesubjektide õiguste tõhusat kaitset ega loo vajalikku õigusselgust. Seetõttu esitab inspektsioon andmekaitsespetsialisti rollikonflikti ja ebapädevuse episoodi osas kassatsioonkaebuse Riigikohtule.