AKI prioriteet intsidendi algfaasis oli inimeste teavitamine, kuna tundlike isikuandmete sattumine kolmandate isikute kätte võib kaasa tuua väljapressimise juhtumeid ja muid võimalikke kahjusid. Tänu teavitusele said inimesed tekkinud olukorrast teada – see võimaldas neil ennast võimalike petukirjade eest kaitsta. Teavituse koostasid tervishoiuteenuse osutaja ja AKI koostöös.
Isikuandmete töötlemisel on oluline veenduda, milliseid andmeid ja kui kaua on ettevõttel või organisatsioonil vaja säilitada. Siinkohal rõhutame, et praeguses andmelekkes oli tegu vastutavate töötlejatega (tervishoiuteenuse pakkuja) ja volitatud töötlejaga (Asper Biogene OÜ). Tegemist on väga tavalise olukorraga, kus teenuseid või teste ostetakse sisse laborilt. Sellisel juhul tuleb vastutava ja volitatud töötleja vahel sõlmida leping, mis kinnitaks osapoolte rollid ja eesmärgid andmetöötluses.
Praegu on AKI menetlus jõudnud ülekuulamisteni ja teavitatud on Euroopa Liidus asuvaid asutusi, kuna tegemist oli piiriülese juhtumiga. Juhtiv menetleja Alissa Hmelnitskaja kommenteerib menetluse kulgu: „Tegu on endiselt meie prioriteetse menetlusega, asjaoludest on hea ülevaade, menetlus on kontrolli all ja areng on vastavalt meie ootustele.“
Andmekaitsespetsialisti tähtsus ja roll
Andmekaitsespetsialisti (AKS) roll ettevõtetes ja asutustes on tagada, et isikuandmete töötlemisel järgitakse isikuandmete kaitse reegleid, sh olla kontaktisikuks järelevalveasutusele ning andmesubjektidele. Lisaks on AKS-i ülesanne nõustada ja abistada töötajaid ning jälgida andmete kogumise ja säilitamise õiguspärasust, et ennetada ebamäärase kahju tekkimist.
Tuletame meelde, et andmekaitsespetsialist ei tohi olla samal ajal ka juhatuse liige. Sellisel juhul tekib huvide konflikt. IKÜM-i põhjenduspunktis 97 on märgitud, et andmekaitseametnikel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil. Seega kui andmekaitseametnik täidab andmekaitsespetsialisti ülesannetele lisaks ka muid ülesandeid ja kohustusi, tohib ta seda teha tingimusel, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti ehk ei saa andmekaitseametnikule anda ülesandeid või kohustusi, mille tulemusel määratakse vastutava töötleja või volitatud töötleja juures kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kuna juhatuse liikme puhul on tegemist ettevõtte esindajaga, kes määrab isikuandmete töötlemise eesmärgid ja vahendid, tekitab see huvide konflikti. AKS-i positsiooni täitmine ei tohi olla lihtsalt linnukese tegemine kellegi nime taha, vaid see eeldab päris tööülesandeid, mida juhatuse liige ei saa sõltumatul viisil teha.
Andmekaitsespetsialisti rolli võib täita:
- andmetöötleja koosseisuline töötaja (nt eraldi ametikoht);
- andmetöötleja allüksus (nt osakond);
- andmetöötleja väline juriidiline isik (nt teenuslepingu alusel).
Juhtunu näitas, et küberruumis valitsevatesse ohtudesse ei suhtuta täie tõsidusega. Küberruumi ründeid ja sellega kaasnevaid tagajärgi ei tohi võtta kui paratamatust, neid saab ennetada nii andmekaitsespetsialisti olemasolu kui ka õigete turvameetmete rakendamisega. Iga andmetöötleja kohustus on muu hulgas tagada andmete terviklus ja konfidentsiaalsus. Isikuandmete tehniline ja korralduslik kaitse tagatakse infoturbega. Selle eduka rakendamise möödapääsmatu osa on infosüsteemide pidev monitooring ning võimalike väärkäitumiste varajane avastamine ning teadaolevate turvaaukude õigeaegne likvideerimine.