Trahviotsus: 85 000 suurune rahatrahv Asper Biogene OÜ-le

10.01.2025 | 09:06

Andmekaitse Inspektsioon määras rahatrahvi seoses 2023. aasta lõpus aset leidnud juhtumiga, kus rünnati Asper Biogene OÜ süsteemi ja saadi kätte ca 100 000 faili inimeste isikuandmetega, sealhulgas geeni- ja terviseandmetega. Väärteootsus koosneb kahest väärteost ja trahvisumma kokku on 85 000 eurot.

Esimene süütegu seisneb isikuandmete töötlemise ebapiisavas turvameetmete rakendamises. Asper Biogene OÜ tegeleb põhitegevusena pärilike haiguste testimise, geenitestide arenduse ja arendusteenuste pakkumisega, mis on seotud terviseandmetega (sh tervishoiuteenuste osutamisega) ning töötleb seeläbi ulatuslikult terviseandmeid. Isikuandmete kaitse üldmääruse (IKÜM) nõuetele vastava isikuandmete töötlemise turvalisuse tagamata jätmise osas määras AKI 80 000 euro suuruse rahatrahvi.

Teine süütegu on andmekaitseametniku ehk andmekaitsespetsialisti (AKS) määramisel huvide konflikti vältimise kohustuse ja pädeva AKS-i määramise kohustuse rikkumine. AKS-i määramisel on oluline, et juhatuse liige või asutuse juhtivtöötaja ei oleks samaaegselt AKS, sest AKS-i rolli täites ei tohi tekkida huvide konflikti ehk peab olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil. Samuti peab AKS-i valimisel vastutav töötleja lähtuma sellest, kui keeruline on andmete töötlemine või kas see hõlmab suurt hulka eriliigilisi isikuandmeid (nt terviseandmed) ning vastavalt sellele valima andmekaitseametniku. Selle osas määras AKI 5000 euro suuruse rahatrahvi.

Kõik organisatsioonid, kes oma tegevuse käigus isikuandmetega kokku puutuvad, on kohustatud tagama, et nende juures töödeldakse isikuandmeid turvaliselt. Isikuandmete tehniline ja korralduslik kaitse tagatakse muu hulgas infoturbemeetmetega. Selle eduka rakendamise möödapääsmatu osa on infosüsteemide pidev monitooring ja võimalike väärkäitumiste varajane avastamine ning teadaolevate turvaaukude õigeaegne likvideerimine.

Otsus ei ole veel jõustunud ning seda saab vaidlustada.