Ära ela trahvihirmus: isikuandmete kaitse reeglite järgimine on kulutõhusam ja ausam!
)
Isikuandmete töötlejad Eestis, nagu ka mujal Euroopa Liidu liikmesriikides, on isikuandmete kaitse üldmääruse (GDPR) reeglites navigeerinud alates määruse rakendumisest 2018. aasta mais. Kuigi isikuandmete töötlemine oli reguleeritud ka juba enne nimetatud õigusakti jõustumist, seadis just GDPR andmekaitsestandarditele uue mõõdupuu, sätestades ranged nõuded isikuandmete töötlemisele ning nõudes liikmesriikidelt tõhusate, proportsionaalsete ja heidutavate karistusnormide kehtestamist.
)
Karistusnormide kehtestamisel on Eesti võrreldes teiste Euroopa Liidu liikmesriikidega olnud mahajääja rollis ja seda ennekõike põhjusel, et kuni 2023. aasta viimase kvartalini puudus regulatsioon, mis oleks võimaldanud Andmekaitse Inspektsioonil (AKI) kohtuvälise menetlejana määrata isikuandmekaitsealaste rikkumiste eest rahatrahve isikuandmete kaitse seadusega kehtestatud ulatuses. Muudatus saabus alles 2023. aasta novembris, kui jõustus karistusseadustiku üldosa regulatsioon, mis võimaldab täita Euroopa Liidu õiguses sätestatud nõudeid ja kohaldada isikuandmete kaitse valdkonnas toime pandud rikkumiste eest senisest oluliselt suurema rahatrahvi ülemmääraga väärteokaristusi.
Sellegipoolest on Eestis seni rikkumiste eest määratud trahvid võrreldes teistes Euroopa Liidu liikmesriikides määratud trahvidega olnud pigem sümboolsed. Olgu võrdlusena märgitud, et näiteks Iirimaa, Hollandi ja Itaalia järelevalveorganid on andmekaitsealaste rikkumiste eest määranud rikkujatele hiigeltrahve, näiteks:
Eesti seni suurim trahv summas 200 000 eurot määrati Ida-Tallinna Keskhaiglale. Karistati põhjusel, et patsientide hävitamisele suunatud terviseandmeid ladustati Magdaleena polikliiniku peaukse kõrval pealt avatud ehitusjäätmete järelevalveta konteineris. Paraku lõppes nimetatud väärteomenetlus Riigikohtus aegumistähtaja möödumise tõttu.
Suuruselt teine trahv summas 85 000 eurot määrati Asper Biogene OÜ’le, kelle süsteemide kaudu lekkis 100 000 faili delikaatsete isikuandmetega (s.h geeni- ja terviseandmed). Nimetatud trahviotsus ei ole tänaseks veel jõustunud.
Viidatud trahvisummade võrdlused Eesti ja teiste Euroopa Liidu liikmesriikide vahel ei ole välja toodud selleks, et kritiseerida AKI tegevust, vaid juhtida kõigi isikuandmete töötlejate tähelepanu kehtivate andmekaitsenõuete järgimise vajadusele. Ilmselt ei ole kellelegi uudis, et kõik isikuandmete töötlejad kohustuvad tagama, et töötlemine oleks kooskõlas kehtivate regulatsioonidega, muuhulgas oleks turvaline. AKI kodulehel on piisavalt põhjalikult selgitatud nii andmesubjektidele kui ka andmetöötlejatele GDPR-st tulenevaid nõudeid, niisamuti antud erinevaid juhiseid nende täitmiseks. Sellegipoolest leidub kahetsusväärselt palju ettevõtjaid, kelle teadmised isikuandmete töötlemisest on kas pigem puudulikud või kes ignoreerivad kehtivaid reegleid teadlikult põhjusel, et nende hinnangul ei eksisteeri Eestis reaalset trahviohtu. Levinud on arusaam, et Eestis toimepandud isikuandmekaitsealaste rikkumiste eest ei karistata samasuguse rangusega nagu paljudes teistes Euroopa Liidu liikmesriikides. Seetõttu suhtutaksegi nõuetekohase dokumentatsiooni/protsesside puudumisse endiselt leigelt.
Kurvaks teeb seejuures asjaolu, et isikuandmeid on paljud nõus nõuetekohaselt töötlema vaid märkimisväärse trahviohu korral, mitte sellepärast, et iga füüsilise isiku andmed väärivad kaitset õigusvastase töötlemise eest. Ideaalis ei peaks ükski ettevõtja ega muu andmetöötleja isikuandmete töötlemisse selliselt suhtuma, vaid peaks töötlema isikuandmeid samasuguse hoolsusega nagu ta soovib, et tema kui füüsilise isiku andmeid töödeldaks. Paraku saab hetkel valdavast suhtumisest järeldada vaid seda, et Eestis seni määratud sanktsioonid ei ole olnud piisavalt tõhusad ega andmetöötlejaid heidutavad.
Arvestades eelviidatud karistusseadustiku muudatusi võib eeldada, et AKI praktika rahatrahvide määramisel on võtmas uut suunda. Vähetõenäoline on, et AKI asub rikkujatele määrama miljonitrahve, kuid rahatrahvid saavad olema sellegipoolest piisavalt suured, et hirm karistuse ees motiveeriks andmetöötlejaid õiguspäraselt tegutsema.
Eeltoodut kokkuvõttes kutsun isikuandmete töötlejaid üles käima isikuandmetega ümber põhimõttel: ära tee teistele seda, mida sa ei taha, et sulle endale tehakse. Niisamuti tasuks lisaks trahvide vältimise eesmärgile meeles pidada, et nõuetekohane andmetöötlus suurendab teie usaldusväärsust, annab konkurentsieeliseid ning loob tugeva aluse tulevikuregulatsioonidega kohanemiseks, vältimaks tagasiulatuvate vastavuspüüdlustega seotud väljakutseid.