Andmelekkest puudutatud isikutel on õigus nõuda mittevaralise kahju hüvitamist
(3)
Andmekaitse ei ole tüütu kohustus, vaid ettevõtete usalduse ja edu alus, puudutatud isikutel on õigus nõuda mittevaralise kahju hüvitamist, selgitab Eesti Andmekaitse Liit.
Küberrünne Asper Biogene OÜ vastu on taunitav – nagu igasugune kuritegevus, kuid siit tuleb võtta õppetunnid meil kõigil ja nendest rääkida. Kuigi menetlus on alles algusjärgus, saab tuua välja juba esmased järeldused, millest on õppida kõigil andmetöötlejatel.
Esiteks, andmekaitse üks põhialustalasid on infoturve. Iga ettevõte, mis tegeleb täna isikuandmetega peab suutma tagada infosüsteemi tervikluse, konfidentsiaalsuse, kättesaadavuse ja vastupidavuse. Isikuandmete kaitse üldmääruse artikkel 32 kohustab andmetöötlejaid rakendama piisavaid infoturbe meetmeid arvestades töödeldavate isikuandmete tundlikkust ja hulka. Toimiv andmekaitse on tihedalt seotud infoturbe meetmete ja infohalduse praktikate rakendamisega kõigis organisatsioonides.
Teiseks, kas küberrünnakust puudutatud füüsilistel isikutel on õigus nõuda mittevaralise kahju hüvitamist? Jah, on õigus nõuda mittevaralise kahju hüvitamist. Lisaks sellele, et 1. novembrist alates on Eestis lõpuks võimalik isikuandmetega seotud rikkumiste eest välja mõista Andmekaitse Inspektsioonil EL õigusega kooskõlas olevaid haldustrahve juriidilistelt isikutelt, on igal füüsilisel isikul õigus esitada nii tervishoiuteenuse osutaja või tema lepingupartneri vastu mittevaralise kahju hüvitamise nõue.
Alles eile, 14.12.2023 tegi Euroopa Kohus märgilise otsuse asjas C‑340/21, kus samuti küberründe tagajärjel lekkisid isikuandmed ning küberründest puudutatud isikud esitasid mittevaralise kahju hüvitamise nõude andmeöötleja vastu. Euroopa Kohus asus seisukohale, et mittevaraline kahju saab hõlmata olukorda, kus rikkumisest puudutatud füüsiline isik tugineb hüvitise saamiseks oma kartusele, et kolmandad isikud hakkavad tulevikus tema isikuandmeid kuritarvitama, kuna on toimunud isikuandmete töötlemisel turvanõuete rikkumine.
Selle otsuse mõju saab olema huvitav jälgida kindlasti Eesti menetluspraktikas, sest isikuandmete töötlemise rikkumise tulemusena isikutele tekkinud mittevaraline kahju saab hõlmata ka olukorda, kus füüsiline isik kardab ja tunneb hirmu, et kolmandad isikud (nt küberründe toimepanijad), hakkavad tulevikus tema isikuandmeid kuritarvitama. Arvestades, et konkreetsel juhul lekkisid tundlikud terviseandmed võib seda hirmu pidada põhjendatuks.
