Geenitestimisega tegelevast ettevõttest Asper Biogene lekkinud andmete valguses on õiguskantsler Ülle Madise sõnul küsitav, kas andmeid hoiti seal üldse seaduslikult.

"Patsiendi tervise- ja analüüside andmeid tohivad hoida haiglad, raviarstid. Sellel on oma selge eesmärk ja see on lihtsa ja selge sõnaga seaduses kirjas. Kuidas said sellised andmed üleüldse olla ühe erafirma käes, kes sisuliselt on labor, et see on suur küsimus. Ja eks me vaatasime ka neid testide tellimise blankette ja materjali, mis on selle firma kodulehel. No on väga küsitav, kas ka seal sellisel viisil antud nõusolekutest võiks piisata," kommenteeris Madise.

Asper Biogene tegevjuhi Hardi Tamme sõnul on andmed ettevõtte käsutuses seaduslikult ja raporteid varasemete testide kohta hoidis ettevõte alles, sest riiklikud andmebaasid ei ole piisavad. Vigu tehti tema sõnul ettevõtte puudulikus andmeturbes.

"Loomulikult on tehtud vigu, seal ei saa ju olla kahtepidi vastust. /.../ See ei ole ainult tervishoiu küsimus, vaid me võib-olla üldiselt paneme liiga vähe tähelepanu oma süsteemide IT- või turbeküsimustele," ütles Tamm.

Õiguskantsleri hinnangul tuleks Eestis edaspidi siiski selgeks teha, kes andmeid hoida tohib. Samuti tuleb kontrollida, kas taoliste eraettevõtete käes on veel teisigi delikaatseid andmeid.

"Probleem, et järelevalve seaduse nõuete täitmisele on Eestis väga nõrk, on pikalt teada. Ja väga õigesti inimesed ka meie ametkonnalt praegu küsivad, miks lastakse niisugusel õnnetusel üldse juhtuda, kus on järelevalve olnud varem. Aga paraku see nii on, et kui ministeeriumites on ametnikke võrdlemisi palju ja ka tasud on üsna kõrged, siis järelevalvajad on tihti väga suure koorma all, aga nii see ei tohiks riigis olla," rääkis Madise.

See ei ole aga esimene kord, kui Eestis on rünnaku tagajärjel isikuandmed valedesse kätesse sattunud.

"Me mäletame 2020., 2021. aasta, kui PPA lekitas rünnaku tagajärjel 300 000 dokumendifotot. Justiitsministeerium 2020. aastal lekitas tuhandeid õigusnõu saanud inimeste andmeid koos kaasustega, millele ei ole mitte mingeid sanktsioone järgnenud andmekaitse inspektsiooni poolt," rääkis andmekaitse ekspert Maili Torma.

Andmekaitse inspektsioon näeb igal nädalal, et ettevõtted rikuvad mõnda andmekaitse nõuet. Ainuüksi tänavu on teateid andmekaitse ehk GDPR-i rikkumistest pea 200. Kuigi enamasti on need väikesed vead, mis sekkumist ei vaja, ei võimalda Eesti seadused andmete väärkasutuse eest rikkujaid vastutusele võtta.

"Värske kohtuotsus meie esimese andmekaitsealase väärteo trahvi osas, mis on tehtud äriühingule Ida-Tallinna keskhaiglale, me ka kohtus kaotasime kahjuks. Sel põhjusel, et kohus leidis, et täna Eesti seadused ei võimalda, üks oluline lünk meie siseriikliku menetluse ja GDPR-i vahel on puudu," selgitas andmekaitse inspektsiooni peadirektor Pille Lehis.

Politseisse on juba pöördunud inimesed, kes on saanud kelmidelt petukõne, kus teavitatakse neid andmelekkest ja päritakse täiendavaid küsimusi.

"Politsei siinkohal kindlasti toonitab üle, et praegu meil tervishoiuteenuse osutajad isikutele, kelle osas andmeleke on toimunud, telefonikõnesid ei tee, vaid saadavad teavitused puhtalt ainult meili teel," kinnitas PPA lõuna prefektuuri kriminaalbüroo juht Rain Vosman.