"Nii tõsiselt tõsist juhtumit Eestis mina ei tea. Meil oli küll ka suvel siin rahvastikuregistriga seoses üks juhtum, mis palju kõneainet leidis, aga sellist asja ei ole enne olnud. Ma arvan, et siit kindlasti koorub märkimisväärselt suur menetlus," ütles advokaadibüroo Nordx Legal partner Hübner kolmapäeval "Vikerhommikus. Ta lisas, et tegemist on professionaalselt väga huvitava kaasusega.

Hübner meenutas, et juhtumis on väga palju osalisi, kuna lekkisid 10 000 inimese andmed ning lisaks Asper Biogene'ile on sellega seotud ka 42 haiglat ja muud tervishoiuteenuste osutajat, mis loob eeldused väga suure hulga menetluste algatamiseks.

"Siin on palju puudutatud isikuid, andmesubjekte, patsiente on 10 000, lekkinud on väga delikaatsed andmed, eriliigilised isikuandmed, geeniandmed, terviseandmed, pluss lisaks 42 ettevõtet, asutust, sealhulgas Eesti suurimad haiglad, kes on seotud vastutavate töötlejatena sellesse protsessi. Neid osapooli on palju ja kindlasti võib menetlusi kõigi nende suhtes algatada. Ilmselt alustab andmekaitseinspektsioon, kui ta ei ole juba alustanud, menetlust ka kõigi haiglate, tervishoiuasutuste suhtes – minu hinnangul peab seda kindlasti tegema. Samuti on võimalik inimestel nõuetega pöörduda otse kas haiglate poole, samuti on võimalik pöörduda otse Asper Biogene'i poole," rääkis Hübner.

Kahjunõude suurus oleneb asjaoludest

Inimesed, kelle andmed on lekkinud, võiks pöörduda nii moraalse kahju ehk mittevaralise kahju kui ka varalise kahju hüvitamiseks, selgitas ta. "Varaline kahju võib alles selguda – sõltuvalt sellest, kas siin hakkavad järgnema mingid väljapressimised, võib-olla mingid lunavaranõuded ja nii edasi. Aeg näitab," ütles Hübner.

Ta tõi näitena Soome psühhoteraapia kliiniku Vastaamo andmelekke juhtumi, millele järgnesid tuhandete inimeste jaoks väljapressimised, kelmused ja identiteedivargused.

Hübner soovitas olla inimestel, kelle andmed võivad olla lekkinud, väga tähelepanelik ja valvas, kui keegi helistab ja hakkab rääkima midagi nende terviseandmetest ning samuti olla ettevaatlik ka e-kirjade ja võimalike õngitsuskatsete suhtes. Kindlasti tuleks politsei poole pöörduda, kui inimeselt hakatakse nende andmete põhjal midagi välja pressima, rõhutas ta.

Kahjunõude suuruse arvutamisel on Hübneri sõnul erinevaid lähenemisi. "Siin võib rääkida nii mittevaralisest kahjust, mille praktika on muidugi üsna komplitseeritud. Aga kiire vahelepõikena ütlen, et just eelmisel nädalal tuli Euroopa Liidu kohtust lahend, mis ütleb, et ainuüksi inimese kartus, et tema andmeid võidakse kuritarvitada ka tulevikus, näiteks selle lekke tagajärjel, võib anda aluse mittevaralise kahju nõudeks. Ja mittevaralist kahju võib taotleda kohtult, kohtu äranägemise järgi," rääkis ta.

"Ja varaline kahju sõltub asjaoludest, et kui inimene satub mõne väljapressimise ohvriks, jääb täiendavalt ilma mingitest rahalistest vahenditest mingisuguse identiteedipettuse tulemusel või midagi sellist – sealt see selgub," selgitas Hübner.

Tasub uurida lekkinud andmete kohta

Samuti võiks inimesed huvi tunda, mis andmed nende kohta täpsemalt välja lekkisid.

"Ma olen suhelnud mõne inimesega, kes on sellest andmelekkest puudutatud ja olen kuulnud, et teated on olnud seni pigem üldsõnalised. Tegelikult võiks inimesed küsida ka julgemalt ise selgitust. Andmetöötlejad peavad suutma põhjendada ja rääkida konkreetselt, millised andmed lekkisid," rõhutas ta. "Andmetöötleja peab ütlema inimesele, mis täpselt lekkis. See on ka selleks oluline, et kui nüüd inimene ühel hetkel tahabki kaaluda seda, et ta esitab kahjunõude, siis ta ikkagi teab täpselt, mis toimus."

Hübner meenutas ka, et GDPR annab igale inimesele õiguse küsida selgitust, kuidas tema andmeid töödeldakse. "See on ka üks aluspõhimõte – andmekaitse läbipaistvus, et kui me võtamegi kas või needsamad 42 organisatsiooni, kus on kirjas nende andmekaitse tingimused, kus on kirjas, milliseid andmeid nad töötlevad, kus on kirjas, kellele nad neid andmeid edastavad, kus on kirjas, kaua neid andmeid säilitatakse – kõik see peab olema inimesele lihtsas keeles ja arusaadavalt kättesaadav. Ja jällegi praktika näitab, et seda Eestis ei tehta väga palju," tõdes ta.

Eesti andmeid saab lihtsasti avaandmetega kombineerida

Eesti puhul võib lekkinud geeniandmeid kombineerida muude inimeste kohta kättesaadavate andmetega, lisas Hübner. "Eestis on üldse väga palju avalikke andmeid inimeste kohta, inimesi on lihtne profileerida. Ja see kujutab laiemalt – nagu ka andmekaitseinspektsioon vist ühes intervjuus päris õigesti viitas – tegelikult ka julgeolekuohtu riigi tasandil, kus inimestel kaob sellisel kujul kontroll oma andmete üle," rääkis ta.

Hübner tõdes ka, et Eesti inimeste senist vähest valmisolekut oma isikuandmete kaitse eest seista.

"Selline üldine suhtumine on, et mul ei ole ju niikuinii midagi varjata, mis tegelikult praktikas nii kindlasti ei ole.  Milleks ma arvan, kuigi see juhtum on äärmiselt kahetsusväärne, on see hea võimalus teadvustada neid riske. Ja kui siit üldse midagi kasulikku tuleb, siis just nimelt see teadlikkuse tõus," rääkis ta. Hübneri sõnul on Eestis Euroopa tõenäoliselt kõige madalam teadlikkuse tase andmekaitsest.

Eesti ettevõtted on seni olnud hooletud 

"Eesti ettevõtetted ja organisatsioonid tegelikult massiliselt ignoreerivad nõudeid, mis isikuandmete kaitse üldmäärus (DGPR) Euroopas ette näeb. Ja ka siin (Biogene'i juhtumis – toim.), lihtsalt puhtalt oma igapäevasele praktikale tuginevalt, on äärmiselt suur tõenäosus, et need rikkumised on ulatuslikud kogu andmetöötluse tsüklis, alustades haiglatest kuni selle laborini välja – see tõenäosus on väga suur," rõhutas Hübner.

Sellise olukorra põhjuseks on tema hinnangul hooletus ja ükskõiksus ning  suhtumine, et kui konkurent sellesse ei panusta, siis miks mina peaks sellega tegelema, rääkis advokaat." Ja ka karistamatuse tunne, sest et viimased viis ja pool aastat, millal Euroopa Liidu isikuandmete kaitse üldmäärus ehk GDPR on Eestis rakendatud, tegelikult ei ole rikkumiste eest karistusi järgnenud. Siin on olnud küll ka erinevad juriidilised põhjused, mis nüüd tänaseks peaks olema põhimõtteliselt kõrvaldatud," tõdes ta.

Hübner tõi esile, et esimene tõsiseltvõetavam juhtum on Ida-Tallinna keskhaigla kaasus, kus talle teadaolevalt määrati 200 000 euro suurune trahv, aga juhtum ei ole hetkel veel lõpplahendini jõudnud.

Andmekaitse on demokraatia ja inimõiguste küsimus

Hübner rõhutas, et isikuandmete kaitse on üks osa demokraatia ja isikuvabaduste kaitsest.

"Siin on hästi oluline märkida, et õigus isikuandmete kaitsele on inimeste põhiõigus ja sarnaselt õigusega privaatsusele ehk eraelu austamisele. Need on kaks hästi tihedalt seotud õigust, mis on omakorda eelduseks paljudele teistele põhiõigustele ja vabadustele ja laiemalt tegelikult üldse õigusriigi toimimisele ja demokraatlikule ühiskonnakorrale. Kui see alustala on Eestis kaitseta ja mida minu hinnangul ta tegelikult viimased viis ja pool aastat GDPR-i rakendumisest on suuresti olnud, siis on meil ikkagi päris tõsine probleem riigis," rääkis ta.

"Nagu ma ütlesin, siis vähemalt ehk see andmeleke annab võimaluse inimestel seda probleemi rohkem teadvustada ja ka riigi valitsemise tasandil, et sellega tuleb tegeleda," ütles advokaat.