Riigikohus ei võtnud menetlusse andmekaitse inspektsiooni (AKI) kassatsioonkaebust Tartu maakohtu otsuse vastu, mis tühistas AKI tehtud 85 000 euro suuruse trahvi geenitestimise ettevõttele Asper Biogene andmekaitsenõuete rikkumise eest.

Riigiprokuratuur teatas detsembris 2023, et geneetilise testimisega tegeleva ettevõtte Asper Biogene andmebaasist laaditi ebaseaduslikult alla terviseandmeid sisaldavaid faile. Andmebaasist laaditi alla umbes 10 000 inimese isiku- ja terviseandmeid.

Andmekaitse inspektsioon heitis Asper Biogene'ile väärteomenetluses ette kaht olulist rikkumist. Esiteks määras ettevõte andmekaitsespetsialistiks oma ainsa juhatuse liikme, kellel puudus selle rolli täitmiseks nii vajalik sõltumatus kui ka pädevus. Selline olukord on AKI hinnangul otseses vastuolus isikuandmete kaitse üldmääruses sätestatud nõuetega.

Teiseks leidis inspektsioon, et Asper Biogene ei olnud rakendanud piisavaid turvameetmeid, mille tõttu said 2023. aasta sügisel küberrünnaku käigus kõrvalised isikud juurdepääsu ettevõtte andmebaasile. Alla laaditi suures mahus andmeid, seal hulgas eriliigilisi isikuandmeid.

Tartu maakohus nõustus, et andmekaitsespetsialisti määramisel oli tegemist rikkumisega. Kohus rõhutas, et juhatuse liige, kes juhib ettevõtte tegevust ja otsustab andmetöötluse eesmärkide ning vahendite üle, ei saa samal ajal sõltumatult täita andmekaitsespetsialisti ülesandeid.

Samas leidis kohus, et rikkumine pandi toime hooletusest ning võttis arvesse asjaolu, et ettevõte on hiljem määranud pädeva spetsialisti ja rakendanud täiendavaid turvameetmeid.

Kohus otsustas, et väärteomenetlus tuleb andmekaitsespetsialisti määramise rikkumise osas otstarbekusel lõpetada, sest menetlusaluse inimese süü on väike ja puudub avalik menetlushuvi. Inspektsioon nende seisukohtadega ei nõustu.

Turvalisuse tagamata jätmise kohta märkis kohus, et tegu pandi toime enne 1. novembrit 2023, kui jõustusid seadusemuudatused, mis reguleerivad selgemalt juriidilise isiku vastutust. Seetõttu lõpetati selles osas menetlus väärteo tunnuste puudumise tõttu, ilma et kohus oleks sisuliselt hinnanud, kas andmekaitsenõudeid rikuti.

AKI leidis, et kohtuotsus ei taga andmesubjektide õiguste tõhusat kaitset ega loo vajalikku õigusselgust. Seetõttu esitas inspektsioon andmekaitsespetsialisti rollikonflikti ja ebapädevuse episoodi osas kassatsioonkaebuse riigikohtule, mille viimane aga kolmapäeval menetlusse võtmata jättis.