Päevatoimetaja:
Aimur-Jaan Keskel

Ida-Tallinna keskhaigla käib inspektsiooniga patsientide andmete eest tehtud 200 000-eurose trahvi pärast kohut

Copy
Pille Lehis.
Pille Lehis. Foto: Mihkel Maripuu

Ida-Tallinna keskhaigla ning andmekaitse inspektsioon (AKI) vaidlevad kohtus isikuandmete kaitse üldmääruse ehk GDPRi rikkumise eest haiglale määratud 200 000 trahvi üle. AKI peadirektori Pille Lehise sõnul vaieldakse kohtus selle üle, kas GDPR kehtib ainult korrastatud andmekogus olevatele digitaalsetele andmetele või ka paberil andmetele.

Ida-Tallinna keskhaigla sai 200 000 eurot trahvi, sest patsientide haiguslood olid valveta ehituskonteineris, kus AKI inspektor need juhuslikult leidis ning haigla sai 200 000 euro suuruse trahvi.

Ida-Tallinna keskhaigla läks trahvi vaidlustamiseks kohtusse, sest nende väitel võõrad konteineris olnud dokumente ei näinud ning inspektor ronis ise konteinerisse.

Pille Lehise kirjutab inspektsiooni kodulehel, et isikuandmete kaitse üldmääruse ehk IKÜMi põhjenduspunkt 4 esimene lause ütleb, et isikuandmete kaitse peaks olema mõeldud teenida inimesi. Mind, inimese-andmesubjektina, aga muidugi ka inspektsiooni juhina, paneb väga muretsema võimalus, et õigusakt, mis on mõeldud kaitsma just üksikisikut kui nõrgemat osapoolt andmetöötlejate eest, võib-olla siinkohal ei kaitsegi. «Olukorras, kus talupoja mõistusega võttes saavad kõik aru, et rikkumine eksisteerib, aga peen juriidika ja kõrge tõendamisstandard võimaldab vastutusest vabaneda,» kirjutab ta.

«Erinevalt muudest Euroopa riikidest peab Eestis inspektsioon trahve määrama väärteomenetluse ehk süüteomenetluse raames ja kogu tõendamiskoormus lasub justkui inspektsioonil. Mis tähendab, et ei pruugi piisata faktist, et konteiner suure hulga tundlike terviseandmetega oli valveta,» tõdeb Lehis.

Lehis kijrutab, et IKÜM põhjenduspunkt 10 ütleb, et füüsiliste isikute õiguste ja vabaduste kaitse isikuandmete töötlemisel peab olema kõigis liikmesriikides samal tasemel. Karistuste määramise osas selgitab IKÜM, et määruse eeskirjade täitmise tagamiseks tuleb määruse igasuguse rikkumise eest rakendada karistusi, sealhulgas trahve, lisaks järelevalveasutuse kehtestatud meetmetele või nende asemel (pp 148). Ehkki IKÜM sätestab Eestile erandi, et me võime trahve määrata väärteomenetluse korras, ütleb see selgelt, et eeskirjade sellisel kohaldamisel liikmesriikides (Eestis) peab olema samaväärne toime nagu järelevalveasutuse määratud trahvidel (ehk haldustrahvidel). Määratavad trahvid peavad olema tõhusad, proportsionaalsed ja heidutavad.

«Olukorras, kus me võime jõuda sinna, et vaatamata rikkumise faktile saab olulisemaks konteineri kõrgus vms nüansid, jättes kõrvale selle, et isikute terviseandmed olid valveta ja kolmandatele isikutele kättesaadavad, siis ma ei julge küll väita, et isikuandmete kaitse on kõikides liikmesriikides samal tasemel, nagu nõuab IKÜM. Kusjuures sellel, kui mitu inimest reaalselt andmetega tutvuda sai või ei saanud, ei tohiks olla määravat rolli. Inimese terviseandmed on erilise kaitse all, ja nagu me teame, siis ühe inimese, kelle andmed kolmandale ebasobivale isikule teatavaks saavad, võib sellest piisata, et tema edasine elu on rikutud. Täna on nad korrastamata paberil, homme juba kõikjal internetis,» kirjutab Lehis.

Tagasi üles