Uudis

Sinu andmete lekitamine võib arstile või meditsiinifirmale tuua kuni 20 miljoni eurose trahvi

Arstikabinet. Foto: Tairo Lutter/PM/Scanpix

Kuigi patsientidele võib tuleva aasta maist kehtima hakkav isikuandmete kaitse üldmäärus teha elu ebamugavamaks, ohustab meditsiiniettevõtteid ja –töötajaid tundlike isikuandmete avaldamise puhul trahv kuni 20 miljonit eurot.

Andmekaitse inspektsiooni (AKI) andmetel karistatakse meditsiinitöötajat praegu delikaatsete isikuandmete ebaseadusliku avaldamise või neile ebaseadusliku juurdepääsu võimaldamise eest rahatrahviga kuni 1200 eurot. Juriidilisele isikule on maksimaalne trahvimäär sama asja eest 32 000 eurot. “Täpne summa sõltub konkreetse juhtumi asjaoludest, alati ei pruugi juhtum ka trahviga lõppeda,” märkis inspektsiooni õigusdirektor Raavo Palu.

AKI lubab, et lähtub alati trahvi puhul konkreetsest kaasusest

“Pärast 2018. aasta kevadet tulevad trahvi maksimummäärad isikuandmete kaitse üldmäärusest ja on tõepoolest suuremad,” lisas ta. Uue korra järgi küündivad maksimaalsed trahvisummad 10 ja 20 miljoni euroni. Inspektsiooni teatel ei määra nad maksimaalset trahvisummat praegu ega tee seda tõenäoliselt ka tulevikus. Trahv sõltub alati konkreetsetest asjaoludest, kas tegemist on tahtliku või mitte tahtliku info lekitamisega, kui suure ulatusega see rikkumine on ja paljude inimeste andmetega on tegemist. Maksimummäärad võivad rakenduda eelkõige suurtele rahvusvahelistele korporatsioonidele sellises olukorras, kus on lekkinud väga suur ja tundlik andmemaht.

“Ehkki trahvi maksimummäär tõuseb, jääb andmekaitse inspektsioon siiski kaasusepõhise lähenemise juurde. Ehk teisiti öeldes sõltub ka pärast 2018. aasta kevadet täpne trahvisumma konkreetse juhtumi asjaoludest ja alati ei pruugi me trahvi määrata,” selgitas Palu. Rikkumiste eest määratavate karistustega seonduv võib tema sõnul veel riigisiseselt täpsustuda. Selleks tuleb ära oodata siseriikliku rakendusakti valmimine justiitsministeeriumis.

Seni pole teada juhtumeid, kus patsientide andmed e-kirjadega lekkinud oleks

“Kontrollime tervishoiuteenuse osutajaid süsteemselt omaalgatuslike isikuandmete kaitse vastavus- ja valmidusaudititega. Konkreetsed juhtumid jõuavad meieni peamiselt kaebusepõhiselt,” lausus Palu. “Inspektsioonil puudub teave selle kohta, kas ja kui palju on Eestis arstide saadetud e-kirjadest patsientide tundlikke andmeid lekkinud,” lisas ta.

Uue korra valguses märkis Palu, et tervishoiuteenuse osutajatel on ka praegu kohustus patsientide andmeid hoolikalt hoida. “Eelkõige tuleb ravisuhtes kaitsta terviseandmeid, sest need on oma loomult delikaatsed. Selleks peavad raviasutuses kasutusel olema vastavad turvameetmed,” lausus Palu.

Muu hulgas peab arst olema veendunud, et ta väljastab tundliku info õigele inimesele ning et tema edastatud andmed ei oleks kättesaadavad kellelegi kolmandale. E-posti teel infot vahetades on seda sageli keeruline tagada.

Soovitus: krüpteerige andmed

“Oleme soovitanud vajadusel tundlikud andmed e-posti teel edastamiseks krüpteerida ning alati üle kontrollida, kas tegemist on õige e-posti aadressiga. Samuti võib arst vajadusel otsustada vastata mõne teise kanali kaudu. Siiski on see tervishoiuteenuse osutaja enda otsus ja vastutus, milliseid kanaleid patsientidega info vahetamiseks kasutada. Kui seejuures on turvameetmed tagatud, ei saa keegi seda teenuseosutajale ette kirjutada. Küsimused ja olukorrad on erinevad, mõnikord sobib suhtlemiseks ka tavaline e-kiri,” selgitas Palu.

“Selles osas ei muutu isikuandmete kaitse üldmääruse tulekuga midagi – needsamad kohustused jäävad kehtima ka pärast 2018. aasta kevadet. Võib aga öelda, et üks muutus on määruse ootuses tõepoolest toimumas – nimelt näib, et arstid on tänu määrusega kaasnevale teavitustööle saanud teadlikumaks isikuandmete kaitse nõuetest ja oskavad rohkem tähelepanu pöörata erinevatele turvameetmetele ja võimalikele turvariskidele,” tõdes inspektsiooni õigusdirektor.

Isikuandmete kaitse üldmäärus kehtestatakse Palu sõnul eesmärgiga anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle. “Üldmääruse peamiseks eesmärgiks on anda inimestele parem kontroll oma andmete üle. Seega ei või ka täiendavate turvameetmete kasutuselevõtmine patsientide ligipääsetavust oma andmetele pärssida,” lisas ta.

Täpsemalt saab määrusega seonduvatest teemadest ülevaate andmekaitse inspektsiooni võrgulehe reformirubriigist.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.