Isikuandmete kaitse üldmäärus (GDPR) sätestab, et igal isikul, kes on kandnud määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest. Arvestades lekkinud andmete tundlikkust ning seda, kelle kätte need langesid, on juba täna aktuaalne kannatanutele mittevaralise kahju hüvitamine.

Üheks põhjuseks on inimese poolt kontrolli kaotamine oma isikuandmete üle. Igal inimesel on õigus omada kontrolli enda isikuandmete üle, sh selle üle kes ja kuidas neid töötleb. GDPR-i põhjendustes selgitatakse, et isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu näiteks kontrolli kaotamine oma isikuandmete üle. Hiljuti kinnitas Euroopa Kohus (VB vs. Natsionalna agentsia za prihodite), et just sellest GDPR-i põhjendusest nähtuvalt võib ainuüksi enda isikuandmete üle kontrolli kaotamine tekitada mittevaralist kahju, isegi kui andmete kuritarvitamine ei ole inimest veel konkreetselt kahjustanud.

Tuleb tähele panna, et enda isikuandmete üle kontrolli kaotamine võib põhjustada mittevaralist kahju, aga ei tähenda veel kahju tekkimist. Küll aga võib isikuandmete üle kontrolli kaotamisel rääkida kahjust siis, kui inimesel on selle tagajärjel tekkinud põhjendatud kartus, et kolmas isik võib tema isikuandmeid kuritarvitada (sedagi kinnitas Euroopa Kohus asjas VB vs. Natsionalna agentsia za prihodite).

Kas täna on põhjust karta, et Asper Biogene-st lekkinud/varastatud isikuandmeid võidakse kuritarvitada? Igatahes on. Seda juba seetõttu, et seni avaldatu kohaselt langesid need andmed kurjategijate küüsi, kes on esitanud lunarahanõude. Teisisõnu, need andmed ongi väljapressijate käes. Seega on küllaga põhjust karta, et keegi kolmas kasutab lekkinud andmeid ära nende avalikustamisega ähvardamise teel raha nõudmiseks või avalikustabki need. See tähendab hirme ja läbielamisi inimestele, kelle andmed lekkisid – mis ongi juba mittevaraline kahju. Kõige hullem on see, et lekkinud andmetega on nagu hambapastaga – kui see on korra tuubist välja lastud, siis on seda väga raske sinna tagasi saada. Paljud inimesed võivad terve elu elada hirmus, et nende delikaatsed andmed avalikustatakse või kasutatakse väljapressimiseks.

Selliste läbielamiste puhul on keeruline hinnata kahju suurust. Seadus ütlebki, et kui kahju tekitamine on kindlaks tehtud, kuid kahju täpset suurust ei saa kindlaks teha, otsustab hüvitise suuruse kohus. Siinkohal hakkab rolli mängima, millised andmed lekkisid. Tõenäoliselt inimesed, kelle puhul lekkisid andmed, millest nähtub näiteks püsiv haigus, viljatus või isadus, seisavad silmitsi suurema hirmuga, kui need, kelle andmetest ilmneb pelgalt perfektne tervis.

Kelle käest kahju nõuda? Ma arvan, et vähestel on olnud otsene kokkupuude Asper Biogene-ga. Reeglina on pöördutud testide tegemiseks mõnda kliinikusse või haiglasse, kelle kätte on usaldatud enda andmed ja nemad omakorda on need edastanud ettevõttesse, kust andmed lekkisid. Tegelikkuses peab ka kliinik või haigla, kellele enda isikuandmed usaldati, tagama andmete turvalisuse ja õiguspärase töötlemise. Kui seda ei ole tehtud, siis langeb vastutus ka nendele asutustele.

Lauri Talumäe
Advokaadibüroo LINDEBERG advokaat

Arvamus on avaldatud Eesti Päevalehe veebiväljaandes