Artikkel avaldatud Postimehes.
Eelmisel reedel jõudis rekordiline GDPR trahv Eestisse – nimelt määras Andmekaitse Inspektsioon (AKI) Apotheka ja PetCity kliendiandmete haldajale 3 miljoni eurose trahvi isikuandmete töötlemise turvalisuse nõuete rikkumise eest.
Vahetult enne seda jõudis Eestis kohtulahendini ka meedias laialdaselt kajastust leidnud Asper Biogene küberrünnaku ja sellest tuleneva andmelekke juhtum. AKI määras ettevõttele algselt isikuandmete töötlemise nõuete rikkumise eest 85 000 euro suuruse trahvi, kuid tänaseks jõustunud kohtuotsusega tühistati see terves ulatuses.
Asper Biogene kaasus on tõstatanud arutelu, et kui suur peaks olema õiglane trahvisumma isikuandmete kaitse üldmääruse (inglise keeles lüh GDPR) rikkumise eest. Nimelt näeb GDPR ette, et määratav trahv peab olema tõhus, proportsionaalne ja heidutav. Teisisõnu tuleb määratava trahvi summat kohandada vastavalt toime pandud rikkumisele ning arvesse võtta mh ka raskendavad ja kergendavaid asjaolusid ning ettevõtja käivet. Seejuures ei peaks GDPR trahvide eesmärk olema üksnes karistamine, vaid eeskätt andmekaitsenõuete täitmise tagamine ning ettevõtte motiveerimine andmetöötluse vastavust järjepidevalt ja tõsiselt võtma. Samas ei tohiks sanktsioon olla nii koormav, et see viib ettevõtte majanduslikesse raskustesse või pankrotti, sest selline tulemus ei toetaks GDPRi eesmärke ega soodustaks jätkusuutlikku andmekaitsepraktikat.
Näitena võib tuua Soome, kus 2021. aastal määrati psühhoterapeudi kliinikule Vastaamos 608 000 euro suurune trahv patsientide isikuandmete lekkimise eest. Trahv moodustas ligi 4,2% ettevõtte aastakäibest ning viis ettevõtte pankrotini. Asper Biogene puhul moodustas esialgselt määratud trahvisumma ligi 13% ettevõtte 2024. aasta käibest. Nüüdseks kohtu poolt jõustunud lahendiga tühistatud trahvisumma oleks sellises summas kehtima jäämise korral tekitanud ettevõttele märkimisväärseid majanduslikke raskuseid ning seadnud selle tõsise pankrotiohu alla. Sellised juhtumid demonstreerivad, kuidas suured trahvisummad võivad ettevõtetele kaasa tuua tõsiseid majanduslikke tagajärgi ning märkimisväärseid riske ettevõtete edasisele jätkusuutlikkusele.
Ehkki GDPR võimaldab määrata rekordiliselt suuri trahve, tuleb proportsionaalse trahvi määramisel arvestada ka ettevõtte majandusnäitajaid, sest trahv ei tohiks ettevõtte majanduslikku elujõulisust fataalselt murda. Rekordilise suurusega trahvid peaksid olema õigustatud eelkõige juhtudel, kus rikkumine on süsteemne ning ettevõtte ärimudel põhineb isikuandmete kaitse nõuete teadlikul ja ulatuslikul eiramisel.
Kokkuvõtvalt leiame, et trahv ei tohiks ettevõtet pankrotti viia, vaid peaks toimima stiimulina andmekaitse tõhusaks järgmiseks. Seega eesmärgiga tagada laialdasemalt andmekaitse nõuete paremat järgimist tuleb proportsionaalsete GDPR trahvide määramisel lähtuda kindlasti ka ettevõtte majandusnäitajatest, sest trahv ei tohiks ettevõtte selgroogu murda.
Siin on võimalik lähemalt lugeda NJORD advokaadibüroo andmekaitse- ja kohtutiimi edukast Asper Biogene esindamisest, millega saavutati 85 000-euro suuruse trahviotsuse tühistamine.
NJORD Advokaadibüroo andmekaitsetiim nõustab kliente igakülgsetes andmekaitse küsimustes ning vajaliku dokumentatsiooni koostamisel, järelevalveasutuste ja andmesubjektidega suhtluses ning kohtuvaidlustes. Kui soovid andmekaitse küsimustes tuge, kontakteeru meiega sille.eerik@njordlaw.ee või liis.leedo@njordlaw.ee.
