| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 1.2.-3/24/61-2 |
| Registreeritud | 01.02.2024 |
| Sünkroonitud | 26.03.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.2 Asjaajamine |
| Sari | 1.2.-3 Kirjavahetus meediaga (uus nimi al 01.01.2023) |
| Toimik | 1.2.-3/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Ekspress |
| Saabumis/saatmisviis | Eesti Ekspress |
| Vastutaja | Grete Lehemaa (Andmekaitse Inspektsioon, Koostöö valdkond) |
| Originaal | Ava uues aknas |
1
Grete Lehemaa
Adressaat: Grete Lehemaa Teema: RE: Eesti Ekspressist ajakirjanik tülitab
Panin kokku kiire vastuse. Loodan, et leiate kasulikku materjali siit. Ei plaaninud viivitada vastusega ja minu poole pöördumine oli igati õige. Vastamise aega mõjutavad erinevad asjaolud. Püüan enda parima anda, et edaspidi kiiremini kättesaadav olla. Selgitamiseni me veel menetluses jõudnud ei ole. Küsimus on õigustatud, kuna laboril ei ole oluline kellele tulemused kuuluvad, volitatud töötleja kasutamine peab olema lepingutega reguleeritud ja peab olema konkreetne vajadus nende kasutamiseks. IKÜM ei määra, millisel viisil turvalisus tuleb tagada. Tsiteerin IKÜM artiklit 83: „Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile.“ Jaakson ei ole meie andmetel enam Asper Biogene andmekaitsespetsialist. Äriregistri andmetel on juhatuse liige Hardi Tamm andmekaitsespetsilist. Juhime tähelepanu, et juhtkonna liige ja andmekaitsespetsialist ei saa olla ühes isikus, kuna tekib huvide konflikt. IKÜM’st tulenevalt võib andmeid säilitada senikaua kuni on oma algse eesmärgi pärast vaja ning kui säilitamistähtaeg ei tule muust õigusaktist. Tervishoiuteenuse pakkujatele kehtivad tähtajad on tulenevad eriseadustest. AKIle tehti rikkumisteade 15.11, samal päeval alustasime ka menetlust. Teade tuli asutuselt endalt. Telefoniga on pärast operaatori vahetamist probleeme olnud, edastan numbri, kui soovite pöörduda. +372 58021075 Tervitades Grete Lehemaa Avalike suhete nõunik [email protected] +372 6274136 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn I Facebook I Youtube
2
From: Sulev Vedler <[email protected]> Sent: Thursday, January 4, 2024 4:56 PM To: Grete Lehemaa <[email protected]> Subject: Eesti Ekspressist ajakirjanik tülitab
Tere! Ja head uut aastat! Tülitan nädalalehest Eesti Ekspress. Mind suunas Teile kirjutama (märkusega, et ta nagunii soovib küsimusi kirjalikult!) Teie kolleeg Katrin Haug. Nimelt olen kirjutamas ühte lugu sügisel toimunud andmevargusest, mis toimus firmas Asper Biogene. Ja nagu ma aru saan, toimub seal korraga kaks menetlust. Üks puudutab siis nn küberünnakut, millega tegeleb prokuratuur, ja teine on andmekaitse alane, millega tegeleb teie asutus. Ma tean, et mõlemad menetlused on pooleli ja seetõttu ei saa te kõikidele asjadele vastuseid anda. Aga küsida võib ehk ikka Ühe kõige asjalikuma kommentaari toimunu kohta kirjutas Facebookis õiguskantsler Ülle Madise. Sellest ajendatuna siis uuringi: 1. Madise: „Põhiküsimus on see, miks varastatud andmed ettevõtja käes üldse olid. Asper Biogenest varastatud andmed pärinesid mh aastast 2009.“ Millega seda teie asutusele selgitati? 2. Madise: „Kui raviarsti otsusel tellitakse geeni- vm uuringud erafirma laborist, peaks suhtlus olema krüpteeritud ja inimese nime, isikukoodi jmt asemel peudonüüm.“ Lugesin inspektsiooni peadirektori Pille Lehise kommentaari Postimehele, et „esimesed indikatsioonid näitavad, et juhtumi tagajärgi oleks saanud inimestele leevendada, kui isikuandmed oleksid olnud pseudonüümitud ja krüpteeritud ning läbi oleks viidud korralisi turvatestimisi.“ Millega on teile selgitatud, et seda seal ei tehtud? Kas Asper Biogene’ andmekaitsespetsialist Kadri Jaakson on üldse pädev andmekaitse alal? 3. Madise: „Andmeid, koematerjali jm ei tohi alles hoida kauem kui tarvis ja seadus lubab.“ Milline seadus seda reguleerib? Millised on tähtajad? 4. Madise: „Tuleb kontrollida, kas tundliku geeni- ja terviseinfo säilitamine sedalaadi laboris on seaduslik.“ Milline on teie asutuse seisukoht selles? Lisaks huvitab mind, et kuidas AKI sai üldse juhtunu kohta infot? Kas teavitus tuli Asper Biogenelt või tema tarkvara arendajalt või serveripagi teenusepakkujalt või hoopis mõnelt muult riigiasutuselt, näiteks politseilt? Mis siis edasi sai? Kuidas oleks tark edasi talitada, et neile küsimustele vastuseid saada? Lugupidamisega, Sulev Vedler Eesti Ekspress Tel taskus: +372 5527007 www.ekspress.ee
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Meediapäring | 08.01.2024 | 79 | 1.2.-3/24/61-1 | Sissetulev kiri | aki | Eesti Ekspress |