| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 1.2.-3/25/2853-1 |
| Registreeritud | 03.09.2025 |
| Sünkroonitud | 04.09.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.2 Asjaajamine |
| Sari | 1.2.-3 Kirjavahetus meediaga (uus nimi al 01.01.2023) |
| Toimik | 1.2.-3/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Maire Iro (Andmekaitse Inspektsioon, Koostöö valdkond) |
| Originaal | Ava uues aknas |
Maire Iro - AKI
Saatja: Maire Iro - AKI Saatmisaeg: kolmapäev, 3. september 2025 11:12 Adressaat: press - AKI Teema: Asper Biogene andmeleket puudutav kohtuvaidlus on lõppenud
Asper Biogene andmeleket puudutav kohtuvaidlus on lõppenud Riigikohus otsustas jätta Andmekaitse Inspektsiooni kassatsioonikaebuse Asper Biogene andmeleket puudutavas kohtuasjas menetlusse võtmata. Seega on jõustunud Tartu Maakohtu otsus, millega tühistati ettevõttele määratud trahv.
Inspektsioon heitis Asper Biogenele väärteomenetluses ette kaht olulist rikkumist. Esiteks määras ettevõte andmekaitsespetsialistiks oma ainsa juhatuse liikme, kellel puudus selle rolli täitmiseks nii vajalik sõltumatus kui ka pädevus. Teiseks leidis inspektsioon, et Asper Biogene ei olnud rakendanud piisavaid turvameetmeid, mille tõttu said 2023. aasta sügisel kõrvalised isikud küberrünnaku käigus juurdepääsu ettevõtte andmebaasile, sealhulgas eriliigilistele isikuandmetele.
Maakohus nõustus, et andmekaitsespetsialisti määramisel oli tegemist rikkumisega. Kohus rõhutas, et juhatuse liige, kes juhib ettevõtte tegevust ja otsustab andmetöötluse eesmärkide ning vahendite üle, ei saa samal ajal sõltumatult täita andmekaitsespetsialisti ülesandeid. Samas leidis kohus, et rikkumine pandi toime hooletusest ning võttis arvesse, et ettevõte määras hiljem pädeva spetsialisti ja rakendas täiendavaid turvameetmeid. Kohus lõpetas väärteomenetluse otstarbekuse kaalutlusel, leides, et süü oli väike ja puudus avalik menetlushuvi. Turvameetmete osas lõpetati menetlus, kuna tegu leidis aset enne seadusemuudatusi, mis reguleerivad selgemalt juriidilise isiku vastutust.
Andmekaitse Inspektsioon jääb seisukohale, et andmekaitsespetsialisti sõltumatus ei ole pelgalt formaalne nõue ning seda rolli ei saa täita isik, kes samal ajal juhib organisatsiooni. Andmekaitsespetsialisti määramisel peab lähtuma nii sõltumatuse kui pädevuse nõudest ning see kehtib kõigi andmetöötlejatele olenemata nende suurusest.
__________________
Taust
2023. aasta lõpus rünnati Asper Biogene OÜ süsteemi ja saadi kätte ca 100 000 faili inimeste isikuandmetega, sealhulgas geeni- ja terviseandmetega.
Asjaolude selgitamiseks alustas politsei kriminaalmenetluse ja Andmekaitse Inspektsioon alustas menetluse andmetöötleja suhtes.
2025. aasta jaanuaris määras inspektsioon Asper Biogene OÜ-le kokku 85 000 euro suuruse väärteotrahvi kahe olulise rikkumise eest. Ettevõte kaebas otsuse edasi.
Tartu Maakohus tühistas 26. juunil 2025 trahviotsuse ning lõpetas menetluse. Inspektsioon esitas otsuse peale kassatsioonkaebuse.
2025. aasta augustis otsustas Riigikohus jätta inspektsiooni kassatsioonikaebuse menetlusse võtmata.
Varasemad kajastused menetluskäigust
29.12.2023 Geneetilise testimisega tegeleva ettevõtte andmebaasist laaditi ebaseaduslikult alla terviseandmeid sisaldavaid faile | Andmekaitse Inspektsioon
25.03.2024 Asper Biogene OÜ andmeleke | Andmekaitse Inspektsioon
10.01.2025 Trahviotsus: 85 000 suurune rahatrahv Asper Biogene OÜ-le | Andmekaitse Inspektsioon
03.07.2025 Andmekaitse Inspektsioon kaebab Asper Biogene väärteoasjas tehtud kohtuotsuse edasi | Andmekaitse Inspektsioon
Maire Iro Avalike suhete nõunik [email protected] 5385 4644, 627 4136 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn | YouTube