Merlin Liis-Toomela: andmekaitses on vabanduste aeg läbi saamas

Eesti andmekaitse inspektsioon on seni eristunud paljudest Euroopa kolleegidest, eelistades olla pigem sõbralik nõuandja kui range trahvija. Selline lähenemine on olnud väärtuslik, kuid on mõnikord kaasa toonud olukorra, mille tõttu on jäänud vajaka selgest vastutuse tajumisest.

Nüüd paistab olevat toimunud esimene tõsisem murrang. Möödunud reedel teatas AKI, et Eesti apteegiketi kliendiandmete haldajale määrati kolme miljoni euro suurune trahv kliendiandmete piisava kaitseta jätmise eest. See on suurim andmekaitsetrahv Eesti ajaloos.

See otsus on selge märk, et ajad on muutumas. Andmekaitset ei saa enam pidada teisejärguliseks. Kui nõuete täitmine jääb tagaplaanile, võib lisaks mainekahjule kaasneda rikkumisest reaalne rahaline kahju.

Trahv on sageli alles algus, sest kui rikkumise tõttu seiskuvad süsteemid või satuvad kliendiandmed valedesse kätesse, võib äritegevus peatuda tundideks, päevadeks või isegi kauemaks. Lisaks kaasnevad kulud süsteemide taastamiseks, klientide teavitamiseks, kriisikommunikatsiooniks ja võimalikeks kohtuvaidlusteks. Kõik see on ettevõtte jaoks märkimisväärne koorem.

Seepärast tasub tegutseda ennetavalt ja viia oma andmekaitse “majapidamine” korda. See vähendab riski, et midagi üldse juhtub. Kui intsident siiski aset leiab ja on näha, et ettevõte on teinud endast kõik oleneva, arvestavad seda nii järelevalveasutused kui ka kliendid.

Euroopas on isikuandmete töötlemise nõuete rikkumise eest märkimisväärsete trahvide määramine juba ammu reaalsus. 2025. aasta sügise seisuga on isikuandmete kaitse üldmääruse (IKÜM) rikkumiste eest määratud trahve kokku enam kui kuue miljardi euro ulatuses. Suurimad summad on tabanud küll tehnoloogiahiide nagu Meta, Amazon ja Tiktok, kuid see ei tähenda, et väiksemad tegijad oleksid puutumata.

Oluline on meenutada, et IKÜM võeti vastu juba 2016. aastal ja seda rakendatakse alates 2018. aastast, kümnes aastapäev ei ole enam kaugel. Seega ei saa enam väita, et pole olnud aega reeglitega kohaneda. Aastad on olnud piisavad, et luua sisemised protsessid, koolitada töötajaid ja tagada turvalised süsteemid.

Küberintsidentide arv kasvab igal aastal, kuid paljud ettevõtted on endiselt kehvalt ette valmistatud. Andmekaitse ei ole enam ainult IT-osakonna või juristide mure, vaid strateegiline küsimus, mis puudutab ettevõtte mainet ja ka majanduslikku jätkusuutlikkust.

Niisiis on viimane aeg peeglisse vaadata ja küsida: kas meie andmekaitsemajapidamine on päriselt korras?

Artikkel ilmus esmakordselt ERRi portaalis 10. septembril 2025. Autor: Merlin Liis-Toomela, Merlin Liis-Toomela, Ellex Raidla andmekaitse ja IT-õiguse valdkonnajuht.