| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/26/1534-2 |
| Registreeritud | 27.04.2026 |
| Sünkroonitud | 28.04.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | SA Tallinna Koolitervishoid |
| Saabumis/saatmisviis | SA Tallinna Koolitervishoid |
| Vastutaja | Irina Meldjuk (Andmekaitse Inspektsioon, Euroopa koostöö ja õiguse valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Kädi Lepp
Teie 11.04.2026 nr 1-11/7-2 Meie 27.04.2026 nr 2.2-9/26/1534-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seoses koolitervishoiuteenuse osutamisel
esineva infoturbe riskiga, mis puudutab kooliõdede töökohtade andmeside turvalisust ja selle
vastavust kehtivatele nõuetele.
Nõustume Sotsiaalministeeriumi 27.03.2026 vastuse nr 5.2-2/621-2 selgitustega, et
terviseandmete kui eriliiki isikuandmete töötlemisel eeldatakse kõrgendatud turvameetmete (nii
tehniliste kui ka korralduslike) rakendamist. Tervisealased isikuandmed on ka põhiõiguste ja -
vabaduste seisukohast eriti tundlikud andmed, mistõttu on oluline, et nende töötlemisel oleks
tagatud piisav usaldusväärsus ja konfidentsiaalsus.
AKI hinnangul ei ole jagatud või üldkasutatava koolivõrgu kasutamine ilma asjakohaste
tehniliste eraldus- ja kaitsemeetmeteta terviseandmete töötlemiseks piisavalt turvaline. Ka Teie
pöördumises kirjeldatud praktika, kus terviseandmeid edastatakse krüpteerimata kujul e-posti
teel, kujutab endast kõrget riski. Selline edastamine peaks üldjuhul olema välistatud, erandina
tuleb rakendada täiendavaid turvameetmeid, eelkõige krüpteerimist.
Isikuandmete kaitse üldmääruse (IKÜM) artikli 32 kohaselt on vastutava töötleja
(tervishoiuteenuse osutaja) kohustus rakendada asjakohaseid tehnilisi ja korralduslikke
meetmeid, mis tagavad isikuandmete turvalisuse, sh konfidentsiaalsuse, tervikluse ja
käideldavuse. Koolitervishoiu puhul on olukord spetsiifiline, kuna tervishoiuteenuse osutaja
tegutseb koolipidaja keskkonnas ning kasutab muu hulgas kooli sidevõrku. Asjaolu, et
tervishoiuteenuse osutaja ei ole kasutatava sidevõrgu omanik ega haldaja, ei vabasta teda
kohustusest tagada isikuandmete töötlemise turvalisus. Kui kooli võrk ei vasta eriliiki
isikuandmete töötlemiseks nõutavale turbetasemele, kaasneb sellises keskkonnas teenuse
osutamisega oluline IKÜM nõuete rikkumise risk.
Juhime tähelepanu, et kui vastutav töötleja kasutab oma tegevuses volitatud töötlejat, tuleb poolte
vahel sõlmida andmetöötlusleping vastavalt IKÜM artiklile 28. Koolipidaja rolli (nt sidevõrgu
võimaldamisel) tuleb hinnata juhtumipõhiselt, sealhulgas seda, kas tegemist on volitatud
töötlejaga IKÜM tähenduses1. Töötlemisleping ei peaks piirduma IKÜM sätete kordamisega,
1 Vastutava ja volitatud töötleja mõistetest ja vahelistest suhetest saab rohkem infot AKI kogulehelt ning Euroopa Andmekaitsenõukogu suunistest.
2 (2)
vaid peab sisaldama konkreetset kirjeldust rakendatavatest meetmetest, sh nõutavast
turbetasemest ning töötlemise esemest ja ulatusest.
AKI hinnangul kaasneb kirjeldatud ebaühtlase praktikaga märkimisväärne isikuandmete kaitse
rikkumise risk. Peame põhjendatuks algatada koordineeritud tegevus praktika ühtlustamiseks
ning ühtse riikliku lahenduse väljatöötamiseks. AKI on valmis selles küsimuses vajadusel
täiendavalt kaasa rääkima.
Lugupidamisega
Irina Meldjuk
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|