Vastus pöördumisele
| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 1.2.-3/26/2204-2 |
| Registreeritud | 27.05.2026 |
| Sünkroonitud | 28.05.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.2 Asjaajamine |
| Sari | 1.2.-3 Kirjavahetus meediaga (uus nimi al 01.01.2023) |
| Toimik | 1.2.-3/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Rus.Postimees |
| Saabumis/saatmisviis | Rus.Postimees |
| Vastutaja | Katrin Haug (Andmekaitse Inspektsioon, Koostöö valdkond) |
| Originaal | Ava uues aknas |
Failid
From: press - AKI <[email protected] >
Sent: Wed, 27 May 2026 13:41:35 +0000
To: Nataliia Vedeneeva <[email protected] >
Subject: Vs: Päring väljaandelt Rus.Postimees
Tere, Nataliia
Tänud, et pöördusite meie poole ja vastust ootasite.
Terviseportaalis on igaühel võimalik määrata endale esindaja. See tähendab aga väga ulatusliku ligipääsu andmist oma terviseandmetele. Täieõiguslik esindaja saab vaadata esindatava terviseandmeid ning teha tema eest erinevaid toiminguid. Seetõttu soovitame
inimestel enne sellise volituse andmist väga hoolikalt läbi mõelda, millise ligipääsu nad teenusepakkujale tegelikult annavad.
Kui teenus puudutab vaid ühte konkreetset toimingut, näiteks arstiaegade otsimist ja broneerimist, ei pruugi inimene mõista, et selleks antav ligipääs võib tegelikkuses olla oluliselt laiem ning hõlmata ka juurdepääsu tema terviseandmetele tervikuna. Kui ettevõte
töötleb teenuse osutamiseks inimese terviseandmeid nõusoleku alusel, peab see nõusolek olema teadlikult antud. Teenusepakkuja peab inimesele arusaadavalt selgitama, millistele andmetele ligi pääsetakse, milleks neid kasutatakse, kas ja kui kaua andmeid säilitatakse
ning kuidas saab inimene oma nõusoleku hiljem tagasi võtta. Samuti peab teenusepakkuja suutma tõendada, et inimene andis nõusoleku vabatahtlikult ja piisava info põhjal.
Riik on loonud ka eraldi andmenõusolekuteenuse, mille kaudu saab inimene anda ja hallata nõusolekuid oma andmete jagamiseks konkreetsele teenusepakkujale. See erineb täieõigusliku esindaja määramisest Terviseportaalis, sest
võimaldab anda ligipääsu ainult konkreetse teenuse jaoks vajalikus ulatuses. (Rohkem infot andmenõusoleku teenuse kohta:
https://www.ria.ee/riigi-infosusteem/inimkeskne-andmehaldus/andmenousolekuteenus)
Alates 1. detsembrist 2026 muutub keskse andmenõusolekusüsteemi kasutamine kohustuslikuks juhtudel, kus eraõiguslikule teenusepakkujale edastatakse inimese nõusoleku alusel X-tee kaudu riigi või kohaliku omavalitsuse andmekogudes olevaid andmeid.
Andmekaitse Inspektsioon on kõnealuse veebilehe suhtes alustanud järelevalvemenetluse, et hinnata täpsemalt teenuse toimimist ning selle vastavust andmekaitsenõuetele.
Loodetavasti oli sellest vastusest teile loo kirjutamisel kasu,
Parimatega,
Saatja: Nataliia Vedeneeva <[email protected]>
Saadetud: esmaspäev, 25. mai 2026 14:32
Adressaat: press - AKI <[email protected]>
Teema: Päring väljaandelt Rus.Postimees
Saadetud: esmaspäev, 25. mai 2026 14:32
Adressaat: press - AKI <[email protected]>
Teema: Päring väljaandelt Rus.Postimees
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Lugejad on juhtinud meie tähelepanu Eestis turule tulnud äriteenusele, mis pakub Terviseportaali kaudu tasulist ja automatiseeritud eriarsti aegade broneerimist:
https://kiirearst.ee/et/how-it-works
Meile teadaoleva info kohaselt võib antud IT-lahendus kasutada vabade aegade jälgimiseks ja broneerimiseks automatiseeritud süsteeme ning küsib kasutajatelt juurdepääsu nende isiklikele kontodele. Seoses sellega soovime kontrollida sellise ärimudeli seaduslikkust
ja turvalisust. Kas antud platvormi tegevus on kooskõlas Eesti kehtiva seadusandluse, andmekaitsenõuete ning riiklike infosüsteemide kasutustingimustega?
-
Teenus nõuab kasutajatelt täieliku ligipääsu andmist nende Terviseportaali isiklikule kontole, et bot saaks nende nimel vastuvõtuaja broneerida. Kas riiklikku meditsiinisüsteemi sisselogimisõiguse delegeerimine kolmandate osapoolte kommertsalgoritmidele on GDPR-i ja Eesti seaduste seisukohast seaduslik?
-
Patsiendi kasutajakonto alt aega broneerides saab robot tehniliselt täieliku ligipääsu kogu tervisekaardile: diagnoosidele, retseptidele, haiguslugudele ja delikaatsetele isikuandmetele. Kas Inspektsioon on läbi viinud selle teenuse auditi, et kontrollida, kuidas nad täpselt tagavad, et klientide delikaatseid terviseandmeid ei laadita alla ega salvestata privaatserveritesse?
-
Kas kommertsettevõttel on õigus säilitada enda juures Eesti kodanike isikukoode ja autentimistokeneid hilisemate automaatsete tegevuste jaoks riiklikes süsteemides ning millised sanktsioonid ähvardavad platvormi sellise andmebaasi lekke korral?
Lugupidamisega,
Nataliia Grebneva (Vedeneeva)
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Meediapäring | 27.05.2026 | 1 | 1.2.-3/26/2204-1 | Sissetulev kiri | aki | Rus.Postimees |