| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2241-2 |
| Registreeritud | 24.09.2024 |
| Sünkroonitud | 25.09.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Baxter Estonia OÜ |
| Saabumis/saatmisviis | Baxter Estonia OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Ene Reins
Baxter Estonia OÜ
Teie 04.09.2024 nr Meie 24.09.2024 nr 2.2-9/24/2241-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles küsite järgnevat: Pöördusin Teie poole eile telefoni teel seoses patsiendi nõusoleku küsimisega. Baxter toodab patsientidele koduse peritoneaaldialüüsi teostamise meditsiiniseadmeid. Antud teenus on tervishoiuteenuste loetelus (§ 11). Kui patsient end seadme külge ühendab on arstil võimalik haiglas seadme tööd ja patsiendi seisundit hinnata. Hetkel puudub Eesti patsientidel ühendus Sharesource'iga (Sharesource on digitaalne platvorm, mis võimaldab ühendust seadmega, mis on PD patsientidel kodus), mis võib tuleneda sellest, et patsiendi nõusolek andmete edastamiseks ei ole Sharesource'i halduspaneelis märgitud. Palun Teie abi, kas haigla arsti poolt saadetud e-posti taotlusest piisab selle nõusoleku märkimiseks või on vaja patsiendi nõusolek dokumenteerida? Leidsin Teie kodulehelt: Eriliiki isikuandmete töötlemine on reeglina keelatud, välja arvatud kui esineb mõni isikuandmete kaitse üldmääruse artikli 9 lõikes 2 avaneb uues vahekaardis nimetatud asjaolu. töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud; Samas on Baxteri kohustus hoida seadmed töökorras, mille käigus on Baxteril juurdepääs patsiendi andmetele (nimi ja aadress): Kokkuvõtteks, palun Teie abi küsimuses, kas patsiendi nõusolekut on vaja dokumenteerida ja kui on vaja, kas on olemas selleks patsiendi nõusoleku vorm?
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses.
Teadmata kõiki asjaolusid, sh miks on vajalik edastada klienti teavitamata tema andmed koos
isikuandmetega kolmandatele isikutele, siis saame selgitada isikuandmete kaitse üldmääruse
(IKÜM) art 5 lg 1 p a sätestab, et isikuandmete töötlemine peab olema seaduslik ja
andmesubjektile läbipaistev; samuti tohib isikuandmeid töödelda (sh koguda, edastada jne) üksnes
kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb eesmärgi seisukohalt
võimalikult vähe andmeid (art 5 lg 1 p c). Isikuandmete töötlemise õiguslike aluste loetelu on
sätestatud IKÜM artiklis 6 (lg 1 p a ehk nõusolek on üks võimalikest õiguslikest alustest). Ehk
siis vastuseks Teie küsimusele, et seda, millisel õiguslikul alusel ja eesmärgil andmetöötlust
läbi viiakse, peab IKÜM art 5 lg 2 kohaselt selgitama ja tõendama andmetöötleja ehk Teie
ise, mitte Andmekaitse Inspektsioon. Kui õiguslik alus selliste andmete töötlemiseks puudub,
siis andmeid töödelda (sh koguda, edastada vms) ei tohi.
Isikuandmete töötlemise aluste ammendav loetelu on välja toodud IKÜM artiklis 6, eriliiki
isikuandmete töötlemise puhul artiklis 9.
Etteruttavalt ning lühidalt selgitame teadmiseks seoses isikuandmete (va eriliiki isikuandmete)
töötlemisega, et IKÜM art 6 lg 1 p a alusel on andmesubjekt andnud nõusoleku töödelda oma
isikuandmeid ühel või mitmel konkreetsel eesmärgil. Nõusolek on vabatahtlik tahteavaldus,
2 (3)
millega isik teadlikult lubab oma isikuandmete töötlemist. Nõusolekut ei loeta vabatahtlikult
antuks, kui isikul puudub vaba valikuvõimalus või ta ei saa nõusoleku andmisest kahjulike
tagajärgedeta keelduda või seda tagasi võtta. Alaealise eest annab nõusoleku lapsevanem või
eestkostja. Oluline on, et isik võib nõusoleku igal ajal tagasi võtta. Nõusoleku tagasivõtmise
võimalusest tuleb isikut informeerida (nõusoleku vormis ja andmekaitse tingimustes) juba enne
nõusoleku võtmist ning tagasivõtmise protseduur peab olema sama lihtne kui selle andmine.
Nõusoleku tagasivõtmine ei mõjuta nõusoleku alusel toimunud andmete töötlemise seaduslikkust.
Kui isik võtab oma nõusoleku tagasi, tuleb tema andmete töötlemine lõpetada. Ehk siis isikul on
õigus oma andmete töötlemise vajalikkuse ja eesmärgipärasuse üle otsustada pöördudes selleks
esmalt vastutava andmetöötleja poole. Samuti ei võta nõusolek õigust näiteks pöörduda
andmetöötleja poole IKÜM-st tulenevate õiguskaitsevahenditega (sh nõuda andmete kustutamist,
piiramist jne).
Igal juhul tuleb Teil läbi mõelda andmetöötluse protsessid ning informeerida andmesubjekte
enne andmete töötlemist.
Oluline on, et enne andmete kogumist tuleb andmetöötlejal koostada andmekaitsetingimused või
viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel
eesmärgil ning õiguslikul alusel töödeldakse. Andmekaitsetingimused on kirjeldus, mis aitab
inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et
andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad
olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt võrgulehel).
Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui paljusid töötlustoiminguid ja milliseid inimeste gruppe see puudutab. Nt peaks
olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub
vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne
põhjendatud aeg, millal andmed kustutatakse).
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
3 (3)
Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima
kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata
isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,
õigustamata edastamised vms).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
maksu- ja tolliamet, haigekassa) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud ning
ettevõttega seotud isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjad kirja panna
ning andmesubjektile tutvustada enne tema isikuandmete töötlemist. Soovi korral võib
andmesubjekt pöörduda selgituste saamiseks andmetöötleja poole ning seejärel vajadusel
Andmekaitse Inspektsiooni poole.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma. Nõusoleku osas soovitame
täiendavalt tutvuda isikuandmete kaitse üldmääruses sätestatud nõusoleku andmise tingimustega
(IKÜM artikkel 7) kui ka inspektsiooni koostatud isikuandmete töötleja üldjuhendiga (9. peatükk.
Nõusoleku küsimine; Lisa 2. Nõusoleku kontrollküsimustik).
Olukorras, kus Andmekaitse Inspektsioon ei osuta õigusabiteenuseid, siis selgitame, et kui Teil on
vaja konkreetsemat õiguslikku seisukohta lähtuvalt konkreetsetest asjaoludest ning töödeldavatest
andmetest, siis soovitame pöörduda õigusnõustajate (advokaadid, juristid jne) poole. Samuti leiab
informatsiooni andmetöötleja vastutusest ning kohustustest isikuandmete töötlemisel siit.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|