| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/1856-4 |
| Registreeritud | 26.09.2024 |
| Sünkroonitud | 27.09.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | AS Arstikeskus Confido |
| Saabumis/saatmisviis | AS Arstikeskus Confido |
| Vastutaja | Irina Meldjuk (Andmekaitse Inspektsioon, Õigusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Made Rästas
Teie 16.07.2024 Meie 26.09.2024 nr 2.2-9/24/1856-4
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seoses eriliigiliste isikuandmete
töötlemisega nõusoleku alusel.
Kõigipealt vabandab AKI vastusega viivitamise pärast, mis on tingitud asutuse suurest
töökoormusest.
AKI esitab oma seisukoha Teie selgitustaotluses esitatud küsimuste kaupa.
1. Kas PPA saab tervishoiuteenuse osutajalt isikuandmete, sh eriliigiliste isikuandmete
küsimisel tugineda õigusliku alusena andmesubjekti nõusolekule?
Terviseandmete kui eriliiki isikuandmete (vt isikuandmete kaitse üldmääruse (IKÜM) art 9 lg 1)
töötlemine on seotud mitmete erinevate piirangutega ning need võivad kriminaalmenetluse
läbiviimist raskendada. Eriliigiliste isikuandmete avaldamine on lubatud ainult IKÜM art 9 lg-s
2 toodud asjaolude esinemisel, sh andmesubjekti (patsiendi) selgesõnalise nõusoleku alusel. AKI
hinnangul on kõige olulisem siinkohalt mõista kõigipealt seda, et isikuandmete avaldamisel
vastutab seadusliku aluse olemasolu eest isikuandmete avaldaja (antud juhul tervishoiuteenuse
osutaja), mitte küsija (PPA). Seega just tervishoiuteenuse osutaja kohustuseks on tagada
isikuandmete töötlemise (sh avaldamise) kõikide eelduste täitmise.
Nagu Riigikohus on selgitustaotluses viidatud lahendi nr 1-20-5071 p-s 24 leidnud, kuulub
nõusolek oma terviseandmete avaldamiseks patsiendi autonoomia hulka. Seega ei saa välistada
võimalust, et patsient võib anda konfidentsiaalsuskohustust tühistava nõusoleku oma
terviseandmete kolmandatele isikutele (antud juhul PPA-le) avaldamiseks. Seejuures on kohus
rõhutanud, et just tervishoiuteenuse osutaja kohustuseks on selgitada patsiendile arusaadaval ja
lihtsal kujul andmete avaldamise ulatust (st millised konkreetsed terviseandmed), eesmärke (sh
kellele andmed avaldatakse) ning tagajärgi, tagades nii, et nõusolek on antud kõiki asjaolusid
arvestades (teavitatud nõusolek).
IKÜM art 7 lg 1 näeb ette, et kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema
võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega. Seega
konfidentsiaalsuskohustusega kaetud isikuandmete (sh terviseandmete) avaldamine patsiendi
selgesõnalisel nõusolekul eeldab, et isikuandmete avaldaja (tervishoiuteenuse osutaja) on ise
veendunud, et patsiendi nõusolek vastab IKÜM nõuetele ehk on vabatahtlik, konkreetne, teadlik
ning üheselt mõistetav (vt IKÜM preambuli p 32 ja art 4 p 11). Juhul, kui tervishoiuteenuse
osutajale esitatakse patsiendi nõusolek kolmanda isiku poolt, puudub tervishoiuteenuse osutajal
2 (3)
võimalus kontrollida (ning vajaduse korral ka tõendada) ülal viidatud põhimõtete järgimist
nõusoleku võtmisel.
2. Kas PPA poolt õigusliku alusena nõusolekule tuginemise käsitlus isikuandmete, sh
eriliigiliste isikuandmete saamiseks sõltub sellest, kas andmesubjekt, kes nõusolekut
annab on kahtlustatav või kannatanu?
AKI hinnangul sõltub isikuandmete avaldamiseks antud nõusoleku kehtivus mitte sellest, kas
tegemist on kannatanu või kahtlustatavaga, vaid sellest, kas nõusoleku andmisel on järgitud kõik
IKÜM-ist tulenevad põhimõtted.
Nii kannatanu kui ka kahtlustatava õigused on kriminaalmenetlusega oluliselt puudutatud ning
mõlemal juhul võivad kaasneda nõusolekut andmata jätmisega kahjulikud tagajärjed. Olete
selgitustaotluses õigesti leidnud, et kriminaalmenetluse osaleja PPA-le antud nõusoleku
vabatahtlikkus on väga küsitav.
3. Juhul, kui Andmekaitse Inspektsiooni hinnang on, et nõusoleku alusel ei ole
võimalik PPA-le andmeid väljastada ning see tuleneb vabatahtlikkuse nõude
rikkumisest, siis kas juhul, kui andmesubjekt kinnitab nõusolekus selgesõnaliselt, et
ta annab kõnealuse nõusoleku vabatahtlikult, on nõusolekule tuginemine siiski
võimalik?
Tulenevalt sellest, et isikuandmete avaldamise eest vastutab isikuandmete avaldaja, on ka tema
kohustuseks kontrollida isikuandete töötlemise seaduslikkuse kriteeriumite täitmist (st nõusoleku
kehtivust).
AKI on seisukohal, et nõusoleku teadlikkuse ja vabatahtlikkuse põhimõtete järgimise saab kõige
paremini tagada juhul, kui nõusolek antakse otseselt andmetöötlejale, kuna siis on andmetöötlejal
võimalus selgitada otseselt andmesubjektile avaldatavate isikuandmete mahtu ning avaldamisega
seotud võimalike riske ja tagajärgi. Siiski ei saa AKI hinnangul välistada, et see protsess algab
PPA poolt edastatud nõusolekust. Ka sel juhul on just isikuandmete väljastaja kohustuseks
veenduda, et nõusolek vastab IKÜM-s sätestatud nõuetele. AKI ei saa andmete väljastajale ette
öelda, kuidas ta peab veenduma selles, et nõusolek on reaalselt antud teadlikult ja vabatahtlikult,
küll aga peab nõusolekule tuginemise korral isikuandmete väljastaja olema suuteline tõendada
nõusoleku kehtivuse.
4. Juhul, kui mõne eelneva küsimuse puhul asuda seisukohale, et isikuandmete
väljastamine PPA-le nõusoleku alusel on põhimõtteliselt võimalik, siis kas nõusoleku
andmise eesmärgi hindamisel piisab sellest, kui nõusolekus on kirjas, et nõusolek
antakse „eesmärgiga koguda kriminaalmenetluses tõendeid toimepandud kuriteo
kohta“? Ehk et andmesubjekt küll väga täpselt piiritleb, et lubab PPA-l saada
näiteks oma haiguslugu, aga andmetöötluse täpne eesmärk seevastu ei ole piiritletud
– viidatakse vaid, et üldiselt kriminaalmenetluses tõendite kogumise tarbeks.
Küsimus on ajendatud asjaolust, et vastutav töötleja peab andmete väljastamisel
hindama, kas küsitud andmed on konkreetse eesmärgi täitmiseks vajalikud
(minimaalsuse ja eesmärgipärasuse põhimõte).
Olete selgitustaotluses viidanud sellele, et vastutav töötleja peab andmete väljastamisel hindama,
kas küsitud andmed on konkreetse eesmärgi täitmiseks vajalikud. Nõusoleku puhul on PPA
ülesandeks selgitada patsiendile, millised andmed võiksid omada kriminaalmenetluses
tõendusväärtust ning patsiendi ülesandeks on kaaluda terviseandmete avaldamisega seotud riskid
ning endale selgeks teha, kas ta soovib need andmed esitada (vabatahtlikkuse põhimõte).
Nagu on AKI ülalpool selgitanud, peaks patsient nõusoleku andma otseselt tervishoiuteenuse
osutajale, ehk patsient ise peab olema teadlik sellest, milleks on andmeid vaja. Nõusoleku alusel
3 (3)
avaldatavate andmete mahtu peaks määrama samuti patsient ise tulenevalt oma vajadusest.
Tervishoiuteenuse osutaja ei ole kriminaalmenetluse osaline, seega puudub tal võimalus ja ka
pädevus hinnata, millised andmed on kriminaalmenetluse aspektist vajalikud, seega puudub tal
sisuliselt võimalus andmete väljastamisel hinnata, kas küsitud andmed on konkreetse eesmärgi
täitmiseks vajalikud. Küll aga peab tervishoiuteenuse osutaja lähtuvalt minimaalsuse ja
eesmärgipärasuse põhimõttest väljastama ainult need andmed, mis on nõusolekuga hõlmatud,
seejuures veendudes selles, et patsient on teavitatud sellest, millised konkreetsed andmed
edastatakse (nt kui edastatakse haiguslugu, siis peaks patsiendile tutvustama haigusloos
sisalduvaid andmeid, et ta suudaks hinnata konkreetsete andemete avaldamisega seotud riskid)
ning mõistab terviseandmete PPA-le avaldamise tagajärgi.
Loodan, et selgitustest on abi.
Lugupidamisega
Irina Meldjuk
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|