| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2468-2 |
| Registreeritud | 11.10.2024 |
| Sünkroonitud | 14.10.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Taastava Kirurgia Kliiinik |
| Saabumis/saatmisviis | Taastava Kirurgia Kliiinik |
| Vastutaja | Geili Keppi (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Anu Juurik
Teie 27.09.2024 Meie 11.10.2024 nr 2.2-9/24/2468-2
Vastus selgitustaotlusele Soovite teada, kas e-posti teel tohib saata krüpteerimata arveid kui need sisaldavad patsiendi isikukoodi. Lisaks soovite teada, kas see on andmekaitse põhimõtetega kooskõlas kui arvele lisatakse patsiendi isikukood. Selgitan esmalt, et seda kuidas raviasutused andmeid edastavad, on eelkõige nende enda otsustada. Isikuandmete krüpteerimine on hea võimalus, kuid mitte seadusest tulenev kohustus kolmandate osapoolte eest info kaitsmisel ja turvalisuse tagamisel. Dokumentide/failide krüpteerimise eesmärgiks on muuta failis olevad andmed võõrastele kättesaamatuks ka juhul kui fail on sattunud adressaadiks mitteoleva isiku valdusesse. Siinkohal ongi tähtis rõhutada, et raviasutused siiski vastutavad selle eest, kui andmed jõuavad mitteõigustatud isikute kätte ja seetõttu tuleb neil olla hoolas meetme(te) valimisel. Oluline on, et nii info andja kui informatsiooni saatja peab olema veendunud, et informatsiooni vastuvõtjaks või saatjaks on õige isik. Krüpteerimise vajadus on seda suurem, mida tundlikum on teave. Isikukood kuulub tavaliste isikuandmete hulka. Teisalt tuleb aga alati hinnata ka seda, kas arvelt nähtub info näiteks mõne osutatud teenuse osas, mille kaudu on võimalik saada teavet patsiendi terviseseisundi kohta. Terviseandmed1 on oma olemuselt kõige delikaatsemad andmed ehk eriliiki isikuandmed, mida tuleb kaitsta oluliselt hoolikamalt, kui tavalisi isikuandmeid. Vastates Teie teisele küsimusele, kas isikukoodi lisamine arvele on kooskõlas andmekaitse põhimõtetega, selgitan järgmist. Kõigil raviasutustel on kohustus jälgida isikuandmete kaitse üldmääruse (IKÜM) põhimõtteid2, mille kohaselt peab andmetöötlus olema seaduslik, õiglane ja isikule läbipaistev. Lisaks on väga tähtis, et andmetöötlus oleks ka eesmärgipärane ja minimaalne. Minimaalsuse ja eesmärgipärasuse põhimõte tähendab seda, isikuandmete töötlemine peab alati olema seotud mingi eesmärgiga. Kui eesmärk on olemas, tuleb andmeid töödelda nii vähe kui võimalik selle eesmärgi saavutamiseks. Igaks juhuks andmete töötlemine on ebaseaduslik. Lisaks on IKÜM järgi isikuandmete töötlemine seaduslik ainult juhul, kui a) töötlemine toimub isiku enda nõusolekul, b) töötlemine on vajalik isikuga sõlmitud lepingu täitmise tagamiseks, c) andmetöötleja täidab talle seadusega pandud kohustusi, d) tegemist on eluliste huvide kaitsmisega, e) andmetöötleja täidab seadusest tulenevat avalikku ülesannet, f) andmetöötlejal on andmete töötlemiseks olemas õigustatud huvi. See tähendab, et alati peab olema andmete töötlemiseks mõni õiguslik alus toodud loetelust.3 Teatud juhtudel sätestabki ka mõni seadus, millised andmed peab arvele märkima. Näiteks sätestab
1 Mis on terviseandmed, saab lugeda siit: https://www.aki.ee/isikuandmed/kkk/tervishoid#terviseandmed-1 2 Isikuandmete kaitse üldmäärus, artikkel 5. 3 IKÜM artikkel 6 lõige 1
2 (2)
käibemaksuseadus4, millised andmed peab arvele märkima. Sellisel juhul on tegemist seadusest tuleneva kohustusega. Sarnaselt sätestab määrus Kindlustatud isikult tasu maksmise kohustuse Tervisekassa poolt ülevõtmise kord ja tervishoiuteenuse osutajatele makstava tasu arvutamise metoodika, mis on kehtestatud ravikindlustuse seaduse alusel, et tervishoiuteenuse osutaja vormistab kindlustatud isikule osutatud teenuse eest raviarve tervishoiuteenuste korraldamise seaduse § 42 lõigete 3 ja 6 alusel kehtestatud sotsiaalministri määruse kohase tervishoiuteenuse osutamist tõendava dokumendi alusel. Selle raviarve edastab tervishoiuteenuse osutaja Tervisekassale tervishoiuteenuse osutaja ja Tervisekassa vahel sõlmitud ravi rahastamise lepingus sätestatud tingimustel ja korras. Sama määruse kohaselt kantakse raviarvele mh ka haige isikukood. Samas aga reguleerib see Tervisekassale esitatavaid dokumente. Seega, iga raviasutus peab ise hindama, kas isikukoodi lisamine arvele on eesmärgipärane, kooskõlas andmetöötluse minimaalsuse põhimõttega ja vajalik. Samamoodi ka seda, kas selline kohustus tuleb mõnest seadusest. Teatud juhtudel võib olla vajalik lisada arvele ka patsiendi isikukood, seda näiteks olukordades kus erinevates süsteemides võivad saatekirjade numbrid kattuda ja seeläbi tekkida segadus, millisele patsiendile teenust osutati. Siiski peab sellist andmetöötluse vajadust, eesmärki ning õiguslikku alust põhjendama iga andmetöötleja ehk raviasutus ise.
Loodan, et vastusest on Teile abi.
Lugupidamisega
Geili Keppi
jurist
peadirektori volitusel
4 Käibemaksuseaduse § 37 lg 7
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|