| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/24/2589-3 |
| Registreeritud | 06.11.2024 |
| Sünkroonitud | 07.11.2024 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Anu Suviste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Värner Lootsmann
Loksa Linnavalitsus
Karin Kask
andmekaitsespetsialist
06.11.2024 nr 2.2-10/24/2589-3
Tähelepanu juhtimine
Andmekaitse Inspektsioon sai märgukirja, mille kohaselt oli Loksa Linnavalitsuse ametnik isiku
hooldekodusse paigutamise eesmärgil saatnud hooldekodule e-kirja teel päringu. E-kirjale olid
lisatud kaks manust:
1. fail teenust vajava isiku terviseandmetega (epikriis, väljavõte haigusloost ja ravijuhend);
2. fail teenust vajava isiku tegevuse ja käitumise kirjeldusega (iseloomustus senisest
hooldekodust, sh terviseandmetega).
Nimetatud failid edastati krüpteerimata kujul.
Esmalt selgitan, et isikuandmete kaitse üldmääruse (IKÜM) alusel on isikuandmeteks sellised
andmed, mille kaudu on võimalik konkreetset füüsilist isikut otseselt või kaudselt tuvastada.
Eriliiki isikuandmetena mõistetakse isikuandmeid, millest ilmneb rassiline või etniline päritolu,
poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine,
samuti geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilisi
andmeid, andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta ning ka
terviseandmeid. Terviseandmeteks on füüsilise isiku füüsilise ja vaimse tervisega seotud
isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad
teavet tema tervisliku seisundi kohta.
Isikuandmete töötlemine on igasugune andmetega tehtav toiming, sõltumata toimingute
teostamise viisist või kasutatavatest vahenditest, mis võib hõlmata andmete kogumist,
salvestamist, korrastamist, säilitamist, muutmist, juurdepääsu võimaldamist, avaldamist,
avalikustamist, päringute teostamist, väljavõtete tegemist, kasutamist, edastamist, ristkasutamist,
ühendamist, üleandmist, sulgemist, kustutamist või hävitamist.
Igasuguseks isikuandmete töötlemiseks peab olema õiguslik alus ning tuleb järgida isikuandmete
töötlemise põhimõtteid. IKÜM kohaselt on eriliigilised andmed, sh terviseandmed oma
olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud ning väärivad seetõttu erilist
kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada.
Seetõttu on eriliiki isikuandmete töötlemine reeglina keelatud, välja arvatud kui esineb mõni
IKÜM artikli 9 lõikes 2 nimetatud asjaolu.
2 (2)
Kõnealusel juhul hooldekodukoha päringule tuvastatava isiku detailsete terviseandmete
avaldamine kuidagi põhjendatud ei ole. Selleks, et uurida hooldusasutuse valmisolekut teatavate
probleemidega kliendile hooldusteenuse pakkumiseks, ei ole vaja esitada konkreetse isiku
andmeid, vaid piisab vajaduste kirjeldamisest. Isegi kui terviseandmete edastamine kolmandale
isikule oleks vajalik ja õiguspärane, võib seda teha ainult viisil, mis tagab andmete turvalisuse
(näiteks krüpteeritult).
Rõhutan, et terviseandmete töötlemisel peab olema tavapärasest hoolsam, sest isikute võimalik
privaatsuseriive on suurem. Seega peab andmetöötleja olema veendunud, et töötlemine vastab
isikuandmete kaitse üldmääruse põhimõtetele, on asjakohane ja piirdub sellega, mis on
töötlemise otstarbe seisukohalt vajalik.
Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda
isikuandmete töötlemisest selle põhimõtte vastaselt. Näiteks põhjendamatul ja hooletul andmete
jagamisel võivad andmesubjektid jääda ilma kontrollist oma isikuandmete üle. Seega eeldab
füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel asjakohaste tehniliste
ja korralduslike meetmete võtmist, et tagada IKÜM-i nõuete täitmine.
IKÜM-i kesksed nõuded ja põhimõtted (artikkel 5) ütlevad muuhulgas, et isikuandmete töötlus
peab olema seaduslik, eesmärgipärane, minimaalne, läbipaistev ning peab olema tagatud
konfidentsiaalsus. Muu hulgas tähendab see, et terviseandmete vastutava töötlejana on Loksa
linnavalitsuse kohustus tagada ja tõendada, et isikuandmete töötlemine toimub kooskõlas IKÜM
nõuetega. See tähendab ühtlasi, et kohaliku omavalitsuse asutus peab oma seadusest tulenevate
ülesannete täitmisel jälgima, et töödeldavad isikuandmed piirduvad eesmärgi täitmiseks
minimaalselt vajalikuga ning tagatud on andmete terviklus ja konfidentsiaalsus. Andmed, mille
töötlemiseks ei ole õiguslikku alust, tuleb nõuetekohaselt kustutada või hävitada.
Seega juhin Teie tähelepanu, et võtaksite kõik vajalikud meetmed tagamaks, et Teie asutuse
andmetöötlusprotsessid vastaksid IKÜM nõuetele, Teie ametnikud ja töötajad oleksid teadlikud
ning vajalikul määral koolitatud ning ei eksiks andmetöötlusnõuete vastu. Eeltoodust tulenevalt
soovitan Teil ühtlasi ka üle kontrollida asutuse andmekaitsereeglid lähtudes IKÜM isikuandmete
töötlemise põhimõtetest, sh seaduslikkusest, eesmärgipärasusest ja minimaalsusest.
Analoogsete märgukirjade kordumisel või kahtluse korral on Andmekaitse Inspektsioonil õigus
teostada igal ajal ette teatamata kontrolli või algatada järelevalvemenetlus.
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota.
Lugupidamisega
(allkirjastatud digitaalselt)
Anu Suviste
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|