| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2913-2 |
| Registreeritud | 11.12.2024 |
| Sünkroonitud | 12.12.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Dental Art OÜ |
| Saabumis/saatmisviis | Dental Art OÜ |
| Vastutaja | Anu Suviste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Helen Toom
Dental Art OÜ
Teie 12.11.2024 Meie 11.12.2024 nr 2.2-9/24/2913-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles küsite nõu isikute terviseandmete
turvalise töötlemise osas.
Esmalt selgitan, et Andmekaitse Inspektsioon ei saa selgitustaotlusele vastates anda konkreetsele
juhtumile siduvat õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses.
Inspektsiooni kohustus on märgukirjale ja selgitustaotlusele vastamise ning kollektiivse
pöördumise esitamise seaduse §-st 3 tulenevalt anda õigusalaseid selgitusi.
Isikuandmete kaitse üldmääruse1 (IKÜM) kohaselt peab igasuguseks isikuandmete töötlemiseks
esinema artiklist 6 lähtuvalt õiguslik alus ning töötlemine peab olema kooskõlas IKÜM artiklis
5 sätestatud isikuandmete töötlemise põhimõtetega. Eriliigiliste isikuandmete töötlemisel on
lisaks vajalik, et esineks üks IKÜM artikkel 9 lõikes 2 toodud punktidest, mis lubaks eriliigilisi
(antud juhul terviseandmeid2) töödelda3. Eriliigilised andmed, sh terviseandmed on oma
olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud ning väärivad seetõttu erilist
kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada.
Isikuandmete töötlemise õiguspärasuse ja IKÜM põhimõtetele vastavuse eest vastutab ning
peab seda tõendama IKÜM artikli 5 lõike 2 kohaselt isikuandmete vastutav töötleja. Vastutav
töötleja on IKÜM artikli 4 punkti 7 kohaselt füüsiline või juriidiline isik, avaliku sektori asutus,
amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise
eesmärgid ja vahendid.
Seega on vastutava töötleja pädevuses kehtestada oma tegevuseks vajalikud isikuandmete
töötlemise reeglid, mis peavad tagama andmetöötluse vastavuse IKÜM nõuetele. Dental Art OÜ
on IKÜM tähenduses käsitletav patsientide isikuandmete vastutava töötlejana ning
tervishoiuteenuse osutajana määrab kindlaks, milliseid isikuandmeid tuleb teenuse kvaliteetseks
osutamiseks töödelda, määrates sealjuures isikuandmete kogumise ja töötlemise eesmärgid ning
vahendid. 1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete
töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta 2 IKÜM art 4 p 15 järgi on terviseandmed isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale
tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta. 3 Selle sätte punkti h alusel võib terviseandmeid töödelda, kui töötlemine on vajalik ennetava meditsiini või
töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks,
tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja
-teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja
eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud.
2 (2)
Muu hulgas tuleneb IKÜM artikli 5 lõike 1 punktist f, et isikuandmeid töödeldakse viisil, mis
tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise
eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi
või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“). Seda põhimõtet täpsustab
IKÜM artiklis 25 sätestatud lõimitud ja vaikimisi andmekaitse regulatsioon, mille kohaselt on
isikuandmete vastutava töötleja kohustuseks rakendada kõiki vajalikke ja asjakohaseid tehnilisi
ja korralduslikke kaitsemeetmeid tagamaks, et isikuandmete töötlemine toimuks kooskõlas kõigi
IKÜM artiklis 5 sätestatud töötlemise põhimõtetega.
Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest,
isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete
eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest,
vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid. Selliste teenuste ja
toodete väljatöötamisel, kavandamisel, valimisel ja kasutamisel, mille käigus töödeldakse
isikuandmeid nende ülesannete täitmiseks, tuleks võtta arvesse õigust andmekaitsele ning tagada
asjakohaselt teaduse ja tehnoloogia viimast arengut arvestades, et vastutavad töötlejad ja
volitatud töötlejad saaksid täita oma andmekaitsealaseid kohustusi4.
Teisisõnu peaks isikuandmete vastutav töötleja hindama oma tegevuses vajalike isikuandmete
töötlemisel, et töötlemine oleks igas etapis eesmärgipärane, vajalik, turvaline ning võimalikud
riskid minimeeritud, võttes selleks kasutusele asjakohased kaitsemeetmed. Konkreetsed
meetmed sõltuvad isikuandmete liigist, töötlemise viisist, võimalikest ohtudest jne. Ühe näitena
olete oma kirjas toonud, et edastate kullerile saadetise patsiendi isikustatud andmetega. Siinkohal
tasub hinnata, millisel õiguslikul alusel ja eesmärgil kuller neid isikuandmeid töötleb ning kas
kulleri tegevuse eesmärki arvestades on see töötlemine vajalik. Kaaluda andmetöötluse riske ning
leida sobivad kaitsemeetmed riskide välistamiseks või minimeerimiseks. Teie viidatud
pseudonüümiseerimine oleks ilmselt üheks võimalikuks meetmeks5, kuid neid võib olla veel (nt
pakendamine viisil, mis ei võimalda kolmandatel isikutel isikuandmetele ligi pääseda,
lisameetmed lepingu tingimustes jne).
Eeltoodust tulenevalt ka juhul, kui vastutaval töötlejal on vaja isikult andmeid saada või talle
neid väljastada, on selleks kasutatavate viiside ja vahendite valik vastutava töötleja vastutusalas.
Vastutav töötleja peab tagama, et tema soovil ja juhiste kohaselt edastatavad andmed liiguksid
turvaliselt ning andmed väljastatakse õigele isikule viisil, mis välistab kolmandate isikute
juurdepääsu andmetele (sõltuvalt toimingutest nt ettevõtte töökorralduslikud meetmed, kuidas
andmeid hoiustatakse, millised töötajad isikuandmeid töötlevad, millistel tingimustel sõlmitakse
lepingud, andmete krüpteerimine jne).
Kokkuvõtvalt, vastutava töötlejana tuleb Teie ettevõttel oma tegevusega seotud isikuandmete
töötlemise protsesside ja toimingute tegemisel tagada kooskõla kõigi IKÜM nõuetega.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Anu Suviste
jurist
peadirektori volitusel
4 IKÜM preambuli põhjenduspunkt 78 5 See kaitsemeede on välja toodud ka IKÜM põhjenduspunktis 28: Isikuandmete pseudonümiseerimine võib
vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma
andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud
välistama mis tahes muid andmekaitsemeetmeid.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|