Selgitustaotlus
| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/3259-1 |
| Registreeritud | 23.12.2024 |
| Sünkroonitud | 24.12.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | DPD Eesti AS |
| Saabumis/saatmisviis | DPD Eesti AS |
| Vastutaja | Virve Lans (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
Failid
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Edastan meiepoolse päringu ja soovin häid saabuvaid pühi!
|
Digiallkirjad
DPD Eesti AS Taevavärava tee 1, Lehmja küla, Rae vald, 75306 Telefon +372 613 0000
www.dpd.ee
DPD Eesti AS tegevjuht Remo Kirss KMKR number EE100202850 Registrikood 10092256
Bank Swedbank IBAN EE182200221007152507 SWIFT HABAEE2X Kõik DPD volituste alusel teostatud teenused osutatakse lähtuvalt DPD Dynamic Parcel Distribution GmbH &
Co. KG äritegevuse üldtingimustest.
Andmekaitse Inspektsioon
Tatari tn 39 10134 Tallinn Meie 23.12.2024 nr 1-1.4/2024/7
PÄRING ANDMEKAITSEINSPEKTSIOONILE
DPD Eesti AS (edaspidi „DPD“) on sõlminud reisikindlustuslepingu Eestis asuva kindlustusseltsiga Seesam Insurance AS (edaspidi „Seesam“). Seesami poliis näeb ette reisikulude ja -kulude hüvitamist haigusest tingitud reisikatkestuste korral.
Kui üks DPD töötaja ei saanud haiguse tõttu osaleda tööreisil, esitasime Seesamile kindlustusnõude. Koos nõudega esitasime töötajale väljastatud töövõimetuslehe.
Seesam lükkas tõendi tagasi, väites, et see on ebapiisav tõend, ja nõudis selle asemel töötaja meditsiinilise diagnoosiga epikriisi täielikku dokumenti (st mitte ainult väljavõtet).
Ettevõttena oleme mures, et terviseandmete, näiteks meditsiinilise diagnoosi kogumine ja edastamine võib rikkuda töötajate õigusi ja vabadusi. Eelkõige oleme mures, et selliste tundlike andmete jagamine võib rikkuda töötajate eraelu puutumatuse õigusi, mis tulenevad üldisest andmekaitsemäärusest (GDPR).
Oleme antud küsimused esitanud ka Seesamile, kuid nad väidavad, et nende tüüptingimused (punkt 8.2) annavad neile õiguse nõuda meditsiinilist diagnoosi ja volitavad neid seda tüüpi andmeid töötlema.
Meie arusaam Meditsiiniline diagnoos kvalifitseerub GDPRi artikli 9 kohaselt terviseandmetena.
Teatavate kindlustuslepingute puhul lubab Kindlustustegevuse seaduse (KindlTS) §218 kindlustusseltsidel töödelda terviseandmeid. Kuid KindlTS §218 lõige 2 lubab terviseandmete töötlemist ainult siis, kui see on vajalik kindlustusandja
kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi
või puude kohta. Seega on §218 lõike 2 alusel terviseandmete töötlemise luba olemas ainult siis, kui andmed on vajalikud
kohustuse kindlaksmääramiseks. GDPRi artikli 5 lõige 1 nõuab, et isikuandmete töötlemine peab olema piisav, asjakohane ja piirduma selle eesmärgi saavutamiseks minimaalsega.
Töölähetuses olles täidab töötaja tööandja poolt antud tööülesandeid. Kui töötajale väljastab arst samaks perioodiks töövõimetuslehe, siis see tähendab, et töötaja on töövõimetu ehk ei ole suuteline tööülesandeid
täitma ja see on tööandja jaoks reisi tühistamise aluseks.
Meie hinnangul on meditsiinilise diagnoosiga epikriisi nõudmine antud juhul üleliigne eriliigiliste isikuandmete töötlemine.
DPD palub Andmekaitseinspektsiooni vastust järgmistele küsimustele:
Kas arsti poolt väljastatud töövõimetusleht annab piisavalt teavet, et tõendada, et töötaja ei saanud haiguse tõttu osaleda planeeritud tööreisil?
Kas KindlTS §218 lõige 2 on antud juhtumi puhul kohaldatav? Kui KindlTS §218 lõige 2 ei ole kohaldatav, kas kindlustusandja võib siiski tugineda oma tüüptingimustele,
et nõuda luba terviseandmete kogumiseks ja töötlemiseks?
Annika Oruaas Personali- ja ESG juht
/digitaalselt allkirjastatud/
Digiallkirjad
DPD Eesti AS Taevavärava tee 1, Lehmja küla, Rae vald, 75306 Telefon +372 613 0000
www.dpd.ee
DPD Eesti AS tegevjuht Remo Kirss KMKR number EE100202850 Registrikood 10092256
Bank Swedbank IBAN EE182200221007152507 SWIFT HABAEE2X Kõik DPD volituste alusel teostatud teenused osutatakse lähtuvalt DPD Dynamic Parcel Distribution GmbH &
Co. KG äritegevuse üldtingimustest.
Andmekaitse Inspektsioon
Tatari tn 39 10134 Tallinn Meie 23.12.2024 nr 1-1.4/2024/7
PÄRING ANDMEKAITSEINSPEKTSIOONILE
DPD Eesti AS (edaspidi „DPD“) on sõlminud reisikindlustuslepingu Eestis asuva kindlustusseltsiga Seesam Insurance AS (edaspidi „Seesam“). Seesami poliis näeb ette reisikulude ja -kulude hüvitamist haigusest tingitud reisikatkestuste korral.
Kui üks DPD töötaja ei saanud haiguse tõttu osaleda tööreisil, esitasime Seesamile kindlustusnõude. Koos nõudega esitasime töötajale väljastatud töövõimetuslehe.
Seesam lükkas tõendi tagasi, väites, et see on ebapiisav tõend, ja nõudis selle asemel töötaja meditsiinilise diagnoosiga epikriisi täielikku dokumenti (st mitte ainult väljavõtet).
Ettevõttena oleme mures, et terviseandmete, näiteks meditsiinilise diagnoosi kogumine ja edastamine võib rikkuda töötajate õigusi ja vabadusi. Eelkõige oleme mures, et selliste tundlike andmete jagamine võib rikkuda töötajate eraelu puutumatuse õigusi, mis tulenevad üldisest andmekaitsemäärusest (GDPR).
Oleme antud küsimused esitanud ka Seesamile, kuid nad väidavad, et nende tüüptingimused (punkt 8.2) annavad neile õiguse nõuda meditsiinilist diagnoosi ja volitavad neid seda tüüpi andmeid töötlema.
Meie arusaam Meditsiiniline diagnoos kvalifitseerub GDPRi artikli 9 kohaselt terviseandmetena.
Teatavate kindlustuslepingute puhul lubab Kindlustustegevuse seaduse (KindlTS) §218 kindlustusseltsidel töödelda terviseandmeid. Kuid KindlTS §218 lõige 2 lubab terviseandmete töötlemist ainult siis, kui see on vajalik kindlustusandja
kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi
või puude kohta. Seega on §218 lõike 2 alusel terviseandmete töötlemise luba olemas ainult siis, kui andmed on vajalikud
kohustuse kindlaksmääramiseks. GDPRi artikli 5 lõige 1 nõuab, et isikuandmete töötlemine peab olema piisav, asjakohane ja piirduma selle eesmärgi saavutamiseks minimaalsega.
Töölähetuses olles täidab töötaja tööandja poolt antud tööülesandeid. Kui töötajale väljastab arst samaks perioodiks töövõimetuslehe, siis see tähendab, et töötaja on töövõimetu ehk ei ole suuteline tööülesandeid
täitma ja see on tööandja jaoks reisi tühistamise aluseks.
Meie hinnangul on meditsiinilise diagnoosiga epikriisi nõudmine antud juhul üleliigne eriliigiliste isikuandmete töötlemine.
DPD palub Andmekaitseinspektsiooni vastust järgmistele küsimustele:
Kas arsti poolt väljastatud töövõimetusleht annab piisavalt teavet, et tõendada, et töötaja ei saanud haiguse tõttu osaleda planeeritud tööreisil?
Kas KindlTS §218 lõige 2 on antud juhtumi puhul kohaldatav? Kui KindlTS §218 lõige 2 ei ole kohaldatav, kas kindlustusandja võib siiski tugineda oma tüüptingimustele,
et nõuda luba terviseandmete kogumiseks ja töötlemiseks?
Annika Oruaas Personali- ja ESG juht
/digitaalselt allkirjastatud/