Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / info@aki.ee / www.aki.ee / registrikood 70004235

Teie 23.12.2024 nr 1-1.4/2024/7 Meie 22.01.2025 nr 2.2-9/25/3259-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles olete küsinud: Kas arsti poolt

väljastatud töövõimetusleht annab piisavalt teavet, et tõendada, et töötaja ei saanud haiguse

tõttu osaleda planeeritud tööreisil? Kas KindlTS §218 lõige 2 on antud juhtumi puhul

kohaldatav? Kui KindlTS §218 lõige 2 ei ole kohaldatav, kas kindlustusandja võib siiski tugineda

oma tüüptingimustele, et nõuda luba terviseandmete kogumiseks ja töötlemiseks?

Esmalt selgitame, et Andmekaitse Inspektsioon saab eelkõige anda vaid üldiseid selgitusi seoses

isikuandmete kaitsega ja sätete tõlgendamisega. Konkreetsete asjaolude kohta hinnangut anname

järelevalvemenetluse käigus. Kui Teil on vajalik analüüsida konkreetseid juhtumeid, siis sellisel

juhul on Teil võimalus pöörduda nõustajate poole, kes sellealaseid teenuseid igapäevaselt

pakuvad (advokaadid, juristid jne). Andmekaitse Inspektsioon ei anna õigusnõu, vaid teostab

järelevalvet isikuandmete kaitse üldmääruse ja avaliku teabe seaduse täitmise üle.

Selgitame, et üldmääruse kohaselt peab alati esinema õiguslik alus isikuandmete töötlemiseks

artiklist 6, eriliiki isikuandmete (nt terviseandmed) puhul peab esinema täiendavalt artikkel 9 lg 2

mõni alus. Üldiselt toimub kindlustusega seotud juhtumitel tõesti terviseandmete töötlemine

siseriikliku õiguse ehk kindlustustegevuse seaduse (KindlTS) § 218 lõike 2 punkti 2 ja § 219 lõike

1 punkti 1 alusel. Isiku terviseandmete töötlemine on lubatud kindlustustegevuse seaduse

(KindlTS) § 218 lõike 2 punkt 2 kohaselt siis, kui see on muul juhul vajalik kindlustusandja

kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete

esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise

kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete

töötlemist andmesubjekti terviseseisundi või puude kohta. Olete viidanud, et teine osapool on

viidanud, ka tüüptingimustele (punkt 8.2), mis annab neile õiguse nõuda meditsiinilist diagnoosi

ja volitavad neid seda tüüpi andmeid töötlema. Seega asjaolusid arvestades võis see säte olla

asjakohane alus kindlustusandjal isikuandmete töötlemiseks.

Lisaks isikuandmete töötlemise õigusliku aluse olemasolule peab aga kinni pidama ka IKÜM

artikli 5 lõikes 1 sätestatud isikuandmete töötlemise põhimõtetest, sealhulgas seaduslikkuse,

õigsuse, eesmärgipärasuse ja minimaalsuse põhimõtetest. Ka Riigikohus1 on selgitanud, et

isikuandmete töötlemiseks õigusliku aluse olemasolu ei tähenda siiski seda, et isikuandmete

töötlemine on igal konkreetsel juhul õiguspärane. Töötlemine kui toiming peab olema õigusliku

alusega ka kooskõlas. Teisisõnu, lisapiirangud võivad tuleneda õiguslikust alusest enesest, samuti

IKÜM art-s 5 sätestatud töötlemise põhimõtetest. Nii sätestab IKÜM art 5 lg 1 p c võimalikult

väheste andmete kogumise ehk minimaalsuse põhimõtte. Nimetatud põhimõtet tuleb hinnata

1 RKHK 26.09.2022 otsus nr 3-20-1449, p 24

2 (2)

koostoimes IKÜM art 6 lg 1 p-s c ning art 9 lg 2 p-des f ja g sätestatud „vajalikkuse“ kriteeriumiga,

st konkreetsete isikuandmete töötlemine peab olema „vajalik“ kõnealuses aluses sätestatud

eesmärgil töötlemiseks2. Juhime tähelepanu, et „vajalikkuse“ kriteerium on sätestatud ka IKÜM

artikli 9 lõike 2 punktis h) ning KindlTS § 218 lõike 2 punktis 2 ja § 219 lõike 1 punktis 1.

Eelnevast tulenevalt pidi seega ka teine osapool hindama küsimusel lähtuvalt

minimaalsuspõhimõttest, kas ja mis kujul isikuandmete küsimine on neile vajalik.

Seega teadmata täpsemaid asjaolusid ei saa AKI hetkel anda hinnangut, kas töövõimetuslehe

esitamisest kindlustusandjale piisas ja oli vajalik veendumaks, et kindlustuslepingu tingimuste

kohaselt esineb kindlustusjuhtum ja välja tuleb maksta hüvitis. See eeldab põhjalikumalt

tutvumist osapoolte vahel sõlmitud kindlustuslepingust ja tingimustest, et näha, kas selliste

asjaolude uurimine oli seotud lepingu täitmise ja kindlustusjuhtumiga. Oluline on

minimaalsuspõhimõtte järgimisel just ka andmetöötleja selgitused miks vähemate andmete

küsimisest ei piisanud. Põhjendatud ei ole siiski küsida mingit dokumenti (nt töövõimetusleht,

haigusloo väljavõtte) igaks juhuks, vaid see peab olema seotud konkreetse kindlustusjuhtumist

tuleneva vajadusega.

Loodame, et meie selgitustest on abi.

Lugupidamisega

Greete Kaljuste

jurist

peadirektori volitusel

2 Vt lisaks Euroopa Kohtu 11.12.2019 otsus asjas C-708/18, p 48: …töötlemise vajalikkuse tingimust tuleb hinnata

koostoimes „võimalikult väheste andmete kogumise“ põhimõttega, mis väljendub direktiivi 95/46 artikli 6 lõike 1

punktis c ja mille kohaselt peavad isikuandmed olema „piisavad, asjakohased ega [või] ületa[da] selle otstarbe piire,

mille tarvis neid kogutakse ja mille tarvis neid töödeldakse“.