| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3259-2 |
| Registreeritud | 22.01.2025 |
| Sünkroonitud | 23.01.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | DPD Eesti AS |
| Saabumis/saatmisviis | DPD Eesti AS |
| Vastutaja | Greete Kaljuste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Teie 23.12.2024 nr 1-1.4/2024/7 Meie 22.01.2025 nr 2.2-9/25/3259-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles olete küsinud: Kas arsti poolt
väljastatud töövõimetusleht annab piisavalt teavet, et tõendada, et töötaja ei saanud haiguse
tõttu osaleda planeeritud tööreisil? Kas KindlTS §218 lõige 2 on antud juhtumi puhul
kohaldatav? Kui KindlTS §218 lõige 2 ei ole kohaldatav, kas kindlustusandja võib siiski tugineda
oma tüüptingimustele, et nõuda luba terviseandmete kogumiseks ja töötlemiseks?
Esmalt selgitame, et Andmekaitse Inspektsioon saab eelkõige anda vaid üldiseid selgitusi seoses
isikuandmete kaitsega ja sätete tõlgendamisega. Konkreetsete asjaolude kohta hinnangut anname
järelevalvemenetluse käigus. Kui Teil on vajalik analüüsida konkreetseid juhtumeid, siis sellisel
juhul on Teil võimalus pöörduda nõustajate poole, kes sellealaseid teenuseid igapäevaselt
pakuvad (advokaadid, juristid jne). Andmekaitse Inspektsioon ei anna õigusnõu, vaid teostab
järelevalvet isikuandmete kaitse üldmääruse ja avaliku teabe seaduse täitmise üle.
Selgitame, et üldmääruse kohaselt peab alati esinema õiguslik alus isikuandmete töötlemiseks
artiklist 6, eriliiki isikuandmete (nt terviseandmed) puhul peab esinema täiendavalt artikkel 9 lg 2
mõni alus. Üldiselt toimub kindlustusega seotud juhtumitel tõesti terviseandmete töötlemine
siseriikliku õiguse ehk kindlustustegevuse seaduse (KindlTS) § 218 lõike 2 punkti 2 ja § 219 lõike
1 punkti 1 alusel. Isiku terviseandmete töötlemine on lubatud kindlustustegevuse seaduse
(KindlTS) § 218 lõike 2 punkt 2 kohaselt siis, kui see on muul juhul vajalik kindlustusandja
kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete
esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise
kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete
töötlemist andmesubjekti terviseseisundi või puude kohta. Olete viidanud, et teine osapool on
viidanud, ka tüüptingimustele (punkt 8.2), mis annab neile õiguse nõuda meditsiinilist diagnoosi
ja volitavad neid seda tüüpi andmeid töötlema. Seega asjaolusid arvestades võis see säte olla
asjakohane alus kindlustusandjal isikuandmete töötlemiseks.
Lisaks isikuandmete töötlemise õigusliku aluse olemasolule peab aga kinni pidama ka IKÜM
artikli 5 lõikes 1 sätestatud isikuandmete töötlemise põhimõtetest, sealhulgas seaduslikkuse,
õigsuse, eesmärgipärasuse ja minimaalsuse põhimõtetest. Ka Riigikohus1 on selgitanud, et
isikuandmete töötlemiseks õigusliku aluse olemasolu ei tähenda siiski seda, et isikuandmete
töötlemine on igal konkreetsel juhul õiguspärane. Töötlemine kui toiming peab olema õigusliku
alusega ka kooskõlas. Teisisõnu, lisapiirangud võivad tuleneda õiguslikust alusest enesest, samuti
IKÜM art-s 5 sätestatud töötlemise põhimõtetest. Nii sätestab IKÜM art 5 lg 1 p c võimalikult
väheste andmete kogumise ehk minimaalsuse põhimõtte. Nimetatud põhimõtet tuleb hinnata
1 RKHK 26.09.2022 otsus nr 3-20-1449, p 24
2 (2)
koostoimes IKÜM art 6 lg 1 p-s c ning art 9 lg 2 p-des f ja g sätestatud „vajalikkuse“ kriteeriumiga,
st konkreetsete isikuandmete töötlemine peab olema „vajalik“ kõnealuses aluses sätestatud
eesmärgil töötlemiseks2. Juhime tähelepanu, et „vajalikkuse“ kriteerium on sätestatud ka IKÜM
artikli 9 lõike 2 punktis h) ning KindlTS § 218 lõike 2 punktis 2 ja § 219 lõike 1 punktis 1.
Eelnevast tulenevalt pidi seega ka teine osapool hindama küsimusel lähtuvalt
minimaalsuspõhimõttest, kas ja mis kujul isikuandmete küsimine on neile vajalik.
Seega teadmata täpsemaid asjaolusid ei saa AKI hetkel anda hinnangut, kas töövõimetuslehe
esitamisest kindlustusandjale piisas ja oli vajalik veendumaks, et kindlustuslepingu tingimuste
kohaselt esineb kindlustusjuhtum ja välja tuleb maksta hüvitis. See eeldab põhjalikumalt
tutvumist osapoolte vahel sõlmitud kindlustuslepingust ja tingimustest, et näha, kas selliste
asjaolude uurimine oli seotud lepingu täitmise ja kindlustusjuhtumiga. Oluline on
minimaalsuspõhimõtte järgimisel just ka andmetöötleja selgitused miks vähemate andmete
küsimisest ei piisanud. Põhjendatud ei ole siiski küsida mingit dokumenti (nt töövõimetusleht,
haigusloo väljavõtte) igaks juhuks, vaid see peab olema seotud konkreetse kindlustusjuhtumist
tuleneva vajadusega.
Loodame, et meie selgitustest on abi.
Lugupidamisega
Greete Kaljuste
jurist
peadirektori volitusel
2 Vt lisaks Euroopa Kohtu 11.12.2019 otsus asjas C-708/18, p 48: …töötlemise vajalikkuse tingimust tuleb hinnata
koostoimes „võimalikult väheste andmete kogumise“ põhimõttega, mis väljendub direktiivi 95/46 artikli 6 lõike 1
punktis c ja mille kohaselt peavad isikuandmed olema „piisavad, asjakohased ega [või] ületa[da] selle otstarbe piire,
mille tarvis neid kogutakse ja mille tarvis neid töödeldakse“.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|