Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp Marju Peärnberg

[email protected]

Teie 28.01.2025 Meie 25.02.2025 nr 2.2-9/25/309-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon sai Teie pöördumise, milles palute selgitada Ergo kindlustusega

sõlmitud töötajate vabatahtliku ravikindlustuse kindlustusjuhtumi menetlemisel töötajate

terviseandmete (haiguslugu) täiendava nõudmise õiguspärasust.

Esmalt selgitan, et Andmekaitse Inspektsioon ei saa selgitustaotlusele vastates anda konkreetsele

juhtumile siduvat õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses.

Inspektsiooni kohustus on märgukirjale ja selgitustaotlusele vastamise ning kollektiivse

pöördumise esitamise seaduse (MSVS) §-st 3 tulenevalt anda õigusalaseid selgitusi.

Isikuandmete kaitse üldmääruse1 (IKÜM) kohaselt peab igasuguseks isikuandmete töötlemiseks

olema õiguslik alus (nt seadus, isiku nõusolek, õigustatud huvi jne) ning töötlemine peab olema

kooskõlas IKÜM artiklis 5 sätestatud isikuandmete töötlemise põhimõtetega. Isikuandmete

eriliikide töötlemine on üldmääruse artikkel 9 lõike 1 kohaselt üldiselt keelatud, kui ei esine mõni

lõikes 2 väljatoodud eranditest. Seega saab terviseandmete töötlemine toimuda ainult

IKÜM artikli 6 koostoimes artikli 9 lõike 2 alustega.

Üldmääruse alusel kohaldub isiku terviseandmete töötlemisel kindlustuse valdkonnas õigusliku

alusena artikkel 9 lõike 2 punkt h, mille kohaselt on eriliiki isikuandmete töötlemine lubatud, kui

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime

hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või

ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks,

kuid seda tingimusel, et õigus andmete töötlemiseks tuleneb siseriiklikust õigusest ning

kehtestatud on kaitsemeetmed. Antud juhul toimub isiku terviseandmete töötlemine siseriikliku

õiguse ehk kindlustustegevuse seaduse (KindlTS) § 218 lõike 2 punkti 2 ja § 219 lõike 1 punkti

1 alusel.

KindlTS § 219 lõike 1 punkt 1 kohaselt on tervishoiuteenuse osutaja või kolmas isik kohustatud

kindlustusandja nõudel edastama isikuandmed või võimaldama nendele juurdepääsu, kui

isikuandmed, sealhulgas KindlTS § 218 lõikes 2 nimetatud terviseandmed, on kindlustusandjale

vajalikud kindlustuslepingu täitmiseks ja selle täitmise tagamiseks või tagasinõuete esitamiseks.

Lisaks isikuandmete töötlemise õigusliku aluse olemasolule peab kinni pidama ka IKÜM artikli 5

lõikes 1 sätestatud isikuandmete töötlemise põhimõtetest, sealhulgas seaduslikkuse, õigsuse,

eesmärgipärasuse ja minimaalsuse põhimõtetest. Nende põhimõtete täitmise eest vastutab ja peab

olema võimeline nende täitmist tõendama vastutav töötleja (IKÜM artikkel 5 lõige 2). Selles osas,

1 Euroopa Parlamendi ja nõukogu isikuandmete kaitse üldmäärus (EL) 2016/679.

2 (2)

mil andmetöötlus ei vasta täielikult IKÜM artikkel 5 lõikes 1 sätestatud põhimõtetele, on

andmetöötlus keelatud.

Riigikohus2 on selgitanud, et isikuandmete töötlemiseks õigusliku aluse olemasolu ei tähenda

siiski seda, et isikuandmete töötlemine on igal konkreetsel juhul õiguspärane. Töötlemine kui

toiming peab olema õigusliku alusega ka kooskõlas. Teisisõnu, lisapiirangud võivad tuleneda

õiguslikust alusest enesest, samuti IKÜM art-s 5 sätestatud töötlemise põhimõtetest. Nii sätestab

IKÜM art 5 lg 1 p c võimalikult väheste andmete kogumise ehk minimaalsuse põhimõtte.

Nimetatud põhimõtet tuleb hinnata koostoimes IKÜM art 6 lg 1 punktis c ning art 9 lg 2 punktides

f ja g sätestatud „vajalikkuse“ kriteeriumiga, st konkreetsete isikuandmete töötlemine peab olema

„vajalik“ kõnealuses aluses sätestatud eesmärgil töötlemiseks3.

Juhin tähelepanu, et „vajalikkuse“ kriteerium on sätestatud ka IKÜM artikli 9 lõike 2 punktis h

ning KindlTS § 218 lõike 2 punktis 2 ja § 219 lõike 1 punktis 1.

Kuigi Ergo kindlustusel on seadusest tulenev õigus töödelda kindlustatud isiku terviseandmeid

kindlustuslepingu täitmise eesmärgil, ei tähenda see mistahes ulatuses terviseandmete töötlemise

lubatavust. Ka seadusest tuleneva kohustuse täitmisel peab kindlustusandja isiku terviseandmete

töötlemisel lähtuma IKÜM-i vastavatest sätetest ning hindama andmete töötlemisel konkreetse

eesmärgi täitmiseks nende vajalikkust ja ulatust.

Seda, millisel õiguslikul alusel, eesmärgil ja ulatuses andmetöötlust läbi viiakse, peab

IKÜM artikli 5 lõike 2 kohaselt selgitama ja tõendama andmetöötleja ehk antud juhul

kindlustusandja. Oluline on, et konkreetsete isikuandmete töötlemine peab olema vajalik

asjakohases aluses sätestatud eesmärgil töötlemiseks. Seega soovitame terviseandmete nõudmise

põhjendamiseks esmalt pöörduda kindlustusandja poole. Andmetöötlejal tuleb pöördumisele

vastata 30 päeva jooksul.

Andmekaitse Inspektsioon ei algata iga juhtumi puhul eraldi järelevalvemenetlust, vaid otsustab

sõltuvalt asjaoludest sekkumise vajaduse ja viisi, kuid juhtumite kordumisel, õigusvastase praktika

või ka kahtluse korral on inspektsioonil õigus teostada igal ajal ette teatamata kontrolli või algatada

järelevalvemenetlus.

Loodan, et minu selgitustest on abi.

Lugupidamisega

Jekaterina Aader

jurist (tiimijuht)

peadirektori volitusel

2 RKHK 26.09.2022 otsus nr 3-20-1449, p 24. 3 Vt lisaks Euroopa Kohtu 11.12.2019 otsus asjas C-708/18, p 48: „[…] töötlemise vajalikkuse tingimust tuleb hinnata

koostoimes „võimalikult väheste andmete kogumise“ põhimõttega, mis väljendub direktiivi 95/46 artikli 6 lõike 1

punktis c ja mille kohaselt peavad isikuandmed olema „piisavad, asjakohased ega [või] ületa[da] selle otstarbe piire,

mille tarvis neid kogutakse ja mille tarvis neid töödeldakse“.