| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/25/3128-3 |
| Registreeritud | 07.03.2025 |
| Sünkroonitud | 10.03.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tervisekindlustusagent OÜ, AS LHV Kindlustus, AS Arstikeskus Confido |
| Saabumis/saatmisviis | Tervisekindlustusagent OÜ, AS LHV Kindlustus, AS Arstikeskus Confido |
| Vastutaja | Anu Suviste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Tervisekindlustusagent OÜ
Koopia:
AS Arstikeskus Confido
AS LHV Kindlustus
07.03.2025 nr 2.2-10/25/3128-3
Tähelepanu juhtimine
Andmekaitse Inspektsioon on saanud isikutelt märgukirjade ja selgitustaotlustena pöördumisi
seoses Confido Terviselahenduse teenuse raames ülemääraste terviseandmete nõudmisega
kindlustushüvitise taotlemisel juhul, kui kindlustatu on teenuse eest ise tasunud.
Teenuse veebilehe1 andmetel on Confido Terviselahenduse teenuse osutamisega seotud AS
Arstikeskus Confido, AS LHV Kindlustus ja Tervisekindlustusagent OÜ. Confido
Terviselahenduse teenuse andmekaitsetingimuste2 kohaselt on kahjukäsitlemise eesmärgil
isikuandmete vastutavaks töötlejaks Tervisekindlustusagent OÜ. Kuna inspektsioonile ei ole
teada Confido Terviselahenduse teenuse osutamisel täpne pädevuse ja vastutuse jaotus
nimetatud ettevõtete vahel, on käesolev kiri adresseeritud kahjukäsitluse isikuandmete
vastutavale töötlejale Tervisekindlustusagent OÜ, kuid edastatakse teadmiseks ka AS-le
Arstikeskus Confido ja AS-le LHV Kindlustus. Teenuse osutajatele viidatakse kirjas edaspidi
teenuse nimetuse kaudu Confido Terviselahendus.
Inspektsioonile esitatud pöördumiste kohaselt on Confido Terviselahenduse kahjukäsitleja
nõudnud näiteks eriarsti visiiditasu hüvitamiseks isikult lisaks nõuetekohastele
kuludokumentidele saadud teenuse haiguslugu (www.terviseportaal.ee väljavõte) või on
ennetava tervisekontrolli uuringu ja analüüsi maksumuse hüvitamiseks lisaks nõuetekohastele
kuludokumentidele nõutud haiguslugu (mis ennetava tervisekontrolli puhul puudub) või
väljavõtet analüüside tegemise kohta (ehk analüüsi vastust ulatuslike terviseandmetega, mida
ei saa dokumendist eemaldada).
Confido Terviselahenduse veebilehel https://terviselahendus.ee/teata-kahjust/ on loetletud
1 https://terviselahendus.ee/ 2 https://terviselahendus.ee/privaatsuspoliitika/
2 (4)
dokumendid, mis tuleb kindlustatul esitada hüvitise saamiseks.
Kirjeldatud juhtumite puhul näiteks:
arsti vastuvõtt – kulu tõendav dokument (arve või kviitung)
ennetava tervisekontrolli uuringud ja analüüsid – kulu tõendav dokument (arve või kviitung)
Kulu tõendaval dokumendil peavad olema järgmised andmed: tervishoiuteenuse osutaja nimi,
teenuse saaja nimi, teenuse nimetus, hind, teenuse osutamise kuupäev.
Lisatud on märkus, et kindlustusagendil on õigus küsida vajadusel täpsustavaid dokumente, et
selgitada välja kindlustusjuhtumiga seotud asjaolud või määrata kindlaks väljamakstava
kindlustushüvitise suurus.
Isikuandmete kaitse üldmääruse3 (IKÜM) artikkel 4 lõike 1 kohaselt on isikuandmeteks
igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmete töötlemine sama
artikli lõike 2 kohaselt on isikuandmete või nende kogumitega tehtav automatiseeritud või
automatiseerimata toiming või toimingute kogum.
IKÜM artikkel 4 punkti 15 järgi on terviseandmed füüsilise isiku füüsilise ja vaimse tervisega
seotud isikuandmed, sh temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad
teavet tema tervisliku seisundi kohta. IKÜM põhjenduspunktis 35 on muu hulgas selgitatud, et
tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti tervislikku seisundit
käsitlevad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise
või vaimse tervise kohta. Põhjenduspunktis 51 on toodud välja, et eriliigilised isikuandmed, sh
terviseandmed on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad
erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral
ohustada.
Seega kindlustushüvitise taotluse menetlemisel isiku haigusloo, epikriisi või uuringu- ja
analüüsiandmete nõudmisel toimub patsiendi isikuandmete, sh terviseandmete töötlemine.
IKÜM artikkel 6 lõike 1 alusel peab igasuguseks isikuandmete töötlemiseks olema õiguslik alus
(nt seadus, isiku nõusolek, õigustatud huvi jne). Isikuandmete eriliikide töötlemine on
üldmääruse artikkel 9 lõike 1 kohaselt üldiselt keelatud, kui ei esine mõni lõikes 2 väljatoodud
asjaoludest. Seega saab terviseandmete töötlemine toimuda ainult IKÜM artikli 6 koostoimes
artikli 9 lõike 2 alustega.
Üldmääruse alusel kohaldub isiku terviseandmete töötlemisel kindlustuse valdkonnas õigusliku
alusena artikkel 9 lõike 2 punkt h), mille kohaselt on eriliiki isikuandmete töötlemine lubatud,
kui töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja
töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või
sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja
-teenuste korraldamiseks, kuid seda tingimusel, et õigus andmete töötlemiseks tuleneb
siseriiklikust õigusest ning kehtestatud on kaitsemeetmed. Antud juhul toimub isiku
terviseandmete töötlemine siseriikliku õiguse ehk kindlustustegevuse seaduse (KindlTS) § 218
lõike 2 punkti 2 ja § 219 lõike 1 punkti 1 alusel.
Lisaks isikuandmete töötlemise õigusliku aluse olemasolule peab kinni pidama ka IKÜM artikli
5 lõikes 1 sätestatud isikuandmete töötlemise põhimõtetest, sealhulgas õigsuse,
eesmärgipärasuse ja minimaalsuse põhimõtetest. Nende põhimõtete täitmise eest vastutab ja
3 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta
3 (4)
peab olema võimeline nende täitmist tõendama vastutav töötleja (IKÜM artikkel 5 lõige 2).
Selles osas, mil andmetöötlus ei vasta täielikult IKÜM artikkel 5 lõikes 1 sätestatud
põhimõtetele, on andmetöötlus keelatud.
Isiku terviseandmete töötlemine on lubatud KindlTS § 218 lõike 2 punkt 2 kohaselt siis, kui see
on muul juhul vajalik kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse
kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti
surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning
tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude
kohta.
Riigikohus4 on selgitanud, et isikuandmete töötlemiseks õigusliku aluse olemasolu ei tähenda
siiski seda, et isikuandmete töötlemine on igal konkreetsel juhul õiguspärane. Töötlemine kui
toiming peab olema õigusliku alusega ka kooskõlas. Teisisõnu, lisapiirangud võivad tuleneda
õiguslikust alusest enesest, samuti IKÜM art-s 5 sätestatud töötlemise põhimõtetest. Nii
sätestab IKÜM art 5 lg 1 p c võimalikult väheste andmete kogumise ehk minimaalsuse
põhimõtte. Nimetatud põhimõtet tuleb hinnata koostoimes IKÜM art 6 lg 1 p-s c ning art 9 lg
2 p-des f ja g sätestatud „vajalikkuse“ kriteeriumiga, st konkreetsete isikuandmete töötlemine
peab olema „vajalik“ kõnealuses aluses sätestatud eesmärgil töötlemiseks5.
Juhin tähelepanu, et „vajalikkuse“ kriteerium on sätestatud ka IKÜM artikli 9 lõike 2 punktis
h) ning KindlTS § 218 lõike 2 punktis 2 ja § 219 lõike 1 punktis 1.
Kuigi Confido Terviselahendusel on seadusest tulenev õigus töödelda kindlustatud isiku
terviseandmeid kindlustuslepingu täitmise eesmärgil, ei tähenda see mistahes ulatuses
terviseandmete töötlemise lubatavust. Ka seadusest tuleneva kohustuse täitmisel peab
kindlustusandja isiku terviseandmete töötlemisel lähtuma IKÜM-i vastavatest sätetest ning
hindama andmete töötlemisel konkreetse eesmärgi täitmiseks nende vajalikkust ja ulatust.
Nagu Riigikohus on selgitanud, tuleb ka isikuandmete töötlemise seadusliku aluse olemasolul
töödelda andmeid lähtudes eesmärgipärasuse ja minimaalsuse põhimõttest. See tähendab, et
isikult võib terviseandmeid nõuda ainult selles ulatuses, mis on vajalik kindlustuslepingu
täitmiseks. Näiteks tuleks hinnata, kas visiiditasu hüvitamiseks on vaja nõuda kogu haigusloo
esitamist. Eesmärgi täitmiseks on vaja tuvastada, et isik on arsti vastuvõtul käinud ning
visiiditasu tasunud, mille tõendamiseks peaks üldjuhul piisama kuludokumendi esitamisest.
Viitan siinjuures, et ka Confido Terviselahenduse enda reeglitest ilmneb, et visiiditasu
hüvitamiseks tuleb esitada kuludokument, mitte täismahus terviseandmed (epikriis, haiguslugu,
analüüsitulemus vms). Kui kuludokument mingil põhjusel ei osutu piisavaks, tuleb täiendava
info, sh terviseandmete nõuet isikule ammendavalt põhjendada. Sõltuvalt teenuse tingimustest
tuleks leida kõige vähem isiku privaatsust riivav võimalus kindlustusjuhtumi asjaolude välja
selgitamiseks, st läbi mõelda millised on juhtumi asjaolude välja selgitamise või hüvitise
suuruse otsustamiseks minimaalselt vajalikud andmed.
Käesoleval juhul juhib inspektsioon Confido Terviselahenduse tähelepanu võimalikule
ülemäärasele andmetöötlusele ning palub teenuse osutajal kriitiliselt üle vaadata Confido
Terviselahenduse kahjukäsitlusel rakendatavad andmetöötluse reeglid, vajadusel viia need
kooskõlla IKÜM nõuetega ning oma töötajaid täiendavalt juhendada ja koolitada.
4 RKHK 26.09.2022 otsus nr 3-20-1449, p 24 5 Vt lisaks Euroopa Kohtu 11.12.2019 otsus asjas C-708/18, p 48
4 (4)
Andmekaitse Inspektsioon ei algata iga juhtumi puhul eraldi järelevalvemenetlust, vaid otsustab
sõltuvalt asjaoludest sekkumise vajaduse ja viisi. Inspektsioonil on õigus vajadusel alustada
järelevalvemenetlus kaebuse alusel või omal algatusel.
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota.
Lugupidamisega
Anu Suviste
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|