| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/918-2 |
| Registreeritud | 08.04.2025 |
| Sünkroonitud | 09.04.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Ellex Raidla Advokaadibüroo OÜ |
| Saabumis/saatmisviis | Ellex Raidla Advokaadibüroo OÜ |
| Vastutaja | Anu Suviste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim 2) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Merlin Liis-Toomela
Ellex Raidla Advokaadibüroo OÜ
Teie 21.03.2025 nr DNo. C622 Meie 08.04.2025 nr 2.2-9/25/918-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles soovite kinnitust seisukohale seoses
kindlustusandja ja tervishoiuteenuse osutaja poolt patsiendi isikuandmete, sh terviseandmete
töötlemisega.
AKI nõustub üldise järeldusega, et pöördumises kirjeldatud kindlustustegevuse andmetöötluseks
ei ole andmesubjekti eraldi kirjalik nõusolek vajalik, kuid täiendame Teie seisukohta järgneva
selgitusega.
IKÜM artikkel 6 lõike 1 alusel peab igasuguseks isikuandmete töötlemiseks olema õiguslik alus
(nt seadus, isiku nõusolek, õigustatud huvi jne). Õigusliku aluse olemasolu on vajalik eraldiseisvalt
igaks andmetöötlustoiminguks, sh ka isikuandmete edastamiseks. Isikuandmete eriliikide, mille
hulka kuuluvad ka isiku terviseandmed, töötlemine on üldmääruse artikkel 9 lõike 1 kohaselt
üldiselt keelatud, kui ei esine mõni lõikes 2 sätestatud asjaoludest. Seega saab isiku terviseandmete
töötlemine toimuda ainult koostoimes IKÜM artikli 6 lõikes 1 ja artikli 9 lõikes 2 nimetatud
alustega.
Üldmääruse alusel kohaldub isiku terviseandmete töötlemisel kindlustuse valdkonnas õigusliku
alusena artikkel 9 lõike 2 punkt h, mille kohaselt on eriliiki isikuandmete töötlemine lubatud, kui
töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime
hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või
ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks,
kuid seda tingimusel, et õigus andmete töötlemiseks tuleneb siseriiklikust õigusest, kehtestatud
on kaitsemeetmed (sh saladuse hoidmise kohustus). Tervishoiuteenuse kulude hüvitamisel toimub
isiku terviseandmete töötlemine siseriikliku õiguse ehk KindlTS § 218 lõike 2 punkti 2 ja § 219
lõike 1 punkti 1 alusel vastavalt, kui kindlustuslepingu täitmise kohustuse ja selle ulatuse
kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti
terviseseisundi või puude kohta ning tervishoiuteenuse osutaja on kohustatud kindlustusandja
nõudel edastama isikuandmed või võimaldama nendele juurdepääsu, kui nimetatud isikuandmed
(terviseandmed), on kindlustusandjale vajalikud kindlustuslepingu täitmiseks ja selle täitmise
tagamiseks või tagasinõuete esitamiseks.
IKÜM artikkel 9 lõike 2 sõnastuses on üheselt märgitud, et kehtima, peab üks loetletud
asjaoludest. Seega, kui isiku terviseandmete töötlemise alus on KindlTS näol olemas, siis puudub
vajadus mõneks täiendavaks aluseks (näiteks nõusolek). Pigem on paralleelselt kahe õigusliku
aluse kasutamine eksitav ja segadust tekitav. IKÜM-i mõistes nõusoleku puhul on isikul õigus oma
nõusolek igal ajal tagasi võtta. Kui isik ei anna nõusolekut või võtab nõusoleku tagasi (IKÜM art
7), siis tekiks lisaks ka küsimus, kas see võiks olla aluseks nõude menetlemisest keeldumiseks.
2 (2)
Seetõttu ei ole isiku terviseandmete töötlemisel olukorras, kus andmetöötluse alus tuleneb
seadusest, asjakohane tugineda IKÜM artikkel 9 lõike 2 punktile a) ehk nõusolekule.
Lisaks isikuandmete töötlemise õigusliku aluse olemasolule peab kinni pidama ka teistest
IKÜM artikli 5 lõikes 1 sätestatud isikuandmete töötlemise põhimõtetest, sealhulgas
eesmärgipärasuse ja minimaalsuse põhimõtetest. Riigikohus1 on selgitanud, et isikuandmete
töötlemiseks õigusliku aluse olemasolu ei tähenda siiski seda, et isikuandmete töötlemine on igal
konkreetsel juhul õiguspärane. Töötlemine kui toiming peab olema õigusliku alusega ka
kooskõlas. Teisisõnu, lisapiirangud võivad tuleneda õiguslikust alusest enesest, samuti IKÜM art-
s 5 sätestatud töötlemise põhimõtetest. Nii sätestab IKÜM art 5 lg 1 p c võimalikult väheste
andmete kogumise ehk minimaalsuse põhimõtte. Nimetatud põhimõtet tuleb hinnata koostoimes
IKÜM art 6 lg 1 p-s c ning art 9 lg 2 p-des f ja g sätestatud „vajalikkuse“ kriteeriumiga, st
konkreetsete isikuandmete töötlemine peab olema „vajalik“ kõnealuses aluses sätestatud
eesmärgil töötlemiseks (vrd ka Euroopa Kohtu otsus asjas C-708/18 Asociaţia de Proprietari bloc
M5A-ScaraA, p 48). „Vajalikkust“ kui kriteeriumi tõstavad esile ka eeltoodud KindlTS sätted.2
Nende põhimõtete täitmise eest vastutab ja peab olema võimeline nende täitmist tõendama
isikuandmete vastutav töötleja (IKÜM art 5 lg 2), volitatud töötlejate kasutamisel, töötleb volitatud
töötleja isikuandmeid vastutavat ja volitatud töötlejat omavahel siduva lepingu alusel, milles on
sätestatud töötlemise üksikasjad (IKÜM art 28 lg 3).
Kokkuvõttes, kui kindlustusandjal on seadusest tulenev alus kindlustatud isiku terviseandmeid
töödelda, sh neid tervishoiuteenuse osutajalt saada kindlustuslepingu täitmise eesmärgil, siis
kooskõlas IKÜM ja KindlTS nõuetega võib andmeid edastada eesmärgi täitmiseks minimaalselt
vajalikus ulatuses.
Lugupidamisega
Anu Suviste
jurist
peadirektori volitusel
1 RKHK 26.09.2022 otsus 3-20-1449, p 24 2 „Vajalikkuse“ kriteerium on sätestatud ka IKÜM art 6 lg 1 punktis b ja art 9 lg 2 punktis h nimetatud alustes
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|