| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/25/476-1676-1 |
| Registreeritud | 26.05.2025 |
| Sünkroonitud | 27.05.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/25/476 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Certific OÜ, ePerearstikeskus OÜ, AS MEDISOFT, Minudoc OÜ, VIVEO Health OÜ, Advokaadibüroo NOVE OÜ, ePerearstikeskus OÜ, AS MEDISOFT, VIVEO Health OÜ |
| Saabumis/saatmisviis | Certific OÜ, ePerearstikeskus OÜ, AS MEDISOFT, Minudoc OÜ, VIVEO Health OÜ, Advokaadibüroo NOVE OÜ, ePerearstikeskus OÜ, AS MEDISOFT, VIVEO Health OÜ |
| Vastutaja | Kirsika Lääts (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp TTO-de kliendikeskkonna
teenusepakkuja
26.05.2025 nr 2.1.-4/25/476-1676-1
TTO-de kasutatavate kliendisuhtluskeskkondade seire
Andmekaitse Inspektsioon (AKI) on algatanud omaalgatusliku seire, et saada ülevaade
isikuandmete töötlemisest tervishoiuteenuse osutajate (TTO) poolt kasutatavates
kliendisuhtluskeskkondades. Seire läbiviimise põhjuseks on asjaolu, et AKI on täheldanud
erinevates valdkondades (sh tervishoius) teenuste kasutamist ilma, et seda oleks reguleeritud
kirjalike andmetöötluslepingutega.
Eesmärk on kaardistada TTO-dele pakutavates kliendisuhtluskeskkondades isikuandmete
töötlemisega kaasnevad võimalikud kitsaskohad. Seire küsimuste vastustest lähtuvalt on võimalik
koostada tagasiside ja vajadusel konkreetsed soovitused kliendisuhtluskeskkondade
teenusepakkujatele ja TTO-dele.
AKI viib seire läbi isikuandmete kaitse üldmääruse art 58 ja isikuandmete kaitse seaduse § 56
alusel ning seetõttu on küsimustele vastamine Teile kohustuslik.
Käesolev kiri on saadetud koopiana ka kliendikeskkondade teenusepakkujate poolt äriregistrisse
kantud andmekaitsespetsialistidele, kui see oli märgitud.
Palun vastata alljärgnevatele küsimustele hiljemalt 30.06.2025 e-posti aadressil
1. Palun selgitage, millisel eesmärgil Teie kliendisuhtluskeskkonda kasutatakse ja milliseid
funktsioone seejuures kasutada saab? Näiteks broneerimine, patsiendi pöördumine ja
tagasiside, failde edastamine, videovastuvõtt jm.
2. Millised TTO-d kasutavad Teie kliendisuhtluskeskkonda, palun lisage TTO nimi,
registrikood, kontaktandmed ja tooge välja milliseid funktsioone vastav TTO kasutada saab
(nt broneerimine, patsiendi pöördumine ja tagasiside, videovastuvõtt jm)?
3. Kas kõigi TTO-dega on sõlmitud kirjalikud andmetöötluslepingud? Kui ei, siis palun
selgitage.
4. Isikuandmete kaitse üldmäärus1 (IKÜM) eristab andmetöötlejana vastutavat,
kaasvastutavat ja volitatud töötlejat (IKÜM artiklid 24, 26, 28). Millised on Teie ettevõtte
ja TTO vahelised rollid Teie vahel sõlmitud lepingu puhul (nt vastutav töötleja,
kaasvastutav töötleja, volitatud töötleja)? Kas olete sõlminud vastavalt omavahelisele
rollile TTO-ga kokkuleppe või lepingu isikuandmete töötlemise osas ning kui jah, siis
millises vormis? Tooge iga TTO juures välja, milline on Teie omavaheline rollijaotus.
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679.
2 (2)
5. Milliseid andmeid säilitatakse kliendisuhtluskeskkonnas, kui kaua andmeid säilitatakse,
kellel on andmetele ligipääs?
6. Millised võimalused on keskkonda sisse logimiseks (nt ID-kaart, SmartID, salasõna jne)?
7. Kas Te olete saanud otse andmesubjektilt või aidanud TTO-l lahendada IKÜM artikli 15
kohaseid taotlusi andmetega tutvumiseks kliendisuhtluskeskkonnaga seoses? Kui jah, siis
palun esitage ligikaudne taotluste arv 2024. aastal.
8. Kas Teie ettevõttel on eelnevalt määratud protsess andmetega tutvumise taotluse
käsitlemisel kooskõlas IKÜM artikliga 15. Kui jah, siis palun kirjeldage taotluste
lahendamise protsess (alates taotluse saamisest kuni taotluse lahendamiseni), kui
ettevõttele laekub andmetega tutvumise taotlus kliendisuhtluskeskkonnaga seoses?
9. Palun kirjeldage, kas kliendisuhtluskeskkonnas saab TTO määrata kasutajatele erinevad
rollid (nt administraator, kellel rohkem õiguseid)?
10. Kas keskkonna kasutamist logitakse?
- Kui jah, siis palun kirjeldage, millal ja millised logid tekivad.
- Kui ei, siis palun põhjendage, miks ei logita.
11. Kas Teie ettevõtte kasutab andmeid (TTO poolt sisestatud isikuandmeid või TTO-ga
suhtlemiseks andmesubjekti poolt sisestatud isikuandmeid) edasi muul eesmärgil iseseisva
vastutava töötlejana (nt süsteemi testimiseks, otseturustuseks vm)?
- Kui jah, siis palun selgitage, millisel eesmärgil andmesubjekti isikuandmeid veel
töödeldakse.
- Kui jah, siis millisel õiguslikul alusel algsest erineval eesmärgil töötlemine toimub.
- Kui jah, siis kas ja kuidas andmesubjekte on teavitatud teisel eesmärgil isikuandmete
töötlemisest.
12. Kas Teie ettevõtte kasutab alltöötlejaid kliendikeskkonnaga seotud isikuandmete
töötlemisel?
- Kui jah, siis palun lisage alltöötleja nimi, registrikood, asukoht ja alltöötleja kasutamise
eesmärk.
- Kas olete teadlik, kus alltöötleja isikuandmeid töötleb (serveri asukoht) ja kust
andmetele juurde pääseb?
13. Kas 2024. või 2025. a jooksul olete kliendikeskkonnas läbi viinud või tellinud turvaauditi,
mis on hinnanud Teie andmetöötlussüsteemide turvalisust? Kui jah, siis mis oli auditi
tulemus, järeldused ja järeltegevused?
14. Loetlege tegevused, mida rakendate igapäevaselt andmetöötlussüsteemide
turvalisuse tagamisel, mõjude ennetamisel ja leevendamisel.
15. Palun esitage omapoolsed selgitused ja arvamus, mida peate vajalikuks seire raames lisada.
Lugupidamisega
(allkirjastatud digitaalselt)
Kirsika Lääts
jurist
peadirektori volitusel