| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/1787-2 |
| Registreeritud | 16.06.2025 |
| Sünkroonitud | 17.06.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Ellex Raidla Advokaadibüroo |
| Saabumis/saatmisviis | Ellex Raidla Advokaadibüroo |
| Vastutaja | Kirsika Kuutma (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Merlin Liis-Toomela
Ellex Raidla Advokaadibüroo OÜ
Teie 02.06.2025 nr C622 Meie 16.06.2025 nr 2.2-9/25/1787-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie kui Meliva AS esindaja nimel esitatud selgitustaotluse,
milles soovite seisukohta seoses (töö)tervishoiuteenuse osutamise raames patsiendi e-posti
aadressi kasutamisega.
Kirjeldate, et hetkel on Meliva töötervishoiu osutamise süsteemid üles ehitatud järgnevalt.
[Meliva] kasutab patsiendi e-postiaadressi, mille patsient on ise kinnitanud, sõltumata sellest,
kas aadress on tööalane või isiklik, ning edastab selle kaudu teenuse osutamisega seotud
vajalikku informatsiooni ja teavitusi nii töötervishoiu- kui eraklienditeenuste kontekstis samast
infosüsteemist.
Eelnev võib Teie selgituste kohaselt tekitada olukorra, kus isiklik e-posti aadress kirjutatakse üle
tööalase e-posti aadressiga või vastupidi. Kuivõrd Meliva töötab IT-süsteemi arenduse kallal, et
lahutada töötervishoiu- ja erakliendisuhtlus eraldi kanalitesse, kuid arendus on osutanud
planeeritust keerulisemaks ja kulukamaks. Seetõttu soovite teada, kas arvestades
selgitustaotluses välja toodud õiguslikku ja praktilist hinnangut, on IT-süsteemi arendus
tingimata vajalik.
Toote oma õiguslikus hinnangus mh esile, et patsiendi e-posti aadressi kasutatakse väga piiratud
info edastamiseks ehk visiidiga seotud teavituste saatmiseks, näiteks broneeringu kinnitamiseks,
broneeringu kohta vajaliku info saatmiseks (nt kui Meliva peab broneeringu tühistama või
broneeringut muutma) või arve edastamiseks. Samuti toote välja, et kasutate alati patsiendi enda
poolt kinnitatud/sisestatud e-posti aadressi ning et terviseandmeid Meliva e-posti teel ei edasta,
kui patsient ise selleks selgesõnalist nõusolekut ei anna või vastavat taotlust ei esita.
Esmalt selgitame, et AKI ei saa selgitustaotlusele vastates anda konkreetset siduvat õiguslikku
hinnangut, see on võimalik ainult järelevalvemenetluses. Märgukirjale ja selgitustaotlusele
vastamise ning kollektiivse pöördumise esitamise seaduse §-st 3 tulenevalt on AKI-l kohustus
anda õigusalaseid selgitusi asutuse tegevuse aluseks olevate õigusaktide ning asutuse pädevuse
ja õigusloome tegevuse kohta. Seetõttu on järgnevalt toodud üldised Euroopa Parlamendi ja
nõukogu määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus ehk IKÜM) selgitused.
Eelkõige peab selgitustaotluses välja toodud olukorras võtma arvesse IKÜM-i aluspõhimõtteid
tulenevalt artikkel 5 lg-st 1, mille punktid a ja b ütlevad muuhulgas, et isikuandmete töötlemine
peab olema läbipaistev ja eesmärgipärane. Seega on oluline, et Meliva andmetöötlejana oleks
läbi mõelnud, milline eesmärk on saata patsiendi eraviisilise vastuvõtuga seotud teavet tööalasele
2 (3)
e-postile ning kas patsient on teadlik, et Meliva süsteemi ülesehitusest tulenevalt võib selline
olukord aset leida.
Samuti peab arvestama, et Meliva poolne andmeedastus (vastuvõtu info, arved jms) olukorras,
kus erakliendisuhtluseks mõeldud teave jõuab tööalasele e-postile, jääb alati oht, et tööandja saab
teadlikuks töötaja eraelulistest andmetest, sh terviseandmetest.
Nimelt reguleerib Eestis töösuhteid peamiselt töölepingu seadus (TLS). IKÜM ega TLS ei näe
ette konkreetseid tööalast e-posti reguleerivaid sätteid, kuid töösuhtes tuleb lähtuda nendes
õigusaktides sätestatud üldistest nõuetest ja põhimõtetest. Samuti on tööandjal õigus (ja
kohustus) kehtestada reeglid töökorraldusele, sh e-posti kasutamise kohta. Vastavate reeglite
kehtestamine aitab mh tagada IKÜM-ist tulenevat isikuandmete töötlemise läbipaistvuse nõuet.
Seega ei ole välistatud tööandja poolt töötajale eraldatud e-postkastist kirjade vaatamine ning
võib olla põhjendatud juhtudel ka vajalik, aga see eeldab õigusliku aluse olemasolu ning peab
olema eelnevalt reguleeritud.
Eeskirjadega ei saa tööandja siiski kehtestada selliseid piiranguid ega luua endale õigusi, mis on
põhiseaduse või teiste seadustega (nt IKÜM) vastuolus. Näiteks ei saa tööandja endale kehtestada
õigust rikkuda töötaja erakirjade sõnumisaladust või eraelu puutumatust. Samuti tuleb selliste
reeglite kehtestamisel austada töötaja inimväärikust. Nii näiteks ei ole õigust töötaja erakirju avada
ega lugeda. Isikliku kirjavahetuse hulka tuleb arvata ka töötajate vaheline kirjavahetus, mis ei
seondu tööülesannete täitmisega.
Küll aga on AKI praktikas palju näiteid, kus tööandjad kas teadmatusest või pahatahtlikkusest
jätavad vastavad regulatsioonid asutuse sees kehtestamata ning tutvuvad töötaja e-posti aadressile
saadetud kirjadega. Reeglite kehtestamine ega kehtestamata jätmine ei vabasta siinjuures tööandjat
IKÜM-i nõuetele vastavast kohustuste täitmisest ega võimalikust vastutusest ebaseadusliku
tegevuse eest. Küll aga võib selle tulemusena juhtuda, et inimese isiklik tervisealane kirjavahetus
saab nt teatavaks kolmandale isikule (tööandjale), kui Meliva on salvestanud viimatise vastuvõtu
järgselt oma süsteemidesse patsiendi tööalase e-posti aadressi.
Täiendavalt selgitame, et terviseandmed on isiku füüsilise ja vaimse tervisega seotud isikuandmed,
sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema
tervisliku seisundi kohta (IKÜM artikkel 4 p 15).
Seega kuulub terviseandmete alla mh ka informatsioon selle kohta, millise eriarsti juurde on isikule
visiit broneeritud või millise teenuse eest arve koostatud. Näiteks, kui patsient on käinud arsti
soovitusel psühholoogi vastuvõtul, ei tähenda see koheselt, et inimesel on probleemid vaimse
tervisega, kuid loob eelarvamuse, et tal võib sellele kalduvus olla (potentsiaalne terviserisk).
Ka Euroopa Andmekaitsenõukogu on oma suunistes1 öelnud ning ka Euroopa Kohtu asjaomast
kohtupraktikat2 silmas pidades tuleb mõistet „terviseandmed“ tõlgendada laialt. Nii on asutud
seisukohale, et terviseandmeteks on ka see teave, mis muutub terviseandmeteks ristviitamise teel
muude andmetega, tehes seega avalikuks tervisliku seisundi või terviseriskid.
AKI rõhutab, et terviseandmete töötlemisel peab olema tavapärasest hoolsam, sest võimalik
privaatsuseriive on suurem ning enne inimese andmete töötlemist peab olema veendunud, et see
vastab IKÜM-i põhimõtetele, on asjakohane ja piirdub sellega, mis on töötlemise otstarbe
seisukohalt vajalik. Ühtlasi on äärmiselt oluline, et töötlemine on ka isikule üheselt selge ja
läbipaistev.
1 Suunised 3/2020 terviseandmete töötlemise kohta teadusuuringute eesmärgil seoses COVID-19 puhanguga 2 Euroopa Kohtu 6. novembri 2003. aasta otsus kohtuasjas C-101/01 (Lindqvist), punkt 50.
3 (3)
Seega on äärmiselt tervitatav, et Meliva on märganud tekkinud probleemi ning võtnud hoiaku,
mille kohaselt soovitakse omaltpoolt panustada, et isikuandmeid veelgi enam kaitsta.
Loodame, et meie selgitustest on Meliva süsteemide arendamisel abi.
Lugupidamisega
Kirsika Kuutma
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|