| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/1898-2 |
| Registreeritud | 19.06.2025 |
| Sünkroonitud | 20.06.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | OÜ SENSUS ETC |
| Saabumis/saatmisviis | OÜ SENSUS ETC |
| Vastutaja | Kirsika Lääts (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Külli Viilik
OÜ SENSUS ETC
Teie 11.06.2025 Meie 19.06.2025 nr 2.2-9/25/1898-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles soovite teada, kas tervishoiuteenust
osutaval ettevõttel, mille nimi on erialaspetsiifiline, on õigus pöörduda võlgade sissenõudmiseks
inkassofirma poole. Soovite teada, kas inkassofirma poole pöördudes on rikutud isikuandmete
kaitse seadust ja lekitatud eriliigilisi delikaatseid isikuandmeid. Esmalt selgitame, et AKI jagab õiguslikke seisukohti andmetöötleja poolse võimaliku
isikuandmete töötlemise rikkumise suhtes vaid järelevalvemenetluse raames uurides põhjalikult
kõiki asjaolusid. Seega saame anda ainult üldiseid selgitusi tuginedes selgitustaotluses välja
toodud asjaoludele.
Euroopa Parlamendi ja Nõukogu määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus, IKÜM)
artikli 4 punkti 1 kohaselt on isikuandmed igasugune teave tuvastatud või tuvastatava füüsilise
isiku (andmesubjekti) kohta. Tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt
tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave,
võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise,
vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.
IKÜM artikli 4 punkti 15 kohaselt on terviseandmed füüsilise isiku füüsilise ja vaimse tervisega
seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis
annavad teavet tema tervisliku seisundi kohta. Teatud kindla tervishoiuteenust osutava ettevõtte
külastamise fakti võib käsitleda terviseandmetena.
IKÜM artikli 9 lõike 1 kohaselt on eriliiki isikuandmeteks andmed, millest ilmneb rassiline või
etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse
kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid
biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse
sättumuse kohta.
Igasugune isikuandmete töötlemine peab vastama IKÜM artiklis 5 sätestatud isikuandmete
töötlemise üldpõhimõtetele, sh olema seaduslik, õiglane, läbipaistev, eesmärgipärane, minimaalne.
Isikuandmete töötlemine on seaduslik vaid siis, kui selleks esineb vähemalt üks IKÜM artikli 6
lõikes 1 toodud õiguslik alus ja eriliiki isikuandmete puhul IKÜM artikli 9 lõikes 2 toodud erand.
Kui tavaliste isikuandmete töötlemine õigusnõuete koostamiseks saab toimuda õigustatud huvi
alusel (IKÜM artikkel 6 lõige 1 punkt f), siis eriliiki isikuandmeid õigustatud huvi õiguslikul alusel
töödelda ei saa. Küll aga võib IKÜM artikkel 9 lõike 2 punkti f kohaselt eriliiki isikuandmeid (sh
terviseandmeid) töödelda kui see on vajalik õigusnõude koostamiseks, esitamiseks või
2 (2)
kaitsmiseks. Seetõttu võib tervishoiuteenust osutava ettevõtte ja inkassofirma vaheline andmete
edastamine olla õiguspärane, kui seejuures järgitakse ka teisi isikuandmete töötlemise
põhimõtteid. Nii peab isikuandmete töötlemine olema ka muuhulgas eesmärgipärane, minimaalne
ja läbipaistev.
Läbipaistvuse põhimõte tähendab, et andmesubjekte (antud juhul ettevõtte kliente) on
isikuandmete töötlemisest (sh võlaandmete edastamisest inkassole) teavitatud. Teave peab olema
lihtsalt kättesaadav, arusaadav ning selgelt sõnastatud.1
Isikuandmete töötlemine peab alati olema seotud mingi eesmärgiga ning andmeid tuleb koguda ja
edastada nii vähe kui võimalik antud eesmärgi saavutamiseks. Isikuandmeid ei tohi hiljem
kasutada uuel eesmärgil, mis on algse eesmärgiga vastuolus.
Selleks, et hinnata, kas andmete kogumine, edastamine ja säilitamine vastab eesmärgi piirangu
ning võimalikult väheste andmete põhimõttele, tuleb:
1) tuua välja kõik andmete töötlemise eesmärgid, dokumenteerida ja teavitada nendest
andmekaitsetingimustes;
2) veenduda, et nimetatud eesmärkide täitmiseks on tegelikult töödeldavad isikuandmed
vajalikud, piisavad ja asjakohased.
Andmetöötleja (antud juhul tervishoiuteenust osutav ettevõte) vastutab ja peab olema võimeline
isikuandmete töötlemise põhimõtete täitmist tõendama.2
Kokkuvõtteks märgime, et terviseandmed on eriliiki isikuandmed, millele kohalduvad rangemad
isikuandmete kaitse nõuded. Samas on inimese vastu võlanõude olemasolu korral
tervishoiuteenust osutaval ettevõttel võimalik võlaandmeid, kui neis sisalduvad terviseandmed,
inkassole edastada IKÜM artikli 9 lõige 2 punkti f alusel tingimusel, et mh on inimesi teavitatud
vastavast andmetöötlusest (nt andmekaitsetingimustega) ja edastatakse minimaalselt andmed, mis
on vajalik eesmärgi täitmiseks. Seejuures peab andmetöötleja olema võimeline tõendama, et
isikuandmete töötlemise põhimõtted on täidetud.
Rohkem infot isikuandmete töötlemise nõuete kohta leiab Isikuandmete töötleja üldjuhendist.
Loodame, et selgitustest on abi.
Lugupidamisega
Kirsika Lääts
jurist
peadirektori volitusel
1 Andmesubjekti teavitamisele kohalduvad IKÜM artiklid 12–14. 2 Vastutuse põhimõte tuleneb IKÜM artikli 5 lõikest 2.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|