| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-5/24/565-4 |
| Registreeritud | 25.03.2024 |
| Sünkroonitud | 25.03.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-5 Õigusaktide tõlgendamisega seonduvad selgitustaotlused, märgukirjad, kirjavahetus (01.03.2024 suletud - ümber tõstetud 2.2-9, 2.2-10 ja 2.3-8 sarjadesse) |
| Toimik | 2.1.-5/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Jürgenson Perearstikeskus |
| Saabumis/saatmisviis | Jürgenson Perearstikeskus |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39, 10134 Tallinn Telefon 627 4135
Registrikood 70004235 E-post [email protected] www.aki.ee
Lp Triin Perkson
Jürgenson Perearstikeskus
Teie 21.03.2024 nr Meie 25.03.2024 nr 2.1.-5/24/565-4
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie täiendava pöördumise.
Esmalt kordame juba esitatud selgitusi:
Õigustatud huvi ei ole kunagi aluseks eriliigiliste, sh terviseandmete töötlemiseks.
Kindlustusandjatele tuleb isikuandmete töötlemise õigus kindlustustegevuse seadusest (KindlTS).
KindlTS § 219 lg 1 p 1 sätestab küll õigusliku aluse andmete edastamiseks kindlustusandjale,
kuid andmetöötlejal tuleb edastada kindlustusandjale ainult vajalikud andmed1. Ehk
tervishoiuteenuseosutaja peab, saades kindlustusandja päringu, hindama, mis ulatuses antud
juhul andmete andmine põhjendatud on ja vajadusel küsima kindlustusandjalt täpsemaid
selgitusi.
Kuna oleme küsimusele vastuse andnud ning Teie hinnangul ei ole ikka põhiosale küsimusest
vastatud, peame vajalikuks selgitada lisaks, kuna Te ei ole välja toonud Andmekaitse
Inspektsioonile oma andmekaitsespetsialisti seisukohta antud küsimuses, et ettevõttel/asutusel
tuleb määrata andmekaitsespetsialist. Andmekaitsespetsialistist tuleb ettevõttel/asutusel teavitada
Äriregistris. Ettevõtte/asutuse töökorraldus peaks tagama, et töötajad teaksid andmekaitselistes
küsimustes kõigepealt omaenda andmekaitsespetsialisti poole pöörduda. Ilma selleta läheb info
temast mööda. Kui ettevõttes/asutuses, kus andmekaitsesptesialist on määratud, hakatakse
inspektsiooni poole temast mööda minnes pöörduma, on see inspektsioonile kindel märk, et
andmekaitsespetsialisti määramine sellises ettevõttes/asutuses on vaid formaalsus ja tegelikult ei
ole asutuses pädevat andmekaitsespetsialisti. Asutuse/ettevõtte andmekaitsepsetsialist peab
olema pädev hindama kõiki asjaolusid ning võimeline jõudma järelduseni, kas andmete
edastamine on õiguspärane (isegi kui puudub Teie viidatud pärija nõusolek) või mitte.
Selgitame, et andmekaitsespetsialisti rolli võivad täita andmetöötleja oma töötaja (täistöökoht või
lisaülesanne) või andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel).
Vastavalt isikuandmete kaitse üldmääruse artikli 38 lõige 3 ja artikli 38 lõige 6, selleks et
andmekaitseametnik saaks tegutseda sõltumatul viisil, on kehtestatud mitu kaitsemeedet:
-vastutavad töötlejad ega volitatud töötlejad ei tohi anda juhiseid andmekaitseametniku
ülesannete täitmise kohta;
- vastutav töötleja ei tohi andmekaitseametnikku tema ülesannete täitmise eest ametist vabastada
ega karistada;
1 3-20-1449 kindlustusele andmete edastamine.
2 (2)
- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.
Andmekaitse Inspektsioon selgitab, et andmekaitseametniku muud ülesanded ja kohustused ei
tohi kaasa tuua huvide konflikti. Eeskätt tähendab see, et andmekaitseametnik ei saa
organisatsioonis olla sellisel ametikohal, millest tulenevalt ta peab otsustama isikuandmete
töötlemise eesmärkide ja vahendite üle.
Huvide konflikt võib tekkida organisatsioonis selliste töökohtade puhul nagu kõrgema
juhtimistaseme töötajad (tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht,
turundusjuht, personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris
madalamal asuvate töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise
eesmärkide ja vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel
andmekaitseametnikul palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus
isikuandmete kaitsega seotud küsimustes.
Kokkuvõtvalt selgitame, et esmalt tuleb pöörduda oma asutuse andmekaitsespetsialisti poole, kes
peab oskama Teile vajadusel abi anda, sest andmetöötlejal lasub kohustus igal juhtumil kaaluda,
millist andmekoosseisu tuleb edastada kindlustuslepingu täitmiseks (lähtuda sh isikuandmete
töötlemise, minimaalsuse ja eesmärgipärasuse, põhimõtetest), olenemata sellest kas on olemas
andmesubjekti nõusolek või mitte.
Isikuandmete töötleja üldjuhendi leiate Andmekaitse Inspektsiooni kodulehelt:
https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdf.
Andmekaitsespetsialisti määramisest leiab informatsiooni siit.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Täiendav pöördumine | 21.03.2024 | 3 | 2.1.-5/24/565-3 | Sissetulev kiri | aki | Jürgenson Perearstikeskus |
| Vastus selgitustaotlusele | 19.03.2024 | 5 | 2.1.-5/24/565-2 | Väljaminev kiri | aki | Jürgenson Perearstikeskus |
| Selgitustaotlus | 29.02.2024 | 24 | 2.1.-5/24/565-1 | Sissetulev kiri | aki | Jürgenson Perearstikeskus |