Vastus selgitustaotlusele

Dokumendiregister	Andmekaitse Inspektsioon
Viit	2.1.-5/24/565-4
Registreeritud	25.03.2024
Sünkroonitud	25.03.2024
Liik	Väljaminev kiri
Funktsioon	2.1 Menetluse korraldamine
Sari	2.1.-5 Õigusaktide tõlgendamisega seonduvad selgitustaotlused, märgukirjad, kirjavahetus (01.03.2024 suletud - ümber tõstetud 2.2-9, 2.2-10 ja 2.3-8 sarjadesse)
Toimik	2.1.-5/2024
Juurdepääsupiirang	Avalik
Juurdepääsupiirang
Adressaat	Jürgenson Perearstikeskus
Saabumis/saatmisviis	Jürgenson Perearstikeskus
Vastutaja	Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond)
Originaal	Ava uues aknas

Failid

Vastus selgitustaotlusele.pdf

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39, 10134 Tallinn Telefon 627 4135

Registrikood 70004235 E-post info@aki.ee www.aki.ee

Lp Triin Perkson

Jürgenson Perearstikeskus

triin@doc.ee

Teie 21.03.2024 nr Meie 25.03.2024 nr 2.1.-5/24/565-4

Vastus selgitustaotlusele

Andmekaitse Inspektsioon sai Teie täiendava pöördumise.

Esmalt kordame juba esitatud selgitusi:

Õigustatud huvi ei ole kunagi aluseks eriliigiliste, sh terviseandmete töötlemiseks.

Kindlustusandjatele tuleb isikuandmete töötlemise õigus kindlustustegevuse seadusest (KindlTS).

KindlTS § 219 lg 1 p 1 sätestab küll õigusliku aluse andmete edastamiseks kindlustusandjale,

kuid andmetöötlejal tuleb edastada kindlustusandjale ainult vajalikud andmed1. Ehk

tervishoiuteenuseosutaja peab, saades kindlustusandja päringu, hindama, mis ulatuses antud

juhul andmete andmine põhjendatud on ja vajadusel küsima kindlustusandjalt täpsemaid

selgitusi.

Kuna oleme küsimusele vastuse andnud ning Teie hinnangul ei ole ikka põhiosale küsimusest

vastatud, peame vajalikuks selgitada lisaks, kuna Te ei ole välja toonud Andmekaitse

Inspektsioonile oma andmekaitsespetsialisti seisukohta antud küsimuses, et ettevõttel/asutusel

tuleb määrata andmekaitsespetsialist. Andmekaitsespetsialistist tuleb ettevõttel/asutusel teavitada

Äriregistris. Ettevõtte/asutuse töökorraldus peaks tagama, et töötajad teaksid andmekaitselistes

küsimustes kõigepealt omaenda andmekaitsespetsialisti poole pöörduda. Ilma selleta läheb info

temast mööda. Kui ettevõttes/asutuses, kus andmekaitsesptesialist on määratud, hakatakse

inspektsiooni poole temast mööda minnes pöörduma, on see inspektsioonile kindel märk, et

andmekaitsespetsialisti määramine sellises ettevõttes/asutuses on vaid formaalsus ja tegelikult ei

ole asutuses pädevat andmekaitsespetsialisti. Asutuse/ettevõtte andmekaitsepsetsialist peab

olema pädev hindama kõiki asjaolusid ning võimeline jõudma järelduseni, kas andmete

edastamine on õiguspärane (isegi kui puudub Teie viidatud pärija nõusolek) või mitte.

Selgitame, et andmekaitsespetsialisti rolli võivad täita andmetöötleja oma töötaja (täistöökoht või

lisaülesanne) või andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel).

Vastavalt isikuandmete kaitse üldmääruse artikli 38 lõige 3 ja artikli 38 lõige 6, selleks et

andmekaitseametnik saaks tegutseda sõltumatul viisil, on kehtestatud mitu kaitsemeedet:

-vastutavad töötlejad ega volitatud töötlejad ei tohi anda juhiseid andmekaitseametniku

ülesannete täitmise kohta;

- vastutav töötleja ei tohi andmekaitseametnikku tema ülesannete täitmise eest ametist vabastada

ega karistada;

1 3-20-1449 kindlustusele andmete edastamine.

2 (2)

- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.

Andmekaitse Inspektsioon selgitab, et andmekaitseametniku muud ülesanded ja kohustused ei

tohi kaasa tuua huvide konflikti. Eeskätt tähendab see, et andmekaitseametnik ei saa

organisatsioonis olla sellisel ametikohal, millest tulenevalt ta peab otsustama isikuandmete

töötlemise eesmärkide ja vahendite üle.

Huvide konflikt võib tekkida organisatsioonis selliste töökohtade puhul nagu kõrgema

juhtimistaseme töötajad (tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht,

turundusjuht, personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris

madalamal asuvate töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise

eesmärkide ja vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel

andmekaitseametnikul palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus

isikuandmete kaitsega seotud küsimustes.

Kokkuvõtvalt selgitame, et esmalt tuleb pöörduda oma asutuse andmekaitsespetsialisti poole, kes

peab oskama Teile vajadusel abi anda, sest andmetöötlejal lasub kohustus igal juhtumil kaaluda,

millist andmekoosseisu tuleb edastada kindlustuslepingu täitmiseks (lähtuda sh isikuandmete

töötlemise, minimaalsuse ja eesmärgipärasuse, põhimõtetest), olenemata sellest kas on olemas

andmesubjekti nõusolek või mitte.

Isikuandmete töötleja üldjuhendi leiate Andmekaitse Inspektsiooni kodulehelt:

https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdf.

Andmekaitsespetsialisti määramisest leiab informatsiooni siit.

Loodan, et minu selgitustest on abi.

Lugupidamisega

Liina Kroonberg

jurist-konsultant

peadirektori volitusel

Seosed

Nimi	K.p.	Δ	Viit	Tüüp	Org	Osapooled
Täiendav pöördumine	21.03.2024	3	2.1.-5/24/565-3	Sissetulev kiri	aki	Jürgenson Perearstikeskus
Vastus selgitustaotlusele	19.03.2024	5	2.1.-5/24/565-2	Väljaminev kiri	aki	Jürgenson Perearstikeskus
Selgitustaotlus	29.02.2024	24	2.1.-5/24/565-1	Sissetulev kiri	aki	Jürgenson Perearstikeskus