Vastus nõudekirjale

Tere

Tänan kirja eest.

Esmalt selgitan, et AKI ei saa selgitustaotlusele vastates anda konkreetset siduvat õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses. Inspektsioon ei osuta seega õigusabi. Õigusabiga on tegemist siis, kui antakse mingite konkreetsete eluliste asjaolude osas õiguslik hinnang. Küll aga saame selgitada andmekaitsepõhimõtteid töötajate e-postis isikuandmete töötlemisel ning anda konkreetsemaid selgitusi Teie küsimusest lähtuvalt. Toon veelkord välja olulisema ning täiendan vastust Teie täpsustustele tuginedes.

Isikuandmete töötlemiseks peab olema selge eesmärk ja õiguslik alus ja andmetöötlus peab vastama isikuandmete töötlemise põhimõtetele, mh eesmärgipärasuse ja minimaalsuse põhimõtetele. Kirja edastamisel tuleb seega lähtuda kirjas sisalduvast teabest ning kas teabe edasisaatmiseks on olemas eesmärk ja õiguslik alus ning kõigist teistest andmekaitse põhimõtetest. Kui on vajadus isikuandmeid sisaldavaid e-kirju edastada, siis tuleks arvestada, et kirja edasisaatmine peab olema vajaduspõhine ja töökontekstis peamiselt eesmärgiga täita tööülesannet. Lähtuda tuleks igal juhul eesmärgipärasusest ja minimaalsusest (võimalusel katta üleliigsed read, valida kitsas adressaatide ring jms). Nagu ka eelmises vastuses selgitasin, siis arvestama peab töösuhete kontekstis aga ka sellega, et töösuhetes kehtib töötajate sõnumisaladus veidi teistsugustes raamides kui eraelus, kuna tööandjal (sh ka nt teisel töötajal) võib olla lepingust tulenev, õigustatud huvi vm alus tööalase info saamiseks.

Patsientide isikuandmete töötlemisele kehtivad samuti kõik IKÜM-ist tulenevad põhimõtted. Lisaks tuleb arvestada, et eriliiki andmed, sh terviseandmed, on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud ning väärivad seetõttu erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Seetõttu on eriliiki isikuandmete töötlemine reeglina keelatud, välja arvatud IKÜM artikli 9 lõikes 2 ammendavalt loetletud alustel. Seega peab olema eriti hoolas patsiendi terviseandmeid sisaldavate e-kirjade töötlemisel. Kui õiguslik alus ja vajadus edasisaatmiseks puudub, andmeid edastada ei tohi.

Kokkuvõttes, vastates Teie küsimusele lähtudes eeltoodud põhimõtetest, ei saa olla töötajate e-kirjad automaatselt nn „asutusesisene avalik info“. Kirjade edasisaatmine teistele töökaaslastele või kogu asutusele võib rikkuda isikuandmete kaitse nõudeid (mh nt rikkuda töötaja privaatsust, kui kiri sisaldab töötaja isikuandmeid või eraelulist teavet), eriti tundlik on olukord, kus kirjas käsitletakse patsiendi andmeid. Seega, kirjade edasisaatmine peab olema põhjendatud, proportsionaalne ning andmete töötlemiseks peab olema õiguslik alus, kui alus puudub, siis andmeid töödelda ei tohi. Seega e-kirjade edasisaatmise õigustatust tuleb hinnata lähtuvalt konkreetsetest asjaoludest (e-kirjas sisalduvast teabest, adressaadi teadmisvajadusest jms), võttes arvesse eespool väljatoodud IKÜM-i põhimõtteid ning kas esineb õiguslik alus andmete töötlemiseks.

Eeltoodu tõttu peaks töötajate vahelise kirjavahetuse, isikuandmete käsitlemise ja info jagamise osas tööandja kehtestama väga selged ja läbipaistvad reeglid, mis tagavad nii töökorralduse sujuvuse kui ka töötajate ja teiste andmesubjektide privaatsuse kaitse.      

Loodan, et täpsustustest on abi.

Lugupidamisega

Tere

Palun juristile anda tagasiside – mõistsite pöördumist täiesti valesti.

Mõte oli selles, kust jookseb töötaja privaatsuse piir – kui ta teisele konkreetsele kolleegile kirjutab e-kirja. Kas saaja võib selle edasi saata kõikidele teistele asutuse töötajatele?

Kas see on nö asutusesisene avalik info?

Kas see ei lähe vastuollu näiteks minimaalsuse printsiibiga?

Jutt kohtuvaidluse tarbeks kogutava taustainfoga. Puudutab patsiendi /andmesubjekti isikuandmeid.

Lisaks on töötajatel eri kolleegidega eri alluvus-ja usaldussuhe. Kirjutatakse ka eri viisil. Ei tundu loogiline, et mistahes kolleegile e-kirja edasisaatmine oleks põhjendatud/õiguspärane.

Lugupidamisega