Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

OÜ Pärnu Perearstid Teie 21.10.2025 Meie 31.10.2025 nr 2.2-9/25/3423-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles palute selgitusi järgnevatele

küsimustele.

Oleme lähtunud juhisest, et tervishoiutöötaja tohib teha inimese terviseandmete päringuid siis,

kui tal on selleks olemas õiguslik alus. Lähtume sellest, et õiguslikuks aluseks on ravisuhte

olemasolu. /…/ Kas juhul, kui inimene on esitanud kirjaliku päringu ettevõttele/kindlustusfirmale

oma raviloo käsitluse õigsuse osas, on juhatuse liikmel (või mõnel teisel ravilugu analüüsival

töötajal) õigus vaadata patsiendi terviseandmeid ilma ravisuhet omamata, et koostada ravitöö

analüüs ning vastus patsiendile/kindlustusfirmale?

Samuti soovin teada, et kuidas käsitleda juhtumeid, kui meie poole pöördub ravitöö kvaliteedi

osas küsimusega patsiendi lähedane (tütar/poeg, lapselaps, abikaasa). Võib juhtuda, et patsient

ei ole ise lähedase pöördumisest teadlik. Sellisel juhul puudub õiguslik alus patsiendi

terviseandmete päringute osas ka raviarstil ning patsiendi loata terviseandmete edastamine

lähedasele on ju keelatud?

Esmalt selgitame, et igasuguseks isikuandmete töötlemiseks (sh andmete vaatamine, päringute

tegemine, andmete avaldamine jms) peab lähtuvalt isikuandmete kaitse üldmääruse1 (IKÜM)

artiklist 6 esinema õiguslik alus. Eriliigiliste isikuandmete, sh terviseandmete, töötlemisel on lisaks

vajalik, et esineks üks IKÜM artikkel 9 lõikes 2 toodud asjaoludest2.

Tervishoiuteenuse osutajatel on juurdepääs tervise infosüsteemis olevatele isikuandmetele

tervishoiuteenuse korraldamise seaduse (TTKS) § 593 lõike 2 alusel, aga seda võib kasutada vaid

sama seaduse § 41 lõikes 1 sätestatud eesmärkidel ja korras.

Seega kokkuvõtvalt lubatakse ilma andmesubjekti nõusolekuta töödelda andmeid kolmel juhul:

1) TTKS § 41 lõige 1 punkti 1 alusel tervishoiuteenuse osutamiseks;

2) TTKS § 41 lõige 1 punkti 2 alusel tervishoiuteenuse kavandamiseks lähtudes sel juhul

TTKS § 2 lõikes 1 nimetatud eesmärgist ;

1 https://eur-lex.europa.eu/legal-content/ET/TXT/HTML/?uri=CELEX:32016R0679&from=ET 2 IKÜM artikkel 9 lõike 2 punkt h lubab eriliigiliste andmete töötlemise kui see on vajalik ennetava meditsiini või

töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks,

tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja

-teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja

eeldusel, et lõikes 3 osutatud tingimused on täidetud.

2 (2)

3) TTKS § 41 lõige 1 punkti 3 alusel tervishoiuteenuse kvaliteedinõuete tagamiseks3 või

patsiendiohutusjuhtumi dokumenteerimiseks4.

Samad põhimõtted kehtivad nii tervise infosüsteemist kui ka asutuse sisemisest infosüsteemist

päringute tegemisel.

IKÜM-i alusel on iseenesest võimalik teostada päring patsiendi andmetesse ka mõnel teisel juhul,

mis ei ole seotud TTKS-i alusel raviteenuse osutamisega. Näiteks olukorras, kus peate vastama

patsiendi kaebusele seoses talle osutatud raviga (IKÜM art 9 lg 2 p f). Antud säte ei näe ette

täiendavaid piiranguid sellele, kui palju ja mis ulatuses võib terviseandmeid töödelda, sh ei tulene

täiendavaid piiranguid Eesti siseriiklikust õigusest, vaid lähtuma peab andmete töötlemise

üldpõhimõtetest (IKÜM artikkel 5).

Eelkõige peab silmas pidama, et andmeid saab kaebusele vastamiseks töödelda ainult nii palju, kui

on vajalik eesmärgi täitmiseks ja nii minimaalselt kui võimalik. Isikuandmete vastutava töötlejana

on Teie kohustus tõendada ning andmesubjektile ka hiljem selgitada, mis andmeid ning miks just

sellises ulatuses on töödeldud (IKÜM art 5 lg 2 ja art 15).

Samuti on IKÜM-i alusel võimalik teostada päring patsiendi andmetesse näiteks vastamisel

kindlustusandja nõudele5, kuid seda ainult Teie poolt patsiendile osutatud teenuse ulatuses. Seega

võib teatud juhul kolmandatel isikutel olla õigus Teilt kui andmete vastutavalt töötlejalt saada

teavet. Kuid ka õigusliku aluse olemasolu ei tähenda, et välja võib anda kogu teabe tervisliku

seisundi osas ning Teie kohustus on hinnata, kas andmete väljastamine küsitud ulatuses on

põhjendatud. Kahtluse korral on Teil õigus üle küsida, milliseid andmeid vajatakse ja miks just

sellises ulatuses. Ühest vastust küsimusele, kui palju isikuandmeid välja võib anda, ei ole ning see

sõltub nii konkreetse juhtumi asjaoludest, kui ka seaduses määratletud andmekoosseisust.6

Läbipaistvama andmetöötluse tagamiseks juhime tähelepanu, et asutuses peaks olema majasisene

juhis, mis annaks selge ülevaate, kes, millal ja millises ulatuses tohib andmesubjekti isikuandmeid

töödelda. Ka tervishoiuteenuse kvaliteedinõuete tagamiseks peab tervishoiuteenuse osutajal olema

vastu võetud kvaliteedijuhtimise süsteem, millega peab mh olema ette nähtud kaebuste

menetlemise kord.7

Mis puudutab patsiendi andmete väljastamist tema lähedastele, siis selgitame, et juhul, kui isik on

täisealine ning teovõimeline, on tal õigus iseseisvalt otsustada oma isikuandmete üle ning tema

lähedastel ei ole õigust tema terviseandmetele ligi pääseda.

Loodame, et meie selgitustest on abi.

Lugupidamisega

Kirsika Kuutma

jurist

peadirektori volitusel

3 Lähtudes sel juhul terviseministri 24.10.2024 määrusest nr 43 Tervishoiuteenuste kvaliteedi ja patsiendiohutuse

tagamise nõuded. 4 Lähtudes sel juhul terviseministri 28.10.2024 määrusest nr 44 Patsiendiohutusjuhtumite asutusesisene

dokumenteerimine ja andmete esitamine patsiendiohutuse andmekogusse. 5 Nt kindlustustegevuse seadus § 219 või tervishoiuteenuse osutaja kohustusliku vastutuskindlustuse seadus § 21 lg

3. 6 Nt lastekaitseseaduse § 34(2) näeb ette konkreetsed andmekoosseisud, mida on kohaliku omavalitsuse üksusel

õigus töödelda. 7 Vt täpsemalt terviseministri 24.10.2024 määrusest nr 43.