| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3536-2 |
| Registreeritud | 13.11.2025 |
| Sünkroonitud | 14.11.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Dentalmarketing |
| Saabumis/saatmisviis | Dentalmarketing |
| Vastutaja | Grete-Liis Kalev (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Katrin Meikar
Dental Marketing OÜ
Teie 29.10.2025 Meie 13.11.2025 nr 2.2-9/25/3536-2
Vastus selgitustaotlusele
Pöördusite Andmekaitse Inspektsiooni (AKI) poole küsimusega, mis puudutab patsiendi 3D
näokujutise töötlemist ja printimist.
Selgitan esmalt, et igasuguseks isikuandmete töötlemiseks peab olema õiguslik alus. Inimese näost
3D kujutise loomine ja selle 3D printimine on oma olemuselt isikuandmete töötlemine.
Isikuandmete töötlemise õiguslikud alused on toodud isikuandmete kaitse üldmääruse (IKÜM)
artiklis 6 lõikes 1. Kui töötlete ka eriliiki isikuandmeid (nt patsientide terviseandmeid,
biomeetrilised isikuandmed) peab lisaks esinema mõni IKÜM artiklis 9 lõikes 2 toodud
asjaoludest. Üldreeglina töötleb tervishoiuteenuse osutaja patsiendi isikuandmeid tuginedes
tervishoiuteenuse osutamise lepingule (IKÜM artikkel 6 lõikes 1 punkt b koostoimes IKÜM
artikkel 9 lõige 1 punkt h).
Isikuandmete kaitse üldmääruse vaatest on lisaks õigusliku aluse olemasolule oluline järgida
isikuandmete töötlemise põhimõtteid, sh eesmärgipärasuse, minimaalsuse, turvalisuse ja
läbipaistvuse põhimõtet.
Eesmärgipärasuse põhimõte tähendab seda, et isikuandmete töötlemine peab olema seotud mingi
kindla eesmärgiga. Minimaalsuse põhimõtte kohaselt tuleb isikuandmeid koguda nii vähe kui
võimalik teatud eesmärgi saavutamiseks. Igaks juhuks andmete kogumine on ebaseaduslik.
Soovitan läbi mõelda ja hinnata, milliseid andmeid on vajalik edastada kolmandatele isikutele, sh
laboritele. Näiteks, kui Te edastate patsiendi 3D pildi laborile või tehnikule, kes hakkab selle alusel
proteese jms koostama, siis kas selle ülesande täitmiseks piisaks üksnes patsiendi 3D pildist ja
triipkoodist või numbrikombinatsioonist, mis on seotud konkreetse patsiendiga või on vajalik
edastada see pilt koos patsiendi isikuandmetega.
Läbipaistvuse põhimõte kohaselt peab olema andmetöötlejal koostatud andmekaitsetingimused
ning vajadusel andma täiendavat teavet, mille abil saab inimene ülevaate, kuidas tema
isikuandmeid töödeldakse. See tähendab, et patsiendile peab olema arusaadav, kes on tema
isikuandmete (sh terviseandmete) vastutav töötleja, kellele tema isikuandmeid võidakse edastada,
mis on edastamise eesmärk ja õiguslik alus. Andmekaitse tingimuste koostamisest saab täpsemalt
lugeda AKI veebilehelt. Läbipaistvuse kohta saab lugeda isikuandmete töötleja üldjuhendi 10.
peatükist.
Turvalisuse ja konfidentsiaalsuse põhimõte on sätestatud IKÜM artiklis 5 lõikes 1 punktis f, mida
täiendavad IKÜM artiklid 25 ja 32. Nimelt sätestab IKÜM artikkel 25, et andmetöötleja peab
rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid võttes arvesse teaduse ja tehnoloogia
2 (2)
viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke,
samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse
ja suurusega ohte. See tähendab, et andmetöötleja peab isikuandmete töötlemisel rakendama
lõimitud ja vaikimis andmekaitset. Lõimitud ja vaikimisi andmekaitse kohta saab täpsemalt lugeda
isikuandmete töötleja üldjuhendi 2. peatükist.
IKÜM artikkel 32 seejuures täpsustab, et andmetöötleja peab kasutusele võtma konkreetsed
turvameetmed, et tagada isikuandmete töötlemise turvalisus. Näiteks, üheks meetmeks on
isikuandmete krüpteerimine enne nende edastamist volitatud töötlejale. Andmeturbe kohta oleme
pikemalt kirjutanud siin. Soovitan tutvuda ka eelmisel aastal hambaravikliinikutes läbiviidud
andmekaitse auditi kokkuvõttega.
Turvalisuse ja üldise vastutuse vaatest on oluline määrata kindlaks ja kaardistada, kellele ja mis
isikuandmeid kliinik edastab. Volitatud töötlejaid võib olla erinevaid, näiteks labor kui ka 3D
skaneerimise ja printimise tarkvara kasutajalitsentsi haldajad, kes võivad kokku puutuda patsiendi
isikuandmetega. Volitatud töötlejatega tuleks sõlmida andmetöötluslepingud (IKÜM art 28 lg 3),
milles on reguleeritud vastutava ja volitatud töötleja vaheline suhe. Oluline on meelde jätta, et
vastutav töötleja (näiteks hambaravikliinik) peab valima sellised volitatud töötlejad, kes annavad
piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil,
et töötlemine vastaks isikuandmete kaitse määruses kehtestatud nõuetele.
Lisaks soovin rõhutada, et kui töötlete eriliiki isikuandmeid (näiteks terviseandmeid) vähemalt
5000 inimese kohta, tuleks teha andmekaitsealane mõjuhinnang. AKI on selle kohta koostanud
juhise, mis on leitav isikuandmete töötleja üldjuhendi 5. peatükis. Oluline on meelde jätta, et alla
5000 inimese andmete töötlemine ei tähenda automaatselt, et mõjuhinnang pole vajalik. Kui
töötlemise laad, ulatus, kontekst või eesmärk viitab sellele, et füüsilisele isikule võib tekkida suur
oht, tuleb mõjuhinnang siiski läbi viia olenemata inimeste arvust.
Kokkuvõtlikult tuleb teil läbi mõelda ja hinnata, milliseid andmetöötlustoiminguid läbi viite ning
millistel eesmärkidel ja õiguslikel alustel isikuandmete töötlemine toimub. Selge ülevaade
isikuandmetega tehtavatest toimingutest ning andmekaitse põhimõtete järgimine, aitavad
vähendada erinevaid riske, mis võivad isikuandmete töötlemisega kaasneda.
Loodan, et vastusest on abi.
Lugupidamisega
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|