| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3677-2 |
| Registreeritud | 25.11.2025 |
| Sünkroonitud | 26.11.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Karell Kiirabi AS |
| Saabumis/saatmisviis | Karell Kiirabi AS |
| Vastutaja | Kirsika Kuutma (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Karell Kiirabi AS
Teie 10.11.2025 Meie 25.11.2025 nr 2.2-9/25/3677-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles palute selgitada, millised on
tervishoiuteenuse osutaja õigused ja kohustused anda teavet kohalikule omavalitsusele (KOV)
seoses lapse heaolu ja kaitsega. Lisaks soovite selgitusi terviseandmete edastamisel patsiendile
krüpteerimata kujul.
Esmalt selgitame, et igasuguseks isikuandmete töötlemiseks (sh andmete vaatamine, päringute
tegemine jms) peab lähtuvalt isikuandmete kaitse üldmääruse1 (IKÜM) artiklist 6 esinema õiguslik
alus. Eriliigiliste isikuandmete töötlemisel on lisaks vajalik, et esineks üks IKÜM artikkel 9 lõikes
2 toodud punktidest, mis lubaks eriliigilisi (antud juhul terviseandmeid) töödelda, ning muul juhul
on eriliigiliste andmete töötlemine keelatud. Terviseandmed on isiku füüsilise ja vaimse tervisega
seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis
annavad teavet tema tervisliku seisundi kohta (IKÜM artikkel 4 p 15).
Võlaõigusseaduse (VÕS) § 768 lõike 1 kohaselt peavad tervishoiuteenuse osutaja ja
tervishoiuteenuse osutamisel osalevad isikud hoidma saladuses neile tervishoiuteenuse
osutamisel või tööülesannete täitmisel teatavaks saanud andmeid patsiendi isiku ja tema tervise
seisundi kohta, samuti hoolitsema selle eest, et tervishoiuteenuse osutamist kajastavates
dokumentides sisalduvad andmed ei saaks teatavaks kõrvalistele isikutele, kui seaduses või
kokkuleppel patsiendiga ei ole ette nähtud teisiti.
Seadusest tulenev alus terviseandmete väljastamiseks võib olla kahetine – kas andmete avaldamist
lubav või selleks kohustav. Kohustus patsiendisaladuse avaldamiseks võib tuleneda mõnest
valdkondlikust õigusaktist. Sellisel juhul on seadusandja otsustanud, et avalik huvi on olulisem
patsiendi huvist hoida tervishoiuteenuse osutamise käigus avaldatud andmed saladuses, nt
abivajavast lapsest teavitamise kohustus (lastekaitseseadus § 27 lg 1).2 Samas lubav alus saladuse
hoidmise kohustusest kõrvalekaldumiseks saab olla nt vastamisel KOV-i nõudele seoses neile
seadusega pandud ülesannete täitmisega (lastekaitseseadus § 342 ja 344).3
Seega võib teatud asutustel olla õigusliku aluse olemasolul õigus Karell Kiirabilt kui andmete
vastutavalt töötlejalt saada teavet. Kuid ka õigusliku aluse olemasolu ei tähenda, et välja võib
anda kogu teabe tervisliku seisundi osas ning andmetöötleja kohustus on hinnata, kas andmete
väljastamine küsitud ulatuses on põhjendatud. Ühest vastust küsimusele, kui palju isikuandmeid
1 https://eur-lex.europa.eu/legal-content/ET/TXT/HTML/?uri=CELEX:32016R0679&from=ET 2 RK lahend 1-20-5071 (1.04.2022), p. 20 jj. 3 Vt ka Lasteombudsmani ja Andmekaitse Inspektsiooni juhend Abivajavast lapsest teatamine ja andmekaitse NB!
lastekaitseseadus on muutunud, mistõttu osade juhendis kajastatud sätete sõnastus võib olla teine.
2 (2)
välja võib anda, ei ole ning see sõltub nii konkreetse juhtumi asjaoludest kui ka seaduses
määratletud andmekoosseisust4.
Isikuandmete töötlemisel patsiendi andmete väljastamisel peab tervishoiuteenuse osutaja
lähtuma mh ka eesmärgipärasuse ja minimaalsuse põhimõtetest (IKÜM artikkel 5). See tähendab,
et andmeid peab väljastama ainult nii palju, kui on vajalik eesmärgi täitmiseks ja nii minimaalselt
kui võimalik (lihtsalt päringule vastamine vrdl epikriisi väljastamine).
Kahtluse korral on Teil õigus üle küsida, milliseid andmeid vajatakse ja miks just sellises ulatuses
andmed on vajalikud eesmärgi täitmiseks.
Kokkuvõtvalt saab siiski järeldada, et ükski seadus ei loo iseseisvat õiguslikku alust nõuda
kutsesaladust hoidvalt tervishoiutöötajalt patsiendi andmeid laiemas ulatuses ega anna ka arstile
õigust kutsesaladust laiemalt avaldada, kui seda võimaldavad VÕS § 768 ja seda täpsustavad
sätted siseriiklikus õiguses.
Mis puudutab terviseandmete edastamist krüpteerimata kujul, siis terviseandmed on oma
olemuselt kõige delikaatsemad andmed, mida tuleb kaitsta oluliselt hoolikamalt kui tavalisi
isikuandmeid. Andmetöötlejana on Teil vastutus tagada töötlemisel (sh edastamisel) isikuandmete
konfidentsiaalsus ning krüpteerimine on igal juhul selleks turvalisim lahendus.
Vastavalt IKÜM artikkel 15 lg-le 1 on andmesubjektil õigus saada andmete vastutavalt töötlejalt
infot oma isikuandmete töötlemise kohta ning lg 3 alusel õigus saada töödeldavate isikuandmete
koopia. Andmesubjekt ei pea põhjendama, miks ta oma andmete väljastamist soovib ning millisel
kujul need on, sh on tal õigus teha ettepanek, et tema terviseandmeid edastataks krüpteerimata
kujul.
Küll aga soovitame Teil juhtida patsiendi tähelepanu nii krüpteerimata kujul andmete edastamise
ohtudele kui ka ID-abi (www.id.ee) poole pöördumise võimaluse kohta, kust on leitav ka
dekrüpteerimise samm-sammuline juhend.
Loodan, et meie selgitustest oli abi.
Lugupidamisega
(allkirjastatud digitaalselt)
Kirsika Kuutma
jurist
peadirektori volitusel
4 Nt lastekaitseseaduse § 34(2) näeb ette konkreetsed andmekoosseisud, mida on kohaliku omavalitsuse üksusel
õigus töödelda.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|