| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/26/4082-3 |
| Registreeritud | 16.01.2026 |
| Sünkroonitud | 19.01.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Antsla Vallavalitsus |
| Saabumis/saatmisviis | Antsla Vallavalitsus |
| Vastutaja | Anu Suviste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Tiina Trump
Antsla Vallavalitsus
Teie 15.12.2025 Meie 16.01.2026 nr 2.3-8/26/4082-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seoses eriliiki isikuandmete töötlemisega.
Inspektsioon mõistab Teie pöördumist nii, et soovite AKI seisukohta nõusoleku alusel
eestkostetava terviseandmete avalikustamiseks õiguskaitseasutusele kriminaalasja kohtueelses
menetluses kasutamiseks, kusjuures on küsitud nõusolek sõnastatud väga üldiselt, et võimaldada
erinevatel tervishoiuteenuste osutajatel ja asutustel menetlusosalise terviseandmeid
kriminaalmenetluse läbiviijale väljastada.
Isikuandmete kaitse üldmääruse (IKÜM) kohaselt on isiku terviseandmed igasugused füüsilise
isiku terviseseisundit, sh ka tervishoiuteenuse osutamist käsitlevad andmed ning neid peetakse eriti
tundlikeks andmeteks, mis väärivad erilist kaitset1. Tervishoiuteenuse osutajale kehtib saladuse
hoidmise kohustus, mis ei luba terviseandmeid avaldada, kui seaduses või kokkuleppel patsiendiga
ei ole ette nähtud teisiti. Seega saab terviseandmete avaldamise aluseks olla kas inimese nõusolek
või seadus.
IKÜM seab terviseandmete, kui eriliiki isikuandmete, töötlemise nõusolekule selged kriteeriumid.
Nõusolek on kehtiv juhul, kui see on vabatahtlik, konkreetne, teadlik, ühemõtteline ja
selgesõnaline tahteavaldus2 (vt nõusoleku kohta täpsemalt Euroopa Andmekaitsenõukogu
suunistest 05/2020 määruse (EL) 2016/679 kohase nõusoleku kohta). IKÜM art 7 lg 1 näeb ette,
et kui isikuandmete töötlemine põhineb nõusolekul, peab vastutaval töötlejal ehk antud juhul
andmete avalikustajal olema võimalik tõendada, et andmesubjekt on nõustunud oma
terviseandmete avaldamisega, st just isikuandmete väljastaja kohustuseks on veenduda, et
nõusolek vastab IKÜM-s sätestatud nõuetele. Riigikohus on lahendi nr 1-20-5071 p-s 24 öelnud,
et nõusolek oma terviseandmete avaldamiseks kuulub patsiendi autonoomia hulka, kuid rõhutanud
samas, et tervishoiuteenuse osutaja kohustuseks on selgitada patsiendile arusaadaval ja lihtsal
kujul andmete avaldamise ulatust (st millised konkreetsed terviseandmed), eesmärke (kellele ja
milleks andmed avaldatakse) ning tagajärgi, tagades nii, et nõusolek on antud kõiki asjaolusid
arvestades (teavitatud nõusolek).
Juhul, kui tervishoiuteenuse osutajale esitatakse patsiendi nõusolek kolmanda isiku poolt, puudub
tervishoiuteenuse osutajal võimalus kontrollida (ning vajaduse korral ka tõendada), et isik on
andnud eeltoodud nõuetele vastava nõusoleku.
Lisaks peab nõusoleku puhul tervishoiuteenuse ostuaja veenduma selles, et andmed, mille
avaldamist soovitakse on asjakohased ja piirduvad minimaalselt vajalikuga konkreetse eesmärgi
täitmiseks. Tervishoiuteenuse osutaja ei ole kriminaalmenetluse osaline, mistõttu puudub tal
1 IKÜM art 4 p 15, pp 35 ja 51 2 IKÜM art 4 p 15 ja pp 32
2 (4)
võimalus ja ka pädevus hinnata, millised andmed on kriminaalmenetluse aspektist vajalikud.
Seega puudub tal sisuliselt võimalus andmete väljastamisel veenduda, et küsitud andmed on
konkreetse eesmärgi täitmiseks vajalikud. Küll aga peab tervishoiuteenuse osutaja lähtuvalt
minimaalsuse ja eesmärgipärasuse põhimõttest väljastama ainult need andmed, mis on
nõusolekuga hõlmatud, seejuures veendudes selles, et patsient on teavitatud sellest, millised
konkreetsed andmed edastatakse (nt kui edastatakse haiguslugu, siis peaks patsiendile tutvustama
haigusloos sisalduvaid andmeid, et ta suudaks hinnata konkreetsete andemete avaldamisega seotud
riske) ning mõistab terviseandmete avaldamise tagajärgi.
AKI hinnangul ei saa siiski välistada, et see protsess algab õiguskaitseasutuse poolt edastatud
nõusolekust, kuid eeldusel, et nõusolek vastab IKÜM-s sätestatud nõuetele. Andmete
avalikustamisel kriminaalmenetluses kasutamiseks on põhjust kahelda eelkõige nõusoleku
vabatahtlikkuse ja teadlikkuse nõuetele vastavuses. AKI ei saa andmete väljastajale ette öelda,
kuidas ta peab veenduma selles, et nõusolek on ka tegelikkuses antud teadlikult ja vabatahtlikult,
küll aga peab nõusolekule tuginemise korral isikuandmete väljastaja olema suuteline tõendama
nõusoleku kehtivust.
Nõusoleku alusel isikuandmete töötlemise puhul tuleb arvesse võtta, et nõusolek on igal ajal
tagasivõetav, mis kohustab andmetöötluse lõpetama. Tagasivõtmine ei mõjuta küll enne seda
õiguspäraselt toimunud töötlemist, kuid võib kriminaalmenetluse eesmärki arvestades kaasa tuua
kahjulikke tagajärgi nii andmesubjektile, kui menetlejale (nt kui avaldatud andmed ei ole piisavad
korrektse järelduse tegemiseks).
Isikuandmete töötlemise üheks oluliseks põhimõtteks on IKÜM art 5 lg 1 punktist b) tuleneva
eesmärgipärasuse põhimõte, mille kohaselt isikuandmeid kogutakse täpselt ja selgelt
kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende
eesmärkidega vastuolus. Algsest erineval eesmärgil toimuv andmetöötlus saab üldjuhul toimuda
nõusoleku või seaduse alusel. Antud olukorras ei ole AKI hinnangul nõusoleku andmine ega ka
terviseandmete avalikustamine iseenesest eesmärk, vaid eesmärk on andmete kasutamine
kriminaalmenetluses, mida tuleb seega arvesse võtta.
Kriminaalmenetluse läbiviimisel kehtib õiguskaitseasutusele isikuandmete töötlemise alusena
mitte IKÜM, vaid isikuandmete kaitse seadus (IKS). IKS 4. peatükk (§§ 12–50) sisaldab erisätteid,
mis reguleerivad isikuandmete töötlemist õiguskaitseasutuse poolt süüteo tõkestamisel,
avastamisel ja menetlemisel ning karistuse täideviimisel. Need sätted tulenevad
õiguskaitseasutuste direktiivi3 ülevõtmisest ja regulatsioon kehtib asutustele, kellel on vastav
pädevus, sh õiguskaitseasutusele kriminaalmenetluse läbiviimisel. IKS sätete aluseks oleva
õiguskaitseasutuste direktiivi põhjenduse 37 kohaselt ei peaks direktiivi kohaldamisalas eriliiki
andmete töötlemine tuginema andmesubjekti nõusolekule ning IKS § 15 kehtestab üldreegli, et
õiguskaitseasutus töötleb isikuandmeid seaduse alusel.
Arvestades õiguskaitseasutuste andmetöötluse eripära näeb direktiivi artiklist 10 üle võetud IKS §
20 ette, et eriliiki isikuandmete töötlemine on lubatud ainult juhul, kui esineb üks järgmistest
alustest:
1) töötlemise lubatavus on sätestatud õigusaktis;
2) töötlemine on vajalik andmesubjekti või teise füüsilise isiku eluliste huvide kaitseks või
3) töödeldakse isikuandmeid, mille andmesubjekt on ise ilmselgelt avalikustanud.
Seaduse seletuskirja kohaselt võimaldab selline lähenemine õiguskaitseasutustel täita ülesandeid,
mis sageli võivad hõlmata eriliiki isikuandmete töötlemist, näiteks seksuaalkuritegude
menetlemine, kinnipeetava terviseseisundi hindamine ja kontroll, DNA- ja sõrmejäljeandmete
3 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses
pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele
võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega
tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, 27. aprill 2016.
3 (4)
kasutamine menetluses jt.4
AKI hinnangul on vägagi küsitav, kas õiguskaitseasutusele isiku antud üldise nõusoleku alusel
oma terviseandmete avalikustamiseks kriminaalmenetluses kasutamiseks saaks asutus tugineda
IKS § 20 punktile 3, st asutus töötleb isikuandmeid, mille andmesubjekt on ise ilmselgelt
avalikustanud. Kui isik on õiguskaitseasutuse ettepanekul andnud üldise nõusoleku erinevatele
tervishoiuteenuse osutajatele oma terviseandmete avalikustamiseks kriminaalmenetluses
kasutamiseks, siis ei saa eeldust, et andmesubjekt on andmed ise ilmselgelt avalikustanud,
täidetuks lugeda. Sättes toodud eeldusi tuleb mõista nii, et andmete avalikustamine on isiku enda
initsiatiiv ja ta on need ka ise avalikuks teinud, näiteks küsinud arstilt andmed ja edastanud
õiguskaitseasutusele. Kui andmed on avalikustanud õiguskaitseasutusele antud üldise nõusoleku
alusel tervishoiuteenuse osutaja, siis ei saa avalikustamist lugeda isiku enda algatuseks ja
ilmselgeks tahteks.
AKI leiab, et kriminaalmenetluse eripära arvestades, kus riive isiku õigustele ja vabadustele võib
olla vägagi intensiivne, on nõusoleku alusel kriminaalmenetluse eesmärgil isikuandmete
töötlemine problemaatiline.
Tuleb küll eristada erinevaid olukordi ja õiguslikke aluseid, IKÜM art 9 lg 2 punkti a) kohane isiku
nõusolek on andmetöötluse aluseks ainult tervishoiuteenuse osutajale terviseandmete
väljastamiseks, kuid tuleb siiski arvesse võtta ka andmetöötluse eesmärki, st et andmete
avaldamise eesmärk on nende kasutamine kriminaalmenetluses.
Kriminaalmenetluse eesmärgil isikuandmete töötlemine võib kaasa tuua andmesubjekti õiguste
piirangud. Näiteks võib piirata inimese õigusi oma andmete töötlemise kohta teabe saamiseks, oma
andmetega tutvumiseks, parandamise ja kustutamise nõudmiseks jms (IKS §§ 23-25). Tekiks
vastuoluline olukord, kus isik on ühelt poolt andnud loa oma andmeid avaldada, kuid teisalt võib
andmetöötleja piirata tema õigusi, nt õigust saada teavet milliseid tema andmeid töödeldakse,
kellele edastatakse jne. Seetõttu peaks õiguskaitseasutus isiku terviseandmete töötlemisel
tuginema ennekõike seadusele ning vajadusel ja vastava õiguse olemasolul küsima
tervishoiuteenuse osutajalt põhjendatud juhul ja vajalikus ulatuses andmeid kriminaalmenetluse
seadustikus ja eriseadustes sätestatud alustel.
Riigikohus on selgitanud eelpool viidatud lahendi 1-20-5071 p-des 25-28, et seadusest tulenev alus
terviseandmete väljastamiseks võib olla kahetine – kas andmete avaldamist lubav või selleks
kohustav.
Kohustus patsiendisaladuse avaldamiseks võib tuleneda mõnest valdkondlikust õigusaktist.
Sellisel juhul on seadusandja otsustanud, et avalik huvi on olulisem patsiendi huvist hoida
tervishoiuteenuse osutamise käigus avaldatud andmed saladuses, nt abivajavast lapsest teavitamise
kohustus.
Samas lubav alus saladuse hoidmise kohustusest kõrvalekaldumiseks saab olla muu hulgas
vastamisel uurimisasutuse nõudele seoses neile seadusega pandud ülesannete täitmisega. Näiteks
psühhiaatrilise abi seaduse (PsAS) § 5 lg 2 sätestab, et psühhiaatrilist ravi ja diagnoosi puudutav
teave on isiku eraelu saladus ja selle edastamine väljapoole raviprotsessi on lubatud ainult isiku
enda või tema seadusliku esindaja kirjalikul nõusolekul, samuti uurimisasutuse, politsei,
prokuratuuri, kriminaalhooldusosakonna või kohtu seadusest tuleneva nõude alusel. PsAS § 5
lõikes 3 sätestatud arsti konfidentsiaalsuskohustuse eesmärki silmas pidades tuleb PsAS § 5 lõiget
2 tõlgendada nii, et see lubab asutusele viimase nõudmisel esitada üksnes info selle fakti kohta,
kas isik on ravi saanud ning seoses millise diagnoosiga. Norm ei anna aga alust VÕS §-s 768
sätestatud saladuse hoidmise kohustusest kõrvalekaldumiseks laiemalt, s.o avaldada andmeid ravi
täpsema sisu, diagnoosi nüansside ning ravi käigus teatavaks saanud muude asjaolude kohta,
rääkimata kogu haigusloo avaldamisest. Kohtu hinnangul ei loo ükski seadus iseseisvat õiguslikku
alust nõuda kutsesaladust hoidvalt tervishoiutöötajalt patsiendi andmeid laiemas ulatuses ega anna 4 Seletuskiri isikuandmete kaitse seaduse eelnõu juurde (679 SE), lk 27.
4 (4)
ka arstile õigust kutsesaladust laiemalt avaldada, kui seda võimaldavad VÕS § 768 ja seda
täpsustavad sätted (nt PsAS § 5).
Kokkuvõttes on AKI seisukohal, et kriminaalmenetluses tuleks isiku terviseandmeid töödelda
eelkõige seaduse alusel. Inimese nõusoleku andmine oma terviseandmete avaldamiseks
õiguskaitseasutusele kriminaalmenetluse läbiviimiseks ei ole välistatud, kuivõrd see kuulub isiku
enda või tema seadusliku esindaja otsustuspädevusse. Seda aga ainult juhul, kui on tagatud
nõusoleku kehtivus. See tähendab, et igal üksikjuhul peab olema selgelt määratletud ning
inimesele selgitatud, millistele adressaatidele ning millises ulatuses tema andmeid avaldada
soovitakse ning milliste riskidega, muu hulgas õiguste piiramisega, tuleb arvestada, st nõusolek
peab olema selgesõnaline, vabatahtlik, konkreetne, teadlik ning üheselt mõistetav. Üldiselt peaks
aga kriminaalmenetluses isikuandmete töötlemine toimuma seaduse alusel seadusandja poolt
määratud piirides ning terviseandmete avaldamine nõusoleku alusel peaks jääma erandlikuks
võimaluseks.
Loodame, et selgitused on abiks.
Lugupidamisega
Anu Suviste
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|