Arvamus eelnõu kohta
| Dokumendiregister | Sotsiaalministeerium |
| Viit | 1.2-2/2-9 |
| Registreeritud | 29.01.2026 |
| Sünkroonitud | 30.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.2 Õigusloome ja õigusalane nõustamine |
| Sari | 1.2-2 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega (Arhiiviväärtuslik) |
| Toimik | 1.2-2/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Liikluskindlustuse Fond |
| Saabumis/saatmisviis | Eesti Liikluskindlustuse Fond |
| Vastutaja | Liisi Lillipuu (Sotsiaalministeerium, Kantsleri vastutusvaldkond, Innovatsiooni vastutusvaldkond, Arendusosakond) |
| Originaal | Ava uues aknas |
Dokument on kokkuvõtte tegemiseks liiga mahukas
(48069 tm).
Failid
From: Martti
Merila <[email protected]>
Sent: Thursday, January 29, 2026 12:32 PM
To: Liisi Lillipuu - SOM <[email protected]>
Subject: FW: 1.2-22-1 06.01.2026 Õigusakti eelnõu.asice
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere, Liisi!
Tülitan Eesti Liikluskindlustuse Fondist. Kuigi eelnõuga muudetakse liikluskindlustuse seadust ja eelnõu puudutab liikluskindlustuse registrit, siis eelnõud meile arvamuse avaldamiseks ei esitatud. Tänuväärselt saime RaM-st teada kõnealusest eelnõust. RaM-le edastasime oma mõtted eelnõu osas. Siiri Tõniste palus need ka otse teile saata.
Eelnõu osas on LKF-l järgmised ettepanekud:
- Andmekoosseis
Andmekoosseisus on erinevusi võrreldes tänasega. Eelkõige on küsimus, kas „isiku ravi maksumus“ kätkeb osutavate tervishoiuteenuste ja diagnooside andmeid, vt all.
Ettepanek: „isiku ravi maksumus“ asendada või täiendada „arve andmed“
Lisaks tuleks täiendada lõiget 8 uue viitega.
|
Eelnõu järgi saadavad andmed |
Täna praktikas saadavad andmed |
|
isiku ravi maksumus |
NB! Siin saame täna rohkem, kui isiku ravi maksumus ning see teave on kindlasti vajalik, et Tervisekassa ei peaks eraldi dokumentidena teavet juurde andma. Kas saaks siin ka üldistada raviteenuste arve andmed? - isikukood, kelle kohta teave käib - arve number - raviarve alustamise ja lõpetamise kuupäev - info vältimatu arstiabi osutamise kohta - Kas emos osutatud teenus - põhidiagnoosi kood vastavalt RHK-10-le - Arve põhidiagnoos - kaasuva(te) diagnoosi(de) kood(id) vastavalt RHK-10-le - välispõhjuse kood vastavalt RHK-10-le (näiteks sõiduauto, v veoautoga kokkupõrkel vigastatud jalakäija vmt) - arved read -- tervishoiuteenuse osutamise kuupäev -- osutatud tervishoiuteenuse kood ja nimetus - Tunnus (teenus, ncsp, drg) ja Teenuse kood ja nimi -- osutatud tervishoiuteenuse hulk - Teenuse kogus -- teenuse hind – teenuse hind (see on piirhind) -- koefitsient – koefitsient -- tervishoiuteenuse summa ehk kokku maksumus – Summa ja valuuta - tervishoiuteenuse osutaja registrikood või füüsilisest isikust ettevõtja isikukood ja nimi - Arsti kood ja nimi ja Asutuse kood ja nimi - arsti eriala – arsti eriala |
|
töövõimetuslehe andmed |
- isikukood, kelle kohta teave käib - töövõimetuslehe number - töövõimetuslehe liik (näiteks „Haigusleht (esmane leht)“; ...) - töövabastuse perioodi algus ja lõpp - esmase lehe algus [ - olek (näiteks „Avatud“, „Makstud“ vmt) - tervishoiuteenuse osutaja - töövabastuse põhjus (näiteks „Olmevigastus“, „Liiklusvigastus“) - diagnoosi kood ja nimetus - Kliendi kontole kantud summa - Kinnipeetud tulumaks - Kohtutäiturile kantud summa - Töövõimetushüvitise brutosumma - Hüvitis (võibolla arvutame selle ise „Töövõimetushüvitise brutosumma“ – „Kinnipeetud tulumaks“ - Hüvitatud päevade arv - Andmete esitamise kuupäev |
|
retsepti andmed |
- isikukood, kelle kohta teave käib (sama, mis on päringu sisendis) - dokumendi number (unikaalne ID) - paberretsepti number (apteegis digitaliseeritud retsepti puhul) - liik (meditsiiniseadme rc vmt) - olek (müüdud vmt) - retsepti välja kirjutamise kuupäev (võib vajada täpsustust) - ravimi või vahendi müümise kuupäev - diagnoos (määratud ravi – kood ja selgitus) - diagnoosi välja kirjutanud arsti kood ja nimi - diagnoosi välja kirjutanud arsti eriala (võibolla jääb üksnes kood) - raviasutuse kood ja nimetus - ravimi või vahendi andmed -- arsti sisestatud nimetus (võib vajada täpsustust) -- apteegi sisestatud nimetus (võib vajada täpsustust) -- kood -- pakendite arv - retsepti kogusumma (ehk ravimi hind) - patsiendi makstud summa - Haigekassa hüvitatav summa - arsti selgitus |
Lisaks on eelnõuga seotud probleeme ka Eesti Kindlustusseltside Liidul, kelle õigusvaldkonna juhina ma samuti töötan. Kuidas on eelnõu edasine ajakava?
Martti Merila
õigusvaldkonna juht
+372 5074 563
Eesti Liikluskindlustuse Fond
From: Siiri
Tõniste - RAM <[email protected]>
Sent: Sunday, January 18, 2026 1:18 PM
To: Martti Merila <[email protected]>
Subject: 1.2-22-1 06.01.2026 Õigusakti eelnõu.asice
Tere, Martti!
SoM on saatnud kooskõlastamisele eelnõu, kus muudetakse ka LkindlS, aga pole seda teile arvamiseks saatnud. Eelnõu on leitav ka EIS-ist.
Ma veel liiga süvenenud pole, aga diagonaalis tundus ok. Selle § lõiget 8 vist tuleks ka uue viitega muuta.
Aga vaadake siis ka.
Siiri
11. peatükk Kindlustusandja kohustused seoses klientide kaitsega
§ 216. Sootegur kindlustusriski hindamisel
(1) Erinevused naiste ja meeste kindlustusmaksetes ja -hüvitistes ei või olla põhjustatud sooteguri kasutamisest kindlustusriskide hindamisel.
(2) Rasedus ega emadus ei või mõjutada kindlustusmaksete ja -hüvitiste suurust.
§ 217. Andmesubjekt ja tema nõusolek isikuandmete töötlemiseks
(1) Käesolevat paragrahvi ja kKäesoleva seaduse §-e 218–2201 kohaldatakse sellistele järgmistele andmesubjektidele: , kellele kindlustusandja osutab kindlustustegevusega seotud teenust, sealhulgas kindlustusvõtja, kindlustuslepingus kindlustusvõtjaga võrdsustatud isik, kindlustatud isik, soodustatud isik, kahjustatud isik, või isik, kellega kindlustusandja peab läbirääkimisi kindlustuslepingu sõlmimiseks, ning kindlustusjuhtumi põhjustajatele ja tunnistajatele. (vormistatakse loeteluks)
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 218. Isikuandmete töötlemine
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(1) Isikuandmete, välja arvatud eriliiki isikuandmete töötlemine on kindlustustegevuses lisaks Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88) sätestatule lubatud:
1) kindlustusvõtja ja temaga seotud isikuid puudutava kindlustusriski hindamiseks ja kindlustuslepingu sõlmimiseks vajalike muude toimingute tegemiseks, sealhulgas automatiseeritud töötlusel põhinevate üksikotsuste tegemiseks;
2) andmesubjekti kasuks sõlmitud lepingu täitmiseks, lepingu täitmise tagamiseks või tagasinõuete esitamiseks, kui käesolevas seaduses ei ole sätestatud teisiti.
(2) Terviseandmete töötlemine on lubatud, kui:
1) kindlustusandjal on seadusest tulenev kohustus sõlmida kindlustusleping;
2) see on muul juhul vajalik kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
(3) Süüteo toimepanemist või selle ohvriks langemist puudutavate andmete töötlemine enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist on lubatud kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(4) Tervishoiuteenuse osutaja võib töödelda andmesubjekti terviseandmeid ekspertarvamuse andmiseks terviseseisundi või puude või töövõime ? kohta, kui see tuleneb kindlustusandja ja tervishoiuteenuse osutaja vahelisest kokkuleppest. Tervishoiuteenuse osutaja poolt andmete töötlemisele kohaldatakse tervishoiuteenuse korraldamise seaduse § 4¹ lõikes 13 sätestatut.
Kui anda otsene õigus, siis peaks ka arst ise vastutama andmete õiguspärase töötlemise eest. Kas see vastutus võiks olla sõnastatud või saame sellele viidata, st kust see tuleb? Küsimus selles, kas kindlustusandja vastutab arsti õiguspärase andmete töötlemise eest, kui ta teeb seda kindlustusandja ülesandel või vastutab arst ise käesoleva seaduse alusel? See on lepingulise suhte küsimus ka. Pigem jõuaks järeldusele, et kohaldatakse ka arsti isiklikku vastutust, kui toimub isikuandmete töötlemise alane rikkumine. Kahju hüvitamine peaks olema vastavalt KA ja TTO kokkuleppele, TTO-le laieneb ka saladuses hoidmise kohustus. Kuidas on TVTS-s? kas seal on üldse käsitletud seda teemat või kuidas tõlgendatakse?
§ 219. Isikuandmete edastamine ja juurdepääs andmetele
(1) Riigi- või kohaliku omavalitsuse asutus, tervishoiuteenuse osutaja, kindlustusandja või muu kolmas isik on kohustatud kindlustusandja nõudel edastama isikuandmed või võimaldab nendele juurdepääsu, kui isikuandmete töötlemise alus tuleneb käesolevast seadusest või muust seadusest või õigusaktist. :
1) isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, on kindlustusandjale vajalikud kindlustuslepingu täitmiseks ja selle täitmise tagamiseks või tagasinõuete esitamiseks;
2)(1¹) punktis 1Käesoleva seaduse §-s 218 nimetamata eriliiki isikuandmete, sideandmete ning maksu- ja pangasaladust puudutavate andmete edastamine või nendele juurdepääsu võimaldamine kindlustusandjale ei ole lubatud, välja arvatud, kui andmete avaldamise õigus või kohustus tuleneb seadusest või muust õigusaktist.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) Kindlustusandja edastab edasikindlustusandja nõudel kindlustusjuhtumiga seotud isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, või võimaldab nendele juurdepääsu, kui isikuandmed on edasikindlustusandjale vajalikud kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) Isikuandmete kaitse seaduse §-s 10 sätestatud tingimuste täitmisel on kindlustusandjal õigus lisaks nimetatud paragrahvis sätestatud krediidivõimelisuse hindamisele edastada teisele kindlustusandjale tema taotlusel kindlustusriski hindamiseks ja kindlustuslepingu täitmise kohustuse ning selle ulatuse kindlaksmääramiseks isikuandmeid andmesubjekti kohta, kes on:
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
1) esitanud lepingueelsete läbirääkimiste käigus ebaõigeid andmeid kindlustusandja nõutud oluliste asjaolude kohta;
2) põhjustanud tahtlikult kindlustusjuhtumi toimumise või esitanud ebaõigeid andmeid kindlustusjuhtumi oluliste asjaolude kohta.
(4) Käesoleva paragrahvi lõikes 3 nimetatud isikuandmete töötlemisel kohaldatakse vastavalt isikuandmete kaitse seaduse § 10 lõiget 1 ja lõike 2 punkte 1–3.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(5) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019] ]
(6) Tervishoiuteenuse osutaja, kes töötleb terviseandmeid käesoleva seaduse paragrahv 218 lõikes 4 nimetatud eesmärgil, on juurdepääsuõigus järgmistele tervise infosüsteemis olevatele isikuandmetele:
1) andmed patsiendi üldiste isikuandmete kohta;
2) andmed andmete esitaja//andmeandja? kohta;
3) andmed ambulatoorsete visiitide ja haiglas viibimiste kohta;
4) andmed surmateatise ja surma põhjuse teatise kohta.
§ 220. Isikuandmete säilitamise tähtaeg
[Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 2201. Saladuses hoidmise kohustus
(1) Kindlustusandja on kohustatud hoidma saladuses talle kindlustustegevuse käigus teatavaks saanud andmeid, mis puudutavad kliendi isikuandmeid, majanduslikku seisundit ning äri- või ametisaladusi.
(2) Kindlustusandja aktsionärid, juhid, töötajad ja muud isikud, kellel on juurdepääs käesoleva paragrahvi lõikes 1 nimetatud andmetele, on kohustatud hoidma neile teatavaks saanud andmeid tähtajatult saladuses, kui käesolevas paragrahvis ei ole sätestatud teisiti.
(3) Saladuses hoidmise kohustus laieneb kindlustusagendile, kindlustusagentuurile, kindlustusmaaklerile ja volitatud töötlejale ning nende juhtidele ja töötajatele, samuti isikule, kes töötleb isikuandmeid käesoleva seaduse § 218 lõike 4 alusel.
(4) Kindlustusandjal on õigus avaldada klienti puudutavaid andmeid kolmandatele isikutele, kui:
1) kindlustusandja õigus või kohustus andmete avaldamiseks tuleneb käesolevast seadusest või muust õigusaktist;
2) klient on andnud selleks nõusoleku.
(5) Saladuses hoidmise kohustus ei puuduta andmeid, mis pärinevad avalikult kättesaadavatest allikatest.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
Seletuskirjas:
KindlTS § 217 muutmine. Kuivõrd seadus reguleerib andmete töötlemist andmesubjekti nõusolekuta, siis muudetakse ka KindlTS § 217 pealkirja vastavalt. Millistele tingimustele peab vastama andmesubjekti nõusolek andmete töötlemiseks jm nõuded tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi isikuandmete kaitse üldmäärus või üldmäärus) ning seda osa KindlTS-s täpsustada ei ole vaja. KindlTS §-s 217 loetletakse isikud, kelle andmeid võib kooskõlas seaduse §-dega 218–2201 töödelda ilma, et isikuandmete töötlemiseks oleks vajalik nende isikute eraldi nõusoleku võtmine. KindlTS § 217 ei anna iseseisvat alust isikuandmete töötlemiseks.
Kehtiva KindlTS § 217 sõnastuse eesmärgiks on anda ammendav loetelu isikutest, kelle suhtes võivad kindlustusandjad ja -vahendajad andmeid töödelda ehk loetleda isikud, kelle andmete töötlemine võib üldse kindlustussuhtes vajalik olla. Arusaamatust on põhjustanud nimetatud paragrahvis sisalduv lauseosa, mille kohaselt kohaldatakse andmetöötlemise sätteid isikute suhtes, kellele kindlustusandja osutab kindlustustegevusega seotud teenust. KindlTS defineerib kindlustusteenuse (KindlTS § 1032) ja kindlustuse turustamise (KindlTS § 5), kuid mõistet – kindlustustegevusega seotud teenus – seadus ei määratle. Eelnimetatud mõistet ei kasutata ka VÕS-s. Teatud ebaselgus on ilmnenud ka kindlustusjuhtumi põhjustaja (kahju põhjustaja) ja tunnistaja andmete töötlemisel, sest tegemist ei ole isikutega, kellele osutatakse kindlustusteenust1. Näiteks, vabatahtliku vastutuskindlustuse korral kahju põhjustaja andmete töötlemine kindlustusandja täitmise kohustuse ja selle ulatuse kindlakstegemisel on vajalik, olgugi, et isikule ei osutata otseselt kindlustusteenust. Ka tunnistaja andmete töötlemine on vajalik, nt kui selgitatakse välja kindlustusjuhtumi asjaolusid. Seetõttu on mõistlik loobuda andmesubjektide nimetamisel viitest kindlustustegevusega seotud teenusele, kuid jääda sätte esialgse eesmärgi juurde – määratleda ära isikute ring, kelle andmete töötlemine on kindlustustegevuse spetsiifikat arvestades vajalik.
Et paremini mõista kindlustussuhet ja sellest tulenevalt andmesubjektide töötlemise vajadust, selgitame alljärgnevalt KindlTS §-s 217 nimetatud isikute rolli ja seost kindlustusega.
Kindlustusvõtja. Kindlustusvõtjaks on isik, kes on kindlustuslepingu teiseks pooleks ehk kellega on kindlustusleping sõlmitud. Kindlustusvõtjaks võib olla samaaegselt ka kindlustatud isik ehk isik, kellega seotud kindlustusrisk on kindlustatud (VÕS § 424 lõige 1). Samuti võib ta olla soodustatud isik ehk isik, kellel on kindlustusjuhtumi toimumise korral õigus kindlustusandja täitmise kohustusele (VÕS § 425 lõige 1).
Samas on võimalik olukord, kus isik A on kindlustusvõtja, kindlustatud on isikuga B seotud kindlustusrisk ning kindlustusjuhtumi toimumisel täidab kindlustusandja oma kohustuse isikule C. Illustreeriva näitena võib tuua olukorra, kus tööandja kui kindlustusvõtja tasub kindlustusmakseid, kuid kindlustusleping on sõlmitud töötaja ehk kindlustatud isiku surma puhuks ning kindlustusjuhtumi toimumisel toimub täitmine töötaja laste ehk soodustatud isikute kasuks.
Praktilisteks näideteks on veel alljärgnevad juhud:
1) Soodustatud isiku määramine (õnnetusjuhtumikindlustuse surmajuhtumi hüvitise osas);
2) Reisikindlustuse lepingud – reeglina on lepinguga hõlmatud mitu isikut, kuid ainult üks isik on lepingu pool ehk kindlustusvõtja;
3) Tööandja poolt töötajate kindlustamine;
4) Kindlustusriski hindamine lähtudes asja kasutajatest – sõiduki vastutava kasutaja järgi kindlustusmakse suuruse arvestamine.
Kokkuvõtvalt võib öelda, et soodustatud ning kahjustatud isikud ei ole enamasti lepingu pooleks ning sellisel juhul lepingu tingimused neile ei kohaldu, seega selliste subjektide andmete kogumist ning töötlemist ei ole võimalik tüüptingimustega reguleerida.
Kindlustatud isik on VÕS § 424 lõike 1 kohaselt kindlustusvõtja nimeliselt määratletud või määratlemata kolmas isik, kellega seotud kindlustusriski on kindlustatud. Kui kindlustusvõtja kindlustab oma riske, siis langeb kindlustusvõtja ja kindlustatud isik kokku. Kui kindlustatakse kolmanda isikuga seotud riske, siis on kindlustusandjal täitmise kohustus selle kolmanda isikuga seotud riski realiseerumisel, kusjuures üldiselt ei ole vajalik kolmanda isiku kindlustusriski kindlustamiseks selle kolmanda isiku nõusolek (v.a elukindlustuslepingu korral).
Soodustatud isik on VÕS § 425 lõike 1 kohaselt isik, kellel on kindlustusjuhtumi toimumise korral õigus saada kindlustushüvitis, kokkulepitud rahasumma või muu kindlustusandja kohustuse täitmine vastavalt lepingule. Soodustatud isikul on seega kindlustusjuhtumi toimumisel õigus kindlustusandja täitmise kohustusele. Kusjuures siinkohal on oluline välja tuua, et näiteks liikluskindlustuses võib tinglikult pidada soodustatud isikuteks (vt ka kahjustatud isik) kõiki potentsiaalseid kannatanuid hoolimata sellest, et neid ei ole kuidagi nimeliselt kindlustuslepingus määratletud. Lisaks on oluline, et soodustatud isik ei pea olema lepingu sõlmimise ajal isikuliselt määratletav (VÕS § 80 lg 4).
Kahjustatud isik. VÕS § 510 kohaselt peab vastutuskindlustuse puhul kindlustusandja täitma kindlustusvõtja asemel kohustuse hüvitada kahju, mille kindlustusvõtja on tekitanud kolmandale isikule (kahjustatud isik) kindlustuse kehtivuse ajal toimunud kindlustusjuhtumi tagajärjel, ja kandma õigusabile tehtud kulud.
Kahju põhjustaja, tunnistaja. Lisaks eelnimetatutele, on kindlustusandjal põhjendatud vajadus töödelda kahjuga seotud isikute andmeid. Tavapärane on näiteks olukord, kus kindlustusjuhtumi asjaolude väljaselgitamiseks peab kindlustusandja selgitama välja juhtumi põhjustaja ja võimalikud tunnistajaid ning muu hulgas säilitama kahjutoimikus ka nende isiku- ja kontaktandmeid. Näiteks läheb kindlustusandjale tulenevalt VÕS § 492 üle kahjunõue kahju põhjustaja vastu ja seega töötleb ta neid andmeid mh õigusnõude esitamiseks ja koostamiseks. Ilma vastava erandita oleks ka nende isikute puhul vajalik isiku enda nõusolek.
Andmekaitse seisukohalt on seega oluline, et kindlustuse kontekstis ei ole alati tegemist andmesubjekti puhul otseselt lepingu poolega ning seega ei saa neilt ka lepingu sõlmimisel eraldi nõusolekut võtta (või oleks selline nõusolek võtmine raskendatud).
KindlTS §-s 217 nimetatud isikutelt nõusoleku hankimine isikuandmete töötlemiseks enne lepingu sõlmimist, ei pruugi olla teatud juhtudel kindlustusvõtja huvides (st näiteks soodustatud isik peab andma nõusoleku oma andmete kuvamiseks lepingu dokumentidel lepingu sõlmimisel). Elukindlustustes ei soovi kindlustusvõtja mõningatel juhtudel, et soodustatud isik oleks teadlik sõlmitud lepingust. Lisaks võib kindlustusvõtja soodustatud isikut lepingu kehtivuse perioodil ühepoolselt muuta ning vastava uue soodustatud isiku nõusoleku saamine ei pruugi vastata jällegi kindlustusvõtja huvile. Seoses kindlustusvõtja surmaga võib välja tuua, et kahjukäsitlusprotsess võib pikeneda kuni näiteks pärija on vastavate andmete töötlemiseks oma nõusoleku andnud.
Seetõttu on kindlustussuhtes põhjendatud, et kindlustuse puhul võib nõusolekuta töödelda KindlTS §-s 217 nimetatud subjektide isikuandmeid kooskõlas KindlTS §-s 218 toodud alustega, milles on sätestatud konkreetsed andmetöötluse erandid ja töötlemise eesmärgid.
Terviseandmete töötlemine.
KindlTS § 218 lõike 2 punkti 2 kohaselt on terviseandmete töötlemine kindlustusandjale lubatud, kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta. Ka Soome isikuandmete kaitse seaduses on olemas analoogne eriliiki isikuandmete töötlemise erisäte üldmääruse artikli 9 lõike 1 suhtes.
Terviseandmed on eriliiki isikuandmed ja nende töötlemist käsitatakse isikuandmete kaitse üldmääruse artiklis 9. Üldjuhul ei ole rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, geneetilisi andmeid, terviseandmeid jm loeteletud isikuandmeid kajastavate andmete töötlemine üldmääruse kohaselt lubatud. Siiski, loetletakse sama sätte lõikes 2 erandid, millisel juhul keeldu ei kohaldata. Selliselt on lubatud töödelda muu hulgas terviseandmeid, kui andmesubjekt on nende töötlemiseks andnud oma nõusoleku, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks (isik on võimetu ise nõusolekut andma), töötlemine toimub seaduses sätestatud alusel avaliku huvi eesmärgist lähtudes, töötaja töövõime hindamiseks, tervishoiuteenuse või sotsiaalteenuste osutamiseks, samuti õigusnõude koostamiseks, esitamiseks või kaitsmiseks2.
Üldmääruse artikli 9 kohaselt võib eriliiki isikuandmeid, sh terviseandmeid töödelda ka ennetava meditsiini põhjusel, töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, ravimiseks, tervishoiuteenuse või sotsiaalhoolekande või nende teenuste osutamiseks, tuginedes tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et andmeid töötleb töötaja või muu isik, kellel on liikmesriigi õiguse või asutuse kehtestatud eeskirjade kohaselt ametisaladuse hoidmise kohustus või kui andmeid töödeldakse sellise isiku vastutusel, kelle suhtes kehtib ametisaladuse nõue.
Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses terviseandmete töötlemisega (artikkel 9 lõige 4).
Isikuandmete kaitset käsitlev seadus Soomes (tietosuojalaki § 6 lõige 1)3 näeb ette, et andmekaitse üldmääruse artikli 9 lõiget 1 ei kohaldata, kui kindlustusandja töötleb kindlustustegevuse käigus andmeid kindlustatud isiku ja (kindlustus)hüvitise taotleja terviseseisundi, haiguse või vigastuse kohta, samuti tema suhtes tehtud ravimeetmete või sarnaste toimingute kohta, kui see on vajalik kindlustusseltsi vastutuse (täitmise kohustuse) kindlakstegemisel. Soome õiguses nimetatakse andmesubjektina ka hüvitise taotlejat, kelleks kindlustuse kontekstis võib olla iga isik, kes on õigustatud täitmist nõudma. Kindlustussuhetes võivad isikuteks, kelle suhtes on kindlustusandjal kindlustushüvitise, kokkulepitud rahasumma või muu kindlustusandja täitmise kohustus vastavalt kindlustuslepingule või seadusele nii kindlustusvõtja, kindlustatu, soodustatud isik, kolmas isik kui ka kahjustatud isik (vt VÕS § 422 (1), 424 (1), §-d 425 ja 510).
KindlTS § 218 lõikest 2 tulenevalt on terviseandmete töötlemine lubatud üksnes juhul, kui kindlustusjuhtumiks on:
1) andmesubjekti surm või
2) kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta või
3) tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
Isikuandmete kaitse seaduse rakendamise seaduse seletuskiri KindlTS § 218 kohta räägib töötlemisest GDPR artikli 9 lõike 2 alusel ja selles mõttes ei ole see kõige õnnestunum. Õigusnõuete puhul tuleneb kindlustusandja terviseandmete töötlemise alus isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktist f, seevastu terviseandmete töötlemist kindlustusandja lepingu täitmise kohustuse ja selle ulatuse kindlakstegemiseks tuleks pidada erandiks isikuandmete kaitse üldmääruse artikli 9 lõike 1 suhtes, mis annab terviseandmete töötlemiseks iseseiseva õigusliku aluse.
Terviseandmete töötlemine hõlmab ka töötlemist kindlustusjuhtumile eelnenud perioodi kohta. Kahju hüvitamise eesmärk on kahjustatud isiku asetamine olukorda, mis on võimalikult lähedane olukorrale, milles ta oleks olnud, kui kahju hüvitamise kohustuse aluseks olevat asjaolu ei oleks esinenud. Niisiis peab olema kindlustusandjale tagatud terviseandmete töötlemine ka juhtumieelse perioodi kohta, et hinnata kahjustatud isiku terviseseisundit enne kindlustusjuhtumi toimumist. Sellisel juhul vajab kindlustusandja teavet mitte üksnes kindlustusjuhtumi asjaolude kohta, vaid ka selle kohta, kas isik on pöördunud sarnase tervisemurega arsti poole, milline oli diagnoos ja ravi ning kas isik tervenes osaliselt või täielikult. Töötlemine sõltub konkreetsetest kahjujuhtumi ja tervisekahjustuse asjaoludest, mistõttu ei ole asjakohane kindlustusjuhtumile eelnenud perioodi ajaliselt piirata. Vaatamata sellele, peab andmeid töötlema üksnes ulatuses, mis on eesmärgi täitmiseks vajalik lähtudes proportsionaalsuse ja minimaalsuse nõuetest.
KindlTS § 218 täiendamine lõikega 4 ja § 219 täiendamine lõikega 6.
Andmesubjekti tervisliku seisundi hindamine on kahtlemata keeruline meditsiinilist kompetentsi nõudev tegevus. Kindlustuslepingu täitmise kohustuse ja ulatuse kindlakstegemisel on terviseandmete töötlemine aga keskse tähendusega, mistõttu on erialase ekspertteenuse kasutamine kindlustuses tavapärane praktika.
KindlTS § 219 alusel on kindlustusandja õigustatud saama terviseandmeid tervishoiuteenuse osutajalt. KindlTS § 219 lõikes 1 nimetatud tervishoiuteenuse osutaja all peetakse silmas isikut, kelle valduses on andmesubjekti kohta käivad terviseandmed, st kes on osutanud andmesubjektile tervishoiuteenust, sealhulgas osutas teenust seoses kindlustusjuhtumiga.
Isikuandmete töötlemise alus, eesmärk ja ulatus on erinevad sõltuvalt sellest, kas seda tehakse tervishoiuteenuse osutajana või kindlustusandja huvides tegutseva eksperdina kindlustusandja tegevuse raames. Kehtiv seadus kindlustusandja eksperdina tegutseva arsti pädevust ei reguleeri. Kahjustatud isiku usaldus meditsiinilise eriharidusega arsti vastu on kahtlemata suurem kui kindlustusandja vastu. Kui terviseandmeid töötleb arst, võib eeldada, et terviseandmeid töödeldakse andmesubjekti privaatsust kõige vähem riivaval moel, arst oskab luua seoseid ja anda oma erialasest pädevusest hinnangu tervisekahjustuse või -seisundi kohta. Ka töövõimetoetuse seaduse (TVTS) kohaselt kaasab Töötukassa töövõime hindamisel ekspertarvamuse saamiseks tervishoiuteenuse osutajaid tsiviilõigusliku lepingu alusel ning talle on selleks seadusega ette nähtud juurdepääs tervise infosüsteemis olevatele töövõime hindamiseks vajalikele isikuandmetele. Siinkohal juhime tähelepanu, et ka kindlustuslepingu täitmisel tuleb kõne alla isiku töövõime hindamine.
Niisiis luuakse sarnaselt TVTS-le ka KindlTS-s võimalus, et eriala spetsialistil oleks võimalik hinnata isiku tervislikku seisundit ja töödelda selleks andmesubjekti terviseandmeid tema terviseseisundi või puude kohta sarnaselt töövõime hindamise regulatsiooniga. Seejuures tervishoiuteenuse osutajale, kes töötleb terviseandmeid kindlustusandajaga sõlmitud kokkuleppel, antakse seadusega juurdepääs tervise infosüsteemis olevatele terviseandmetele ekspertarvamuse kujundamiseks. Tervishoiuteenuste korraldamise seaduse § 593 lg 6 sätestab, et juurdepääs tervise infosüsteemile tagatakse juhul, kui see tuleneb sõnaselgelt seadusest. Arsti poolt terviseandmete töötlemisele laieneb tervishoiuteenuse korraldamise seaduse § 4¹ lõige 13, mille kohaselt isikuandmete töötlemise põhjus ja eesmärk tuleb alati dokumenteerida. Samuti laieneb arstile saladuses hoidmise kohustus.
Niisiis töötleb tervishoiuteenuse osutaja andmeid KindlTS alusel sarnaselt töövõime hindamisele TVTS-s. Tervishoiuteenuse osutaja on tervishoiuteenuse korraldamise seaduse (TTKS) tähenduses tervishoiutöötaja või tervishoiuteenuseid osutav juriidiline isik. Tervishoiutöötaja on arst, hambaarst, õde ja ämmaemand, kui nad on registreeritud Terviseametis. Kindlustusandja võib vastava kokkuleppe sõlmida nii juriidilisest isikust tervishoiuteenuse osutajaga kui ka mõne tervishoiutöötajaga.
KindlTS § 219 lõike 1 muutmine. Lõikest 1 jäetakse välja ebavajalik kordus andmete töötlemise eesmärkide kohta, mis on sätestatud juba seaduses eespool (§-s 218).
§ 216. Sootegur kindlustusriski hindamisel
(1) Erinevused naiste ja meeste kindlustusmaksetes ja -hüvitistes ei või olla põhjustatud sooteguri kasutamisest kindlustusriskide hindamisel.
(2) Rasedus ega emadus ei või mõjutada kindlustusmaksete ja -hüvitiste suurust.
§ 217. Andmesubjekt ja tema nõusolek isikuandmete töötlemiseks
(1) Käesolevat paragrahvi ja kKäesoleva seaduse §-e 218–2201 kohaldatakse sellistele järgmistele andmesubjektidele: , kellele kindlustusandja osutab kindlustustegevusega seotud teenust, sealhulgas kindlustusvõtja, kindlustuslepingus kindlustusvõtjaga võrdsustatud isik, kindlustatud isik, soodustatud isik, kahjustatud isik, või isik, kellega kindlustusandja peab läbirääkimisi kindlustuslepingu sõlmimiseks, ning kindlustusjuhtumi põhjustajatele ja tunnistajatele. (vormistatakse loeteluks)
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 218. Isikuandmete töötlemine
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(1) Isikuandmete, välja arvatud eriliiki isikuandmete töötlemine on kindlustustegevuses lisaks Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88) sätestatule lubatud:
1) kindlustusvõtja ja temaga seotud isikuid puudutava kindlustusriski hindamiseks ja kindlustuslepingu sõlmimiseks vajalike muude toimingute tegemiseks, sealhulgas automatiseeritud töötlusel põhinevate üksikotsuste tegemiseks;
2) andmesubjekti kasuks sõlmitud lepingu täitmiseks, lepingu täitmise tagamiseks või tagasinõuete esitamiseks, kui käesolevas seaduses ei ole sätestatud teisiti.
(2) Terviseandmete töötlemine on lubatud, kui:
1) kindlustusandjal on seadusest tulenev kohustus sõlmida kindlustusleping;
2) see on muul juhul vajalik kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
(3) Süüteo toimepanemist või selle ohvriks langemist puudutavate andmete töötlemine enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist on lubatud kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(4) Tervishoiuteenuse osutaja võib töödelda andmesubjekti terviseandmeid ekspertarvamuse andmiseks terviseseisundi või puude või töövõime ? kohta, kui see tuleneb kindlustusandja ja tervishoiuteenuse osutaja vahelisest kokkuleppest. Tervishoiuteenuse osutaja poolt andmete töötlemisele kohaldatakse tervishoiuteenuse korraldamise seaduse § 4¹ lõikes 13 sätestatut.
Kui anda otsene õigus, siis peaks ka arst ise vastutama andmete õiguspärase töötlemise eest. Kas see vastutus võiks olla sõnastatud või saame sellele viidata, st kust see tuleb? Küsimus selles, kas kindlustusandja vastutab arsti õiguspärase andmete töötlemise eest, kui ta teeb seda kindlustusandja ülesandel või vastutab arst ise käesoleva seaduse alusel? See on lepingulise suhte küsimus ka. Pigem jõuaks järeldusele, et kohaldatakse ka arsti isiklikku vastutust, kui toimub isikuandmete töötlemise alane rikkumine. Kahju hüvitamine peaks olema vastavalt KA ja TTO kokkuleppele, TTO-le laieneb ka saladuses hoidmise kohustus. Kuidas on TVTS-s? kas seal on üldse käsitletud seda teemat või kuidas tõlgendatakse?
§ 219. Isikuandmete edastamine ja juurdepääs andmetele
(1) Riigi- või kohaliku omavalitsuse asutus, tervishoiuteenuse osutaja, kindlustusandja või muu kolmas isik on kohustatud kindlustusandja nõudel edastama isikuandmed või võimaldab nendele juurdepääsu, kui isikuandmete töötlemise alus tuleneb käesolevast seadusest või muust seadusest või õigusaktist. :
1) isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, on kindlustusandjale vajalikud kindlustuslepingu täitmiseks ja selle täitmise tagamiseks või tagasinõuete esitamiseks;
2)(1¹) punktis 1Käesoleva seaduse §-s 218 nimetamata eriliiki isikuandmete, sideandmete ning maksu- ja pangasaladust puudutavate andmete edastamine või nendele juurdepääsu võimaldamine kindlustusandjale ei ole lubatud, välja arvatud, kui andmete avaldamise õigus või kohustus tuleneb seadusest või muust õigusaktist.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) Kindlustusandja edastab edasikindlustusandja nõudel kindlustusjuhtumiga seotud isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, või võimaldab nendele juurdepääsu, kui isikuandmed on edasikindlustusandjale vajalikud kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) Isikuandmete kaitse seaduse §-s 10 sätestatud tingimuste täitmisel on kindlustusandjal õigus lisaks nimetatud paragrahvis sätestatud krediidivõimelisuse hindamisele edastada teisele kindlustusandjale tema taotlusel kindlustusriski hindamiseks ja kindlustuslepingu täitmise kohustuse ning selle ulatuse kindlaksmääramiseks isikuandmeid andmesubjekti kohta, kes on:
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
1) esitanud lepingueelsete läbirääkimiste käigus ebaõigeid andmeid kindlustusandja nõutud oluliste asjaolude kohta;
2) põhjustanud tahtlikult kindlustusjuhtumi toimumise või esitanud ebaõigeid andmeid kindlustusjuhtumi oluliste asjaolude kohta.
(4) Käesoleva paragrahvi lõikes 3 nimetatud isikuandmete töötlemisel kohaldatakse vastavalt isikuandmete kaitse seaduse § 10 lõiget 1 ja lõike 2 punkte 1–3.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(5) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019] ]
(6) Tervishoiuteenuse osutaja, kes töötleb terviseandmeid käesoleva seaduse paragrahv 218 lõikes 4 nimetatud eesmärgil, on juurdepääsuõigus järgmistele tervise infosüsteemis olevatele isikuandmetele:
1) andmed patsiendi üldiste isikuandmete kohta;
2) andmed andmete esitaja//andmeandja? kohta;
3) andmed ambulatoorsete visiitide ja haiglas viibimiste kohta;
4) andmed surmateatise ja surma põhjuse teatise kohta.
§ 220. Isikuandmete säilitamise tähtaeg
[Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 2201. Saladuses hoidmise kohustus
(1) Kindlustusandja on kohustatud hoidma saladuses talle kindlustustegevuse käigus teatavaks saanud andmeid, mis puudutavad kliendi isikuandmeid, majanduslikku seisundit ning äri- või ametisaladusi.
(2) Kindlustusandja aktsionärid, juhid, töötajad ja muud isikud, kellel on juurdepääs käesoleva paragrahvi lõikes 1 nimetatud andmetele, on kohustatud hoidma neile teatavaks saanud andmeid tähtajatult saladuses, kui käesolevas paragrahvis ei ole sätestatud teisiti.
(3) Saladuses hoidmise kohustus laieneb kindlustusagendile, kindlustusagentuurile, kindlustusmaaklerile ja volitatud töötlejale ning nende juhtidele ja töötajatele, samuti isikule, kes töötleb isikuandmeid käesoleva seaduse § 218 lõike 4 alusel.
(4) Kindlustusandjal on õigus avaldada klienti puudutavaid andmeid kolmandatele isikutele, kui:
1) kindlustusandja õigus või kohustus andmete avaldamiseks tuleneb käesolevast seadusest või muust õigusaktist;
2) klient on andnud selleks nõusoleku.
(5) Saladuses hoidmise kohustus ei puuduta andmeid, mis pärinevad avalikult kättesaadavatest allikatest.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
Seletuskirjas:
KindlTS § 217 muutmine. Kuivõrd seadus reguleerib andmete töötlemist andmesubjekti nõusolekuta, siis muudetakse ka KindlTS § 217 pealkirja vastavalt. Millistele tingimustele peab vastama andmesubjekti nõusolek andmete töötlemiseks jm nõuded tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi isikuandmete kaitse üldmäärus või üldmäärus) ning seda osa KindlTS-s täpsustada ei ole vaja. KindlTS §-s 217 loetletakse isikud, kelle andmeid võib kooskõlas seaduse §-dega 218–2201 töödelda ilma, et isikuandmete töötlemiseks oleks vajalik nende isikute eraldi nõusoleku võtmine. KindlTS § 217 ei anna iseseisvat alust isikuandmete töötlemiseks.
Kehtiva KindlTS § 217 sõnastuse eesmärgiks on anda ammendav loetelu isikutest, kelle suhtes võivad kindlustusandjad ja -vahendajad andmeid töödelda ehk loetleda isikud, kelle andmete töötlemine võib üldse kindlustussuhtes vajalik olla. Arusaamatust on põhjustanud nimetatud paragrahvis sisalduv lauseosa, mille kohaselt kohaldatakse andmetöötlemise sätteid isikute suhtes, kellele kindlustusandja osutab kindlustustegevusega seotud teenust. KindlTS defineerib kindlustusteenuse (KindlTS § 1032) ja kindlustuse turustamise (KindlTS § 5), kuid mõistet – kindlustustegevusega seotud teenus – seadus ei määratle. Eelnimetatud mõistet ei kasutata ka VÕS-s. Teatud ebaselgus on ilmnenud ka kindlustusjuhtumi põhjustaja (kahju põhjustaja) ja tunnistaja andmete töötlemisel, sest tegemist ei ole isikutega, kellele osutatakse kindlustusteenust1. Näiteks, vabatahtliku vastutuskindlustuse korral kahju põhjustaja andmete töötlemine kindlustusandja täitmise kohustuse ja selle ulatuse kindlakstegemisel on vajalik, olgugi, et isikule ei osutata otseselt kindlustusteenust. Ka tunnistaja andmete töötlemine on vajalik, nt kui selgitatakse välja kindlustusjuhtumi asjaolusid. Seetõttu on mõistlik loobuda andmesubjektide nimetamisel viitest kindlustustegevusega seotud teenusele, kuid jääda sätte esialgse eesmärgi juurde – määratleda ära isikute ring, kelle andmete töötlemine on kindlustustegevuse spetsiifikat arvestades vajalik.
Et paremini mõista kindlustussuhet ja sellest tulenevalt andmesubjektide töötlemise vajadust, selgitame alljärgnevalt KindlTS §-s 217 nimetatud isikute rolli ja seost kindlustusega.
Kindlustusvõtja. Kindlustusvõtjaks on isik, kes on kindlustuslepingu teiseks pooleks ehk kellega on kindlustusleping sõlmitud. Kindlustusvõtjaks võib olla samaaegselt ka kindlustatud isik ehk isik, kellega seotud kindlustusrisk on kindlustatud (VÕS § 424 lõige 1). Samuti võib ta olla soodustatud isik ehk isik, kellel on kindlustusjuhtumi toimumise korral õigus kindlustusandja täitmise kohustusele (VÕS § 425 lõige 1).
Samas on võimalik olukord, kus isik A on kindlustusvõtja, kindlustatud on isikuga B seotud kindlustusrisk ning kindlustusjuhtumi toimumisel täidab kindlustusandja oma kohustuse isikule C. Illustreeriva näitena võib tuua olukorra, kus tööandja kui kindlustusvõtja tasub kindlustusmakseid, kuid kindlustusleping on sõlmitud töötaja ehk kindlustatud isiku surma puhuks ning kindlustusjuhtumi toimumisel toimub täitmine töötaja laste ehk soodustatud isikute kasuks.
Praktilisteks näideteks on veel alljärgnevad juhud:
1) Soodustatud isiku määramine (õnnetusjuhtumikindlustuse surmajuhtumi hüvitise osas);
2) Reisikindlustuse lepingud – reeglina on lepinguga hõlmatud mitu isikut, kuid ainult üks isik on lepingu pool ehk kindlustusvõtja;
3) Tööandja poolt töötajate kindlustamine;
4) Kindlustusriski hindamine lähtudes asja kasutajatest – sõiduki vastutava kasutaja järgi kindlustusmakse suuruse arvestamine.
Kokkuvõtvalt võib öelda, et soodustatud ning kahjustatud isikud ei ole enamasti lepingu pooleks ning sellisel juhul lepingu tingimused neile ei kohaldu, seega selliste subjektide andmete kogumist ning töötlemist ei ole võimalik tüüptingimustega reguleerida.
Kindlustatud isik on VÕS § 424 lõike 1 kohaselt kindlustusvõtja nimeliselt määratletud või määratlemata kolmas isik, kellega seotud kindlustusriski on kindlustatud. Kui kindlustusvõtja kindlustab oma riske, siis langeb kindlustusvõtja ja kindlustatud isik kokku. Kui kindlustatakse kolmanda isikuga seotud riske, siis on kindlustusandjal täitmise kohustus selle kolmanda isikuga seotud riski realiseerumisel, kusjuures üldiselt ei ole vajalik kolmanda isiku kindlustusriski kindlustamiseks selle kolmanda isiku nõusolek (v.a elukindlustuslepingu korral).
Soodustatud isik on VÕS § 425 lõike 1 kohaselt isik, kellel on kindlustusjuhtumi toimumise korral õigus saada kindlustushüvitis, kokkulepitud rahasumma või muu kindlustusandja kohustuse täitmine vastavalt lepingule. Soodustatud isikul on seega kindlustusjuhtumi toimumisel õigus kindlustusandja täitmise kohustusele. Kusjuures siinkohal on oluline välja tuua, et näiteks liikluskindlustuses võib tinglikult pidada soodustatud isikuteks (vt ka kahjustatud isik) kõiki potentsiaalseid kannatanuid hoolimata sellest, et neid ei ole kuidagi nimeliselt kindlustuslepingus määratletud. Lisaks on oluline, et soodustatud isik ei pea olema lepingu sõlmimise ajal isikuliselt määratletav (VÕS § 80 lg 4).
Kahjustatud isik. VÕS § 510 kohaselt peab vastutuskindlustuse puhul kindlustusandja täitma kindlustusvõtja asemel kohustuse hüvitada kahju, mille kindlustusvõtja on tekitanud kolmandale isikule (kahjustatud isik) kindlustuse kehtivuse ajal toimunud kindlustusjuhtumi tagajärjel, ja kandma õigusabile tehtud kulud.
Kahju põhjustaja, tunnistaja. Lisaks eelnimetatutele, on kindlustusandjal põhjendatud vajadus töödelda kahjuga seotud isikute andmeid. Tavapärane on näiteks olukord, kus kindlustusjuhtumi asjaolude väljaselgitamiseks peab kindlustusandja selgitama välja juhtumi põhjustaja ja võimalikud tunnistajaid ning muu hulgas säilitama kahjutoimikus ka nende isiku- ja kontaktandmeid. Näiteks läheb kindlustusandjale tulenevalt VÕS § 492 üle kahjunõue kahju põhjustaja vastu ja seega töötleb ta neid andmeid mh õigusnõude esitamiseks ja koostamiseks. Ilma vastava erandita oleks ka nende isikute puhul vajalik isiku enda nõusolek.
Andmekaitse seisukohalt on seega oluline, et kindlustuse kontekstis ei ole alati tegemist andmesubjekti puhul otseselt lepingu poolega ning seega ei saa neilt ka lepingu sõlmimisel eraldi nõusolekut võtta (või oleks selline nõusolek võtmine raskendatud).
KindlTS §-s 217 nimetatud isikutelt nõusoleku hankimine isikuandmete töötlemiseks enne lepingu sõlmimist, ei pruugi olla teatud juhtudel kindlustusvõtja huvides (st näiteks soodustatud isik peab andma nõusoleku oma andmete kuvamiseks lepingu dokumentidel lepingu sõlmimisel). Elukindlustustes ei soovi kindlustusvõtja mõningatel juhtudel, et soodustatud isik oleks teadlik sõlmitud lepingust. Lisaks võib kindlustusvõtja soodustatud isikut lepingu kehtivuse perioodil ühepoolselt muuta ning vastava uue soodustatud isiku nõusoleku saamine ei pruugi vastata jällegi kindlustusvõtja huvile. Seoses kindlustusvõtja surmaga võib välja tuua, et kahjukäsitlusprotsess võib pikeneda kuni näiteks pärija on vastavate andmete töötlemiseks oma nõusoleku andnud.
Seetõttu on kindlustussuhtes põhjendatud, et kindlustuse puhul võib nõusolekuta töödelda KindlTS §-s 217 nimetatud subjektide isikuandmeid kooskõlas KindlTS §-s 218 toodud alustega, milles on sätestatud konkreetsed andmetöötluse erandid ja töötlemise eesmärgid.
Terviseandmete töötlemine.
KindlTS § 218 lõike 2 punkti 2 kohaselt on terviseandmete töötlemine kindlustusandjale lubatud, kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta. Ka Soome isikuandmete kaitse seaduses on olemas analoogne eriliiki isikuandmete töötlemise erisäte üldmääruse artikli 9 lõike 1 suhtes.
Terviseandmed on eriliiki isikuandmed ja nende töötlemist käsitatakse isikuandmete kaitse üldmääruse artiklis 9. Üldjuhul ei ole rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, geneetilisi andmeid, terviseandmeid jm loeteletud isikuandmeid kajastavate andmete töötlemine üldmääruse kohaselt lubatud. Siiski, loetletakse sama sätte lõikes 2 erandid, millisel juhul keeldu ei kohaldata. Selliselt on lubatud töödelda muu hulgas terviseandmeid, kui andmesubjekt on nende töötlemiseks andnud oma nõusoleku, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks (isik on võimetu ise nõusolekut andma), töötlemine toimub seaduses sätestatud alusel avaliku huvi eesmärgist lähtudes, töötaja töövõime hindamiseks, tervishoiuteenuse või sotsiaalteenuste osutamiseks, samuti õigusnõude koostamiseks, esitamiseks või kaitsmiseks2.
Üldmääruse artikli 9 kohaselt võib eriliiki isikuandmeid, sh terviseandmeid töödelda ka ennetava meditsiini põhjusel, töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, ravimiseks, tervishoiuteenuse või sotsiaalhoolekande või nende teenuste osutamiseks, tuginedes tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et andmeid töötleb töötaja või muu isik, kellel on liikmesriigi õiguse või asutuse kehtestatud eeskirjade kohaselt ametisaladuse hoidmise kohustus või kui andmeid töödeldakse sellise isiku vastutusel, kelle suhtes kehtib ametisaladuse nõue.
Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses terviseandmete töötlemisega (artikkel 9 lõige 4).
Isikuandmete kaitset käsitlev seadus Soomes (tietosuojalaki § 6 lõige 1)3 näeb ette, et andmekaitse üldmääruse artikli 9 lõiget 1 ei kohaldata, kui kindlustusandja töötleb kindlustustegevuse käigus andmeid kindlustatud isiku ja (kindlustus)hüvitise taotleja terviseseisundi, haiguse või vigastuse kohta, samuti tema suhtes tehtud ravimeetmete või sarnaste toimingute kohta, kui see on vajalik kindlustusseltsi vastutuse (täitmise kohustuse) kindlakstegemisel. Soome õiguses nimetatakse andmesubjektina ka hüvitise taotlejat, kelleks kindlustuse kontekstis võib olla iga isik, kes on õigustatud täitmist nõudma. Kindlustussuhetes võivad isikuteks, kelle suhtes on kindlustusandjal kindlustushüvitise, kokkulepitud rahasumma või muu kindlustusandja täitmise kohustus vastavalt kindlustuslepingule või seadusele nii kindlustusvõtja, kindlustatu, soodustatud isik, kolmas isik kui ka kahjustatud isik (vt VÕS § 422 (1), 424 (1), §-d 425 ja 510).
KindlTS § 218 lõikest 2 tulenevalt on terviseandmete töötlemine lubatud üksnes juhul, kui kindlustusjuhtumiks on:
1) andmesubjekti surm või
2) kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta või
3) tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
Isikuandmete kaitse seaduse rakendamise seaduse seletuskiri KindlTS § 218 kohta räägib töötlemisest GDPR artikli 9 lõike 2 alusel ja selles mõttes ei ole see kõige õnnestunum. Õigusnõuete puhul tuleneb kindlustusandja terviseandmete töötlemise alus isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktist f, seevastu terviseandmete töötlemist kindlustusandja lepingu täitmise kohustuse ja selle ulatuse kindlakstegemiseks tuleks pidada erandiks isikuandmete kaitse üldmääruse artikli 9 lõike 1 suhtes, mis annab terviseandmete töötlemiseks iseseiseva õigusliku aluse.
Terviseandmete töötlemine hõlmab ka töötlemist kindlustusjuhtumile eelnenud perioodi kohta. Kahju hüvitamise eesmärk on kahjustatud isiku asetamine olukorda, mis on võimalikult lähedane olukorrale, milles ta oleks olnud, kui kahju hüvitamise kohustuse aluseks olevat asjaolu ei oleks esinenud. Niisiis peab olema kindlustusandjale tagatud terviseandmete töötlemine ka juhtumieelse perioodi kohta, et hinnata kahjustatud isiku terviseseisundit enne kindlustusjuhtumi toimumist. Sellisel juhul vajab kindlustusandja teavet mitte üksnes kindlustusjuhtumi asjaolude kohta, vaid ka selle kohta, kas isik on pöördunud sarnase tervisemurega arsti poole, milline oli diagnoos ja ravi ning kas isik tervenes osaliselt või täielikult. Töötlemine sõltub konkreetsetest kahjujuhtumi ja tervisekahjustuse asjaoludest, mistõttu ei ole asjakohane kindlustusjuhtumile eelnenud perioodi ajaliselt piirata. Vaatamata sellele, peab andmeid töötlema üksnes ulatuses, mis on eesmärgi täitmiseks vajalik lähtudes proportsionaalsuse ja minimaalsuse nõuetest.
KindlTS § 218 täiendamine lõikega 4 ja § 219 täiendamine lõikega 6.
Andmesubjekti tervisliku seisundi hindamine on kahtlemata keeruline meditsiinilist kompetentsi nõudev tegevus. Kindlustuslepingu täitmise kohustuse ja ulatuse kindlakstegemisel on terviseandmete töötlemine aga keskse tähendusega, mistõttu on erialase ekspertteenuse kasutamine kindlustuses tavapärane praktika.
KindlTS § 219 alusel on kindlustusandja õigustatud saama terviseandmeid tervishoiuteenuse osutajalt. KindlTS § 219 lõikes 1 nimetatud tervishoiuteenuse osutaja all peetakse silmas isikut, kelle valduses on andmesubjekti kohta käivad terviseandmed, st kes on osutanud andmesubjektile tervishoiuteenust, sealhulgas osutas teenust seoses kindlustusjuhtumiga.
Isikuandmete töötlemise alus, eesmärk ja ulatus on erinevad sõltuvalt sellest, kas seda tehakse tervishoiuteenuse osutajana või kindlustusandja huvides tegutseva eksperdina kindlustusandja tegevuse raames. Kehtiv seadus kindlustusandja eksperdina tegutseva arsti pädevust ei reguleeri. Kahjustatud isiku usaldus meditsiinilise eriharidusega arsti vastu on kahtlemata suurem kui kindlustusandja vastu. Kui terviseandmeid töötleb arst, võib eeldada, et terviseandmeid töödeldakse andmesubjekti privaatsust kõige vähem riivaval moel, arst oskab luua seoseid ja anda oma erialasest pädevusest hinnangu tervisekahjustuse või -seisundi kohta. Ka töövõimetoetuse seaduse (TVTS) kohaselt kaasab Töötukassa töövõime hindamisel ekspertarvamuse saamiseks tervishoiuteenuse osutajaid tsiviilõigusliku lepingu alusel ning talle on selleks seadusega ette nähtud juurdepääs tervise infosüsteemis olevatele töövõime hindamiseks vajalikele isikuandmetele. Siinkohal juhime tähelepanu, et ka kindlustuslepingu täitmisel tuleb kõne alla isiku töövõime hindamine.
Niisiis luuakse sarnaselt TVTS-le ka KindlTS-s võimalus, et eriala spetsialistil oleks võimalik hinnata isiku tervislikku seisundit ja töödelda selleks andmesubjekti terviseandmeid tema terviseseisundi või puude kohta sarnaselt töövõime hindamise regulatsiooniga. Seejuures tervishoiuteenuse osutajale, kes töötleb terviseandmeid kindlustusandajaga sõlmitud kokkuleppel, antakse seadusega juurdepääs tervise infosüsteemis olevatele terviseandmetele ekspertarvamuse kujundamiseks. Tervishoiuteenuste korraldamise seaduse § 593 lg 6 sätestab, et juurdepääs tervise infosüsteemile tagatakse juhul, kui see tuleneb sõnaselgelt seadusest. Arsti poolt terviseandmete töötlemisele laieneb tervishoiuteenuse korraldamise seaduse § 4¹ lõige 13, mille kohaselt isikuandmete töötlemise põhjus ja eesmärk tuleb alati dokumenteerida. Samuti laieneb arstile saladuses hoidmise kohustus.
Niisiis töötleb tervishoiuteenuse osutaja andmeid KindlTS alusel sarnaselt töövõime hindamisele TVTS-s. Tervishoiuteenuse osutaja on tervishoiuteenuse korraldamise seaduse (TTKS) tähenduses tervishoiutöötaja või tervishoiuteenuseid osutav juriidiline isik. Tervishoiutöötaja on arst, hambaarst, õde ja ämmaemand, kui nad on registreeritud Terviseametis. Kindlustusandja võib vastava kokkuleppe sõlmida nii juriidilisest isikust tervishoiuteenuse osutajaga kui ka mõne tervishoiutöötajaga.
KindlTS § 219 lõike 1 muutmine. Lõikest 1 jäetakse välja ebavajalik kordus andmete töötlemise eesmärkide kohta, mis on sätestatud juba seaduses eespool (§-s 218).
11. peatükk Kindlustusandja kohustused seoses klientide kaitsega
§ 216. Sootegur kindlustusriski hindamisel
(1) Erinevused naiste ja meeste kindlustusmaksetes ja -hüvitistes ei või olla põhjustatud sooteguri kasutamisest kindlustusriskide hindamisel.
(2) Rasedus ega emadus ei või mõjutada kindlustusmaksete ja -hüvitiste suurust.
§ 217. Andmesubjekt ja tema nõusolek isikuandmete töötlemiseks
(1) Käesolevat paragrahvi ja kKäesoleva seaduse §-e 218–2201 kohaldatakse sellistele järgmistele andmesubjektidele: , kellele kindlustusandja osutab kindlustustegevusega seotud teenust, sealhulgas kindlustusvõtja, kindlustuslepingus kindlustusvõtjaga võrdsustatud isik, kindlustatud isik, soodustatud isik, kahjustatud isik, või isik, kellega kindlustusandja peab läbirääkimisi kindlustuslepingu sõlmimiseks, ning kindlustusjuhtumi põhjustajatele ja tunnistajatele. (vormistatakse loeteluks)
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 218. Isikuandmete töötlemine
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(1) Isikuandmete, välja arvatud eriliiki isikuandmete töötlemine on kindlustustegevuses lisaks Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88) sätestatule lubatud:
1) kindlustusvõtja ja temaga seotud isikuid puudutava kindlustusriski hindamiseks ja kindlustuslepingu sõlmimiseks vajalike muude toimingute tegemiseks, sealhulgas automatiseeritud töötlusel põhinevate üksikotsuste tegemiseks;
2) andmesubjekti kasuks sõlmitud lepingu täitmiseks, lepingu täitmise tagamiseks või tagasinõuete esitamiseks, kui käesolevas seaduses ei ole sätestatud teisiti.
(2) Terviseandmete töötlemine on lubatud, kui:
1) kindlustusandjal on seadusest tulenev kohustus sõlmida kindlustusleping;
2) see on muul juhul vajalik kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
(3) Süüteo toimepanemist või selle ohvriks langemist puudutavate andmete töötlemine enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist on lubatud kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(4) Tervishoiuteenuse osutaja võib töödelda andmesubjekti terviseandmeid ekspertarvamuse andmiseks terviseseisundi või puude või töövõime ? kohta, kui see tuleneb kindlustusandja ja tervishoiuteenuse osutaja vahelisest kokkuleppest. Tervishoiuteenuse osutaja poolt andmete töötlemisele kohaldatakse tervishoiuteenuse korraldamise seaduse § 4¹ lõikes 13 sätestatut.
Kui anda otsene õigus, siis peaks ka arst ise vastutama andmete õiguspärase töötlemise eest. Kas see vastutus võiks olla sõnastatud või saame sellele viidata, st kust see tuleb? Küsimus selles, kas kindlustusandja vastutab arsti õiguspärase andmete töötlemise eest, kui ta teeb seda kindlustusandja ülesandel või vastutab arst ise käesoleva seaduse alusel? See on lepingulise suhte küsimus ka. Pigem jõuaks järeldusele, et kohaldatakse ka arsti isiklikku vastutust, kui toimub isikuandmete töötlemise alane rikkumine. Kahju hüvitamine peaks olema vastavalt KA ja TTO kokkuleppele, TTO-le laieneb ka saladuses hoidmise kohustus. Kuidas on TVTS-s? kas seal on üldse käsitletud seda teemat või kuidas tõlgendatakse?
§ 219. Isikuandmete edastamine ja juurdepääs andmetele
(1) Riigi- või kohaliku omavalitsuse asutus, tervishoiuteenuse osutaja, kindlustusandja või muu kolmas isik on kohustatud kindlustusandja nõudel edastama isikuandmed või võimaldab nendele juurdepääsu, kui isikuandmete töötlemise alus tuleneb käesolevast seadusest või muust seadusest või õigusaktist. :
1) isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, on kindlustusandjale vajalikud kindlustuslepingu täitmiseks ja selle täitmise tagamiseks või tagasinõuete esitamiseks;
2)(1¹) punktis 1Käesoleva seaduse §-s 218 nimetamata eriliiki isikuandmete, sideandmete ning maksu- ja pangasaladust puudutavate andmete edastamine või nendele juurdepääsu võimaldamine kindlustusandjale ei ole lubatud, välja arvatud, kui andmete avaldamise õigus või kohustus tuleneb seadusest või muust õigusaktist.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) Kindlustusandja edastab edasikindlustusandja nõudel kindlustusjuhtumiga seotud isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, või võimaldab nendele juurdepääsu, kui isikuandmed on edasikindlustusandjale vajalikud kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) Isikuandmete kaitse seaduse §-s 10 sätestatud tingimuste täitmisel on kindlustusandjal õigus lisaks nimetatud paragrahvis sätestatud krediidivõimelisuse hindamisele edastada teisele kindlustusandjale tema taotlusel kindlustusriski hindamiseks ja kindlustuslepingu täitmise kohustuse ning selle ulatuse kindlaksmääramiseks isikuandmeid andmesubjekti kohta, kes on:
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
1) esitanud lepingueelsete läbirääkimiste käigus ebaõigeid andmeid kindlustusandja nõutud oluliste asjaolude kohta;
2) põhjustanud tahtlikult kindlustusjuhtumi toimumise või esitanud ebaõigeid andmeid kindlustusjuhtumi oluliste asjaolude kohta.
(4) Käesoleva paragrahvi lõikes 3 nimetatud isikuandmete töötlemisel kohaldatakse vastavalt isikuandmete kaitse seaduse § 10 lõiget 1 ja lõike 2 punkte 1–3.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(5) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019] ]
(6) Tervishoiuteenuse osutaja, kes töötleb terviseandmeid käesoleva seaduse paragrahv 218 lõikes 4 nimetatud eesmärgil, on juurdepääsuõigus järgmistele tervise infosüsteemis olevatele isikuandmetele:
1) andmed patsiendi üldiste isikuandmete kohta;
2) andmed andmete esitaja//andmeandja? kohta;
3) andmed ambulatoorsete visiitide ja haiglas viibimiste kohta;
4) andmed surmateatise ja surma põhjuse teatise kohta.
§ 220. Isikuandmete säilitamise tähtaeg
[Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 2201. Saladuses hoidmise kohustus
(1) Kindlustusandja on kohustatud hoidma saladuses talle kindlustustegevuse käigus teatavaks saanud andmeid, mis puudutavad kliendi isikuandmeid, majanduslikku seisundit ning äri- või ametisaladusi.
(2) Kindlustusandja aktsionärid, juhid, töötajad ja muud isikud, kellel on juurdepääs käesoleva paragrahvi lõikes 1 nimetatud andmetele, on kohustatud hoidma neile teatavaks saanud andmeid tähtajatult saladuses, kui käesolevas paragrahvis ei ole sätestatud teisiti.
(3) Saladuses hoidmise kohustus laieneb kindlustusagendile, kindlustusagentuurile, kindlustusmaaklerile ja volitatud töötlejale ning nende juhtidele ja töötajatele, samuti isikule, kes töötleb isikuandmeid käesoleva seaduse § 218 lõike 4 alusel.
(4) Kindlustusandjal on õigus avaldada klienti puudutavaid andmeid kolmandatele isikutele, kui:
1) kindlustusandja õigus või kohustus andmete avaldamiseks tuleneb käesolevast seadusest või muust õigusaktist;
2) klient on andnud selleks nõusoleku.
(5) Saladuses hoidmise kohustus ei puuduta andmeid, mis pärinevad avalikult kättesaadavatest allikatest.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
Seletuskirjas:
KindlTS § 217 muutmine. Kuivõrd seadus reguleerib andmete töötlemist andmesubjekti nõusolekuta, siis muudetakse ka KindlTS § 217 pealkirja vastavalt. Millistele tingimustele peab vastama andmesubjekti nõusolek andmete töötlemiseks jm nõuded tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi isikuandmete kaitse üldmäärus või üldmäärus) ning seda osa KindlTS-s täpsustada ei ole vaja. KindlTS §-s 217 loetletakse isikud, kelle andmeid võib kooskõlas seaduse §-dega 218–2201 töödelda ilma, et isikuandmete töötlemiseks oleks vajalik nende isikute eraldi nõusoleku võtmine. KindlTS § 217 ei anna iseseisvat alust isikuandmete töötlemiseks.
Kehtiva KindlTS § 217 sõnastuse eesmärgiks on anda ammendav loetelu isikutest, kelle suhtes võivad kindlustusandjad ja -vahendajad andmeid töödelda ehk loetleda isikud, kelle andmete töötlemine võib üldse kindlustussuhtes vajalik olla. Arusaamatust on põhjustanud nimetatud paragrahvis sisalduv lauseosa, mille kohaselt kohaldatakse andmetöötlemise sätteid isikute suhtes, kellele kindlustusandja osutab kindlustustegevusega seotud teenust. KindlTS defineerib kindlustusteenuse (KindlTS § 1032) ja kindlustuse turustamise (KindlTS § 5), kuid mõistet – kindlustustegevusega seotud teenus – seadus ei määratle. Eelnimetatud mõistet ei kasutata ka VÕS-s. Teatud ebaselgus on ilmnenud ka kindlustusjuhtumi põhjustaja (kahju põhjustaja) ja tunnistaja andmete töötlemisel, sest tegemist ei ole isikutega, kellele osutatakse kindlustusteenust1. Näiteks, vabatahtliku vastutuskindlustuse korral kahju põhjustaja andmete töötlemine kindlustusandja täitmise kohustuse ja selle ulatuse kindlakstegemisel on vajalik, olgugi, et isikule ei osutata otseselt kindlustusteenust. Ka tunnistaja andmete töötlemine on vajalik, nt kui selgitatakse välja kindlustusjuhtumi asjaolusid. Seetõttu on mõistlik loobuda andmesubjektide nimetamisel viitest kindlustustegevusega seotud teenusele, kuid jääda sätte esialgse eesmärgi juurde – määratleda ära isikute ring, kelle andmete töötlemine on kindlustustegevuse spetsiifikat arvestades vajalik.
Et paremini mõista kindlustussuhet ja sellest tulenevalt andmesubjektide töötlemise vajadust, selgitame alljärgnevalt KindlTS §-s 217 nimetatud isikute rolli ja seost kindlustusega.
Kindlustusvõtja. Kindlustusvõtjaks on isik, kes on kindlustuslepingu teiseks pooleks ehk kellega on kindlustusleping sõlmitud. Kindlustusvõtjaks võib olla samaaegselt ka kindlustatud isik ehk isik, kellega seotud kindlustusrisk on kindlustatud (VÕS § 424 lõige 1). Samuti võib ta olla soodustatud isik ehk isik, kellel on kindlustusjuhtumi toimumise korral õigus kindlustusandja täitmise kohustusele (VÕS § 425 lõige 1).
Samas on võimalik olukord, kus isik A on kindlustusvõtja, kindlustatud on isikuga B seotud kindlustusrisk ning kindlustusjuhtumi toimumisel täidab kindlustusandja oma kohustuse isikule C. Illustreeriva näitena võib tuua olukorra, kus tööandja kui kindlustusvõtja tasub kindlustusmakseid, kuid kindlustusleping on sõlmitud töötaja ehk kindlustatud isiku surma puhuks ning kindlustusjuhtumi toimumisel toimub täitmine töötaja laste ehk soodustatud isikute kasuks.
Praktilisteks näideteks on veel alljärgnevad juhud:
1) Soodustatud isiku määramine (õnnetusjuhtumikindlustuse surmajuhtumi hüvitise osas);
2) Reisikindlustuse lepingud – reeglina on lepinguga hõlmatud mitu isikut, kuid ainult üks isik on lepingu pool ehk kindlustusvõtja;
3) Tööandja poolt töötajate kindlustamine;
4) Kindlustusriski hindamine lähtudes asja kasutajatest – sõiduki vastutava kasutaja järgi kindlustusmakse suuruse arvestamine.
Kokkuvõtvalt võib öelda, et soodustatud ning kahjustatud isikud ei ole enamasti lepingu pooleks ning sellisel juhul lepingu tingimused neile ei kohaldu, seega selliste subjektide andmete kogumist ning töötlemist ei ole võimalik tüüptingimustega reguleerida.
Kindlustatud isik on VÕS § 424 lõike 1 kohaselt kindlustusvõtja nimeliselt määratletud või määratlemata kolmas isik, kellega seotud kindlustusriski on kindlustatud. Kui kindlustusvõtja kindlustab oma riske, siis langeb kindlustusvõtja ja kindlustatud isik kokku. Kui kindlustatakse kolmanda isikuga seotud riske, siis on kindlustusandjal täitmise kohustus selle kolmanda isikuga seotud riski realiseerumisel, kusjuures üldiselt ei ole vajalik kolmanda isiku kindlustusriski kindlustamiseks selle kolmanda isiku nõusolek (v.a elukindlustuslepingu korral).
Soodustatud isik on VÕS § 425 lõike 1 kohaselt isik, kellel on kindlustusjuhtumi toimumise korral õigus saada kindlustushüvitis, kokkulepitud rahasumma või muu kindlustusandja kohustuse täitmine vastavalt lepingule. Soodustatud isikul on seega kindlustusjuhtumi toimumisel õigus kindlustusandja täitmise kohustusele. Kusjuures siinkohal on oluline välja tuua, et näiteks liikluskindlustuses võib tinglikult pidada soodustatud isikuteks (vt ka kahjustatud isik) kõiki potentsiaalseid kannatanuid hoolimata sellest, et neid ei ole kuidagi nimeliselt kindlustuslepingus määratletud. Lisaks on oluline, et soodustatud isik ei pea olema lepingu sõlmimise ajal isikuliselt määratletav (VÕS § 80 lg 4).
Kahjustatud isik. VÕS § 510 kohaselt peab vastutuskindlustuse puhul kindlustusandja täitma kindlustusvõtja asemel kohustuse hüvitada kahju, mille kindlustusvõtja on tekitanud kolmandale isikule (kahjustatud isik) kindlustuse kehtivuse ajal toimunud kindlustusjuhtumi tagajärjel, ja kandma õigusabile tehtud kulud.
Kahju põhjustaja, tunnistaja. Lisaks eelnimetatutele, on kindlustusandjal põhjendatud vajadus töödelda kahjuga seotud isikute andmeid. Tavapärane on näiteks olukord, kus kindlustusjuhtumi asjaolude väljaselgitamiseks peab kindlustusandja selgitama välja juhtumi põhjustaja ja võimalikud tunnistajaid ning muu hulgas säilitama kahjutoimikus ka nende isiku- ja kontaktandmeid. Näiteks läheb kindlustusandjale tulenevalt VÕS § 492 üle kahjunõue kahju põhjustaja vastu ja seega töötleb ta neid andmeid mh õigusnõude esitamiseks ja koostamiseks. Ilma vastava erandita oleks ka nende isikute puhul vajalik isiku enda nõusolek.
Andmekaitse seisukohalt on seega oluline, et kindlustuse kontekstis ei ole alati tegemist andmesubjekti puhul otseselt lepingu poolega ning seega ei saa neilt ka lepingu sõlmimisel eraldi nõusolekut võtta (või oleks selline nõusolek võtmine raskendatud).
KindlTS §-s 217 nimetatud isikutelt nõusoleku hankimine isikuandmete töötlemiseks enne lepingu sõlmimist, ei pruugi olla teatud juhtudel kindlustusvõtja huvides (st näiteks soodustatud isik peab andma nõusoleku oma andmete kuvamiseks lepingu dokumentidel lepingu sõlmimisel). Elukindlustustes ei soovi kindlustusvõtja mõningatel juhtudel, et soodustatud isik oleks teadlik sõlmitud lepingust. Lisaks võib kindlustusvõtja soodustatud isikut lepingu kehtivuse perioodil ühepoolselt muuta ning vastava uue soodustatud isiku nõusoleku saamine ei pruugi vastata jällegi kindlustusvõtja huvile. Seoses kindlustusvõtja surmaga võib välja tuua, et kahjukäsitlusprotsess võib pikeneda kuni näiteks pärija on vastavate andmete töötlemiseks oma nõusoleku andnud.
Seetõttu on kindlustussuhtes põhjendatud, et kindlustuse puhul võib nõusolekuta töödelda KindlTS §-s 217 nimetatud subjektide isikuandmeid kooskõlas KindlTS §-s 218 toodud alustega, milles on sätestatud konkreetsed andmetöötluse erandid ja töötlemise eesmärgid.
Terviseandmete töötlemine.
KindlTS § 218 lõike 2 punkti 2 kohaselt on terviseandmete töötlemine kindlustusandjale lubatud, kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta. Ka Soome isikuandmete kaitse seaduses on olemas analoogne eriliiki isikuandmete töötlemise erisäte üldmääruse artikli 9 lõike 1 suhtes.
Terviseandmed on eriliiki isikuandmed ja nende töötlemist käsitatakse isikuandmete kaitse üldmääruse artiklis 9. Üldjuhul ei ole rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, geneetilisi andmeid, terviseandmeid jm loeteletud isikuandmeid kajastavate andmete töötlemine üldmääruse kohaselt lubatud. Siiski, loetletakse sama sätte lõikes 2 erandid, millisel juhul keeldu ei kohaldata. Selliselt on lubatud töödelda muu hulgas terviseandmeid, kui andmesubjekt on nende töötlemiseks andnud oma nõusoleku, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks (isik on võimetu ise nõusolekut andma), töötlemine toimub seaduses sätestatud alusel avaliku huvi eesmärgist lähtudes, töötaja töövõime hindamiseks, tervishoiuteenuse või sotsiaalteenuste osutamiseks, samuti õigusnõude koostamiseks, esitamiseks või kaitsmiseks2.
Üldmääruse artikli 9 kohaselt võib eriliiki isikuandmeid, sh terviseandmeid töödelda ka ennetava meditsiini põhjusel, töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, ravimiseks, tervishoiuteenuse või sotsiaalhoolekande või nende teenuste osutamiseks, tuginedes tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et andmeid töötleb töötaja või muu isik, kellel on liikmesriigi õiguse või asutuse kehtestatud eeskirjade kohaselt ametisaladuse hoidmise kohustus või kui andmeid töödeldakse sellise isiku vastutusel, kelle suhtes kehtib ametisaladuse nõue.
Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses terviseandmete töötlemisega (artikkel 9 lõige 4).
Isikuandmete kaitset käsitlev seadus Soomes (tietosuojalaki § 6 lõige 1)3 näeb ette, et andmekaitse üldmääruse artikli 9 lõiget 1 ei kohaldata, kui kindlustusandja töötleb kindlustustegevuse käigus andmeid kindlustatud isiku ja (kindlustus)hüvitise taotleja terviseseisundi, haiguse või vigastuse kohta, samuti tema suhtes tehtud ravimeetmete või sarnaste toimingute kohta, kui see on vajalik kindlustusseltsi vastutuse (täitmise kohustuse) kindlakstegemisel. Soome õiguses nimetatakse andmesubjektina ka hüvitise taotlejat, kelleks kindlustuse kontekstis võib olla iga isik, kes on õigustatud täitmist nõudma. Kindlustussuhetes võivad isikuteks, kelle suhtes on kindlustusandjal kindlustushüvitise, kokkulepitud rahasumma või muu kindlustusandja täitmise kohustus vastavalt kindlustuslepingule või seadusele nii kindlustusvõtja, kindlustatu, soodustatud isik, kolmas isik kui ka kahjustatud isik (vt VÕS § 422 (1), 424 (1), §-d 425 ja 510).
KindlTS § 218 lõikest 2 tulenevalt on terviseandmete töötlemine lubatud üksnes juhul, kui kindlustusjuhtumiks on:
1) andmesubjekti surm või
2) kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta või
3) tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
Isikuandmete kaitse seaduse rakendamise seaduse seletuskiri KindlTS § 218 kohta räägib töötlemisest GDPR artikli 9 lõike 2 alusel ja selles mõttes ei ole see kõige õnnestunum. Õigusnõuete puhul tuleneb kindlustusandja terviseandmete töötlemise alus isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktist f, seevastu terviseandmete töötlemist kindlustusandja lepingu täitmise kohustuse ja selle ulatuse kindlakstegemiseks tuleks pidada erandiks isikuandmete kaitse üldmääruse artikli 9 lõike 1 suhtes, mis annab terviseandmete töötlemiseks iseseiseva õigusliku aluse.
Terviseandmete töötlemine hõlmab ka töötlemist kindlustusjuhtumile eelnenud perioodi kohta. Kahju hüvitamise eesmärk on kahjustatud isiku asetamine olukorda, mis on võimalikult lähedane olukorrale, milles ta oleks olnud, kui kahju hüvitamise kohustuse aluseks olevat asjaolu ei oleks esinenud. Niisiis peab olema kindlustusandjale tagatud terviseandmete töötlemine ka juhtumieelse perioodi kohta, et hinnata kahjustatud isiku terviseseisundit enne kindlustusjuhtumi toimumist. Sellisel juhul vajab kindlustusandja teavet mitte üksnes kindlustusjuhtumi asjaolude kohta, vaid ka selle kohta, kas isik on pöördunud sarnase tervisemurega arsti poole, milline oli diagnoos ja ravi ning kas isik tervenes osaliselt või täielikult. Töötlemine sõltub konkreetsetest kahjujuhtumi ja tervisekahjustuse asjaoludest, mistõttu ei ole asjakohane kindlustusjuhtumile eelnenud perioodi ajaliselt piirata. Vaatamata sellele, peab andmeid töötlema üksnes ulatuses, mis on eesmärgi täitmiseks vajalik lähtudes proportsionaalsuse ja minimaalsuse nõuetest.
KindlTS § 218 täiendamine lõikega 4 ja § 219 täiendamine lõikega 6.
Andmesubjekti tervisliku seisundi hindamine on kahtlemata keeruline meditsiinilist kompetentsi nõudev tegevus. Kindlustuslepingu täitmise kohustuse ja ulatuse kindlakstegemisel on terviseandmete töötlemine aga keskse tähendusega, mistõttu on erialase ekspertteenuse kasutamine kindlustuses tavapärane praktika.
KindlTS § 219 alusel on kindlustusandja õigustatud saama terviseandmeid tervishoiuteenuse osutajalt. KindlTS § 219 lõikes 1 nimetatud tervishoiuteenuse osutaja all peetakse silmas isikut, kelle valduses on andmesubjekti kohta käivad terviseandmed, st kes on osutanud andmesubjektile tervishoiuteenust, sealhulgas osutas teenust seoses kindlustusjuhtumiga.
Isikuandmete töötlemise alus, eesmärk ja ulatus on erinevad sõltuvalt sellest, kas seda tehakse tervishoiuteenuse osutajana või kindlustusandja huvides tegutseva eksperdina kindlustusandja tegevuse raames. Kehtiv seadus kindlustusandja eksperdina tegutseva arsti pädevust ei reguleeri. Kahjustatud isiku usaldus meditsiinilise eriharidusega arsti vastu on kahtlemata suurem kui kindlustusandja vastu. Kui terviseandmeid töötleb arst, võib eeldada, et terviseandmeid töödeldakse andmesubjekti privaatsust kõige vähem riivaval moel, arst oskab luua seoseid ja anda oma erialasest pädevusest hinnangu tervisekahjustuse või -seisundi kohta. Ka töövõimetoetuse seaduse (TVTS) kohaselt kaasab Töötukassa töövõime hindamisel ekspertarvamuse saamiseks tervishoiuteenuse osutajaid tsiviilõigusliku lepingu alusel ning talle on selleks seadusega ette nähtud juurdepääs tervise infosüsteemis olevatele töövõime hindamiseks vajalikele isikuandmetele. Siinkohal juhime tähelepanu, et ka kindlustuslepingu täitmisel tuleb kõne alla isiku töövõime hindamine.
Niisiis luuakse sarnaselt TVTS-le ka KindlTS-s võimalus, et eriala spetsialistil oleks võimalik hinnata isiku tervislikku seisundit ja töödelda selleks andmesubjekti terviseandmeid tema terviseseisundi või puude kohta sarnaselt töövõime hindamise regulatsiooniga. Seejuures tervishoiuteenuse osutajale, kes töötleb terviseandmeid kindlustusandajaga sõlmitud kokkuleppel, antakse seadusega juurdepääs tervise infosüsteemis olevatele terviseandmetele ekspertarvamuse kujundamiseks. Tervishoiuteenuste korraldamise seaduse § 593 lg 6 sätestab, et juurdepääs tervise infosüsteemile tagatakse juhul, kui see tuleneb sõnaselgelt seadusest. Arsti poolt terviseandmete töötlemisele laieneb tervishoiuteenuse korraldamise seaduse § 4¹ lõige 13, mille kohaselt isikuandmete töötlemise põhjus ja eesmärk tuleb alati dokumenteerida. Samuti laieneb arstile saladuses hoidmise kohustus.
Niisiis töötleb tervishoiuteenuse osutaja andmeid KindlTS alusel sarnaselt töövõime hindamisele TVTS-s. Tervishoiuteenuse osutaja on tervishoiuteenuse korraldamise seaduse (TTKS) tähenduses tervishoiutöötaja või tervishoiuteenuseid osutav juriidiline isik. Tervishoiutöötaja on arst, hambaarst, õde ja ämmaemand, kui nad on registreeritud Terviseametis. Kindlustusandja võib vastava kokkuleppe sõlmida nii juriidilisest isikust tervishoiuteenuse osutajaga kui ka mõne tervishoiutöötajaga.
KindlTS § 219 lõike 1 muutmine. Lõikest 1 jäetakse välja ebavajalik kordus andmete töötlemise eesmärkide kohta, mis on sätestatud juba seaduses eespool (§-s 218).
§ 216. Sootegur kindlustusriski hindamisel
(1) Erinevused naiste ja meeste kindlustusmaksetes ja -hüvitistes ei või olla põhjustatud sooteguri kasutamisest kindlustusriskide hindamisel.
(2) Rasedus ega emadus ei või mõjutada kindlustusmaksete ja -hüvitiste suurust.
§ 217. Andmesubjekt ja tema nõusolek isikuandmete töötlemiseks
(1) Käesolevat paragrahvi ja kKäesoleva seaduse §-e 218–2201 kohaldatakse sellistele järgmistele andmesubjektidele: , kellele kindlustusandja osutab kindlustustegevusega seotud teenust, sealhulgas kindlustusvõtja, kindlustuslepingus kindlustusvõtjaga võrdsustatud isik, kindlustatud isik, soodustatud isik, kahjustatud isik, või isik, kellega kindlustusandja peab läbirääkimisi kindlustuslepingu sõlmimiseks, ning kindlustusjuhtumi põhjustajatele ja tunnistajatele. (vormistatakse loeteluks)
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 218. Isikuandmete töötlemine
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(1) Isikuandmete, välja arvatud eriliiki isikuandmete töötlemine on kindlustustegevuses lisaks Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88) sätestatule lubatud:
1) kindlustusvõtja ja temaga seotud isikuid puudutava kindlustusriski hindamiseks ja kindlustuslepingu sõlmimiseks vajalike muude toimingute tegemiseks, sealhulgas automatiseeritud töötlusel põhinevate üksikotsuste tegemiseks;
2) andmesubjekti kasuks sõlmitud lepingu täitmiseks, lepingu täitmise tagamiseks või tagasinõuete esitamiseks, kui käesolevas seaduses ei ole sätestatud teisiti.
(2) Terviseandmete töötlemine on lubatud, kui:
1) kindlustusandjal on seadusest tulenev kohustus sõlmida kindlustusleping;
2) see on muul juhul vajalik kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
(3) Süüteo toimepanemist või selle ohvriks langemist puudutavate andmete töötlemine enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist on lubatud kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(4) Tervishoiuteenuse osutaja võib töödelda andmesubjekti terviseandmeid ekspertarvamuse andmiseks terviseseisundi või puude või töövõime ? kohta, kui see tuleneb kindlustusandja ja tervishoiuteenuse osutaja vahelisest kokkuleppest. Tervishoiuteenuse osutaja poolt andmete töötlemisele kohaldatakse tervishoiuteenuse korraldamise seaduse § 4¹ lõikes 13 sätestatut.
Kui anda otsene õigus, siis peaks ka arst ise vastutama andmete õiguspärase töötlemise eest. Kas see vastutus võiks olla sõnastatud või saame sellele viidata, st kust see tuleb? Küsimus selles, kas kindlustusandja vastutab arsti õiguspärase andmete töötlemise eest, kui ta teeb seda kindlustusandja ülesandel või vastutab arst ise käesoleva seaduse alusel? See on lepingulise suhte küsimus ka. Pigem jõuaks järeldusele, et kohaldatakse ka arsti isiklikku vastutust, kui toimub isikuandmete töötlemise alane rikkumine. Kahju hüvitamine peaks olema vastavalt KA ja TTO kokkuleppele, TTO-le laieneb ka saladuses hoidmise kohustus. Kuidas on TVTS-s? kas seal on üldse käsitletud seda teemat või kuidas tõlgendatakse?
§ 219. Isikuandmete edastamine ja juurdepääs andmetele
(1) Riigi- või kohaliku omavalitsuse asutus, tervishoiuteenuse osutaja, kindlustusandja või muu kolmas isik on kohustatud kindlustusandja nõudel edastama isikuandmed või võimaldab nendele juurdepääsu, kui isikuandmete töötlemise alus tuleneb käesolevast seadusest või muust seadusest või õigusaktist. :
1) isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, on kindlustusandjale vajalikud kindlustuslepingu täitmiseks ja selle täitmise tagamiseks või tagasinõuete esitamiseks;
2)(1¹) punktis 1Käesoleva seaduse §-s 218 nimetamata eriliiki isikuandmete, sideandmete ning maksu- ja pangasaladust puudutavate andmete edastamine või nendele juurdepääsu võimaldamine kindlustusandjale ei ole lubatud, välja arvatud, kui andmete avaldamise õigus või kohustus tuleneb seadusest või muust õigusaktist.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(2) Kindlustusandja edastab edasikindlustusandja nõudel kindlustusjuhtumiga seotud isikuandmed, sealhulgas käesoleva seaduse § 218 lõigetes 2 ja 3 nimetatud isikuandmed, või võimaldab nendele juurdepääsu, kui isikuandmed on edasikindlustusandjale vajalikud kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(3) Isikuandmete kaitse seaduse §-s 10 sätestatud tingimuste täitmisel on kindlustusandjal õigus lisaks nimetatud paragrahvis sätestatud krediidivõimelisuse hindamisele edastada teisele kindlustusandjale tema taotlusel kindlustusriski hindamiseks ja kindlustuslepingu täitmise kohustuse ning selle ulatuse kindlaksmääramiseks isikuandmeid andmesubjekti kohta, kes on:
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
1) esitanud lepingueelsete läbirääkimiste käigus ebaõigeid andmeid kindlustusandja nõutud oluliste asjaolude kohta;
2) põhjustanud tahtlikult kindlustusjuhtumi toimumise või esitanud ebaõigeid andmeid kindlustusjuhtumi oluliste asjaolude kohta.
(4) Käesoleva paragrahvi lõikes 3 nimetatud isikuandmete töötlemisel kohaldatakse vastavalt isikuandmete kaitse seaduse § 10 lõiget 1 ja lõike 2 punkte 1–3.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
(5) [Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019] ]
(6) Tervishoiuteenuse osutaja, kes töötleb terviseandmeid käesoleva seaduse paragrahv 218 lõikes 4 nimetatud eesmärgil, on juurdepääsuõigus järgmistele tervise infosüsteemis olevatele isikuandmetele:
1) andmed patsiendi üldiste isikuandmete kohta;
2) andmed andmete esitaja//andmeandja? kohta;
3) andmed ambulatoorsete visiitide ja haiglas viibimiste kohta;
4) andmed surmateatise ja surma põhjuse teatise kohta.
§ 220. Isikuandmete säilitamise tähtaeg
[Kehtetu - RT I, 13.03.2019, 2 - jõust. 15.03.2019]
§ 2201. Saladuses hoidmise kohustus
(1) Kindlustusandja on kohustatud hoidma saladuses talle kindlustustegevuse käigus teatavaks saanud andmeid, mis puudutavad kliendi isikuandmeid, majanduslikku seisundit ning äri- või ametisaladusi.
(2) Kindlustusandja aktsionärid, juhid, töötajad ja muud isikud, kellel on juurdepääs käesoleva paragrahvi lõikes 1 nimetatud andmetele, on kohustatud hoidma neile teatavaks saanud andmeid tähtajatult saladuses, kui käesolevas paragrahvis ei ole sätestatud teisiti.
(3) Saladuses hoidmise kohustus laieneb kindlustusagendile, kindlustusagentuurile, kindlustusmaaklerile ja volitatud töötlejale ning nende juhtidele ja töötajatele, samuti isikule, kes töötleb isikuandmeid käesoleva seaduse § 218 lõike 4 alusel.
(4) Kindlustusandjal on õigus avaldada klienti puudutavaid andmeid kolmandatele isikutele, kui:
1) kindlustusandja õigus või kohustus andmete avaldamiseks tuleneb käesolevast seadusest või muust õigusaktist;
2) klient on andnud selleks nõusoleku.
(5) Saladuses hoidmise kohustus ei puuduta andmeid, mis pärinevad avalikult kättesaadavatest allikatest.
[RT I, 13.03.2019, 2 - jõust. 15.03.2019]
Seletuskirjas:
KindlTS § 217 muutmine. Kuivõrd seadus reguleerib andmete töötlemist andmesubjekti nõusolekuta, siis muudetakse ka KindlTS § 217 pealkirja vastavalt. Millistele tingimustele peab vastama andmesubjekti nõusolek andmete töötlemiseks jm nõuded tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi isikuandmete kaitse üldmäärus või üldmäärus) ning seda osa KindlTS-s täpsustada ei ole vaja. KindlTS §-s 217 loetletakse isikud, kelle andmeid võib kooskõlas seaduse §-dega 218–2201 töödelda ilma, et isikuandmete töötlemiseks oleks vajalik nende isikute eraldi nõusoleku võtmine. KindlTS § 217 ei anna iseseisvat alust isikuandmete töötlemiseks.
Kehtiva KindlTS § 217 sõnastuse eesmärgiks on anda ammendav loetelu isikutest, kelle suhtes võivad kindlustusandjad ja -vahendajad andmeid töödelda ehk loetleda isikud, kelle andmete töötlemine võib üldse kindlustussuhtes vajalik olla. Arusaamatust on põhjustanud nimetatud paragrahvis sisalduv lauseosa, mille kohaselt kohaldatakse andmetöötlemise sätteid isikute suhtes, kellele kindlustusandja osutab kindlustustegevusega seotud teenust. KindlTS defineerib kindlustusteenuse (KindlTS § 1032) ja kindlustuse turustamise (KindlTS § 5), kuid mõistet – kindlustustegevusega seotud teenus – seadus ei määratle. Eelnimetatud mõistet ei kasutata ka VÕS-s. Teatud ebaselgus on ilmnenud ka kindlustusjuhtumi põhjustaja (kahju põhjustaja) ja tunnistaja andmete töötlemisel, sest tegemist ei ole isikutega, kellele osutatakse kindlustusteenust1. Näiteks, vabatahtliku vastutuskindlustuse korral kahju põhjustaja andmete töötlemine kindlustusandja täitmise kohustuse ja selle ulatuse kindlakstegemisel on vajalik, olgugi, et isikule ei osutata otseselt kindlustusteenust. Ka tunnistaja andmete töötlemine on vajalik, nt kui selgitatakse välja kindlustusjuhtumi asjaolusid. Seetõttu on mõistlik loobuda andmesubjektide nimetamisel viitest kindlustustegevusega seotud teenusele, kuid jääda sätte esialgse eesmärgi juurde – määratleda ära isikute ring, kelle andmete töötlemine on kindlustustegevuse spetsiifikat arvestades vajalik.
Et paremini mõista kindlustussuhet ja sellest tulenevalt andmesubjektide töötlemise vajadust, selgitame alljärgnevalt KindlTS §-s 217 nimetatud isikute rolli ja seost kindlustusega.
Kindlustusvõtja. Kindlustusvõtjaks on isik, kes on kindlustuslepingu teiseks pooleks ehk kellega on kindlustusleping sõlmitud. Kindlustusvõtjaks võib olla samaaegselt ka kindlustatud isik ehk isik, kellega seotud kindlustusrisk on kindlustatud (VÕS § 424 lõige 1). Samuti võib ta olla soodustatud isik ehk isik, kellel on kindlustusjuhtumi toimumise korral õigus kindlustusandja täitmise kohustusele (VÕS § 425 lõige 1).
Samas on võimalik olukord, kus isik A on kindlustusvõtja, kindlustatud on isikuga B seotud kindlustusrisk ning kindlustusjuhtumi toimumisel täidab kindlustusandja oma kohustuse isikule C. Illustreeriva näitena võib tuua olukorra, kus tööandja kui kindlustusvõtja tasub kindlustusmakseid, kuid kindlustusleping on sõlmitud töötaja ehk kindlustatud isiku surma puhuks ning kindlustusjuhtumi toimumisel toimub täitmine töötaja laste ehk soodustatud isikute kasuks.
Praktilisteks näideteks on veel alljärgnevad juhud:
1) Soodustatud isiku määramine (õnnetusjuhtumikindlustuse surmajuhtumi hüvitise osas);
2) Reisikindlustuse lepingud – reeglina on lepinguga hõlmatud mitu isikut, kuid ainult üks isik on lepingu pool ehk kindlustusvõtja;
3) Tööandja poolt töötajate kindlustamine;
4) Kindlustusriski hindamine lähtudes asja kasutajatest – sõiduki vastutava kasutaja järgi kindlustusmakse suuruse arvestamine.
Kokkuvõtvalt võib öelda, et soodustatud ning kahjustatud isikud ei ole enamasti lepingu pooleks ning sellisel juhul lepingu tingimused neile ei kohaldu, seega selliste subjektide andmete kogumist ning töötlemist ei ole võimalik tüüptingimustega reguleerida.
Kindlustatud isik on VÕS § 424 lõike 1 kohaselt kindlustusvõtja nimeliselt määratletud või määratlemata kolmas isik, kellega seotud kindlustusriski on kindlustatud. Kui kindlustusvõtja kindlustab oma riske, siis langeb kindlustusvõtja ja kindlustatud isik kokku. Kui kindlustatakse kolmanda isikuga seotud riske, siis on kindlustusandjal täitmise kohustus selle kolmanda isikuga seotud riski realiseerumisel, kusjuures üldiselt ei ole vajalik kolmanda isiku kindlustusriski kindlustamiseks selle kolmanda isiku nõusolek (v.a elukindlustuslepingu korral).
Soodustatud isik on VÕS § 425 lõike 1 kohaselt isik, kellel on kindlustusjuhtumi toimumise korral õigus saada kindlustushüvitis, kokkulepitud rahasumma või muu kindlustusandja kohustuse täitmine vastavalt lepingule. Soodustatud isikul on seega kindlustusjuhtumi toimumisel õigus kindlustusandja täitmise kohustusele. Kusjuures siinkohal on oluline välja tuua, et näiteks liikluskindlustuses võib tinglikult pidada soodustatud isikuteks (vt ka kahjustatud isik) kõiki potentsiaalseid kannatanuid hoolimata sellest, et neid ei ole kuidagi nimeliselt kindlustuslepingus määratletud. Lisaks on oluline, et soodustatud isik ei pea olema lepingu sõlmimise ajal isikuliselt määratletav (VÕS § 80 lg 4).
Kahjustatud isik. VÕS § 510 kohaselt peab vastutuskindlustuse puhul kindlustusandja täitma kindlustusvõtja asemel kohustuse hüvitada kahju, mille kindlustusvõtja on tekitanud kolmandale isikule (kahjustatud isik) kindlustuse kehtivuse ajal toimunud kindlustusjuhtumi tagajärjel, ja kandma õigusabile tehtud kulud.
Kahju põhjustaja, tunnistaja. Lisaks eelnimetatutele, on kindlustusandjal põhjendatud vajadus töödelda kahjuga seotud isikute andmeid. Tavapärane on näiteks olukord, kus kindlustusjuhtumi asjaolude väljaselgitamiseks peab kindlustusandja selgitama välja juhtumi põhjustaja ja võimalikud tunnistajaid ning muu hulgas säilitama kahjutoimikus ka nende isiku- ja kontaktandmeid. Näiteks läheb kindlustusandjale tulenevalt VÕS § 492 üle kahjunõue kahju põhjustaja vastu ja seega töötleb ta neid andmeid mh õigusnõude esitamiseks ja koostamiseks. Ilma vastava erandita oleks ka nende isikute puhul vajalik isiku enda nõusolek.
Andmekaitse seisukohalt on seega oluline, et kindlustuse kontekstis ei ole alati tegemist andmesubjekti puhul otseselt lepingu poolega ning seega ei saa neilt ka lepingu sõlmimisel eraldi nõusolekut võtta (või oleks selline nõusolek võtmine raskendatud).
KindlTS §-s 217 nimetatud isikutelt nõusoleku hankimine isikuandmete töötlemiseks enne lepingu sõlmimist, ei pruugi olla teatud juhtudel kindlustusvõtja huvides (st näiteks soodustatud isik peab andma nõusoleku oma andmete kuvamiseks lepingu dokumentidel lepingu sõlmimisel). Elukindlustustes ei soovi kindlustusvõtja mõningatel juhtudel, et soodustatud isik oleks teadlik sõlmitud lepingust. Lisaks võib kindlustusvõtja soodustatud isikut lepingu kehtivuse perioodil ühepoolselt muuta ning vastava uue soodustatud isiku nõusoleku saamine ei pruugi vastata jällegi kindlustusvõtja huvile. Seoses kindlustusvõtja surmaga võib välja tuua, et kahjukäsitlusprotsess võib pikeneda kuni näiteks pärija on vastavate andmete töötlemiseks oma nõusoleku andnud.
Seetõttu on kindlustussuhtes põhjendatud, et kindlustuse puhul võib nõusolekuta töödelda KindlTS §-s 217 nimetatud subjektide isikuandmeid kooskõlas KindlTS §-s 218 toodud alustega, milles on sätestatud konkreetsed andmetöötluse erandid ja töötlemise eesmärgid.
Terviseandmete töötlemine.
KindlTS § 218 lõike 2 punkti 2 kohaselt on terviseandmete töötlemine kindlustusandjale lubatud, kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta. Ka Soome isikuandmete kaitse seaduses on olemas analoogne eriliiki isikuandmete töötlemise erisäte üldmääruse artikli 9 lõike 1 suhtes.
Terviseandmed on eriliiki isikuandmed ja nende töötlemist käsitatakse isikuandmete kaitse üldmääruse artiklis 9. Üldjuhul ei ole rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, geneetilisi andmeid, terviseandmeid jm loeteletud isikuandmeid kajastavate andmete töötlemine üldmääruse kohaselt lubatud. Siiski, loetletakse sama sätte lõikes 2 erandid, millisel juhul keeldu ei kohaldata. Selliselt on lubatud töödelda muu hulgas terviseandmeid, kui andmesubjekt on nende töötlemiseks andnud oma nõusoleku, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks (isik on võimetu ise nõusolekut andma), töötlemine toimub seaduses sätestatud alusel avaliku huvi eesmärgist lähtudes, töötaja töövõime hindamiseks, tervishoiuteenuse või sotsiaalteenuste osutamiseks, samuti õigusnõude koostamiseks, esitamiseks või kaitsmiseks2.
Üldmääruse artikli 9 kohaselt võib eriliiki isikuandmeid, sh terviseandmeid töödelda ka ennetava meditsiini põhjusel, töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, ravimiseks, tervishoiuteenuse või sotsiaalhoolekande või nende teenuste osutamiseks, tuginedes tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et andmeid töötleb töötaja või muu isik, kellel on liikmesriigi õiguse või asutuse kehtestatud eeskirjade kohaselt ametisaladuse hoidmise kohustus või kui andmeid töödeldakse sellise isiku vastutusel, kelle suhtes kehtib ametisaladuse nõue.
Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses terviseandmete töötlemisega (artikkel 9 lõige 4).
Isikuandmete kaitset käsitlev seadus Soomes (tietosuojalaki § 6 lõige 1)3 näeb ette, et andmekaitse üldmääruse artikli 9 lõiget 1 ei kohaldata, kui kindlustusandja töötleb kindlustustegevuse käigus andmeid kindlustatud isiku ja (kindlustus)hüvitise taotleja terviseseisundi, haiguse või vigastuse kohta, samuti tema suhtes tehtud ravimeetmete või sarnaste toimingute kohta, kui see on vajalik kindlustusseltsi vastutuse (täitmise kohustuse) kindlakstegemisel. Soome õiguses nimetatakse andmesubjektina ka hüvitise taotlejat, kelleks kindlustuse kontekstis võib olla iga isik, kes on õigustatud täitmist nõudma. Kindlustussuhetes võivad isikuteks, kelle suhtes on kindlustusandjal kindlustushüvitise, kokkulepitud rahasumma või muu kindlustusandja täitmise kohustus vastavalt kindlustuslepingule või seadusele nii kindlustusvõtja, kindlustatu, soodustatud isik, kolmas isik kui ka kahjustatud isik (vt VÕS § 422 (1), 424 (1), §-d 425 ja 510).
KindlTS § 218 lõikest 2 tulenevalt on terviseandmete töötlemine lubatud üksnes juhul, kui kindlustusjuhtumiks on:
1) andmesubjekti surm või
2) kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta või
3) tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta.
Isikuandmete kaitse seaduse rakendamise seaduse seletuskiri KindlTS § 218 kohta räägib töötlemisest GDPR artikli 9 lõike 2 alusel ja selles mõttes ei ole see kõige õnnestunum. Õigusnõuete puhul tuleneb kindlustusandja terviseandmete töötlemise alus isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktist f, seevastu terviseandmete töötlemist kindlustusandja lepingu täitmise kohustuse ja selle ulatuse kindlakstegemiseks tuleks pidada erandiks isikuandmete kaitse üldmääruse artikli 9 lõike 1 suhtes, mis annab terviseandmete töötlemiseks iseseiseva õigusliku aluse.
Terviseandmete töötlemine hõlmab ka töötlemist kindlustusjuhtumile eelnenud perioodi kohta. Kahju hüvitamise eesmärk on kahjustatud isiku asetamine olukorda, mis on võimalikult lähedane olukorrale, milles ta oleks olnud, kui kahju hüvitamise kohustuse aluseks olevat asjaolu ei oleks esinenud. Niisiis peab olema kindlustusandjale tagatud terviseandmete töötlemine ka juhtumieelse perioodi kohta, et hinnata kahjustatud isiku terviseseisundit enne kindlustusjuhtumi toimumist. Sellisel juhul vajab kindlustusandja teavet mitte üksnes kindlustusjuhtumi asjaolude kohta, vaid ka selle kohta, kas isik on pöördunud sarnase tervisemurega arsti poole, milline oli diagnoos ja ravi ning kas isik tervenes osaliselt või täielikult. Töötlemine sõltub konkreetsetest kahjujuhtumi ja tervisekahjustuse asjaoludest, mistõttu ei ole asjakohane kindlustusjuhtumile eelnenud perioodi ajaliselt piirata. Vaatamata sellele, peab andmeid töötlema üksnes ulatuses, mis on eesmärgi täitmiseks vajalik lähtudes proportsionaalsuse ja minimaalsuse nõuetest.
KindlTS § 218 täiendamine lõikega 4 ja § 219 täiendamine lõikega 6.
Andmesubjekti tervisliku seisundi hindamine on kahtlemata keeruline meditsiinilist kompetentsi nõudev tegevus. Kindlustuslepingu täitmise kohustuse ja ulatuse kindlakstegemisel on terviseandmete töötlemine aga keskse tähendusega, mistõttu on erialase ekspertteenuse kasutamine kindlustuses tavapärane praktika.
KindlTS § 219 alusel on kindlustusandja õigustatud saama terviseandmeid tervishoiuteenuse osutajalt. KindlTS § 219 lõikes 1 nimetatud tervishoiuteenuse osutaja all peetakse silmas isikut, kelle valduses on andmesubjekti kohta käivad terviseandmed, st kes on osutanud andmesubjektile tervishoiuteenust, sealhulgas osutas teenust seoses kindlustusjuhtumiga.
Isikuandmete töötlemise alus, eesmärk ja ulatus on erinevad sõltuvalt sellest, kas seda tehakse tervishoiuteenuse osutajana või kindlustusandja huvides tegutseva eksperdina kindlustusandja tegevuse raames. Kehtiv seadus kindlustusandja eksperdina tegutseva arsti pädevust ei reguleeri. Kahjustatud isiku usaldus meditsiinilise eriharidusega arsti vastu on kahtlemata suurem kui kindlustusandja vastu. Kui terviseandmeid töötleb arst, võib eeldada, et terviseandmeid töödeldakse andmesubjekti privaatsust kõige vähem riivaval moel, arst oskab luua seoseid ja anda oma erialasest pädevusest hinnangu tervisekahjustuse või -seisundi kohta. Ka töövõimetoetuse seaduse (TVTS) kohaselt kaasab Töötukassa töövõime hindamisel ekspertarvamuse saamiseks tervishoiuteenuse osutajaid tsiviilõigusliku lepingu alusel ning talle on selleks seadusega ette nähtud juurdepääs tervise infosüsteemis olevatele töövõime hindamiseks vajalikele isikuandmetele. Siinkohal juhime tähelepanu, et ka kindlustuslepingu täitmisel tuleb kõne alla isiku töövõime hindamine.
Niisiis luuakse sarnaselt TVTS-le ka KindlTS-s võimalus, et eriala spetsialistil oleks võimalik hinnata isiku tervislikku seisundit ja töödelda selleks andmesubjekti terviseandmeid tema terviseseisundi või puude kohta sarnaselt töövõime hindamise regulatsiooniga. Seejuures tervishoiuteenuse osutajale, kes töötleb terviseandmeid kindlustusandajaga sõlmitud kokkuleppel, antakse seadusega juurdepääs tervise infosüsteemis olevatele terviseandmetele ekspertarvamuse kujundamiseks. Tervishoiuteenuste korraldamise seaduse § 593 lg 6 sätestab, et juurdepääs tervise infosüsteemile tagatakse juhul, kui see tuleneb sõnaselgelt seadusest. Arsti poolt terviseandmete töötlemisele laieneb tervishoiuteenuse korraldamise seaduse § 4¹ lõige 13, mille kohaselt isikuandmete töötlemise põhjus ja eesmärk tuleb alati dokumenteerida. Samuti laieneb arstile saladuses hoidmise kohustus.
Niisiis töötleb tervishoiuteenuse osutaja andmeid KindlTS alusel sarnaselt töövõime hindamisele TVTS-s. Tervishoiuteenuse osutaja on tervishoiuteenuse korraldamise seaduse (TTKS) tähenduses tervishoiutöötaja või tervishoiuteenuseid osutav juriidiline isik. Tervishoiutöötaja on arst, hambaarst, õde ja ämmaemand, kui nad on registreeritud Terviseametis. Kindlustusandja võib vastava kokkuleppe sõlmida nii juriidilisest isikust tervishoiuteenuse osutajaga kui ka mõne tervishoiutöötajaga.
KindlTS § 219 lõike 1 muutmine. Lõikest 1 jäetakse välja ebavajalik kordus andmete töötlemise eesmärkide kohta, mis on sätestatud juba seaduses eespool (§-s 218).