2 küsimust AKI-le seoses andmekaitse üldmäärusega

Üle ELi rakenduva uue andmekaitse üldmääruse järgi on trahv n-ö kergemate andmekaitse rikkumiste korral kuni 10 miljonit eurot või kuni 2% ettevõtte ülemaailmsest aastakäibest – sõltuvalt kumb on suurem. Raskemate rikkumiste korral kuni 20 miljonit eurot või kuni 4% ettevõtte ülemaailmsest aastakäibest.

Taani ja Eesti õigussüsteem ei võimalda aga trahve selliselt määrata, nagu andmekaitse üldmäärus ette näeb. Nii määrab Taanis trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames. Trahvid peaksid aga meilgi olema määruse rakendudes “tõhusad, proportsionaalsed ja heidutavad”.

Andmekaitse inspektsiooni esindaja Maire Iro möönab intervjuus, et andmekaitseõiguse uuenemine ongi tekitanud ärevust eelkõige trahvidega seoses. 

Kas vastab tõele, seoses andmekaitse üldmääruse rakendumisega mais, et väikesed perearstikeskused ja üksikpraksised ei pea andmekaitsespetsialisti määrama?

Isikuandmete kaitse üldmääruse kohaselt tuleb andmekaitsespetsialist määrata kõigil, kelle põhitegevus on seotud eriliiki (ehk delikaatsete) isikuandmete ulatusliku töötlemisega. Siia alla kuuluvad vaieldamatult ka terviseandmed.

Perearstide puhul tuleb lisaks terviseandmete töötlemisele mängu ka teine aspekt – nimelt täidavad perearstid oma tööd tehes avalikku ülesannet. Juba see kohustab perearste andmekaitsespetsialisti määrama.

Andmekaitsespetsialisti peavad määrama kõik tervishoiuteenuse osutajad, kelle tegevus on haigekassa poolt rahastatud, kuna nad täidavad avalikku ülesannet ning töötlevad eriliiki (ehk delikaatseid) isikuandmeid. Seega hoolimata sellest, mitu perearsti koos töötab või palju neil patsiente on, tuleb kõigil perearstidel siiski andmekaitsespetsialist määrata.

Kui tegemist ei ole avaliku ülesande täitmisega, siis vaadatakse ka töötlemise ulatuslikkust. Andmekaitsespetsialisti määramise kohustuse mõttes on ulatusliku terviseandmete töötlemisega tegemist, kui koos töötab vähemalt kolm partnerit (arsti), kes kasutavad ühist registreerimissüsteemi ja/või ühist arvutivõrku ja arhiivi.

Ulatuslikkuse küsimus on oluline ka mõjuhinnangu tegemise kohustuse juures. Mis puudutab mõjuhinnangut, siis tõepoolest üksik perearst koos pereõega seda tegema ei pea. Mõjuhinnangu kohustuse mõttes on ulatusliku töötlemisega tegemist samuti siis, kui koos töötab vähemalt kolm partnerit (perearsti, hambaarsti või muud arsti).

Samad põhimõtted kehtivad nii perearstide, hambaarstide kui ka teiste tervishoiuteenuse osutajate jaoks.

Hoolimata sellest, kas tervishoiuteenuse osutajal tuleb määrata andmekaitsespetsialist või mitte, on õiguslikus mõttes vastutus siiski tervishoiuteenuse osutajal kui juriidilisel isikul. Tervishoiuteenuse osutaja, eesotsas juhatusega, peab hoolt kandma selle eest, et tegevus oleks seaduslik ning et isikuandmete töötlemisel ei mindaks vastuollu isikuandmete kaitse üldmääruse põhimõtetega.

Andmekaitsespetsialist saab vastutada talle pandud tööülesannete täitmise eest – näiteks anda nõu, selgitada määrusest tulenevaid kohustusi ning jälgida, et andmetöötlus vastaks määruse nõuetele. Kui andmekaitsespetsialisti määramise kohustust ei ole, siis on tervishoiuteenuse osutaja ülesanne ennast määruse nõuetega kurssi viia ja tagada, et ta andmekaitse põhimõtteid oma töös järgib.

Kui keegi paneb toime rikkumise, siis rikkumise eest vastutab juba see konkreetne inimene.

Andmekaitse inspektsioon lõpetas 2016. aastal 7 digiloo väärkasutamisega seotud väärteomenetlust. Kõigi nende raames said tervishoiutöötajad karistatud rahatrahviga. Kui palju te selliseid trahve 2017. aastal tegite? 

Andmekaitseõiguse uuenemine on tõepoolest tekitanud ärevust eelkõige just trahvidega seoses. Ilmselt enim kajastatud muutus on uus trahvi ülempiir – kuni 20 miljonit eurot või kuni 4% ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Kuid uue andmekaitseõiguse eesmärk ei ole senise karistuspoliitika muutmine ja trahvide esikohale seadmine.

Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse ilma trahvi määramata. Selles osas ei ole kavas senist praktikat muuta.

Kahjuks ei saa me eraldi välja tuua, kui palju oli väärteomenetlusi või määratud trahve tervishoiuvaldkonnas ega ka seda kui palju menetlusi oli seotud konkreetselt digiloo väärkasutamisega. Küll aga saan anda üldise statistika trahvide kohta: 2016. aastal jäid trahvisummad vahemikku 32–460 eurot ning 2017. aastal oli keskmine trahvisumma 70 eurot.

Trahv määratakse sellele, kes andmeid väärkasutanud on. Valdavalt on tegemist juhtumitega, kus väärteo on toime pannud konkreetne töötaja, olgu siis pelgast uudishimust või omakasu eesmärgil, ning sel juhul määrataksegi trahv konkreetsele tervishoiutöötajale.

Juhtumeid, kus patsient kahtlustab, et tema andmeid on põhjuseta vaadatud, ent menetluse käigus selgub, et seda tehtud ei ole või oli andmete töötlemine põhjendatud, esineb ikka. Kindlasti on oluline kõigist kahtlustest andmekaitse inspektsioonile teada anda, et saaksime kontrollida, kas andmeid vaadati õiguspäraselt. Kui andmeid on vaadatud ilma õigusliku põhjuseta, on tegemist väärteoga ja sel juhul määrab inspektsioon andmete väärkasutajale trahvi.

Loe samal teemal pikemalt 17. aprilli MU paberlehest.