• 02.05.18, 08:00
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

2 küsimust AKI-le seoses andmekaitse üldmäärusega

Isikuandmete töötlemise nõuete rikkumise korral on andmekaitse inspektsioonil (AKI) õigus kasutada mitmeid sunnimeetmeid hoiatusest ja noomitusest trahvini välja. Trahvi saab määrata nii tahtliku rikkumise kui ka hooletuse puhul.
25. mail 2018 jõustub isikuandmete kaitse üldmäärus GDPR), mis loob isikuandmete töötlejatele uusi kohustusi ning suurendab vastutust reeglite rikkumisel.
  • 25. mail 2018 jõustub isikuandmete kaitse üldmäärus GDPR), mis loob isikuandmete töötlejatele uusi kohustusi ning suurendab vastutust reeglite rikkumisel. Foto: Caro /Scanpix
Üle ELi rakenduva uue andmekaitse üldmääruse järgi on trahv n-ö kergemate andmekaitse rikkumiste korral kuni 10 miljonit eurot või kuni 2% ettevõtte ülemaailmsest aastakäibest – sõltuvalt kumb on suurem. Raskemate rikkumiste korral kuni 20 miljonit eurot või kuni 4% ettevõtte ülemaailmsest aastakäibest.
Taani ja Eesti õigussüsteem ei võimalda aga trahve selliselt määrata, nagu andmekaitse üldmäärus ette näeb. Nii määrab Taanis trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames. Trahvid peaksid aga meilgi olema määruse rakendudes “tõhusad, proportsionaalsed ja heidutavad”.
Andmekaitse inspektsiooni esindaja Maire Iro möönab intervjuus, et andmekaitseõiguse uuenemine ongi tekitanud ärevust eelkõige trahvidega seoses. 
Kas vastab tõele, seoses andmekaitse üldmääruse rakendumisega mais, et väikesed perearstikeskused ja üksikpraksised ei pea andmekaitsespetsialisti määrama?
Isikuandmete kaitse üldmääruse kohaselt tuleb andmekaitsespetsialist määrata kõigil, kelle põhitegevus on seotud eriliiki (ehk delikaatsete) isikuandmete ulatusliku töötlemisega. Siia alla kuuluvad vaieldamatult ka terviseandmed.
Perearstide puhul tuleb lisaks terviseandmete töötlemisele mängu ka teine aspekt – nimelt täidavad perearstid oma tööd tehes avalikku ülesannet. Juba see kohustab perearste andmekaitsespetsialisti määrama.
Andmekaitsespetsialisti peavad määrama kõik tervishoiuteenuse osutajad, kelle tegevus on haigekassa poolt rahastatud, kuna nad täidavad avalikku ülesannet ning töötlevad eriliiki (ehk delikaatseid) isikuandmeid. Seega hoolimata sellest, mitu perearsti koos töötab või palju neil patsiente on, tuleb kõigil perearstidel siiski andmekaitsespetsialist määrata.
Kui tegemist ei ole avaliku ülesande täitmisega, siis vaadatakse ka töötlemise ulatuslikkust. Andmekaitsespetsialisti määramise kohustuse mõttes on ulatusliku terviseandmete töötlemisega tegemist, kui koos töötab vähemalt kolm partnerit (arsti), kes kasutavad ühist registreerimissüsteemi ja/või ühist arvutivõrku ja arhiivi.
Ulatuslikkuse küsimus on oluline ka mõjuhinnangu tegemise kohustuse juures. Mis puudutab mõjuhinnangut, siis tõepoolest üksik perearst koos pereõega seda tegema ei pea. Mõjuhinnangu kohustuse mõttes on ulatusliku töötlemisega tegemist samuti siis, kui koos töötab vähemalt kolm partnerit (perearsti, hambaarsti või muud arsti).
Samad põhimõtted kehtivad nii perearstide, hambaarstide kui ka teiste tervishoiuteenuse osutajate jaoks.
Hoolimata sellest, kas tervishoiuteenuse osutajal tuleb määrata andmekaitsespetsialist või mitte, on õiguslikus mõttes vastutus siiski tervishoiuteenuse osutajal kui juriidilisel isikul. Tervishoiuteenuse osutaja, eesotsas juhatusega, peab hoolt kandma selle eest, et tegevus oleks seaduslik ning et isikuandmete töötlemisel ei mindaks vastuollu isikuandmete kaitse üldmääruse põhimõtetega.
Andmekaitsespetsialist saab vastutada talle pandud tööülesannete täitmise eest – näiteks anda nõu, selgitada määrusest tulenevaid kohustusi ning jälgida, et andmetöötlus vastaks määruse nõuetele. Kui andmekaitsespetsialisti määramise kohustust ei ole, siis on tervishoiuteenuse osutaja ülesanne ennast määruse nõuetega kurssi viia ja tagada, et ta andmekaitse põhimõtteid oma töös järgib.
Kui keegi paneb toime rikkumise, siis rikkumise eest vastutab juba see konkreetne inimene.
25. mail 2018 jõustub isikuandmete kaitse üldmäärus (ingl GDPR), mis loob isikuandmete töötlejatele uusi kohustusi ning suurendab vastutust reeglite rikkumisel. 
Andmekaitse inspektsioon lõpetas 2016. aastal 7 digiloo väärkasutamisega seotud väärteomenetlust. Kõigi nende raames said tervishoiutöötajad karistatud rahatrahviga. Kui palju te selliseid trahve 2017. aastal tegite? 
Andmekaitseõiguse uuenemine on tõepoolest tekitanud ärevust eelkõige just trahvidega seoses. Ilmselt enim kajastatud muutus on uus trahvi ülempiir – kuni 20 miljonit eurot või kuni 4% ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Kuid uue andmekaitseõiguse eesmärk ei ole senise karistuspoliitika muutmine ja trahvide esikohale seadmine.
Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse ilma trahvi määramata. Selles osas ei ole kavas senist praktikat muuta.
Kahjuks ei saa me eraldi välja tuua, kui palju oli väärteomenetlusi või määratud trahve tervishoiuvaldkonnas ega ka seda kui palju menetlusi oli seotud konkreetselt digiloo väärkasutamisega. Küll aga saan anda üldise statistika trahvide kohta: 2016. aastal jäid trahvisummad vahemikku 32–460 eurot ning 2017. aastal oli keskmine trahvisumma 70 eurot.
Trahv määratakse sellele, kes andmeid väärkasutanud on. Valdavalt on tegemist juhtumitega, kus väärteo on toime pannud konkreetne töötaja, olgu siis pelgast uudishimust või omakasu eesmärgil, ning sel juhul määrataksegi trahv konkreetsele tervishoiutöötajale.
Juhtumeid, kus patsient kahtlustab, et tema andmeid on põhjuseta vaadatud, ent menetluse käigus selgub, et seda tehtud ei ole või oli andmete töötlemine põhjendatud, esineb ikka. Kindlasti on oluline kõigist kahtlustest andmekaitse inspektsioonile teada anda, et saaksime kontrollida, kas andmeid vaadati õiguspäraselt. Kui andmeid on vaadatud ilma õigusliku põhjuseta, on tegemist väärteoga ja sel juhul määrab inspektsioon andmete väärkasutajale trahvi.
Loe samal teemal pikemalt 17. aprilli MU paberlehest.
Vaata lisaks:
Vandeadvokaat Ingeri Luik-Tamme koolitusel dokumenteerimiskohustuse ja andmekaitse teemal tervishoius saab osaleda 8. mail. Rohkem infot mu.ee lehel.

Seotud lood

Uudised
  • 20.09.18, 08:00
Infoturve on osa arvutikasutaja baastegevusest
Infotehnoloogia kasutamisega kaasnevad küberründed ja küberohud on kaasaja infotehnoloogiat tarbiva ühiskonnaga kaasas käiv nähtus ning Eestis sama aktuaalsed kui maailmas tervikuna, kirjutab Tervise ja Heaolu Infosüsteemide Keskuse direktor Katrin Reinhold.
Uudised
  • 26.07.18, 14:00
Kuidas hoida isikuandmeid veelgi turvalisemalt?
Andmekaitse inspektsiooni peadirektor Viljar Peep tõdeb, et kuigi Eesti tervishoiusektor on siiani suurematest küberrünnakutest pääsenud, on selge, et nii see ei jää ja küberruumis olevat vara (isikuandmeid) tuleb hoida sama hoolikalt kui füüsilisi väärisasju.
Uudised
  • 21.06.18, 15:00
Andmekaitse – eksimusel võib olla soolane hind
Mida tundlikum valdkond, seda rohkem tuleb andmeid kaitsta. Meditsiinisüsteem just selline on ja ELi uus määrus puudutab kõiki osalisi.
Uudised
  • 07.03.18, 07:00
Kuidas mõjutab andmekaitsereform meditsiiniasutusi?
Selle aasta 25. mail hakkab kohalduma isikuandmete kaitse üldmäärus, mis toob kaasa uusi nõudeid ka meditsiiniasutustele, näiteks andmekaitseametniku määramise kohustus, andmetöötlusregistri pidamise kohustus ja andmekaitsealase mõjuhinnangu läbiviimise kohustus.
  • ST
Sisuturundus
  • 25.11.24, 15:40
Meditsiiniuudiste vebinarid talvel 2025
Meditsiiniuudiste talvistel veebiseminaridel anname tervishoiutöötajatele teadmisi vaimse tervise ja pearingluse teemal. NB! Kalender täieneb jooksvalt!

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi Meditsiiniuudised esilehele