Hiigeltrahvid on tervishoius jõudnud ka Eestisse

Sel aastal, viis aastat peale isikuandmete kaitse üldmääruse kohalduma hakkamist, jõudis kõrgete trahvide määramine ka Eestisse. Nimelt tegi andmekaitse inspektsioon 200 000 euro suuruse trahvi haiglale, mis oli pannud patsientide isikuandmetega vanad dokumendid haiglahoone kõrvale valveta prügikonteinerisse. Selles valguses on paslik meelde tuletada, et ka isikuandmete hävitamine on käsitletav isikuandmete töötlemisena ning seega andmekaitse reeglite kohaldumisalas.

Haigla küll vaidlustas trahvi ja kohus tühistas trahviotsuse, kuna Eestis hetkel kehtiv regulatsioon ei võimalda väärteo korras määrata juriidilisele isikule isikuandmete kaitse reeglite rikkumise eest trahvi, kuid väidetavalt rikkumist siiski mööndi. Alates 1. novembrist jõustuv seadusemuudatus muudab senist olukorda, võimaldades samalaadsete rikkumiste eest võtta senisest efektiivsemalt vastutusele ka juriidilisi isikuid.

Tasub teada, et majavälise teenuseosutaja kasutamisel (nt kasutades teenuseosutaja abi dokumentide hävitamisel või IT-süsteemi haldamisel) ei lähe andmetöötlust puudutav vastutus automaatselt üle.

Hiljuti jõudis ajakirjandusse juhtum, kus patsientide ravidokumentidesse sattusid meditsiinitarkvara vea tõttu hoopis teiste patsientide andmed. Tekkinud viga puudutas teadaolevalt 45 perearstikeskust, mis patsientide andmete töötlemiseks seda tarkvara kasutasid. Taolised juhtumid, nende lahendamine ja võimalikud tagajärjed ei puuduta üksnes tarkvarateenuse pakkujat.

Patsiendi andmete vastutav töötleja on tarkvarateenuse klient, st perearstikeskus või muu tervishoiuteenuse osutaja. Vastutav töötleja ei tohi andmekaitsealasest rikkumisest teada saamisel jääda passiivsesse rolli, vaid peab koostöös tarkvaraettevõttega välja selgitama kõik juhtumi asjaolud, hindama vajadust teavitada rikkumisest andmekaitse inspektsiooni ja patsiente ning täitma veel mitmeid vastutaval töötlejal lasuvaid kohustusi. Näiteks, kui patsient oleks ebaõigete kannete tõttu kahjustada saanud, olnuks tal õigus esitada kahju hüvitamise nõue ka perearstikeskuse vastu. Juhul, kui perearstikeskus oleks tarkvaraveast teada saamisel ja juhtunu lahendamisel rikkunud oma vastutava töötleja kohustusi, võinuks ka teda ähvardada trahv.

Taolisteks juhtumiteks tuleb valmis olla ja on väga oluline teada, kes, mida ja milliste tähtaegade jooksul peab tegema. Veelgi enam – vastastikused teavitamiskohustused ja vastutuse jaotus tuleks kokku leppida juba teenuseosutajaga lepingu sõlmimisel.

Andmekaitse nõuete täitmine ja trahvirisk ei puuduta üksnes tervishoiuteenuse osutajat kui juriidilist isikut, vaid, sõltuvalt olukorrast, ka tervishoiutöötajaid. Märkimisväärne osa arstide toime pandud rikkumistest seondub endiselt patsiendi andmete põhjendamatu vaatamise või lubamatu kasutamisega. Meditsiin areneb muuhulgas teadmiste ja kogemuste jagamise kaudu, sealjuures aga ei tohi ununeda, et iga patsiendi ravilugu on osa tema eraelust ja andmete kasutamisel näiteks erialasteks koolitusteks tuleb arvestada andmekaitsealase regulatsiooni ja patsiendi õigustega.

Olukordi, kus on lihtne libastuda, leidub teisigi. Näiteks on oluline teada, millistel täiendavatel tingimustel võib igapäevaselt arstitööks kasutatavas infosüsteemis sisalduvaid patsiendi andmeid kasutada eksperdiarvamuse koostamiseks. Ainuüksi juurdepääsu omamine andmetele ei tähenda, et andmete vaatamine ja kasutamine patsiendi ravi ja ravikvaliteediga mitteseotud eesmärkidel oleks lubatav.