Uus määrus kohustab looma töötlemise toimingute registri

TGS Baltic advokaat Ingeri Luik-Tamme
TGS Baltic advokaat Ingeri Luik-Tamme

Meditsiini- ja ravimiõigusele spetsialiseerunud advokaat Ingeri Luik-Tamme advokaadibüroost TGS Baltic selgitab, milliseid uusi kohustusi toob maikuus jõustuv isikuandmete kaitse üldmäärus kaasa tervishoiuasutusele ja meedikutele.

25. mail 2018 jõustub isikuandmete kaitse üldmäärus, mis loob isikuandmete töötlejatele uusi kohustusi ning suurendab vastutust reeglite rikkumisel. Mis muutub meedikute jaoks?

Eraldi tuleb vaadata, mis on oluline asutuse jaoks ja mis tervishoiutöötaja jaoks. Suurematel andmetöötlejatel peab alates maist olema määratud andmekaitsespetsialist, kes hoiab silma peal selle asutuse andmete töötlemisel.

Uus asi, mis puudutab sisuliselt kõiki tervishoiuteenuse osutajaid sõltumata sellest, millises mahus nad andmeid töötlevad, on asutusesisene töötlemise toimingute register. Registris tuleb dokumenteerida kõik isikuandmete töötlustoimingud, alustades töötajate isikuandmete töötlemisest kuni patsientide isikuandmete töötlemiseni. Register peab sisaldama teavet selle kohta, millisel eesmärgil ja õiguslikul alusel konkreetseid andmeid töödeldakse, kellele andmeid edastatakse, jne.

Asutuse jaoks muutub ka aset leidnud isikuandmete kaitse nõuete rikkumistega seonduv. Nimelt tuleb kõik isikuandmetega seotud rikkumised asutuse siseselt dokumenteerida. Kui rikkumine kujutab endast tõenäoliselt ohtu patisendi õigustele, tuleb sellest teavitada 72 tunni jooksul ka Andmekaitse Inspektsiooni. Seetõttu on oluline teada, mida teha näiteks juhul, kui kogemata antakse kahe erineva patsiendi dokumendid kaasa ühele. Või kui patsiendi andmed salvestatakse tervise infosüsteemis kogemata teise samanimelise patsiendi andmete alla. Toodud näidete puhul peab ka iga tervishoiutöötaja teadma, kuidas käituda. Kindlasti tuleks sellistest juhtumitest teavitada oma osakonna või asutuse juhti.

Isikuandmete kaitse üldmääruse kõige kesksem idee on anda andmesubjektidele suurem kontroll oma andmete suhtes. Ei saa öelda, et konkreetselt patsiendi õiguste osas oleks tulemas kardinaalseid muudatusi. Küll aga on näiteks põhjalikum nõue teavitada patsienti tema andmete töötlemisest. Kui andmete töötlemine toimus seaduse alusel, nii nagu see patsientide puhul on ikka olnud, ei olnud varasemalt nõuet inimest eraldi teavitada sellest, kuidas tema andmeid töödeldakse, kellele edasi saadetakse. Samas kuigi õiguslikku kohustust selleks ei olnud, oli see näiteks Eesti Arstide Liidu arstieetika koodeksis ühe eetikaprintsiibina sees.

Kui palju praegu juba ettevalmistusi on tehtud?

Selle pinnalt, kui palju me viimasel ajal igapäevaselt aitame oma kliente andmekaitse alaste küsimustega, võib väita, et tervishoiuasutused tegelevad uute nõudmiste täitmisega ja tahavad oma senise andmetöötluse üle vaadata, et vajadusel täiendada teenuse osutamise üldtingimusi, lepinguvorme ja muid dokumendipõhjasid.

Keda uus määrus puudutab?

See puudutab tegelikult kõiki tervishoiuteenuse osutajaid, nii suuri haiglaid kui ka väikeseid erakabinette. Vastav spetsialist tuleb leida või koolitada sinna, kus on rohkem personali ja ulatuslik isikuandmete töötlemine või kus tervishoiuteenuse osutamine on samal ajal käsitatav avaliku ülesande täitmisena. Üksik eriarst ei pea sellist spetsialisti palkama, kuid kõik teised nõuded laienevad ka temale. Ta peab samamoodi looma töötlustoimingute registri, järgima uusi dokumenteerimise ja teavitamise kohustusi jne.

Kuidas siis uutmoodi andmeid dokumenteerida?

Tervishoiuasutuste puhul tuleb silmas pidada nii tervishoiuteenuse osutamise regulatsiooni kui ka isikuandmete töötlemise regulatsiooni. Tervishoiuteenuse regulatsioon praegu ei muutu, kuid need kaks süsteemi on vaja omavahel toimima panna.

Siin on arstile vajalik teadmine, mida mõlema regulatsiooni aspektist tervishoiuteenuse dokumenteerimisel ja andmete kasutamisel arvestada. Tervishoiusektoris on teatud erisused. Näiteks ei tohi arst endiselt ilma kehtiva ravisuhteta TISist kellegi andmeid vaadata ja Andmekaitse Inspektsioon on teinud ka trahve juhtudel, kus seda nõuet on rikutud. Üldiselt on haiglates kasutusel paralleelne infosüsteem TISiga, kuna TISi ei edastata kõiki dokumente, mille koostamise õigusaktid ette näevad.

Kokkuvõttes on kevadine muutus tervishoius väga oluline. Seni sai delikaatsete isikuandmete töötlemise registreerimiseks hakkama paari dokumendi täitmisega, kuid nüüd tuleb regulaarselt andmetöötlusregistrit täita, muuta jne. Seda peab kogu aeg hoidma kooskõlas sellega, mis reaalses elus toimub. Ka on rikkumisteated uueks asjaks, tegu on päris suure õigusliku muudatusega. Näiteks kui andmebaasist kadusid patsiendi pildid või muud andmed, siis seni tihti see info kuhugi ei jõudnud. Uue regulatsiooni valguses tuleb selline juhtum alati dokumenteerida ja ohu korral patsiendi õigustele ka Andmekaitse Inspektsiooni teavitada. Kui seda ei ole tehtud ja kui näiteks patsient selle hiljem avastab, võib tekkida probleem.

Oma 27. märtsi Äripäeva Akadeemia koolitusel toon ma iga teema kohta praktikast näiteid, mis vahel on kohe lahti räägitud ja vahel püstitatud küsimusena. Kuna arste huvitavad alati praktilise elu näited, siis need, kes soovivad saavad sõna võtta ja kaasa arutleda. Sünergia ühisest arutelust on minu kogemuse põhjal õppimisel kõige tõhusam.

Koolitus on suunatud rohkem otsustajatele, kuid vaatamata sellele tasub kuulama tulla kõigil tervishoiutöötajatel, kes vähegi soovivad ennast kurssi viia dokumenteerimise nõuete ja muudatustega andmekaitse valdkonnas.

Lisa kommentaar

Raadio ettevõtlikule inimesele

Hetkel eetris

JÄLGI MEDITSIINIUUDISEID SOTSIAALMEEDIAS:

RSS

Seotud lood

Küsitlus

Valdkonna tööpakkumised

Meditsiini­uudised

18. detsember 2018

Laadi PDF

Meditsiin Fookuses

november 2018

Laadi PDF

Tervise­uudised

november 2018

Laadi PDF

Meditsiiniuudiseid ja mu.ee saavad tellida vaid need isikud, kellel on kehtiv retseptikirjutamise õigus. Toimetusel on õigus seda küsida ja kontrollida.