2 küsimust AKI-le seoses andmekaitse üldmäärusega

25. mail 2018 jõustub isikuandmete kaitse üldmäärus GDPR), mis loob isikuandmete töötlejatele uusi kohustusi ning suurendab vastutust reeglite rikkumisel.
25. mail 2018 jõustub isikuandmete kaitse üldmäärus GDPR), mis loob...

Isikuandmete töötlemise nõuete rikkumise korral on andmekaitse inspektsioonil (AKI) õigus kasutada mitmeid sunnimeetmeid hoiatusest ja noomitusest trahvini välja. Trahvi saab määrata nii tahtliku rikkumise kui ka hooletuse puhul.

Üle ELi rakenduva uue andmekaitse üldmääruse järgi on trahv n-ö kergemate andmekaitse rikkumiste korral kuni 10 miljonit eurot või kuni 2% ettevõtte ülemaailmsest aastakäibest – sõltuvalt kumb on suurem. Raskemate rikkumiste korral kuni 20 miljonit eurot või kuni 4% ettevõtte ülemaailmsest aastakäibest.

Taani ja Eesti õigussüsteem ei võimalda aga trahve selliselt määrata, nagu andmekaitse üldmäärus ette näeb. Nii määrab Taanis trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames. Trahvid peaksid aga meilgi olema määruse rakendudes “tõhusad, proportsionaalsed ja heidutavad”.

Andmekaitse inspektsiooni esindaja Maire Iro möönab intervjuus, et andmekaitseõiguse uuenemine ongi tekitanud ärevust eelkõige trahvidega seoses. 

Kas vastab tõele, seoses andmekaitse üldmääruse rakendumisega mais, et väikesed perearstikeskused ja üksikpraksised ei pea andmekaitsespetsialisti määrama?

Isikuandmete kaitse üldmääruse kohaselt tuleb andmekaitsespetsialist määrata kõigil, kelle põhitegevus on seotud eriliiki (ehk delikaatsete) isikuandmete ulatusliku töötlemisega. Siia alla kuuluvad vaieldamatult ka terviseandmed.

Perearstide puhul tuleb lisaks terviseandmete töötlemisele mängu ka teine aspekt – nimelt täidavad perearstid oma tööd tehes avalikku ülesannet. Juba see kohustab perearste andmekaitsespetsialisti määrama.

Andmekaitsespetsialisti peavad määrama kõik tervishoiuteenuse osutajad, kelle tegevus on haigekassa poolt rahastatud, kuna nad täidavad avalikku ülesannet ning töötlevad eriliiki (ehk delikaatseid) isikuandmeid. Seega hoolimata sellest, mitu perearsti koos töötab või palju neil patsiente on, tuleb kõigil perearstidel siiski andmekaitsespetsialist määrata.

Kui tegemist ei ole avaliku ülesande täitmisega, siis vaadatakse ka töötlemise ulatuslikkust. Andmekaitsespetsialisti määramise kohustuse mõttes on ulatusliku terviseandmete töötlemisega tegemist, kui koos töötab vähemalt kolm partnerit (arsti), kes kasutavad ühist registreerimissüsteemi ja/või ühist arvutivõrku ja arhiivi.

Ulatuslikkuse küsimus on oluline ka mõjuhinnangu tegemise kohustuse juures. Mis puudutab mõjuhinnangut, siis tõepoolest üksik perearst koos pereõega seda tegema ei pea. Mõjuhinnangu kohustuse mõttes on ulatusliku töötlemisega tegemist samuti siis, kui koos töötab vähemalt kolm partnerit (perearsti, hambaarsti või muud arsti).

Samad põhimõtted kehtivad nii perearstide, hambaarstide kui ka teiste tervishoiuteenuse osutajate jaoks.

Hoolimata sellest, kas tervishoiuteenuse osutajal tuleb määrata andmekaitsespetsialist või mitte, on õiguslikus mõttes vastutus siiski tervishoiuteenuse osutajal kui juriidilisel isikul. Tervishoiuteenuse osutaja, eesotsas juhatusega, peab hoolt kandma selle eest, et tegevus oleks seaduslik ning et isikuandmete töötlemisel ei mindaks vastuollu isikuandmete kaitse üldmääruse põhimõtetega.

Andmekaitsespetsialist saab vastutada talle pandud tööülesannete täitmise eest – näiteks anda nõu, selgitada määrusest tulenevaid kohustusi ning jälgida, et andmetöötlus vastaks määruse nõuetele. Kui andmekaitsespetsialisti määramise kohustust ei ole, siis on tervishoiuteenuse osutaja ülesanne ennast määruse nõuetega kurssi viia ja tagada, et ta andmekaitse põhimõtteid oma töös järgib.

Kui keegi paneb toime rikkumise, siis rikkumise eest vastutab juba see konkreetne inimene.

Andmekaitse inspektsioon lõpetas 2016. aastal 7 digiloo väärkasutamisega seotud väärteomenetlust. Kõigi nende raames said tervishoiutöötajad karistatud rahatrahviga. Kui palju te selliseid trahve 2017. aastal tegite? 

Andmekaitseõiguse uuenemine on tõepoolest tekitanud ärevust eelkõige just trahvidega seoses. Ilmselt enim kajastatud muutus on uus trahvi ülempiir – kuni 20 miljonit eurot või kuni 4% ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Kuid uue andmekaitseõiguse eesmärk ei ole senise karistuspoliitika muutmine ja trahvide esikohale seadmine.

Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse ilma trahvi määramata. Selles osas ei ole kavas senist praktikat muuta.

Kahjuks ei saa me eraldi välja tuua, kui palju oli väärteomenetlusi või määratud trahve tervishoiuvaldkonnas ega ka seda kui palju menetlusi oli seotud konkreetselt digiloo väärkasutamisega. Küll aga saan anda üldise statistika trahvide kohta: 2016. aastal jäid trahvisummad vahemikku 32–460 eurot ning 2017. aastal oli keskmine trahvisumma 70 eurot.

Trahv määratakse sellele, kes andmeid väärkasutanud on. Valdavalt on tegemist juhtumitega, kus väärteo on toime pannud konkreetne töötaja, olgu siis pelgast uudishimust või omakasu eesmärgil, ning sel juhul määrataksegi trahv konkreetsele tervishoiutöötajale.

Juhtumeid, kus patsient kahtlustab, et tema andmeid on põhjuseta vaadatud, ent menetluse käigus selgub, et seda tehtud ei ole või oli andmete töötlemine põhjendatud, esineb ikka. Kindlasti on oluline kõigist kahtlustest andmekaitse inspektsioonile teada anda, et saaksime kontrollida, kas andmeid vaadati õiguspäraselt. Kui andmeid on vaadatud ilma õigusliku põhjuseta, on tegemist väärteoga ja sel juhul määrab inspektsioon andmete väärkasutajale trahvi.

Loe samal teemal pikemalt 17. aprilli MU paberlehest.

Lisa kommentaar

Raadio ettevõtlikule inimesele

Hetkel eetris

JÄLGI MEDITSIINIUUDISEID SOTSIAALMEEDIAS:

RSS

Seotud lood

Küsitlus

Valdkonna tööpakkumised

LOOTE ULTRAHELISKRIINING OÜ otsib MEDITSIINIÕDE

Loote Ultraheliskriining OÜ

31. juuli 2018

SA IDA-VIRU KESKHAIGLA otsib kolme juhatuse liiget

Ida-Viru Keskhaigla

15. august 2018

Meditsiini­uudised

12. juuni 2018

Laadi PDF

Meditsiin Fookuses

mai 2018

Laadi PDF

Tervise­uudised

juuni 2018

Laadi PDF

Meditsiiniuudiseid ja mu.ee saavad tellida vaid need isikud, kellel on kehtiv retseptikirjutamise õigus. Toimetusel on õigus seda küsida ja kontrollida.