Kuidas mõjutab andmekaitsereform meditsiiniasutusi?

Dr. iur. Ants Nõmper, Ellex Raidla.
Dr. iur. Ants Nõmper, Ellex Raidla.

Selle aasta 25. mail hakkab kohalduma isikuandmete kaitse üldmäärus, mis toob kaasa uusi nõudeid ka meditsiiniasutustele, näiteks andmekaitseametniku määramise kohustus, andmetöötlusregistri pidamise kohustus ja andmekaitsealase mõjuhinnangu läbiviimise kohustus.

Andmekaitse Inspektsiooni sõnul kehtivad erinevatele meditsiiniasutustele ja perearstikeskustele mõnevõrra erinevad nõuded, mida peamiselt perearstidele suunatud SYNLABi teaduskonverentsil 5. aprillil Kumus täpsemalt selgitan.

Üldmääruse läbiv põhimõte on, et isikuandmete töötlemine peab teenima inimesi ning isikuandmeid töötlevad ettevõtted peavad proaktiivselt tagama andmekaitsenõuete täitmise. Advokaadibürool Ellex Raidla on suur kogemus meditsiiniasutuste nõustamisel. Seetõttu oskab Ellex Raidla nõustada meditsiiniasutusi üldmääruse kohaldamisel, arvestades nende ärispetsiifikat.

Kuigi andmekaitseõiguse vundament jääb pärast andmekaitse üldmääruse jõustumist samaks, toob uus määrus andmetöötlejatele kaasa mitmeid uusi nõudeid. Üldmäärus sätestab ka riskipõhise lähenemise, mis tähendab, et tundlikuma andmetöötlusega käib kaasas rangem regulatsioon.

Seega on andmekaitseõigusega kursis olemine väga oluline just perearstikeskustele ja tervisekeskustele, kes puutuvad kokku suurel hulgal tundlike isikuandmetega. Kuid millised spetsiifilised uued nõuded toob andmekaitsemäärus kaasa meditsiiniasutustele?

Esiteks kohustab isikuandmete kaitse üldmäärus terviseandmete töötlejaid määrama ettevõttesse andmekaitseametniku, kes on andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik. Tema ülesanneteks on andmetöötlejat abistada ja kontrollida andmekaitsealaste nõuete täitmisel.

Andmekaitseametniku peavad määrama kõik isikud, kelle põhitegevuseks on isikuandmete korrapärane ja süstemaatiline töötlemine või kes põhitegevusena töötlevad isikuandmete eriliike, mille alla kuuluvad ka terviseandmed. Ka patsientide isikuandmete töötlemine haiglates, perearsti- või tervisekeskustes on andmetöötluseks, millega kaasneb andmekaitseametniku määramise kohustus.

Andmekaitse Inspektsiooni seisukoha järgi on erandiks olukord, kus üksik perearst töötleb patsientide andmeid. Sellisel juhul andmekaitseametnikku määrama ei pea. Kui aga mitu perearsti töötleb patsientide andmeid koos, näiteks kui FIE-dena töötavad perearstid kasutavad ühist registratuuri ja ühist infosüsteemi patsientide andmete haldamiseks, on andmekaitseametniku määramine kohustuslik.

Teise uue kohustusena sätestab andmekaitse üldmäärus andmekaitsealase mõjuhinnangu läbiviimise. See tuleb läbi viia siis, kui kavandatakse uut andmetöötlust, millega kaasneb kõrge risk andmesubjektidele. Sellise töötlemise alla liigitub ka terviseandmete töötlemine.

Mõjuhinnangu tegemise kohustus tekib pärast andmekaitse üldmääruse jõustumist, mis tähendab, et mõjuhinnang tuleb teha kõikidele andmetöötlustoimingutele, millega alustatakse pärast üldmääruse jõustumist. Mõjuhinnangu läbiviimise eesmärk on hinnata isikuandmete töötlemise toimingute vajalikkust ja proportsionaalsust, tuvastada andmetöötlusega kaasnevaid riske ning valida nende maandamiseks sobivad meetmed.

Kolmanda uue nõudena sätestab andmekaitse üldmäärus andmetöötlusregistri loomise kohustuse. Andmetöötlusregister peab kajastama andmetöötleja andmetöötlusprotsesse. Register peab peegeldama andmetöötlusprotsesside tegelikku ja tõest kaardistust, mis tähendab, et register peab olema ajas muutuv ja elav dokument. Andmekaitse üldmäärus ei sätesta registrile täpseid vorminõudeid, kuid reegel on, et see peab olema elektrooniline. Taotluse korral peab andmetöötleja tegema registri Andmekaitse Inspektsioonile kättesaadavaks.

Lisaks eespool nimetatud nõuetele kohustuvad perearsti- ja tervisekeskused täitma ka kõiki teisi andmekaitsemääruse nõudeid. Nendeks nõueteks on näiteks vaikimisi ja lõimitud andmekaitse põhimõtete rakendamine, järelevalveasutuse teavitamine andmekaitsealastest rikkumisjuhtumitest, andmetöötluse läbipaistvuse tagamine jne.

Kuna terviseandmete käitlejad on kõrge riskiga andmetöötlejad, soovitame andmetöötlusprotsessid põhjalikult läbi mõelda ning kahtluse korral konsulteerida Andmekaitse Inspektsiooni või andmekaitseõiguse spetsialistidega.

Lisa kommentaar

  • Dr. iur. Ants Nõmper,
    Ellex Raidla

Raadio ettevõtlikule inimesele

Hetkel eetris

JÄLGI MEDITSIINIUUDISEID SOTSIAALMEEDIAS:

RSS

Seotud lood

Küsitlus

Valdkonna tööpakkumised

Meditsiini­uudised

12. märts 2019

Laadi PDF

Meditsiin Fookuses

veebruar 2019

Laadi PDF

Tervise­uudised

veebruar 2019

Laadi PDF

Meditsiiniuudiseid ja mu.ee saavad tellida vaid need isikud, kellel on kehtiv retseptikirjutamise õigus. Toimetusel on õigus seda küsida ja kontrollida.