Viimase aasta jooksul on hüppeliselt sagenenud Andmekaitse Inspektsiooni pöördumiste arv, kus soovitakse selgitusi, kas tervishoiuteenuse osutaja (TTO) võib patsiendi terviseandmeid väljastada kolmandale osapoolele – nt kindlustus, lastekaitse, tööandja, kohtutäitur jne. Selline areng on positiivne, sest näitab tervishoiutöötajate teadlikkuse kasvu ning hoolikat kaalumist enne andmete väljastamist. Samuti on vähenenud kaebused nn uudishimupäringute1 kohta, mis kinnitab, et isikuandmete kaitse põhimõtteid järgitakse üha enam.
Isikuandmete kaitse seisukohalt kuuluvad terviseandmed eriliiki andmete hulka ning nende töötlemine ilma õigusliku aluseta on keelatud. Tervishoiuteenuse osutajate õiguslik alus andmete töötlemiseks tuleneb otseselt tervishoiuteenuse osutamisest, kuid sellega kaasneb ka kohustus kaitsta patsiendisaladust. Oluline on rõhutada, et iga andmete töötlemise toiming peab põhinema eraldi õiguslikul alusel. Seega ei saa patsiendile teenuse osutamise alusel kogutud andmeid hiljem kolmandatele isikutele samal alusel edastada, sest tegemist on eraldiseisva toiminguga, mis ei ole seotud esialgse eesmärgiga ehk patsiendile teenuse osutamisega.
Seega peab ka andmete väljastamiseks olema õiguslik alus ning patsiendi andmeid ei tohi väljastada, kui seaduses või kokkuleppel patsiendiga ei ole ette nähtud teisiti (võlaõigusseadus § 768).
Riigikohus on lahendis 1-20-5071 (1.04.2022) asunud seisukohale, et seadusest tulenev alus terviseandmete väljastamiseks võib olla kahetine – kas andmete avaldamist lubav või selleks kohustav. Kohustus patsiendisaladuse avaldamiseks võib tuleneda mõnest valdkondlikust õigusaktist. Sellisel juhul on seadusandja otsustanud, et avalik huvi on olulisem patsiendi huvist hoida tervishoiuteenuse osutamise käigus avaldatud andmed saladuses. Näiteks saab siin tuua abivajavast lapsest teavitamise kohustuse.
Lubav alus võib seevastu olla seotud mõne asutuse või ettevõtte seadusest tulenevate ülesannete täitmisega, näiteks kohaliku omavalitsuse kohustus hinnata lapse abivajadust, kindlustusandja kohustus hüvitada kahjujuhtumi kulud või kohtutäituri ülesanne kontrollida kohtumääruse täitmist hooldusõiguse vaidlustes. Igal juhul peab andmeid küsiv asutus alati viitama konkreetsele seadusesättele, pelgalt menetluse olemasolu ei ole piisav alus.
Ka õigusliku aluse olemasolu ei tähenda aga, et välja võib anda kogu teabe tervisliku seisundi kohta ning TTO kohustus on hinnata, kas andmete väljastamine küsitud ulatuses on põhjendatud.
Patsiendi andmete väljastamisel peab mh lähtuma ka isikuandmete kaitse üldpõhimõtetest, eelkõige eesmärgipärasuse ja minimaalsuse põhimõttest (IKÜM-i artikkel 5). See tähendab, et andmeid peab väljastama ainult nii palju, kui on vajalik eesmärgi täitmiseks ja nii minimaalselt kui võimalik (lihtsalt päringule vastamine vrd epikriisi väljastamine). Kui tekib kahtlus, on tervishoiuteenuse osutajal õigus küsida täpsustust, milliseid andmeid vajatakse ja miks just sellises mahus.
Kokkuvõttes võib järeldada, et ükski seadus ei anna tervishoiutöötajale õigust avaldada patsiendiandmeid kolmandale isikule laiemalt, kui see on seaduses või patsiendiga kokkuleppes ette nähtud. Patsiendisaladuse kaitse on tervishoiutöötaja kohustus ning andmete avaldamine peab alati põhinema selgel õiguslikul alusel ja järgima isikuandmete kaitse põhimõtteid.
Pane tähele! Kui eelnevalt käsitlesime olukorda, kus tervishoiuteenuse osutaja peab otsustama, kas ja millises ulatuses võib patsiendi andmeid kolmandatele isikutele väljastada, siis sama oluline on eristada olukordi, kus andmete väljastamist taotleb andmesubjekt ise. Kolmandate isikute puhul on aluseks nende seadusest tulenev õigus või kohustus, samas kui andmesubjekti puhul tuleneb õigus otse isikuandmete kaitse üldmäärusest (artikkel 15). Seda õigust saab piirata ainult rangelt määratletud tingimustel, näiteks teiste isikute õiguste kaitseks (art 15 lg 4) või siseriikliku seaduse sättega, mis vastab artikli 23 nõuetele.
Viimasel juhul peab olema selgelt määratletud, milliseid andmesubjekti õigusi piirang puudutab ja millises ulatuses neid piiratakse. Näiteks võib piirang puudutada õigust andmetega tutvumisele, nende parandamisele või kustutamisele. Ühtlasi ei või IKÜM-i artikli 23 alusel kehtestatud piirang olla absoluutne ega tähtajatu ning seega peaks olema reguleeritud ka piirangu tähtaeg.
Viimase aasta jooksul on ette tulnud mitu menetlust, kus tervishoiuteenuse osutaja on andmesubjektile andmete väljastamisest keeldunud, tuginedes tervishoiuteenuste korraldamise seaduse (TTKS) muudatusele, täpsemalt § 32 lõikele 4. Selle sätte kohaselt on dokumenteeritud patsiendiohutusjuhtumitele ja nende analüüsimisega seotud dokumentatsioonile juurdepääs lubatud üksnes tervishoiuteenuse osutajale ning kriminaalmenetluses uurimist teostavale organile. Käesoleval juhul TTKS-i § 32 lõige 4 andmesubjekti õigusi siiski ei piira. Mõistame probleemi olemust ning seadusandja tahet piirangu kehtestamisel ning oleme vastava sätte ja IKÜM-i artikli 23 omavahelise suhte kohta esitanud seisukoha ka ministeeriumile.
1 Uudishimupäringutest on AKI varasemalt kirjutanud: Andmelekked ja isikuandmete töötlemise rikkumised
- Kommenteerimiseks logi sisse või registreeru