Andmekaitse advokaat Pirkko-Liis Harkmaa: kuidas vähendada andmekaitse rikkumise ohte perearstikeskuses?
2018 - 06 - 01
Advokaadibüroo COBALT andmekaitse advokaat ja partner Pirkko-Liis Harkmaa selgitab, et kuigi uus andmekaitse üldmäärus kardinaalseid muutuseid kaasa ei too, on perearstikeskused siiski kohustatud üle vaatama oma andmetöötlusprotsessid ning veenduma, et need vastavad uuenenud nõuetele.
25. maist hakkas kehtima Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR). COBALTi advokaadi Pirkko-Liis Harkmaa sõnul tulenesid perearstikeskustele kui delikaatsete terviseandmete töötlejatele rangemad nõuded isikuandmete töötlemiseks juba siiani kehtinud isikuandmete kaitse seadusest. Seega kardinaalseid muutuseid uue andmekaitse üldmääruse jõustumine endaga tõenäoliselt kaasa ei too. Samas hakkavad siiski kehtima ka mõned uued nõuded, mistõttu on ka perearstikeskused kohustatud üle vaatama oma andmetöötlusprotsessid ning veenduma, et need vastavad uuenenud nõuetele ja on turvalised.
“Uue andmekaitsemääruse läbivad põhimõtted on läbipaistvus ja vastutustundlikkus,” ütleb Harkmaa. “Neid printsiipe tuleb järgida läbi kogu andmetöötlustsükli, alates andmete kogumisest, kuni nende lõpliku kustutamiseni.”
Andmetöötluse läbipaistvus tähendab Harkmaa sõnul seda, et perearst annab patsientidele andmete töötlemise kohta informatsiooni nii andmete kogumisel ja töötlemise alustamisel kui ka töötlemise ajal, samuti juhul, kui peaks juhtuma andmelekkeid. Vastutustundlikkus andmetöötluse kontekstis tähendab omakorda seda, et andmetöötleja peab suutma patsiendile tõestada ja näidata, et andmetöötlus toimub tema suhtes läbipaistvalt ja nõuetekohaselt.
Selleks, et tagada andmetöötluse läbipaistvus ja võtta töötlemise nõuetekohasuse eest vastutus, tuleb andmetöötlejal astuda teatud samme.
Praktilised sammud perearstikeskuse andmete korrastamiseks
“Kõigepealt peab olema andmetöötleja teadlik sellest, millised andmed, millistest allikatest, millisel eesmärgil, millisel õiguslikul alusel ja kui kaua tema käsutuses on, samuti sellest, kellele andmeid edastatakse,” märkis Harkmaa. Selleks on vajalik kaardistada kõik andmekategooriad ja -vood. Tavaliselt tehakse selleks nn andmeaudit. Andmeauditi põhjal selgub, kas senine andmetöötlus vastab uuenenud nõuetele, millised on vajakajäämised ja mida nende kõrvaldamiseks teha tuleks. Samuti aitab andmeaudit oma nn andmekaitsealast majapidamist korrastada. Andmeauditi raames tuleb üle vaadata ka andmetöötluseks kasutatavad infosüsteemid ja hinnata turvameetmeid.
Tavapärane tegevuskava nõuetega kooskõlla viimine hõlmab Harkmaa sõnul tavaliselt järgnevaid tegevusi:
- Andmekaitsespetsialisti nimetamine ja sellest Andmekaitse Inspektsiooni teavitamine.
- Andmekaitsealase mõjuhinnangu läbiviimine (erand üksinda töötava perearsti puhul).
- Andmetöötlusregistri sisseseadmine.
- Privaatsusteavituste tegemine suunatuna nii avalikkusele (eelkõige patsientidele) kui ka oma töötajatele.
- Andmekaitsealaste sisereeglite kehtestamine.
- Volitatud töötlejatena tegutsevate teenusepakkujatega sõlmitud lepingute ülevaatamine ja nõuetekohaste andmetöötluslepingute sõlmimine (näiteks raamatupidamis- või IT-teenuste pakkuja).
- Nõusolekupõhiste töötlemisprotsesside jaoks nõuetekohaste nõusolekuvormide väljatöötamine.
- Isikuandmete töötlemisega kokkupuutuvatele töötajatele vajalikku väljaõppe korraldamine.
- Vajalike turvameetmete sisseviimine.
“Kindlasti ei ole andmekaitsealaste nõuete täitmine ühekordne tegevus,” ütles Harkmaa. “Tegevuse vastavusse viimine uue andmekaitse üldmääruse nõuetega eeldab alguses küll ilmselt suuremahulisemat pingutust, kuid isikuandmete kaitsele suunatud tegevused peavad saama loomulikuks osaks igapäevasest toimimisest.”
Andmete ülekandmise ja kustutamise õigus
“Andmete ülekandmise õigus tähendab seda, et perearstikeskuse patsient võib nõuda, et talle või tehnilise võimekuse olemasolul tema poolt määratud teisele vastutavale töötlejale edastatakse struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul isikuandmed, mida vastav andmesubjekt on vastutavale töötlejale esitanud,” seletas Harkmaa. Nõuda saab ainult selliste andmete ülekandmist, mida töödeldakse nõusoleku või lepingu alusel ning mille töötlemine toimub automatiseeritult. Seega paberkandjatel olevate andmete ülekandmist nõuda ei saa.
Harkmaa lisas, et õigus nõuda oma andmete kustutamist on üldjuhul siis, kui andmete säilitamiseks pole enam vajadust, need on kogutud ebaseaduslikult või neid töödeldakse nõusoleku alusel ja nõusolek on tagasi võetud. Samas ei saa nõuda selliste andmete kustutamist, mille jätkuvaks töötlemiseks on olemas õiguslik alus, näiteks on neid vaja seoses lepingust tuleneva kohustuse täitmisega või seadusest tulenevalt.
Rääkides võimalikest trahvidest, ei saa Harkmaa sõnul eraldi välja tuua, milline trahvimäär just perearstikeskustele kohalduks.
“Trahvi kohaldumisel arvestatakse kindlasti rikkumise asjaoludega ja tõsidusega,” ütles ta. “Kuivõrd perearstikeskused töötlevad eriti tundlikke terviseandmeid, siis tõenäoliselt on nende osas ka ootused nõuetest kinnipidamise osas suuremad.”
Üldmäärusega ettenähtud suurim võimalik trahv on 20 miljonit eurot, kuid samas on võimalik endiselt rakendada ka muid abinõusid nagu hoiatus või ettekirjutus. Trahvi määramine on tavaliselt viimane abinõu.
Harkmaa rääkis, et patsiendi terviseandmete saatmine e-kirja teel või patsiendi nõustamine telefoni teel ilma patsienti autentimata on lubatud, kuid tervishoiuteenuse osutaja peab olema veendunud, et sellisel viisil terviseandmete edastamine või patsiendi nõustamine on turvaline. Muu hulgas peab olema tervishoiuteenuse osutaja kindel, et andmed edastatakse või nõu antakse õigele isikule.
Intervjuu portaalile Med24.