“Ehkki trahvi maksimummäär tõuseb, jääb andmekaitse inspektsioon siiski kaasusepõhise lähenemise juurde. Ehk teisiti öeldes sõltub ka pärast 2018. aasta kevadet täpne trahvisumma konkreetse juhtumi asjaoludest ja alati ei pruugi me trahvi määrata,” selgitas Palu. Rikkumiste eest määratavate karistustega seonduv võib tema sõnul veel riigisiseselt täpsustuda. Selleks tuleb ära oodata siseriikliku rakendusakti valmimine justiitsministeeriumis.

Seni pole teada juhtumeid, kus patsientide andmed e-kirjadega lekkinud oleks

“Kontrollime tervishoiuteenuse osutajaid süsteemselt omaalgatuslike isikuandmete kaitse vastavus- ja valmidusaudititega. Konkreetsed juhtumid jõuavad meieni peamiselt kaebusepõhiselt,” lausus Palu. “Inspektsioonil puudub teave selle kohta, kas ja kui palju on Eestis arstide saadetud e-kirjadest patsientide tundlikke andmeid lekkinud,” lisas ta.

Uue korra valguses märkis Palu, et tervishoiuteenuse osutajatel on ka praegu kohustus patsientide andmeid hoolikalt hoida. “Eelkõige tuleb ravisuhtes kaitsta terviseandmeid, sest need on oma loomult delikaatsed. Selleks peavad raviasutuses kasutusel olema vastavad turvameetmed,” lausus Palu.

Muu hulgas peab arst olema veendunud, et ta väljastab tundliku info õigele inimesele ning et tema edastatud andmed ei oleks kättesaadavad kellelegi kolmandale. E-posti teel infot vahetades on seda sageli keeruline tagada.

Soovitus: krüpteerige andmed

“Oleme soovitanud vajadusel tundlikud andmed e-posti teel edastamiseks krüpteerida ning alati üle kontrollida, kas tegemist on õige e-posti aadressiga. Samuti võib arst vajadusel otsustada vastata mõne teise kanali kaudu. Siiski on see tervishoiuteenuse osutaja enda otsus ja vastutus, milliseid kanaleid patsientidega info vahetamiseks kasutada. Kui seejuures on turvameetmed tagatud, ei saa keegi seda teenuseosutajale ette kirjutada. Küsimused ja olukorrad on erinevad, mõnikord sobib suhtlemiseks ka tavaline e-kiri,” selgitas Palu.

“Selles osas ei muutu isikuandmete kaitse üldmääruse tulekuga midagi – needsamad kohustused jäävad kehtima ka pärast 2018. aasta kevadet. Võib aga öelda, et üks muutus on määruse ootuses tõepoolest toimumas – nimelt näib, et arstid on tänu määrusega kaasnevale teavitustööle saanud teadlikumaks isikuandmete kaitse nõuetest ja oskavad rohkem tähelepanu pöörata erinevatele turvameetmetele ja võimalikele turvariskidele,” tõdes inspektsiooni õigusdirektor.

Isikuandmete kaitse üldmäärus kehtestatakse Palu sõnul eesmärgiga anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle. “Üldmääruse peamiseks eesmärgiks on anda inimestele parem kontroll oma andmete üle. Seega ei või ka täiendavate turvameetmete kasutuselevõtmine patsientide ligipääsetavust oma andmetele pärssida,” lisas ta.

Täpsemalt saab määrusega seonduvatest teemadest ülevaate andmekaitse inspektsiooni võrgulehe reformirubriigist.