/nginx/o/2018/07/09/8476510t1h4674.jpg)
Isegi kui sünnitamist käsitleda terviseandmetena, oli maanteeservas sünnitanud naisest Facebookis pildi avaldanud kiirabitöötajal selleks värske ema nõusolek. Töötaja ei rikkunud seega isikuandmete kaitse üldmääruse nõudeid, kirjutab advokaadibüroo DERLING advokaat Margot Maksing.
Kuu alguses lahvatas meedias keeristorm ilusa sündmuse ümber – kiirabi oli just maantee ääres ilmale aidanud uue ilmakodaniku.
Meedia tähelepanu keskmes ei olnud aga niivõrd sündmus ega laps ise, kui hoopis kaks muud asjaolu: esiteks poliitiline kemplus Valga sünnitusmaja sulgemise õigsuse üle, millest selles kirjatükis juttu ei tule ja teiseks küsimus, kas Tartu kiirabibrigaadi liige üldse tohtis avalikustada sotsiaalmeedias koos pildiga postituse.
Tööandja reageeris kiiresti ja teravalt, lubades isegi brigaadi liikme kohe vallandada. Õnneks asi nii tõsiseks ei läinud ning kiirabibrigaadi liige sai nii meedia vahendusel kui personaalselt «kiita ja noomida».
Kokkuvõttes tekib sellise kajastuse tulemusel aga küsimus, kas meditsiinitöötaja ei tohi tõesti sõnagi (piltigi) oma tööst jagada? Kas selles olukorras oli isegi üldse töötaja noomimine põhjendatud?
Hiljuti jõustunud isikuandmete kaitse üldmäärus (GDPR)[1] põhjustab jätkuvalt suurt segadust ja hirmu igasuguste isikuandmete töötlemisel. See teeb paljud organisatsioonid tundlikuks ja ülereageerimise oht on enam kui tõenäoline. Ilmselt oli sellest hirmust tingitud ka tööandja terav reaktsioon positiivse sõnumiga pildi jagamisele töötaja näoraamatus.
Õigusaktid, teiste seas isikuandmete kaitse üldmäärus, ei näe ette absoluutset keeldu isikuandmete avaldamiseks, seda isegi meditsiinitöötajate seisukohast ega isegi terviseandmete seisukohast.
Juriidilisest küljest vaadatuna tuleb aga möönda, et kõnealusel juhul polnud tööandja reaktsioon õigustatud ja võib-olla isegi mitte lubatud.
Õigusaktid, teiste seas isikuandmete kaitse üldmäärus, ei näe ette absoluutset keeldu isikuandmete avaldamiseks, seda isegi meditsiinitöötajate seisukohast ega isegi terviseandmete seisukohast.
Analüüsime järgnevalt tekkinud olukorda juriidilisest vaatenurgast.
Kiirabibrigaadi töötaja avaldas sotsiaalmeedias emast ja äsja sündinud lapsest foto. Isiku kujutis on käsitletav isikuandmetena. Isikuandmete töötlemine on muuhulgas ka isikuandmete levitamine või muul moel kättesaadavaks tegemise teel avalikustamine. Praegu pole kahtlust, et isiku foto avaldamine sotsiaalmeedias on isikuandmete töötlemine.
Isikuandmete kaitse üldmääruse kohaselt peab isikuandmete töötlemine olema seaduslik. Määrus loetleb erinevad õiguslikud alused isikuandmete seaduslikuks töötlemiseks.
Näiteks on määruse kohaselt isikuandmete töötlemine seaduslik, kui andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil. Andmesubjekti nõusolek on vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.
On vaieldav, kas sünnituse kui fakti konstateerimist on võimalik käsitleda terviseandmetena.
Siinsel juhul ei tundu olevat vaidlust, et andmesubjekt, kelleks on lapse ema, on andnud oma nõusoleku andmete avalikustamiseks. Perekond on nii kiirabibrigaadi liikmele kui ka avalikkusele meedia vahendusel teada andnud, et nad on pildi avalikustamisega nõus. Muuhulgas on märgitud, et neil «ei ole kiirabitöötajate mitte mingeid pretensioone» ja «kõik oli kooskõlastatud».
Samuti võib kerkida küsimus, kas tegemist on isikuandmete eriliikide töötlemisega. Isikuandmete eriliigid on muuhulgas näiteks terviseandmed.
Terviseandmed on füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tervisliku seisundi kohta. On vaieldav, kas sünnituse kui fakti konstateerimist on võimalik käsitleda terviseandmetena.
Samas ei ole see mainitud vaidluse kontekstis tegelikult oluline, sest andmesubjekti nõusolekul on ka terviseandmete töötlemine lubatud. Isegi kui sünnitamist käsitleda terviseandmetena, on andmete töötlemine lubatud, kui andmesubjekt on andnud selgesõnalise nõusoleku.
Esialgse analüüsi pinnalt võib seega järeldada, et kui pildil kujutatud isikud on andnud nõusoleku pildi avaldamiseks, siis ei ole kiirabibrigaadi liige õigusaktides sätestatud isikuandmete töötlemise eeskirju rikkunud.
Kui töötaja ei suuda pärast tõendada, et isik oli oma andmete avaldamisega nõus, on töötaja isikuandmete kaitset reguleerivaid norme rikkunud ning võib sellega tuua kaasa pahandusi nii endale kui ka tööandjale.
Sellest vaatepunktist võetuna oli tööandja reageering selgelt liiga terav ja võib-olla omakorda isikuandmete kaitse norme rikkuv, kuivõrd tööandja on avaldanud töötaja kohta negatiivset ja ebaõiget teavet, see on omakorda käsitletav isikuandmete avaldamisena.
Tegelikud elusündmused on sageli märgatavalt nüansirohkemad ja kindlasti ei saa seda näidet võtta eeskujuks igas olukorras ja kõigi andmete avaldamiseks.
Töötajate seisukohast tuleb juhul, kui andmete töötlemine toimub nõusoleku alusel, tähele panna, et nõusoleku andmise tõendamise kohustus on andmete töötlejal.
Kuigi meditsiinitöötajal ei ole mingit absoluutset keeldu andmete avaldamiseks, tuleb siiski ettevaatlik olla.
Kui töötaja ei suuda pärast tõendada, et isik oli oma andmete avaldamisega nõus, on töötaja isikuandmete kaitset reguleerivaid norme rikkunud ning võib sellega tuua kaasa pahandusi nii endale kui ka tööandjale.
Seega peaks iga töötaja enne andmete avaldamist läbi mõtlema, kas ja kuidas on hiljem ka näiteks tööandjale võimalik tõendada, et andmesubjekti nõusolek tõesti olemas oli.
Tööandjal on õigus kehtestada ka õigusaktidest konkreetsemad ja rangemad sisekorraeeskirjad. Kõikvõimalike piirangute seadmine peab aga olema objektiivselt põhjendatud.
Lihtsalt siseveebi üles pandud dokument ei pruugi olla piisav teavitamiskohustuse täitmiseks.
Üldjuhul ei saa keelata lihtsalt kõikvõimalike andmete avaldamist – jällegi ei ole põhjendatud väide, et meditsiinitöötajad üleüldiselt ei tohi oma tööst rääkida ega mingeid andmeid avaldada.
Samuti peavad kõik piirangud olema töötajale selgelt tutvustatud.
Tööandjate seisukohast on oluline teadmine, et isegi kui eeskirjadega ei soovita nõudeid rangemaks muuta, on siiski soovitatav kehtestada kirjalikud sise‑eeskirjad, mis kirjeldavad selgelt ja lihtsalt tööandja hinnangul isikuandmete õiguspärast töötlemist.
Ühtlasi tuleb eeskirju töötajatele tutvustada. Lihtsalt siseveebi üles pandud dokument ei pruugi olla piisav teavitamiskohustuse täitmiseks. See kehtib nii meditsiinivaldkonnas kui ka kõigi teiste tööandjate puhul.
Kui tööandja eeskirju koostanud ei ole või kui tööandja koostatud eeskirju töötajatele tutvustanud ei ole, siis ongi oht erinevate tõlgenduste ja vaidluste tekkimiseks. Kõigile teada-tuntud ja selged reeglid on abiks nii tööandjale kui ka töötajale.
[1] Isikuandmete töötlemise osas kohaldub Euroopa Parlamendi ja Nõukogu 27.04.2016. a määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.