6.6.2009   

ET

Euroopa Liidu Teataja

C 128/20


Kavand: Euroopa andmekaitseinspektori arvamus, mis käsitleb Euroopa Parlamendi ja nõukogu direktiivi ettepanekut patsientide õiguste rakendamise kohta piiriüleses tervishoius

2009/C 128/03

EUROOPA ANDMEKAITSEINSPEKTOR,

võttes arvesse Euroopa Ühenduse asutamislepingut, eriti selle artiklit 286,

võttes arvesse Euroopa Liidu põhiõiguste hartat, eriti selle artiklit 8,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta,

võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, eriti selle artiklit 41,

võttes arvesse Euroopa andmekaitseinspektorile 2. juulil 2008 saadetud taotlust arvamuse esitamiseks kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2,

ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:

I.   SISSEJUHATUS

Ettepanek: direktiiv patsientide õiguste rakendamise kohta piiriüleses tervishoius

1.

Komisjon võttis 2. juulil 2008. vastu Euroopa Parlamendi ja nõukogu direktiivi ettepaneku patsientide õiguste rakendamise kohta piiriüleses tervishoius (edaspidi „ettepanek”). (1) Kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 saatis komisjon ettepaneku Euroopa andmekaitseinspektorile konsulteerimiseks.

2.

Ettepaneku eesmärk on luua ühenduse raamistik piiriüleste tervishoiuteenuste osutamiseks ELis nendel juhtudel, kui ravi, mida patsient soovib, osutatakse mõnes teises liikmesriigis, mitte tema koduriigis. See on üles ehitatud kolmele peamisele valdkonnale:

ühiste põhimõtete kehtestamine ELi kõikides tervishoiusüsteemides, määratledes selgelt liikmesriikide kohustused;

piiriülese tervishoiu konkreetse raamistiku väljatöötamine, täpsustades patsientide õigusi kasutada tervishoiuteenuseid muus liikmesriigis;

ELi tervishoiualase koostöö edendamine sellistes valdkondades nagu teistes riikides väljastatud retseptide tunnustamine, Euroopa tugikeskuste võrgustikud, tervishoiutehnoloogia hindamine, andmete kogumine, kvaliteet ja turvalisus.

3.

Kõnealuse raamistiku eesmärgid on järgmised: täpsustada piisavalt õigusi saada hüvitisi teises liikmesriigis saadud tervishoiuteenuste eest ning tagada kõrge kvaliteediga, ohutu ja tõhus piiriülene tervishoid.

4.

Piiriülese tervishoiu kava rakendamiseks peavad eri liikmesriikide volitatud organisatsioonid ja tervishoiutöötajad vahetama asjakohaseid patsientide tervislikku seisundit käsitlevaid andmeid (edaspidi „tervishoiuandmed”). Neid andmeid käsitatakse tundlike andmetena ning nende suhtes kohaldatakse rangemaid andmekaitse eeskirju, nagu on sätestatud andmete eriliike käsitlevas direktiivi 95/46/EÜ artiklis 8.

Konsulteerimine Euroopa andmekaitseinspektoriga

5.

Euroopa andmekaitseinspektoril on hea meel, et temaga kõnealuses küsimuses nõu peetakse ning et sellisele konsulteerimisele ettepaneku preambulis ka määruse (EÜ) nr 45/2001 artikli 28 kohaselt viidatakse.

6.

Tegemist on esmakordse juhtumiga, kus Euroopa andmekaitseinspektoriga tervishoiuvaldkonda käsitleva direktiivi ettepaneku suhtes ametlikult konsulteeritakse. Seetõttu on mõned märkused üldisemat laadi ja käsitlevad isikuandmete kaitse üldküsimusi tervishoiusektoris ning neid võib kohaldada ka muude asjakohaste õigusaktide (nii siduvate kui mitte) suhtes.

7.

Andmekaitseinspektor soovib juba alguses avaldada toetust algatustele, millega parandatakse piiriülese tervishoiu tingimusi. Seda ettepanekut peaks tegelikult vaatlema EÜ üldprogrammi raames, mille eesmärk on parandada kodanike tervist infoühiskonnas. Teised teemakohased algatused on komisjoni kavandatud direktiiv ja teatis elundidoonorluse ja elundite siirdamise kohta, (2) soovitus elektrooniliste tervisekaartide piiriülese koostalitlusvõime kohta. (3) ning kavandatud teatis telemeditsiini kohta. (4) Euroopa andmekaitseinspektorile valmistab aga muret asjaolu, et kõik need algatused ei ole tihedalt seotud eraelu puutumatuse ja andmete turvalisuse valdkonnaga ja valdkonnas ning takistavad seega andmekaitset käsitleva ühtse lähenemisviisi kasutuselevõttu tervishoiu vallas, eelkõige seoses uute info- ja sidetehnoloogiate kasutamisega. Näiteks on küll kõnealuses ettepanekus telemeditsiin selgesõnaliselt mainitud kavandatud direktiivi põhjenduses 10, ent ei ole viidatud asjakohasele Euroopa Komisjoni teatise andmekaitsemõõtmele. Lisaks sellele – kuigi elektroonilised tervisekaardid on üheks võimalikuks vahendiks terviseandmete piiriülesel edastamisel, ei ole osutatud asjakohases komisjoni soovituses käsitletud eraelu puutumatuse küsimustele. (5) See jätab mulje, et tervishoiualane eraelu puutumatuse aspekt ei ole ikka veel selgelt määratletud ning mõnel juhul puudub see täielikult.

8.

See on ilmne ka kõnealuses ettepanekus, kus ei ole andmekaitseinspektori meelehärmiks andmekaitsega seotud mõju täpsemalt käsitletud. Viiteid andmekaitsele muidugi leidub, kuid need on enamast üldist laadi ega kajasta piisavalt eraelu puutumatusega seotud spetsiifilisi vajadusi ja nõudeid piiriüleses tervishoius.

9.

Euroopa andmekaitseinspektor soovib rõhutada, et ühtne ja usaldusväärne andmekaitset käsitlev lähenemisviis kavandatavates tervishoiuaktides tagab kodanike põhiõiguse oma andmeid kaitsta ning annab lisaks sellele ka täiendava panuse piiriülese tervishoiu edasisele arengule ELis.

II.   ANDMEKAITSE PIIRÜLESES TERVISHOIUS

Üldine taust

10.

Euroopa Ühenduse tähelepanuväärseim eesmärk on olnud luua siseturg – sisepiirideta ala, kus on tagatud kaupade, isikute, teenuste ja kapitali vaba liikumine. Asjaolu, et kodanikud saavad hõlpsamalt liikuda oma päritoluriigist teistesse liikmesriikidesse ning sinna elama asuda, tekitas loomulikult tervishoiuga seotud probleeme. Sel põhjusel seisis Euroopa Kohus üheksakümnendatel aastatel siseturu kontekstis silmitsi küsimustega teises liikmesriigis tekkinud meditsiinikulude võimaliku hüvitamise kohta. Euroopa Kohus leidis, et EÜ asutamislepingu artiklis 49 sätestatud teenuste osutamise vabadus hõlmab isikute vabadust minna ravi saamiseks ühest liikmesriigist teise. (6) Sellest tulenevalt ei tohtinud piiriülest tervishoiuteenust saada soovivaid patsiente kohelda erinevalt oma riigi kodanikest, kes saavad sama ravi piiri ületamata.

11.

Need Euroopa Kohtu otsused on kõnealuse ettepaneku keskmes. Kuna Euroopa Kohtu kohtupraktika tugineb individuaalsetele juhtumitele, on ettepaneku eesmärk asi selgemaks muuta, et tagada tervishoiuteenuste saamise ja osutamise vabaduse üldisem ja tõhusam kohaldamine. Kuid nagu juba mainitud, on ettepanek ka osaks ambitsioonikamast programmist, mille eesmärgiks on parandada kodanike tervist infoühiskonnas, kus ELi arvates leidub häid võimalusi tõhustada piiriülest tervishoidu infotehnoloogia kasutamise abil.

12.

Ilmsetel põhjustel on eeskirjade kehtestamine piiriülese tervishoiu vallas delikaatne teema. See puudutab tundlikku valdkonda, mille osas on liikmesriigid loonud erinevad riiklikud süsteemid, näiteks seoses kindlustuse ja kulude hüvitamisega või tervishoiu infrastruktuuri korraldusega, sealhulgas tervishoiu teabevõrgustike ja rakendustega. Kuigi ühenduse seadusandja keskendub kõnealuses ettepanekus piiriülesele tervishoiule, mõjutavad eeskirjad ka riiklike tervishoiusüsteemide korraldust.

13.

Piiriülese tervishoiu tingimuste parandamine on kodanike huvides. Samas aga seonduvad sellega kodanike jaoks ka teatud riskid. Lahendada tuleb mitmed praktilised probleemid, mis on omased piiriülesele koostööle inimeste vahel, kes on päris eri maadest ja räägivad erinevaid keeli. Kuna hea tervis on iga kodaniku jaoks äärmiselt oluline, tuleb välistada kõik vääritimõistmise ja sellest tuleneva ebatäpsuse ohud. On ütlematagi selge, et piiriülese tervishoiu parandamine koos infotehnoloogia arengu ärakasutamisega mõjutab suuresti isikuandmete kaitset. Tõhusam ja seega ulatuslikum tervishoiuandmete vahetamine, suurem vahemaa asjaomaste inimeste ja asutuste vahel ning andmekaitse-eeskirju rakendavate seaduste erinevus eri riikides tekitavad küsimusi seoses andmeturbe ja õiguskindlusega.

Isikuandmete kaitse

14.

Tuleb rõhutada, et tervishoiuandmeid peetakse erikategooria andmeteks, mis vajavad tugevamat kaitset. Euroopa Inimõiguste Kohus teatas hiljuti inimõiguste Euroopa konventsiooni artikli 8 kontekstis, et isikuandmete kaitse ning eelkõige meditsiiniliste andmete kaitse on äärmiselt oluline selleks, et inimene saaks segamatult kasutada oma õigust era- ja pereelu puutumatusele, nagu on tagatud konventsiooni artiklis 8. (7) Enne kui selgitatakse direktiivis 95/46/EÜ sätestatud tervishoiuandmete töötlemise rangemaid eeskirju, käsitletakse mõistet „tervishoiuandmed”.

15.

Direktiivis 95/46/EÜ ei ole tervishoiuandmeid selgesõnaliselt määratletud. Tavaliselt kasutatakse laiatähenduslikumat tõlgendust, määratledes tervishoiuandmed sageli kui isikuandmeid, millel on selge ja tihe seos inimese tervisliku seisundi kirjeldusega. (8) Seoses sellega hõlmavad tervishoiuandmed tavapäraselt meditsiinilisi andmeid (nt arsti saatekirju ja retsepte, arstliku läbivaatuse aruandeid, laboratoorseid uuringuid, röntgenipilte jms) ning tervisega seotud haldus- ja finantsvaldkonna andmeid (nt dokumendid, mis käsitlevad haiglaravi, sotsiaalkindlustusnumbrit, arsti vastuvõtul käimisi, arveid tervishoiuteenuste osutamise eest jms.) Mõistet „meditsiinilised andmed” (9) kasutatakse ka vahel tervisega seotud andmete kohta, sama kehtib ka mõiste „tervishoiuandmed” (10) puhul. Käesolevas arvamuse kasutatakse mõistet „tervishoiuandmed”.

16.

Üks „tervishoiuandmete” kasulik määratlus on toodud standardis ISO 27799: mis tahes teave, mis on seotud isiku füüsilise või vaimse tervisega või isikule osutatavate tervishoiuteenustega ning mis võib hõlmata järgmist: a) teave isiku registreerimise kohta tervishoiuteenuste osutamiseks; b) teave maksete kohta või isiku õiguse kohta tervishoiuteenuseid saada; c) number, sümbol või detail, mis on isikule määratud selleks, et teda tervishoiukontekstis identifitseerida; d) isikut käsitlev mis tahes teave, mis on kogutud isikule osutatud tervishoiuteenuste raames; e) kehaosa või eritise testimisel või uurimisel saadud teave; ja f) isiku (tervishoiutöötaja) identifitseerimine isikule osutatud tervishoiuteenuste osutajana.

17.

Euroopa andmekaitseinspektor pooldab täiel määral mõiste „tervishoiuandmed” konkreetse määratluse vastuvõtmist kõnealuse ettepaneku raames; seda määratlust võiks kasutada ka tulevikus asjakohastes ELi õigustekstides (vt käesoleva dokumendi III osa).

18.

Direktiivi 95/46/EÜ artiklis 8 sätestatakse eeskirjad andmete eriliikide töötlemiseks. Need eeskirjad on rangemad kui teist laadi andmete töötlemiseks direktiivi 95/46/EÜ artiklis 7 sätestatud eeskirjad. See ilmneb juba artikli 8 lõikes 1, kus on selgesõnaliselt sätestatud, et liikmesriigid keelavad muu hulgas tervisega seotud andmete töötlemise. Artikli järgmistes lõigetes on sõnastatud mitmed erandid nimetatud keelust, kuid need on piiratumad kui artiklis 7 sätestatud tavaliste andmete töötlemise alused. Näiteks ei kehti keeld siis, kui andmesubjekt on andnud oma selgesõnalise nõusoleku (artikli 8 lõike 2 punkt a), vastandatuna direktiivi 95/46/EÜ artikli 7 punktis a nõutud ühemõttelise nõusolekuga. Lisaks sellele võib liikmesriigi õiguses määrata kindlaks, et teatud juhtudel ei saa isegi andmesubjekti nõusolekul keeldu tühistada. Artikli 8 kolmas lõige on terves ulatuses pühendatud tervist käsitlevate andmete töötlemisele. Selle lõike kohaselt ei kohaldata keeldu siis, kui töötlemine on vajalik ennetava meditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste juhtimise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib siseriiklikus õiguses või pädevate siseriiklike ametiasutuste kehtestatud eeskirjades sätestatud ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib samaväärne saladuse hoidmise kohustus.

19.

Direktiivi 95/46/EÜ artiklis 8 rõhutatakse tugevalt asjaolu, et liikmesriigid peaksid tagama sobivad või piisavad tagatised. Näiteks lubatakse artikli 8 lõikes 4 liikmesriikidel kehtestada märkimisväärse avaliku huviga seotud põhjustel täiendavaid erandeid seoses keeluga töödelda tundlikke andmeid, kuid seejuures tuleb võtta arvesse sobivad tagatised. See toonitab üldisemal tasandil liikmesriikide kohustust rakendada tundlike andmete, näiteks tervislikku seisundit käsitlevate andmete töötlemisel erilisi ettevaatusabinõusid.

Tervishoiuandmete kaitse piiriülestes olukordades

Liikmesriikide vaheline jagatud vastutus

20.

Liikmesriigid peaksid olema eriti teadlikud äsjamainitud vastutusest, kui tegemist on tervishoiuandmete piiriülese vahetamisega. Eespooltoodu kohaselt suurendab tervishoiuandmete piiriülene vahetamine ebatäpse või seadusvastase andmetöötluse ohtu. Loomulikult võib see põhjustada andmesubjektile ulatuslikke negatiivseid tagajärgi. Protsessi on kaasatud nii kindlustajariik (liikmesriik, kus patsient on kindlustatud) ja raviteenust osutav liikmesriik (kus piiriülest tervishoiuteenust tegelikult osutatakse) ning seega jagavad nad kõnealust vastutust.

21.

Tervishoiuandmete turve on selles kontekstis oluline küsimus. Eespool nimetatud hiljutise juhtumi puhul pidas Euroopa Inimõiguste Kohus eriti tähtsaks tervishoiuandmete konfidentsiaalsust, märkides, et tervishoiuandmete konfidentsiaalsuse austamine on konventsiooni kõikide osaliste õigussüsteemide ülitähtis põhimõte. See on väga tähtis nii patsiendi privaatsuse austamiseks kui ka selleks, et hoida alal patsiendi usaldust meditsiinitöötajate ja üldisemalt tervishoiuteenuste vastu. (11)

22.

Direktiivis 95/46/EÜ sätestatud andmekaitse eeskirjades nõutakse lisaks ka seda, et kindlustajariik esitaks patsiendile asjakohast, õiget ja ajakohast teavet patsiendi isikuandmete teise liikmesriiki saatmise kohta, tagades samas andmete edastamise turvalisuse. Raviteenust osutav liikmesriik peaks tagama ka nimetatud andmete turvalise vastuvõtmise ja tagama nõuetekohase andmekaitse taseme andmete töötlemisel, järgides liikmesriigi andmekaitseseadust.

23.

Euroopa andmekaitseinspektor soovib liikmesriikide jagatud vastutust ettepanekus selgelt väljendada, võttes arvesse ka elektroonilist andmesidet, eelkõige uute info- ja sidetehnoloogia rakenduste kontekstis, mida on allpool ka käsitletud.

Tervishoiuandmete elektrooniline edastamine

24.

Tervishoiuandmete piiriülest vahetamist parandatakse peamiselt infotehnoloogia kasutamise kaudu. Kuigi teavet piiriülese tervishoiukava raames võidakse vahetada ka paberkandjal (näiteks läheb patsient teise liikmesriiki elama ja võtab kaasa kõik oma olulised tervishoiuandmed, nt laboriuuringud, saatekirjad jms), on peamiseks ettenähtud viisiks siiski elektrooniline teabevahetus. Tervishoiuandmete elektroonilist edastamist toetatakse liikmesriikides (haiglates, kliinikutes jm) loodud (või loodavate) tervishoiuteabesüsteemidega ning kasutades uusi tehnoloogiaid, näiteks tervishoiuandmete rakendusi (võimalusel interneti teel) ning teisi vahendeid, näiteks patsientide ja arstide tervisekaarte. Muidugi on ka võimalik, et kasutatakse kombineeritult nii paberkandjal kui elektroonilisi andmevahetusviise, olenevalt liikmesriigi tervishoiusüsteemist.

25.

Kavandatava direktiivi kohaldamisalasse kuuluvad e-tervise ja telemeditsiini rakendused sõltuvad täielikult elektrooniliste tervishoiuandmete vahetamisest (vitaalfunktsioonid, pildid jne), enamasti koostoimes teiste elektrooniliste tervishoiuteabe süsteemidega, mis asuvad raviteenust osutavas liikmesriigis ja kindlustajariigis. See hõlmab süsteeme, mis toimivad nii patsiendi ja arsti vahel (nt kaugseire ja diagnoosimine) kui ka arsti ja arsti vahel (telekonsulteerimine tervishoiutöötajate vahel ekspertnõuannete saamiseks konkreetsete haigusjuhtumite puhul). Üldtasandil piiriülest tervishoiuteenuste osutamist toetavad teised spetsiifilisemad tervishoiurakendused võivad sõltuda täiel määral elektroonilisest andmevahetusest, nt elektroonilistest retseptidest (e-retseptid) või elektroonilistest saatekirjadest (e-saatekiri), mida juba mõnes liikmesriigis riiklikul tasandil ka rakendatakse. (12)

Murettekitavad valdkonnad tervishoiuandmete piiriülesel vahetamisel

26.

Võttes arvesse eespool esitatud kaalutlusi ja liikmesriikide olemasolevate tervishoiusüsteemide erinevusi ning e-tervise rakenduste kiiremat arengut, kerkivad esile kaks peamist murettekitavat valdkonda seoses isikuandmete kaitsega piiriüleses tervishoius: a) turvalisuse erinevad tasandid, mida võidakse liikmesriikides isikuandmete kaitseks kohaldada (tehniliste ja organisatsiooniliste meetmete osas), ning b) privaatsuse integreerimine e-tervise rakendustesse, eelkõige uute rakenduste puhul. Lisaks sellele tuleb ehk eritähelepanu pöörata ka sellistele aspektidele nagu terviseandmete teisene kasutus, eelkõige statistika tootmise vallas. Neid küsimusi analüüsitakse täiendavalt allpool käesolevas osas.

Andmekaitse liikmesriikides

27.

Hoolimata asjaolust, et direktiive 95/46/EÜ ja 2002/58/EÜ kohaldatakse ühtselt kogu Euroopas, võib teatud elementide tõlgendamine ja rakendamine riigiti erineda, eelkõige valdkondades, kus õigussätted on üldist laadi ning liikmesriikide otsustada. Selles osas on peamiseks arutlust vajavaks teemaks töötlemise turvalisus ehk meetmed (tehnilised ja organisatsioonilised), mida liikmesriigid võtavad tervishoiuandmete turbe kaitseks.

28.

Kuigi kõik liikmesriigid vastutavad tervishoiuandmete range kaitse tagamise eest, ei ole praegu ühiselt kindlaks määratud, milline on tervishoiu „asjakohane” turvalisuse tasand ELis, mida võiks kohaldada piiriülese tervishoiu puhul. Näiteks võib ühes liikmesriigis asuv haigla olla kohustatud riiklikult kehtestatud andmekaitse eeskirjade kohaselt võtma vastu turvameetmeid (nt julgeolekupoliitika ja toimimisjuhendid, allhangete ning välistöövõtjate kasutamise erieeskirjad, auditeerimisnõuded jms), kuid teises liikmesriigis selline kohustus puudub. Selline järjekindlusetus võib mõjutada piiriülest andmevahetust, eriti elektroonilist andmevahetust, kuna ei ole võimalik tagada, et andmed on (tehnilisest ja organisatsioonilisest aspektist) samal tasemel turvatud eri liikmesriikides.

29.

Seega eksisteerib vajadus täiendava ühtlustamise järele kõnealuses valdkonnas – tuleb kindlaks määrata ühised tervishoiu alased turvanõuded, mille peaksid ühiselt kõik liikmesriikide tervishoiuteenuste osutajad vastu võtma. See vajadus on kahtlemata kooskõlas üldise vajadusega määratleda ühised põhimõtted ELi tervishoiusüsteemides, nagu on sätestatud kõnealuses ettepanekus.

30.

Seda tuleks üldistavalt teha, liikmesriikidele konkreetseid tehnilisi lahendusi ette kirjutamata, kuid siiski tuleks luua alus vastastikuseks tunnustamiseks ja heakskiitmiseks, näiteks julgeolekupoliitika valdkondades, patsientide ja tervishoiutöötajate identifitseerimiseks ja autentimiseks jne. Siinkohal võiks teekaardina kasutada kehtivaid Euroopa ja rahvusvahelisi standardeid (nt ISO ja CEN) tervishoiu ja turbe vallas ning heakskiidetud ja õiguslikel alustel põhinevaid tehnilisi mõisteid (nt elektroonilised allkirjad. (13)

31.

Euroopa andmekaitseinspektor toetab tervishoiu turvalisuse Euroopa tasandil ühtlustamise ideed ning leiab, et komisjon peaks käivitama asjakohased algatused juba kõnealuse ettepaneku raames (vt III osa).

Eraelu puutumatus e-tervise rakendustes

32.

Eraelu puutumatus ja turvalisus peaksid olema osaks iga tervishoiusüsteemis kujundamisest ja rakendamisest, eelkõige kõnealuses ettepanekus nimetatud e-tervise rakenduste puhul („eraelu kavandatud puutumatus”) Seda vaidlusele mittekuuluvat nõuet juba toetatakse teistes asjakohastes poliitikadokumentides, olgu need siis üldist laadi (14) või konkreetselt tervishoiuga seotud. (15)

33.

Ettepanekus käsitletud e-tervise koostalitlusvõime raames tuleks taas rõhutada „eraelu kavandatud puutumatust” kui kõikide kavandatud arengute alust. Seda mõistet kohaldatakse mitmel erineval tasandil: organisatsioonilisel, semantilisel ja tehnilisel.

Organisatsioonilisel tasandil tuleks eraelu puutumatust arvesse võtta nende menetluste kindlaksmääramisel, mis on vajalikud tervishoiuandmete vahetamiseks liikmesriikide tervishoiuorganisatsioonide vahel. See võib otseselt mõjutada teabevahetuse laadi ja ulatust, mille raames andmeid edastatakse (nt identifitseerimisnumbri kasutamine patsientide tegelike nimede asemel, kui see on võimalik).

Semantilisel tasandil tuleb eraelu puutumatuse ja turvalisuse nõuded sisse viia uutesse standarditesse ja kavadesse, nt ettepanekus käsitletud elektroonilise retsepti vormi puhul. Siinjuures võib tugineda kõnealuse valdkonna olemasolevatele tehnilistele standarditele, näiteks andmete konfidentsiaalsuse ja digitaalallkirja standarditele, ning käsitleda tervishoiuvaldkonnale omaseid vajadusi, näiteks kvalifitseeritud tervishoiutöötajate rollipõhist autentimist.

Tehnilisel tasandil tuleks süsteemi arhitektuuri ning kasutajarakendusi kohandada areneva tehnoloogiaga, rakendades eespool mainitud semantilist määratlust.

34.

Euroopa andmekaitseinspektor leiab, et elektrooniliste retseptide valdkond võiks olla aluseks eraelu puutumatuse ja turvalisuse nõuete integreerimisele arengu väga varases etapis (vt III osa).

Muud aspektid

35.

Tervishoiuandmete vahetamise raames võiks arvesse võtta veel üht aspekti, milleks on tervishoiuandmete teisene kasutamine ja eelkõige andmete kasutamine statistika otstarbel, nagu on juba sätestatud kõnealuses ettepanekus.

36.

Nagu juba mainitud punktis 18, nähakse direktiivi 95/46/EU artikli 8 lõikes 4 ette tervishoiuandmete teisese kasutamise võimalus. Siiski võiks sellist täiendavat töötlemist teostada üksnes „märkimisväärset avalikku huvi” pakkuvatel põhjustel ning nende puhul tuleb arvesse võtta siseriiklikus õiguses sätestatud või järelevalveasutuse otsusega nõutud „sobivaid tagatisi”. (16) Nagu juba mainitud Euroopa andmekaitseinspektori arvamuses, mis käsitleb kavandatavat määrust rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta, (17) tekib lisaks sellele statistilise andmetöötluse puhul lisaoht seetõttu, et mõisteid „konfidentsiaalsus” ja „andmekaitse” võidakse erinevalt tõlgendada ühelt poolt andmekaitsealastes õigusaktides ning teiselt poolt statistikat käsitlevates õigusaktides.

37.

Euroopa andmekaitseinspektor soovib eespool kirjeldatud elemente kõnealuse ettepaneku kontekstis esile tuua. Lisada tuleks selgemad viited tervishoiuandmete teisest kasutust käsitlevatele andmekaitsenõuetele (vt III osa).

III.   ETTEPANEKU ÜKSIKASJALIK ANALÜÜS

Ettepaneku sätted andmekaitse kohta

38.

Ettepanek sisaldab dokumendi erinevates osades mitmeid viiteid andmekaitsele ja eraelu puutumatusele järgmiselt:

Põhjenduses 3 sätestatakse muu hulgas, et direktiivi rakendamisel ja kohaldamisel võetakse nõuetekohaselt arvesse õigust eraelu puutumatusele ja isikuandmete kaitset.

Põhjenduses 11 viidatakse eraelu puutumatuse põhiõigusele seoses isikuandmete töötlemisega ja konfidentsiaalsusele kui kahele ühisele tööpõhimõttele ühenduse kõikides tervishoiusüsteemides.

Põhjenduses 17 kirjeldatakse õigust isikuandmete kaitsele kui isiku põhiõigusele, mida tuleb kaitsta; keskendutakse eelkõige isiku õigusele tervishoiuandmetele ligi pääseda ning seda ka piiriülese tervishoiu raames, nagu see on sätestatud direktiivis 95/46/EÜ.

Artiklis 3, kus sätestatakse kõnealuse direktiivi seos teiste ühenduse sätetega, viidatakse lõikes 1a direktiividele 95/46/EÜ ja 2002/58/EÜ.

Raviteenust osutavate liikmesriikide kohustusi käsitleva artikli 5 lõikes 1f sätestatakse eraelu puutumatuse õigus ühena nimetatud kohustustest kooskõlas direktiive 95/46/EÜ ja 2002/58/EÜ rakendavate siseriiklike meetmetega.

Teises liikmesriigis osutatud tervishoiuteenuseid käsitleva artikli 6 lõikes 5 rõhutatakse, kui oluline on patsientide õigus omada juurdepääsu oma tervisekaardile, kui nad reisivad tervishoiuteenuse saamise eesmärgil teise liikmesriiki, taas kooskõlas direktiive 95/46/EÜ ja 2002/58/EÜ rakendavate siseriiklike meetmetega.

Piiriülese tervishoiu riiklikke kontaktpunkte käsitleva artikli 12 lõike 2 punktis a sätestatakse, et nimetatud kontaktpunktid peaksid muu hulgas vastutama selle eest, et patsientidele esitatakse teavet teises liikmesriigis isikuandmete kaitseks kehtestatud tagatiste kohta.

E-tervist käsitlevas artiklis 16 märgitakse, et info- ja sidetehnoloogia süsteemide koostalitlusvõime saavutamiseks võetud meetmete puhul tuleks austada isikuandmete kaitse põhiõigust kooskõlas kohaldatavate õigusaktidega.

Lõpetuseks mainitakse artikli 18 lõikes 1 muu hulgas seda, et andmete kogumist statistilistel ja järelevalve eesmärkidel tuleks teostada kooskõlas isikuandmete kaitset käsitleva siseriikliku ja ühenduse õigusega.

39.

Euroopa andmeinspektor tervitab asjaolu, et andmekaitset on ettepaneku koostamisel arvesse võetud ning et on üritatud esile tõsta vajadust eraelu puutumatuse tagamise järele piiriülese tervishoiu kontekstis. Siiski on ettepaneku andmekaitset käsitlevad sätted liiga üldist laadi või viitavad liikmesriigi kohustustele liiga valival moel ja asuvad hajutatult ettepaneku eri osades:

Näiteks käsitletakse põhjendustes 3 ja 11 ning artikli 3 lõike 1 punktis a, artiklis 16 ja artikli 18 lõikes 1 andmekaitse üldist õiguslikku raamistikku (kahes viimatinimetatus e-tervise ja statistika kogumise kontekstis, kuid ei kehtestata konkreetseid eraelu puutumatusega seotud nõudeid).

Liikmesriikide kohustustele on üldiselt osutatud artikli 5 lõike 1 punktis f.

Põhjenduses 17 ja artikli 6 lõikes 5 osutatakse konkreetsemalt patsientide õigusele omada juurdepääsu andmetele raviteenust osutavas liikmesriigis.

Artikli 12 lõike 2 punktis 1 sätestatakse patsientide õigus saada teavet kindlustajariigis (riiklike kontaktpunktide kaudu).

Lisaks sellele ja nagu juba mainitud, ei ole toodud seost teistes EÜ tervishoiualastes õigusaktides (nii siduvates kui mitte) käsitletud eraelu puutumatuse aspektidega ega ole neile viidatud, eelkõige seoses uute info- ja sidetehnoloogiate rakenduste kasutamisega (näiteks telemeditsiini või elektrooniliste tervisekaartide puhul).

40.

Kuigi üldiselt on eraelu puutumatus piiriülese tervishoiu ühe nõudena sätestatud, puudub üldülevaade nii liikmesriikide kohustuste küsimuses kui ka tervishoiuteenuste osutamise piiriülese laadi tõttu tekkinud üksikasjade osas (võrreldes tervishoiuteenuste siseriikliku osutamisega). Täpsemalt:

Liikmesriikide kohustused ei ole esitatud integreeritud viisil, kuna teatud kohustusi rõhutatakse (õigus juurdepääsule ja teabele), seda küll ettepaneku eri osades, kuid teised kohustused on täielikult välja jäänud (näiteks töötlemise turvalisus).

Ei käsitleta ka probleemi, et liikmesriikides on erinevad turvameetmed, ega vajadust tervishoiuandmete turbe ühtlustamise järele Euroopa tasandil piiriülese tervishoiu kontekstis.

Ei käsitleta eraelu puutumatuse integreerimist e-tervise rakendustesse. Seda pole ka e-retseptide küsimuses nõuetekohaselt kajastatud.

41.

Lisaks sellele teevad muret konkreetsed aspektid artiklis 18, mis käsitleb andmete kogumist statistilistel ja järelevalve eesmärkidel. Esimese lõikes osutatakse „statistilistele ja täiendavatele andmetele”; veel viidatakse „järelevalve eesmärgile” ning seejärel loetletakse valdkonnad, mille puhul nimetatud järelevalve eesmärke kohaldatakse, nimelt tervishoiuteenuste osutamine, osutatud teenused, osutajad ja patsiendid, kulud ja tulemused. Selles ebaselges kontekstis esitatakse üldine viide andmekaitseseadusele, kuid ei sätestata konkreetseid nõudeid tervist käsitlevate andmete järgneva kasutamise suhtes direktiivi 95/46/EÜ artikli 8 lõike 4 kohaselt. Lisaks sellele sisaldab teine lõige tingimusteta kohustust esitada komisjonile vähemalt kord aastas suurel hulgal andmeid. Kuna selgesõnaliselt ei viidata sellise andmete esitamise vajaduse hindamisele, tundub, et ühenduse seadusandja ise on komisjonile andmete edastamise vajalikkuse juba kindlaks teinud.

Euroopa andmekaitseinspektori soovitused

42.

Eespool kirjeldatud elementide nõuetekohaseks käsitlemiseks esitab Euroopa andmekaitseinspektor mitu soovitust, tuues allpool ära viis põhisammu muudatuste sisseviimiseks.

1. samm – tervishoiuandmete mõiste

43.

Artiklis 4 määratletakse ettepanekus kasutatud peamised terminid. Euroopa andmekaitseinspektor soovitab tungivalt määratleda selles artiklis ka tervishoiuandmete mõiste. Kohaldada tuleks tervishoiuandmete laiaulatuslikku tõlgendamist, nagu näiteks on kirjeldatud käesoleva arvamuse II osas (punktid 14 ja 15).

2. samm – konkreetselt andmekaitset käsitleva artikli lisamine

44.

Samuti soovitab andmekaitseinspektor tungivalt lisada ettepanekusse konkreetselt andmekaitset käsitlev artikkel, kus võiks sätestada eraelu puutumatuse üldise mõõtme selgel ja arusaadaval moel. Artiklis tuleks a) kirjeldada kindlustajariigi ja raviteenust osutava liikmesriigi kohustusi, käsitledes muu hulgas vajadust töötlemise turvalisuse järele, ning b) määrata kindlaks edasise arendustöö peamised valdkonnad, milleks on turvalisuse ühtlustamine ja eraelu puutumatuse integreerimine e-tervise valdkonda. Nende küsimuste puhul võib lisada konkreetsed sätted (kavandatava artikli raames) alltoodud 3. ja 4. sammu järgides.

3. samm – turvalisuse ühtlustamist käsitlev säte

45.

Pärast 2. sammu kohast muudatust soovitab Euroopa andmekaitseinspektor komisjonil võtta vastu mehhanism määratlemaks tervishoiu riikliku tasandi turvatasand, mis on kõigile vastuvõetav ning põhineb kõnealuses valdkonnas juba kehtivatele tehnilistele standarditele. Seda küsimust tuleks ettepanekus käsitleda. Rakendamine võiks toimuda komiteemenetluse korras, kuna seda juba kirjeldatakse artiklis 19 ja kohaldatakse ettepaneku muude osade suhtes. Lisaks sellele võiks asjakohaste suuniste koostamiseks kasutada täiendavaid vahendeid, kaasates kõiki asjaomaseid sidusrühmi nagu näiteks artikli 29 töörühma ja Euroopa andmekaitseinspektorit.

4. samm – eraelu puutumatuse integreerimine e-retsepti vormi

46.

Teises liikmesriigis väljastatud retseptide tunnustamist käsitlevas artikli 14 sätestatakse ühenduse retsepti vormi väljatöötamine, toetades e-retseptide koostalitlusvõimet. See meede võetakse vastu komiteemenetluse korras kooskõlas ettepaneku artikli 19 lõikes 2 määratletuga.

47.

Euroopa andmekaitseinspektor soovitab kavandatava e-retsepti vormi puhul võtta arvesse eraelu puutumatuse ja turvalisuse küsimused ning seda isegi vormi väga üldises semantilises määratluses. Seda tuleks selgesõnaliselt mainida artikli 14 lõike 2 punktis a. Ka siin on äärmiselt oluline kaasata kõik asjaomased sidusrühmad. Sellega seoses soovib Euroopa andmekaitseinspektor, et teda teavitataks kõikidest edasistest meetmetest kõnealuses küsimuses kavandatava komiteemenetluse korras ning kaasatakse nimetatud meetmetesse.

5. samm – tervishoiuandmete teisene kasutamine statistilistel ja järelevalve eesmärkidel

48.

Vääritimõistmiste ennetamiseks soovitab Euroopa andmekaitseinspektor selgitada artikli 18 lõikes 1 mainitud mõistet „täiendavad andmed”. Seetõttu tuleks artiklit muuta, et see osutaks selgemalt tervishoiuandmete teisesele kasutusele vastavalt direktiivi 95/46/EÜ artikli 8 lõikes 4 sätestatule. Lisaks sellele tuleks teises lõikes sätestatud kohustuse puhul edastada kõik andmed komisjonile hinnata selliste edastamiste vajadust õiguspärastel eesmärkidel, mis tuleb enne nõuetekohaselt täpsustada.

IV.   JÄRELDUSED

49.

Andmekaitseinspektor soovib avaldada toetust algatustele, millega parandatakse piiriülese tervishoiu tingimusi. Siiski valmistab talle muret asjaolu, et EÜ tervishoiualased algatused ei ole alati info- ja sidetehnoloogia kasutamise, eraelu puutumatuse ja turvalisuse küsimuses korralikult kooskõlastatud ning takistavad seega tervishoiu suhtes andmekaitset käsitleva üldise lähenemisviisi vastuvõtmist.

50.

Euroopa andmekaitseinspektor tervitab asjaolu, et kõnealuses ettepanekus on osutatud eraelu puutumatusele. Siiski tuleb käesoleva arvamuse III osas selgitatu kohaselt sisse viia mitmeid muudatusi, et sätestada raviteenust osutavatele riikidele ja kindlustajariikidele selged nõuded ning käsitleda nõuetekohaselt andmekaitsemõõdet piiriüleses tervishoius:

Artiklisse 4 tuleb lisada tervishoiuandmete mõiste, mis hõlmab kõiki isikuandmeid, millel võib olla selge ja lähedane seos isiku tervisliku seisundi kirjeldusega. See peaks põhimõtteliselt hõlmama meditsiinilisi andmeid ning tervisega seotud haldus- ja finantsvaldkonna andmeid.

Tungivalt soovitatakse konkreetselt andmekaitset käsitleva artikli lisamist. Selles artiklis tuleks anda selge ülevaade, kirjeldades kindlustajariikide ja raviteenust osutavate riikide kohustusi ning määrates kindlaks edasise arendustöö peamised valdkonnad, milleks on turvalisuse ühtlustamine ja eraelu puutumatuse integreerimine, eelkõige e-tervise rakendustes.

Komisjonil soovitatakse võtta kõnealuse ettepaneku raames vastu mehhanism määratlemaks tervishoiu riikliku tasandi turvatasand, mis on kõigile vastuvõetav ning põhineb kõnealuses valdkonnas juba kehtivatele tehnilistele standarditele. Toetatakse ka täiendavaid ja/või lisaalgatusi, millesse on kaasatud kõik asjaomased sidusrühmad, artikli 29 töörühm ja Euroopa andmekaitseinspektor.

Soovitatakse „eraelu kavandatud puutumatuse” mõiste lisamist ühenduse e-retsepti kavandatavasse vormi (ka semantilisel tasandil). Seda tuleks selgesõnaliselt mainida artikli 14 lõike 2 punktis a. Euroopa andmekaitseinspektor soovib, et teda teavitataks kõikidest edasistest meetmetest kõnealuses küsimuses kavandatava komiteemenetluse korras ning kaasataks nimetatud meetmetesse.

Soovitatakse täpsustada artikli 18 sõnastust ning lisada selgesõnalisem viide tervishoiuandmete teisese kasutamisega seotud konkreetsetele nõuetele vastavalt direktiivi 95/46/EÜ artikli 8 lõikes 4 sätestatule.

Brüssel, 2. detsember 2008

Euroopa andmekaitseinspektor

Peter HUSTINX


(1)  KOM(2008) 414 lõplik. Teadmiseks – samal kuupäeval võeti vastu ka täiendav komisjoni teatis „Ühenduse raamistik patsientide õiguste kohaldamise kohta piiriüleses tervishoius” (KOM(2008) 415 lõplik). Kuna teatis on aga üsna üldist laadi, otsustas Euroopa andmekaitseinspektor keskenduda direktiivi ettepanekule.

(2)  Kuulutatud välja komisjoni töökavas.

(3)  Komisjoni 2. juuli 2008. aasta soovitus digitaalsete terviseloosüsteemide piiriülese koostalitlusvõime kohta (teatavaks tehtud numbri K(2008) 3282 all), ELT L 190, 18.7.2008 lk. 37.

(4)  Kuulutatud välja komisjoni töökavas.

(5)  Seda võib näitlikustada asjaoluga, et joonealuses märkuses 1 nimetatud teatises ei ole esitatud ühtegi viidet eraelu puutumatusele või andmekaitsele, kuigi teatise eesmärk on luua ühenduse raamistik patsientide õiguste kohaldamiseks piiriüleses tervishoius.

(6)  Vt kohtuasi 158/96, Kohll, EKL 1998, lk I-1931, punkt 34. Vt muu hulgas ka kohtuasja C-157/99, Smits and Peerbooms, EKL 2001, ja kohtuasja C-385/99, Müller-Fauré and Van Riet, EKL 2003, lk I-12403.

(7)  Vt Euroopa Inimõiguste Kohus, 17. juuli 2008, I v. Finland (taotlus nr 20511/03), punkt 38.

(8)  Vt artikli 29 töörühma töödokumenti tervisega seotud isikuandmete töötlemise kohta elektroonilistes terviseandmetes, veebruar 2007. WP 131, punkt II.2. Mõiste „isikuandmed” laiema tähenduse kohta vaata: artikli 29 töörühma arvamus nr 4/2007 isikuandmete mõiste määratluse kohta, WP 136.

(9)  Euroopa Nõukogu, soovitus nr R(97)5 meditsiiniliste andmete kaitse kohta.

(10)  ISO 27799:2008 „Meditsiiniinformaatika – infoturbe haldamine tervise valdkonnas standardi ISO/IEC 27002 kohaselt”.

(11)  Euroopa Inimõiguste Kohus, 17. juuli 2008, I v. Finland (taotlus nr 20511/03), punkt 38.

(12)  Euroopa e-tervise teadusruumi aruanne „Euroopa e-tervise teadusruumi suunas”, Euroopa Komisjon, infoühiskond ja meedia, märts 2007, http://ec.europa.eu/information_society/activities/health/docs/policy/ehealth-era-full-report.pdf

(13)  Euroopa Parlamendi ja nõukogu direktiiv 1999/93/EÜ, 13. detsember 1999, elektroonilisi allkirju käsitleva ühenduse raamistiku kohta (EÜT L 13, 19.1.2000, lk 12–20).

(14)  Euroopa andmekaitseinspektor ning ELi teadusuuringute ja tehnoloogia areng, poliitiline dokument, Euroopa andmekaitseinspektor, aprill 2008, http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PolicyP/08-04-28_PP_RTD_EN.pdf

(15)  Komisjoni soovitus, 2. juuli 2008 , digitaalsete terviseloosüsteemide piiriülese koostalitlusvõime kohta (teatavaks tehtud numbri K(2008) 3282 all), ELT L 190, 18.7.2008, lk. 37.

(16)  Vt ka direktiivi 95/46/EU põhjendus 34. Vt ka artikli 29 töörühma arvamust elektrooniliste terviseandmete kohta, millele on viidatud joonealuses märkuses 8 (lk 16).

(17)  ELT C 295, 7.12.2007, lk 1.