Viljandi haigla ja andmekaitse inspektsiooni (AKI) vaheline vaidlus uriiniproovide seaduslikkuse üle on järjekordne näide sellest, kuidas andmekaitse võib irduda praktilisest elust ning muutuda eemaletõukavaks koormaks. Juunikuu esimestel päevadel ilmavalgust näinud riigikohtu otsus kinnitab, et kõnealuse juhtumi puhul ei olnud tegemist enam lihtsalt andmekaitsealase järelevalvega, vaid haldusmenetluse põhimõtete rikkumisega ja halduskiusulaadse tegevusega.

Juhtum sai alguse 2023. aastal, mil Viljandi haigla võttis oma töötajatelt uriiniproove seoses kadunud psühhotroopsete ravimitega. AKI leidis, et proovide võtmine ja seekaudu töötajate isikuandmete töötlemine ei olnud kooskõlas isikuandmete kaitse nõuetega ning algatas järelevalvemenetluse.

Järelevalvemenetlus läks ühel hetkel üle väärteomenetluseks, mis tipnes 40 000 euro suuruse rahatrahviga haiglale. Viljandi haigla pöördus kohtusse ja võitis kõikides kohtuastmetes. Menetlus päädis hiljaaegu tehtud riigikohtu otsusega, milles öeldi otse välja, et AKI venitas põhjendamatult ja eiras hea halduse tava.

Mitmed sarnase tulemiga juhtumid

Euroopa Liidus on järjest enam hakatud rõhutama vajadust lihtsustada õigusraamistikku ja vähendada tarbetut halduskoormust. Erandiks ei ole ka isikuandmete kaitse üldmäärus (IKÜM ehk GDPR).

Euroopa komisjoni juht Ursula von der Leyen teatas hiljuti, et andmekaitse reegleid lõdvendatakse, et toetada innovatsiooni ja vähendada ebamõistlikke takistusi ühiskondlike eesmärkide täitmisel.

Paraku tundub, et Eestis kulgeb andmekaitse areng vastupidises suunas. AKI tegevuses võib näha üha enam mitte isikuandmete kaitse edendamist, vaid halduskiusu. See tekitab inimestes ja ettevõtetes trotsi ning privaatsuse sisulise kaitsmise asemel tegeletakse aina rohkem privaatsuskaitse etendamisega.

Aina rohkem tegeleb AKI juhtumitega, millel puudub sisuline kaal või mille menetlus kulgeb ebamõistlikult kaua ja lõpeb tühja tulemusega.

Mainisime Viljandi haigla juhtumit, aga aasta tagasi lõppes teine tervishoiuvaldkonna juhtum, milles määras AKI Ida-Tallinna keskhaiglale 200 000-eurose trahvi. Trahviti selle eest, et leiti haigla prügikastist dokumendid, mis sisaldasid isikuandmeid. Menetlus venis sedavõrd palju, et lõpuks tühistas kohus otsuse aegumise tõttu ning trahv jäi määramata ja sisuline lahendus saavutamata.

Kolmas näide on 2023. a aset leidnud Pere Sihtkapitali juhtum, milles AKI määras lubamatu andmetöötluse eest trahvi 30 000 eurot. Eelmisel kuul tühistas Harju maakohus selle trahvi ja esmaspäeval otsustas riigikohus AKI edasikaebust üldse mitte menetleda. Seega jääb jällegi kõigile asjaosalistele andmekaitsest halb maik suhu – ettevõtja peab seda kiusuks, "kannatanud" privaatsusest ilmajäämiseks, ametnikud lüüasaamiseks ja ühiskond rahva raha raiskamiseks.

Kui kaitsmine läheb üle piiri

Andmekaitse üheks eesmärgiks on tagada isikute õiguste tõhus kaitse. Kui ühiskond näeb, et andmekaitse reeglid tõepoolest aitavad privaatsust kaitsta ja samal ajal ühiskonnal paremini toimida, siis on nende reeglitega soostumine oluliselt kõrgem. Reeglite tõlgendamine on eelkõige järelevalveorganite rida.

Et mitte Eesti AKI-le liiga teha, tunnistame, et ka teiste riikide järelevalveorganite usinus hakkab töötama vastu oma algsele eesmärgile. Näitena saab tuua Saksamaa dopingukaasuse. Sealne riiklik dopinguvastane amet (NADA) keeldus avaldamast dopingu kasutamise eest karistatud sportlaste nimesid, põhjendades seda isikuandmete kaitse ja sellega seotud õiguslike nõuetega.

Teine markantne näide pärineb samuti Saksamaalt, kus reservohvitseride nimekiri salastati, tuues ettekäändeks andmekaitse, kuigi selle teabe kättesaadavus oleks olnud oluline sealsele reservohvitseride assotsiatsioonile. Viimane õõnestab selgelt riigi julgeolekut. Eelnev ilmestab omakorda, et andmekaitse võib mõnikord kalduda täitma eesmärke, mis ei arvesta konkreetsete olukordade praktiliste vajaduste ja tegeliku eluga.

Ka Viljandi haigla kaasuses ei arvestanud AKI reaalse elu olukorda. Eestis on sadu tuhandeid töösuhteid ja ei maksa eeldada, et kõikides nendes suhetes on tööandja paha allutaja ja töötaja nagu ori, kellel ei ole õigust enda tahet avaldada.

Kohus, tühistades AKI otsuse, leidis, et ka tööalastes olukordades võib isikuandmete töötlemise õiguslikuks aluseks olla töötaja nõusolek. Seda juhul, kui see on antud vabatahtlikult ja teadlikult.

Tõsi, Euroopa andmekaitsenõukogu juhistes kui ka kohtupraktikas on üldiselt rõhutatud, et töösuhtes antud nõusolekut tuleb käsitleda n-ö suure ettevaatusega, sest esineb oht, et tööandja survestab töötajat. Viljandi haigla juhtumil oli aga algusest peale töötajate ja tööandja vahel koostöö, üksteise mõistmine ning kõrgem eesmärk, patsiendi ohutuse tagamine. Seetõttu oli AKI menetlus algusest peale küsitava perspektiivikusega.

Halduskius kui institutsionaalne probleem

Sageli võib halduskius avalduda ka liigse, mõneti kohmaka ja ebaproportsionaalse bürokraatia kaudu. Olukorras, kus keskendutakse juhtumitele, mille käsitlemine ei too tegelikkuses kaasa andmekaitsealase olukorra paranemist, muutub selline tegevus kodanike ja ettevõtjate jaoks mitte ainult koormavaks, vaid ka ebaõiglaseks.

Haldusmenetluse seadusest tulenevalt peab avaliku võimu kasutamine olema proportsionaalne, st eesmärgile vastav, vajalik ja mõõdukas. Kui kaevatakse edasi otsuseid, mille tulemus on praktiliselt ette teada või algatatakse küsitava tulemusega menetlusi, siis tekib paratamatult küsimus, missugust eesmärki selline tegevus täidab. Selline halduskius ühe asutuse poolt on märk juhtimisveast, sest otsustused, millised on prioriteedid ja milliseid vaidlusi vaidlema hakatakse, ei tee tavaliselt ametnik, vaid ikka juht.

Aeg on kainelt mõelda

Andmekaitse ei tohi muutuda piduriks ühiskonna toimimisele. Isikuandmete kaitse on ja jääb vajalikuks. IKÜM-ist tulenevad aluspõhimõtted ja nõuded ei ole kaotanud oma aktuaalsust. Samal ajal peab selliste nõuete järgimine põhinema kainel mõistusel. Andmekaitset ei tohi muuta tööriistaks, millega formaalsuse varjus takistatakse mõistlikke ja õiguspäraseid lahendusi.

Kui ühe avaliku sektori asutuse tegevus kaldub kõrvale nendest põhimõtetest ning asendub liigse formaalsuse ja ametliku rangusega, siis ei ole see enam tõhus järelevalve, vaid bürokraatia, mis pärsib ühiskondlikult kasulikke algatusi. Euroopa suund on selge: vähem tarbetut reguleerimist, rohkem paindlikkust. 

Eestiski on aeg küsida, kas me tõepoolest kaitseme inimeste õigusi või loome süsteemi, mis teenib peamiselt haldusaparaati ennast. Üldine suund peaks liikuma vähem bürokraatia ning rohkem kaine mõistuse suunas. Viimast on hiljutise riigikohtu otsuse näitel kahtlemata vaja.

Ants Nõmper ja Hegle Pärna esindasid SA-d Viljandi Haigla kommentaaris käsitletud menetluses.