Kes on andmekaitsespetsialist ja kes peavad andmekaitsespetsialisti määrama?
25. mail jõustuv uus isikuandmete kaitse määrus toob endaga kaasa uue mõiste - andmekaitsespetsialist. Kes ta on ning milliseid ülesandeid ta on kohustatud täitma?
Jõustuva isikuandmete kaitse määruse kohaselt on andmekaitsespetsialist andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes abistab ja kontrollib andmetöötlejat määruse täitmisel.
Eeltoodust tulenevalt võib väita, et tegemist on andmekaitse küsimuste asjatundjaga, kes oskab andmekaitse teemadesse kaasata organisatsiooni juhtkonda ja töötajaid, selgitada organisatsioonile andmekaitsealaseid kohustusi ja vastutust, koostada ja ellu viia organisatsiooni andmekaitsealast strateegiat, koostada organisatsiooni töökorralduseks vajalikke andmekaitsealaseid juhendeid, koostada andmekaitsealast mõjuhinnangut, sealjuures teha kindlaks organisatsiooni andmekaitsealased riskid ja koostada tegevusplaanid riskide leevendamiseks, rakendada „vaikimisi“ ja „lõimitud“ andmekaitse põhimõtteid, juhtida ja koordineerida organisatsiooni andmekaitsealaseid protsesse, tuvastada ja dokumenteerida isikuandmete töötlemise toiminguid ning isikuandmetega seotud rikkumisi, eristada neid isikuandmetega seotud rikkumisi, mille korral tuleb teavitada andmekaitse järelevalveasutust ja füüsilisi isikuid, kelle suhtes rikkumine toimus.
Määruse artikli 39 kohaselt on andmekaitsespetsialisti ülesanneteks:
Uue isikuandmete kaitse määruse artikkel 37 ütleb, et andmetöötlejad (nii vastutav töötleja kui ka volitatud töötleja) määravad andmekaitseametniku, kui
a) isikuandmeid töötleb avaliku sektori asutus või organ (riigiasutused, omavalitsusasutused, ministeeriumid, ametid, inspektsioonid) välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
b) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või
c) vastutava töötleja või volitatud töötleja põhitegevuse moodustab eriliiki andmete ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Põhitegevusena on siinkohal käsitletav olukord, kus andmetöötleja tegevus ilma isikuandmete töötlemiseta ei ole võimalik või ei ole eesmärgipärane.
Eriliigiliste andmete näol on tegemist nt terviseandmeid, biomeetrilisi või poliitilisi vaateid sisaldavate andmete töötlemisega. Näiteks haiglad ja teised terviseasutused.
Kokkuvõtvalt võib öelda, et kui Sinu ettevõtte põhitegevuse aluseks on isikuandmete ulatuslik ja süstemaatiline töötlemine, siis olenemata määramise kohustuslikkusest on Sul ettevõtte või asutuse juhina igati mõistlik määrata andmekaitse alaseid õigusakte ja tavasid tundev andmekaitse ekspert.
Eeltoodust tulenevalt võib väita, et tegemist on andmekaitse küsimuste asjatundjaga, kes oskab andmekaitse teemadesse kaasata organisatsiooni juhtkonda ja töötajaid, selgitada organisatsioonile andmekaitsealaseid kohustusi ja vastutust, koostada ja ellu viia organisatsiooni andmekaitsealast strateegiat, koostada organisatsiooni töökorralduseks vajalikke andmekaitsealaseid juhendeid, koostada andmekaitsealast mõjuhinnangut, sealjuures teha kindlaks organisatsiooni andmekaitsealased riskid ja koostada tegevusplaanid riskide leevendamiseks, rakendada „vaikimisi“ ja „lõimitud“ andmekaitse põhimõtteid, juhtida ja koordineerida organisatsiooni andmekaitsealaseid protsesse, tuvastada ja dokumenteerida isikuandmete töötlemise toiminguid ning isikuandmetega seotud rikkumisi, eristada neid isikuandmetega seotud rikkumisi, mille korral tuleb teavitada andmekaitse järelevalveasutust ja füüsilisi isikuid, kelle suhtes rikkumine toimus.
Määruse artikli 39 kohaselt on andmekaitsespetsialisti ülesanneteks:
- teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad isikuandmete kaitse üldmäärusest ja muudest Euroopa Liidu või liikmesriikide andmekaitsenormidest;
- jälgida andmekaitse määruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;
- anda nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist;
- teha koostööd järelevalveasutusega, kelleks Eestis on Andmekaitse Inspektsioon;
- tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna.
Uue isikuandmete kaitse määruse artikkel 37 ütleb, et andmetöötlejad (nii vastutav töötleja kui ka volitatud töötleja) määravad andmekaitseametniku, kui
a) isikuandmeid töötleb avaliku sektori asutus või organ (riigiasutused, omavalitsusasutused, ministeeriumid, ametid, inspektsioonid) välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
b) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või
c) vastutava töötleja või volitatud töötleja põhitegevuse moodustab eriliiki andmete ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Põhitegevusena on siinkohal käsitletav olukord, kus andmetöötleja tegevus ilma isikuandmete töötlemiseta ei ole võimalik või ei ole eesmärgipärane.
Eriliigiliste andmete näol on tegemist nt terviseandmeid, biomeetrilisi või poliitilisi vaateid sisaldavate andmete töötlemisega. Näiteks haiglad ja teised terviseasutused.
Kokkuvõtvalt võib öelda, et kui Sinu ettevõtte põhitegevuse aluseks on isikuandmete ulatuslik ja süstemaatiline töötlemine, siis olenemata määramise kohustuslikkusest on Sul ettevõtte või asutuse juhina igati mõistlik määrata andmekaitse alaseid õigusakte ja tavasid tundev andmekaitse ekspert.