Andmekaitsespetsialisti (DPO) määramine

Marit Saul
Blogi
31. jaanuar 2024

Fondia legal services

Andmekaitse teemad on viimaste andmelekete valguses Eestis palju kõlapinda saanud ja seetõttu on ka ettevõtetel tekkinud küsimusi, kuidas ennast paremini taoliste olukordade eest kaitsta. Kui ettevõte tegeleb isikuandmete töötlemisega, siis üheks võimaluseks on määrata ettevõttes andmekaitseametnik ehk DPO (Data Protection Officer), kelle ülesandeks on abistada ettevõtet kõigis isikuandmete kaitsega seotud küsimustes. Kuid kellele on andmekaitseametniku määramine kohustuslik ja mis ülesandeid andmekaitsespetsialist täpselt täidab? Proovime seda käesolevas artiklis selgitada.  

Andmekaitsespetsialist – kohustuslik või mitte? 

Mitte kõik ettevõtted, kellele andmekaitsealased seadused laienevad ei ole kohustatud määrama andmekaitsespetsialisti. Kuigi vabatahtlikult võivad seda teha kõik. Kuid oluline sealjuures meeles pidada, et kui andmekaitseametnik määratakse vabatahtlikult, laienevad tema määramisele, positsioonile ja ülesannetele samad tingimused nagu kohustuslikus korras määratud andmekaitsespetsialistile.  

Andmekaitsespetsialisti määramine on eraõiguslikele äriühingutele kohustuslik kui: 
Fondia legal services

Seega esiteks peaks ettevõte selgeks tegema, kas nende põhitegevuseks on isikuandmete töötlemine või mitte. Kahjuks ei ole see väga selgelt määratletud ja siin peaks oma tegevusele otsa vaatama ja hindama, mis roll on isikuandmete töötlemisel ettevõtte tegevusele.  

Põhitegevus on seotud ettevõtte esmase tegevusega, ilma milleta ettevõte enda igapäevast tegevust jätkata ei saa (näiteks tervishoiuteenus, sideteenus, finantsteenus jne) ning mitte isikuandmete töötlemisega tugiteenusena.  

Kui ettevõte jõuab järeldusele, et isikuandmete töötlemine on nende põhitegevus, siis tuleks edasi vaadata, kas andmeid töödeldakse ulatuslikult.

Ulatusliku mõistet ei ole seaduses täpselt määratletud, mistõttu ettevõte peab ise vastava hinnangu ja analüüsi läbi viima. Lähtuda saab järgmistest märksõnades:  

  • töödeldavate andmete hulk 

  • hõlmatud üksikisikute arv 

  • isikuandmete töötlemise kestus või pidevus 

  • isikuandmete töötlemise geograafiline ulatus 

Eesti Andmekaitseinspektsioon on siiski mõned arvud kirja pannud, millest nemad ulatusliku mõiste määramisel eelkõige lähtuvad:  

  • eriliiki või süüteoandmed 5000 ja enama inimese kohta;

  • suurt ohtu põhjustavad andmed (näiteks identiteedivargus, oht varale, inimese asukoha reaalajas jälgimine jne) 10 000 ja enama inimese kohta;

  • ülejäänud isikuandmed 50 000 ja enama inimese kohta.

Kui ettevõte on jõudnud järeldusele, et ta töötleb isikuandmeid ulatuslikult, siis tuleks vaadata, kas see ulatuslik töötlemine on isikute jälgimine korrapäraselt ja süsteemselt.  

Jälgimise mõistet ei ole samuti täpselt reguleeritud, kuid siia alla kuuluvad näiteks:  

  • internetis toimuv jälgimine, eeskätt profiilianalüüsi, et teha inimese kohta otsuseid või analüüse ning ennustada tema eelistusi, käitumist ja hoiakuid; 

  • püsiklientide kohta nende ostuajaloo analüüsimine; 

  • inimese kohta eri allikatest sarnaste andmete kokku kogumine; 

  • inimese asukoha-andmete jälgimine tema teenuste või seadmete kaudu; 

  • kaamerate ja näotuvastus tarkvara kasutamine jne.  

Korrapärane on töötlemine juhul kui see toimub pidevalt või teatud ajavahemike tagant ega ole juhuslik. 

Süsteemne andmetöötlus on planeeritud ja metoodiline.  

Kui ei ole just ilmselge, et organisatsioon ei ole kohustatud andmekaitsespetsialisti määrama, soovitatakse dokumenteerida sisemine analüüs selle otsustamiseks, et oleks näha, et ettevõte on andmekaitsespetsialisti määramise vajadust kaalunud ja selles osas otsusele jõudnud.  

Andmekaitsespetsialisti ülesanded 

Andmekaitsespetsialist täidab seaduse alusel talle pandud kindlaid ülesandeid. Samas ei ole keelatud anda ka muid ülesandeid, kui need ei takista põhiülesannete täitmist. Andmekaitsespetsialist peab:  

  • olema kontaktiks andmesubjektidele kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ja nende andmekaitseliste õiguste kasutamisega;  

  • teavitama ja nõustama ettevõtte (vajadusel ka selle partnerite) juhtkonda ning personali andmekaitse alal;  

  • jälgima andmekaitsenormide rakendamist, sealhulgas vastutusvaldkondade jaotamist, personali teadlikkust ja koolitamist, ning andmekaitselist auditeerimist;  

  • andma nõu seoses andmekaitsealase mõjuhinnanguga ning jälgima selle toimimist;  

  • tegema koostööd Andmekaitse Inspektsiooniga, olles ettevõtte kontaktisikuks. 

Andmekaitsespetsialisti määramine – oma töötaja või teenusepakkuja 

Andmekaitsespetsialist võib olla nii ettevõtte enda töötaja kui ka väline teenusepakkuja. Enda töötaja määramisel andmekaitsespetsialisti ülesannetesse tuleb silmas pidada, et mitte iga isik ei saa täita andmekaitsespetsialisti ülesandeid. Vastav isik peab omama selleks vajalikke teadmisi ning tundma andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil. Samuti peab töötaja andmekaitsespetsialisti tööd tehes alluma otse kõrgemale juhtkonnale, kuid oma tegevuses olema iseseisev.  

Fondia andmekaitse eksperdid pakuvad ettevõtetele nii DPO teenust, DPO nõuniku teenust, koolitusi kui ka abi üldistes andmekaitsealastes küsimustes ja andmekaitsealaste protsesside dokumenteerimisel ja juurutamisel. 

Küsimuste korral võtke julgelt ühendust Fondia andmekaitsespetsialistidega!