Does the company have to appoint a data protection specialist?

14.02.2019 | Data protection

Author: Siim Mägi

If your company is exposed to the processing of personal data, you have to assess whether your company is obliged to appoint a data protection specialist by checking compliance with the data protection regulation.

Spetsialisti määramisel peab veenduma isiku sobivuses ja teavitama spetsialisti määramisest avalikkust ja Andmekaitse Inspektsiooni.

Mis juhul peab ettevõte määrama andmekaitsespetsialisti?

Iga ettevõte tegeleb isikuandmete töötlemisega, kuid iga ettevõte ei pea määrama andmekaitsespetsialisti.

Ettevõte peab määrama andmekaitsespetsialisti, kui tema põhitegevus hõlmab isikuandmete

  1. ulatuslikku,
  2. korrapärast ja
  3. süstemaatilist töötlemist.

Ettevõtte enda töötajate isikuandmete töötlemist ei loeta põhitegevuse hulka.

Põhitegevuseks loetakse võtmetegevust, ilma milleta ei saa ettevõte oma igapäevaseid eesmärke täita. Spetsialisti määramise kohustusega seonduv isikuandmete töötlemine peab olema sellise tegevuse lahutamatu osa.

Näiteks ei ole Andmekaitse Inspektsiooni Isikuandmete Töötleja Juhendis andmetel ilma isikuandmete töötlemiseta võimalik osutada: a) tervishoiuteenust, b) finantsteenust, c) sideteenust, d) kindlustusteenust.

Lisaks peavad andmekaitsespetsialisti määrama (i) avaliku sektori asutused või organid ja (ii) isikuandmete eriliike või süüteoandmeid ja süüdimõistvaid kohtuotsuseid töötlevad töötlejad, kui need ei kuulu meie postituse vaatluse alla.

Mis on ulatuslik andmetöötlus?

Andmetöötluse ulatuslikkust saab määratleda väga erinevate näitajate põhjal. Euroopa
andmekaitsenõukogu on soovitanud lähtuda näiteks:

  • andmetöötluses hõlmatud isikute arvust või osakaalust asjaomases elanikkonnas
  • töödeldavate isikuandmete mahust ja/või erinevate andmekirjete arvust
  • isikuandmete töötlemise kestusest või pidevusest
  • isikuandmete töötlemise geograafilisest ulatusest.

Andmekaitse Inspektsioon lähtub eelkõige sellest, mitme isiku andmed on jälgimisse kaasatud ja loeb ulatuslikuks andmetöötluseks:

  • eriliiki või süüteo andmed 5000 ja enama inimese kohta
  • suurt ohtu põhjustavad andmed 10 000 ja enama inimese kohta, seejuures suure ohu näideteks on toodud:
    • identiteedivarguse või -pettuse oht (eriti digitaalse usaldusteenuse ning sellega võrreldava identiteedihaldusteenuse puhul)
    • oht varale (eriti panga- ja krediitkaarditeenuse kaudu)
    • oht sõnumisaladuse rikkumisele (eriti sideteenuse puhul)
    • inimese asukoha reaalajas jälitamine (eriti sideteenuse puhul)
    • inimese majandusliku seisu avalikuks saamine (eriti maksuandmete, pangaandmete ning krediidireitingu andmete kaudu – kuid see ei hõlma avalike andmete kasutamist)
    • oht õiguslike tagajärgedega või samalaadse mõjuga diskrimineerimiseks (sealhulgas töövahendusteenuses ning palga- ja karjäärivõimalusi mõjutavas hindamisteenuses)
  • ülejäänud isikuandmed 50 000 ja enama isiku kohta.

Mis on korrapärane ja süstemaatiline andmetöötlus?

Korrapärane andmetöötlus.  Isikuandmete Töötleja Juhendis selgitab, et mõiste korrapärane laieneb andmetöötlusele, mis toimub pidevalt või teatud ajavahemike tagant ega ei ole juhuslik.

Süstemaatiline andmetöötlus.  Juhendi kohaselt loetakse süstemaatiliseks andmetöötluseks planeeritud ja metoodiline andmetöötlus.

Isikuandmete Töötleja Juhendis on välja toodud kaks näidet andmekaitsespetsialisti määramise üle otsustamiseks.

Andmekaitsespetsialisti määramise näide 1

Väikesed poed tellivad klientide ostueelistuste väljaselgitamiseks ning isikustatud reklaami tegemiseks vajalikku andmeanalüütikat suurelt IT-ettevõttelt.

Poodide endi püsiklientide arv on väike, neile teenust pakkuva IT-ettevõtte andmeanalüütika hõlmab aga kokku üle 50 tuhande inimese.

Seega antud näites vastutavad töötlejad (poed) ise ei peagi spetsialisti määrama, küll aga peab seda tegema nende volitatud töötleja (IT-ettevõte).

Andmekaitsespetsialisti määramise näide 2

Pood peab püsiklientide üle arvestust raamatupidamise nõuete täitmiseks (arvete koostamiseks ja säilitamiseks), kuid klientide ostueelistuste analüüsi ei tee.

Sel juhul ei ole kohustust andmekaitsespetsialisti määrata, sest kliente ei jälgita.

Kes võib olla ettevõtte andmekaitsespetsialistiks?

Andmekaitsespetsialisti rolli võib täita:

  • andmetöötleja koosseisuline töötaja (nt eraldi ametikoht),
  • andmetöötleja allüksus (nt osakond) või
  • andmetöötleja väline juriidiline isik (nt teenuslepingu alusel).

Kui andmekaitsespetsialisti ülesandeid täidab andmetöötleja allüksus või mõni muu juriidiline isik, peaks kontaktiks avalikkusele ja järelevalveasutusele olema siiski üks konkreetne eraisik koos isiklike kontaktandmetega.

Kuidas valida andmekaitsespetsialisti?

Kui ettevõttel on kohustus määrata andmekaitsespetsialist, peaks konkreetse ettevõtte eripäradest lähtuvalt kaaluma, kui suur on andmekaitsespetsialisti töökoormus.

Seejärel saab otsustada, kas ametikoha ülesandeid saab täita mõni olemasolev töötaja, kellele võimaldatakse vajalikke täienduskoolitusi, või võetakse tööle uus spetsialist.

Alternatiiviks on andmekaitsespetsialisti teenuse sisseostmine professionaalse teenusepakkuja poolt.

Mis on andmekaitsespetsialisti ülesanded?

Andmekaitsespetsialisti üldmäärusest/direktiivist tulenevad põhiülesanded on:

  • olla andmesubjektidele kontaktisikuks kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ja nende andmekaitse alaste õiguste kasutamisega
  • teavitada ja nõustada oma organisatsiooni (vajadusel ka selle partnerite) juhtkonda ning personali andmekaitse alal
  • jälgida andmekaitse normide rakendamist, sealhulgas vastutusvaldkondade jaotamist, personali teadlikkust ja koolitust, ning andmekaitse alast auditeerimist
  • anda nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist
  • teha koostööd Andmekaitse Inspektsiooniga, olles tööandja kontaktisikuks.

Eeltoodud ülesanded ei sega määramast spetsialistile ka muid tööülesandeid – kui see ei takista põhiülesannete täitmist.

Mida peab andmekaitsespetsialist teadma?

Andmekaitse Inspektsioon on koostanud nimekirja soovituslikest kompetentsidest, mis on eelduseks andmekaitsespetsialisti rolli nõuetekohasel täitmisel.

Ettevõtte andmekaitsespetsialist peab teadma:

  • ettevõtte väärtuseid ja eesmärke, sh visiooni, missiooni ja strateegiat
  • ettevõtte sise- ja äriprotsesse
  • ettevõtte töökorralduse reegleid ja poliitikaid
  • ettevõtte toimimiseks vajalikku ELi ja siseriiklikku andmekaitseõigust
  • õigusakte, mis võivad reguleerida kitsamalt organisatsiooni tegevusvaldkonda
  • asjakohaseid tehnoloogiaid ja arenguid IKT ja infoturbe valdkonnas ning nende võimalikke mõjusid organisatsiooni protsessidele
  • andmeanalüütika ja profileerimise põhimõtteid ja meetodeid, sh pseudonüümimine ja anonüümimine
  • riskianalüüsi ja riskijuhtimise raamistikke ning meetodeid
  • andmekaitsealase mõjuhinnangu läbiviimise raamistikke ning meetodeid
  • asjakohaseid informatsiooniallikaid (ELi ja siseriiklikud õigusaktid, ELi ja siseriiklik kohtupraktika, ELi ja siseriiklike andmekaitseasutuste arvamused ja suunised)
  • siseriiklikku ja vajadusel mõne teise ELi riigi andmekaitse järelevalveasutust ja nendega teabevahetuseks vajalikke kontakte

Ettevõtte andmekaitsespetsialist peab oskama:

  • väärtustada oma tööd ja selle olulisust
  • suhelda ja esineda enesekindlalt ja pingevabalt
  • kaasata ettevõtte juhtkonda ja töötajaid
  • esitada kirjalikke materjale struktureeritult ja loogiliselt ning keeleliselt korrektselt
  • selgitada ettevõtte inimestele andmekaitse alaseid kohustusi ja vastutust
  • koostada ja ellu viia ettevõtte andmekaitsealast strateegiat
  • koostada ettevõtte töökorralduseks vajalikke andmekaitsealaseid juhendeid
  • koostada andmekaitsealast mõjuhinnangut, sealjuures teha kindlaks ettevõtte andmekaitsealased riskid ja koostada tegevusplaanid riskide leevendamiseks
  • rakendada „vaikimisi“ ja „lõimitud“ andmekaitse põhimõtteid
  • juhtida ja koordineerida ettevõtte andmekaitsealaseid protsesse (projektide juhtimine)
  • tuvastada ja dokumenteerida isikuandmete töötlemise toiminguid ning isikuandmetega seotud rikkumisi
  • eristada neid isikuandmetega seotud rikkumisi, mille korral tuleb teavitada andmekaitse järelevalveasutust ja füüsilisi isikuid, kelle suhtes rikkumine toimus.

Kuidas ja keda peab teavitama andmekaitsespetsialisti määramisest?

Spetsialisti määramisest peab teavitama Andmekaitse Inspektsiooni ja selleks on loodud mugav võimalus ettevõtjaportaali kaudu. Kui olete andmekaitsespetsialisti määranud ettevõtjaportaali kaudu, siis eraldi kirjalikult sellest inspektsiooni teavitama ei pea.

Portaali kaudu saab informatsioon nähtavaks avalikkusele ja seega olete täitnud ka avalikkuse teavitamise kohustuse.

Andmekaitsespetsialisti määramisest saab ettevõtjaportaali kaudu teavitada esindusõiguslik isik. Esitamiseks on vaja andmekaitsespetsialisti ees- ja perekonnanime ning isikukoodi/sünniaega.

Vt ka Andmekaitse Inspektsiooni juhendit – Kuidas ettevõtjaportaalis andmekaitsespetsialisti andmed esitada?

Mis on isikuandmed?

Isikuandmeteks loetakse igasugust teavet tuvastatud või tuvastatava füüsilise isiku kohta.

Tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.

Seega on isikuandmetena käsitletavad kõiki andmeid, mis on kasvõi kaudselt seostatavad konkreetse füüsilise isikuga.

Kuidas leida informatsiooni andmekaitse regulatsiooni kohta?

Isikuandmete kaitse valdkonda Euroopa Liidus reguleerib Euroopa Parlamendi ja nõukogu määrus 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus – General Data Protection Regulation, edaspidi GDPR või Määrus).

Tegemist on otsekohalduva määrusega, mis rakendub samal kujul kõigis liikmesriikides vajaduseta enne siseriiklikke õigusakte vastu võtta. Siseriiklikus seadusandluses reguleeritakse vaid neid küsimusi, mida määrus ei käsitle või mille osas jätab määrus liikmesriikidele täpsustamise õiguse.

GDPR sisustab Eesti õigussüsteemis seni tundmatu mõiste, milleks on andmekaitseametnik ehk Data Protection Officer. Eesti õigusaktides kasutatakse andmekaitseametniku asemel terminit andmekaitsespetsialist.

Kokkuvõte

Andmekaitsespetsialisti määramise regulatsiooni raames peaks Iga ettevõtja läbi mõtlema järgmised küsimused:

  1. hinnata, kas ettevõtte peab määrama andmekaitsespetsialisti
  2. kui andmekaitsespetsialist tuleb määrata, siis valida välja vastav töötaja ja pakkuda töötajale vajadusel sobivat koolitust
  3. täpsustada ja fikseerida andmekaitsespetsialisti ülesanded konkreetse ettevõtte sees

Magilex aitab vajadusel eeltoodud sammud ellu viia. Pakume nii andmekaitse alast nõustamist, kui andmekaitsespetsialisti teenust.