Kes peavad määrama andmekaitsespetsialisti?

Advokaadibüroo SORAINEN advokaat Tea Kookmaa selgitab, kes peavad määrama andmekaitsespetsialisti.

Isikuandmete kaitse üldmäärusest tulenevalt on teatud andmetöötlejatel kohustus määrata andmekaitsespetsialist (data protection officer). Kõik ettevõtted ja asutused endale andmekaitsespetsialisti määrama ei pea. Küll aga on andmekaitsespetsialisti määramise kohustus näiteks avaliku sektori asutustel ning nendel isikuandmete töötlejatel, kelle põhitegevuseks on suures ulatuses isikuandmete eriliikide töötlemine. Seega on andmekaitsespetsialisti määramise kohustus näiteks kohaliku omavalitsuste asutustel ja haiglatel. Samuti peavad GDPR-i järgi määrama andmekaitsespetsialisti ka need töötlejad, kelle põhitegevus hõlmab sellist isikuandmete töötlemist, millega kaasneb andmesubjektide ulatuslik, korrapärane ja süstemaatiline jälgimine. Sellele kriteeriumile võivad vastata mitmed ettevõtted.

Juhul, kui on andmekaitsespetsialisti määramise kohustus, tuleb arvestada, et tegemist on ametikohaga, mis nõuab teatud pädevust. GDPR-i järgi peavad tal olema ekspertteadmised andmekaitsealase õiguse ja tava kohta. Ainult siis saab ta tõhusalt täita enda ülesandeid, eelkõige nõustada asutust või ettevõtet andmekaitseõigusest tulenevate kohustuste täitmisel. See tähendab, et kui andmekaitseametniku kohale määratakse isik, kellel andmekaitsega varasemat kokkupuudet ei ole, peaks ta kindlasti läbima vastavasisulise koolituse.

Tasub meeles pidada, et andmekaitsespetsialisti ülesandeid võib täita ka asutuse või ettevõtte osakond, näiteks nii juristid kui ka infoturbe spetsialistid. Sellisel juhul on oluline, et üks isik oleks siiski kontaktipunktiks nii Andmekaitse Inspektsioonile kui ka andmesubjektidele (sh töötajatele).

Andmekaitseametniku määramisel on oluline tähele panna ka GDPR-s sätestatud sõltumatuse nõuet. Juhul, kui ta täidab ka muid ülesandeid, ei tohi ta andmekaitseametniku ülesandeid täites olla huvide konfliktis. Euroopa andmekaitseasutuste töörühm on selle valguses selgitanud, et juhtpositsioonidel olevad isikud (nt HR-i juht, finantsjuht, IT-juht) reeglina ei saa samal ajal andmekaitseametnikuks olla.

Kui teil on vaja määrata andmekaitsespetsialist, siis uus kursus toimub vahemikus 29.08 – 10.10.2018. Kursuse täpne kava SIIT.

Tegevjuht ragne@eestikonverentsikeskus.ee

All posts Previous Next