Andmekaitsespetsialist (andmekaitseametnik)

Kas ma pean andmekaitseametniku ametisse nimetama?

Vastake küsimustele meie interaktiivse vooskeemi kaudu, et teada saada!

*Erandiks on õigust mõistvat funktsiooni täitvad kohtud!

Töötlen tundlikke andmeid või andmeid, mis on seotud süüdimõistvate kohtuotsustega ja süütegudega

Ma teen seda suures mastaabis

Tegelen üksikisikute korrapärase ja süstemaatilise jälgimisega

Minu põhitegevus nõuab delikaatsete andmete või süüdimõistvate
kohtuotsuste ja süütegudega seotud andmete töötlemist

Ma teen seda suures mastaabis

Minu põhitegevus nõuab korrapärast ja süstemaatilist järelevalvet

Kas ma pean määrama andmekaitseametniku?

Jah, Andmekaitseametniku ametisse nimetamine on kohustuslik

Kas ma pean määrama andmekaitseametniku?

Ei, andmekaitseametniku ametisse
nimetamine soovituslik.

Kes on andmekaitsespetsialist ja kas teie organisatsioon vajab teda?

Kes on andmekaitsespetsialist ja mida nad teevad?

Andmekaitsespetsialist (edaspidi „AKS“) on andmekaitseekspert, kes nõustab andmekaitsenõuete täitmist organisatsioonis.

AKS peab olema nõuetekohaselt ja õigeaegselt kaasatud kõikidesse isikuandmete kaitsega seotud küsimustesse.

Isikuandmete kaitse üldmääruse kohaselt on AKS-i ülesanded vähemalt järgmised:

  • teavitada ja nõustada organisatsiooni ja selle töötajaid andmekaitsenõuete järgimisel;
  • jälgida andmekaitsenõuete järgimist;
  • anda nõu andmekaitsealase mõjuhinnanguga seotud taotluste kohta;
  • tegutseda andmekaitseasutuse kontaktpunktina ja teha selle andmekaitseasutusega koostööd;
  • tegutseda üksikisikute kontaktpunktina.

AKS-i kohalolek on üldiselt soovitatav, kui tehakse otsuseid, millel on mõju andmekaitsele. AKS-iga tuleb viivitamata konsulteerida ka siis, kui andmetega seotud rikkumine või mõni muu intsident on aset leidnud.

Praktikas andmete vastutav töötleja või volitatud töötleja määrab sageli AKS-ile  ka ülesandeks töötlemistoimingute dokumenteerimise.

Link
isikuandmete kaitse üldmääruse artiklile 38

EUR-Lex

Link
isikuandmete kaitse üldmääruse artiklile 39

EUR-Lex

Link
artikli 29 töörühmale: andmekaitseametnikke käsitlevad suunised

Euroopa Komisjoni uudistesalong

Kas minu organisatsioon vajab AKS-i?

AKS-i määramine on kohustuslik kolmel järgmisel juhul:

  • organisatsioon on avaliku sektori asutus, kes töötleb isikuandmeid;
  • organisatsiooni põhitegevus hõlmab üksikisikute korrapärast ja süstemaatilist ulatuslikku jälgimist, näiteks asukohatuvastust mobiilirakenduse kaudu, või ostukeskuste ja avalike ruumide jälgimist videovalve kaudu;
  • organisatsiooni põhitegevus seisneb tundlike andmete ulatuslikus töötlemises.

Mõisted „põhitegevus“, „korrapärane ja süstemaatiline järelevalve“ ja „suuremahuline“ on otsustava tähtsusega selle kindlaksmääramisel, kas organisatsioon peaks määrama AKS-i

„Põhitegevus“ tähendab, et töötlemistoimingud on keskse tähtsusega vastutava töötleja või volitatud töötleja eesmärkide saavutamiseks. Need hõlmavad ka kõiki tegevusi, mille puhul andmete töötlemine moodustab vastutava töötleja või volitatud töötleja tegevuse lahutamatu osa.

„Suuremahuline“ sõltub erinevatest teguritest, näiteks töödeldavate andmete mahust, asjaomaste isikute arvust kas konkreetse arvuna või osakaaluna asjaomasest elanikkonnast, töötlemise kestusest ja geograafilisest ulatusest.

„Regulaarne ja süstemaatiline jälgimine“ hõlmab kõiki internetis toimuva jälgimise ja profiilianalüüsi vorme, sealhulgas käitumispõhise reklaami eesmärgil. Seire mõiste ei piirdu siiski veebikeskkonnaga.

Praktikas

  • Põhitegevus

Näiteks kliiniku peamine eesmärk on pakkuda üksikisikutele tervishoiuteenuseid. Sellisel juhul tuleks terviseandmete, näiteks patsientide terviseandmete töötlemist pidada organisatsiooni üheks põhitegevuseks.

Siiski teevad kõik organisatsioonid teatavaid toetavaid tegevusi, näiteks maksavad oma töötajatele tasu või tegelevad standardse IT-toega. Need on näited organisatsiooni põhitegevuseks või põhitegevuseks vajalike tugifunktsioonide kohta. Kuigi need tegevused on vajalikud või olulised, peetakse neid tavaliselt pigem abifunktsioonideks kui põhitegevuseks.

 

  • Suuremahuline

Suuremahulise töötlemise näited on näiteks:

  1. patsiendi andmete töötlemine haigla igapäevase tegevuse raames;
  2. kliendiandmete töötlemine kindlustusseltsi või panga igapäevase tegevuse raames;
  3. rahvusvahelise kiirtoidutarneahela klientide praeguste asukohaandmete töötlemine statistilistel eesmärkidel sellistele teenustele spetsialiseerunud alltöövõtja poolt;
  4. isikuandmete töötlemine käitumusliku reklaami eesmärgil otsingumootoris;
  5. andmete töötlemine (sisu, voog, asukoht) telefoni- ja internetiteenuse osutajate poolt.

Näited töötlemise kohta, mida ei peeta suuremahuliseks:

  1. patsiendiandmete töötlemine ühe üldarsti poolt;
  2. süüdimõistvate kohtuotsuste ja õigusrikkumistega seotud isikuandmete töötlemine advokaadi poolt.

 

Korrapärane ja süstemaatiline järelevalve

Näiteks korrapärane ja süsteemne seire hõlmab e-posti ümbersuunamist; andmepõhine turundustegevus; profiilide koostamine ja hindamine riskihindamise eesmärgil (nt krediidihindamise, kindlustusmaksete kindlaksmääramise, pettuste ennetamise, rahapesu avastamise eesmärgil); asukoha jälgimine (näiteks mobiilirakenduste abil); lojaalsusprogrammid; käitumuslik reklaam; tervise-, tervise- ja terviseandmete jälgimine kantavate seadmete abil; VIDEOVALVE; ühendatud seadmed (nt arukad arvestid), arukad autod, koduautomaatika jne.

Seega peab andmetöötleja, kelle põhitegevus on pakkuda veebisaidi analüüsiteenuseid ning abi suunatud reklaami ja turunduse valdkonnas, määrama AKS-i.

AKS-i võite alati määrata vabatahtlikkuse alusel, isegi kui see ei ole seadusega nõutav. Sellisel juhul peate järgima kõiki isikuandmete kaitse üldmääruse sätteid, mis käsitlevad AKS-i ülesandeid ja ametikohta. Seetõttu on soovitatav kasutada AKS-i nime ainult isiku puhul, kelle funktsioon ja ametikoht vastavad isikuandmete kaitse üldmääruse kirjeldusele.

Link
isikuandmete kaitse üldmääruse artiklile 37

EUR-Lex

Link
isikuandmete kaitse üldmääruse artiklile 38

EUR-Lex

Link
isikuandmete kaitse üldmääruse artiklile 39

EUR-Lex

Link
artikli 29 töörühmale: andmekaitseametnikke käsitlevad suunised

Euroopa Komisjoni uudistesalong

Kes võib olla AKS minu organisatsioonis?

AKS peab olema võimeline täitma oma kohustusi ja ülesandeid sõltumatult. See tähendab, et teie organisatsioon:

  • ei tohi anda AKS-le juhiseid seoses tema AKS-i ülesannete täitmisega;
  • ei tohi AKS-i tema ülesannete täitmise eest karistada ega ametist vabastada.

AKS-de autonoomia ei tähenda siiski, et neil on oma ülesannetest kaugemale ulatuv otsustusõigus. Organisatsioonid vastutavad andmekaitsealaste õigusaktide järgimise eest ja peavad suutma tõendada nende järgimist.

AKS-i tuleks käsitada organisatsioonisisese arutelupartnerina ja ta peaks olema osa aruteludest, mis käsitlevad organisatsioonisiseseid andmetöötlustoiminguid.

AKS-id annavad aru otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

AKS-id võivad täita organisatsioonis muid ülesandeid, kuid see ei tohi põhjustada huvide konflikti. See tähendab, et AKS ei saa olla olukorras, kus ta määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Vastuoluliste ülesannete hulka kuuluvad peamiselt juhtivad ametikohad (juht, tegevjuht, finantsjuht, personalijuht, IT-juht, tegevdirektor), kuid võivad hõlmata ka muid ülesandeid, kui nende tulemusel määratakse kindlaks töötlemise eesmärgid ja vahendid.

Isikuandmete kaitse üldmääruse kohaselt on võimalik määrata väline AKS, kellel on nende teenuste osutamiseks leping. Selle lepingu võib sõlmida üksikisiku või organisatsiooniga. Viimasel juhul on oluline, et igal organisatsiooni liikmel ei oleks huvide konflikti ja ta oleks kaitstud teenuslepingu ebaõiglase lõpetamise eest, vaid ka organisatsiooni iga üksiku liikme kui AKS-i tegevuse ebaõiglase vallandamise eest.

Teie organisatsioon peaks AKS-i abistama, võimaldades juurdepääsu mis tahes töötlemistoimingutele ja nende töötlemistoimingute raames töödeldavatele isikuandmetele. On väga oluline, et AKS oleks kaasatud võimalikult varases etapis kõikidesse andmekaitsega seotud küsimustesse. AKS-le tuleks teha kättesaadavaks ka tema ülesannete täitmiseks vajalikud vahendid (aeg, koolitus, varustus ja rahalised vahendid).

Praktikas

Oma ülesannete täitmisel ei tohi AKS-e juhendada, kuidas probleemiga tegeleda. Näiteks ei tohiks AKS-le anda juhiseid selle kohta, milline peaks olema tema nõuanne või kuidas ta peab uurima üksikisiku kaebust, ega selle kohta, kas andmekaitseasutusega konsulteerimine on asjakohane või kohustuslik. Lisaks ei tohi AKS-le anda korraldust võtta andmekaitseõigusega seotud küsimuses teatud seisukoht, näiteks õiguse konkreetne tõlgendus.

Link
isikuandmete kaitse üldmääruse artiklile 38

EUR-Lex

Link
isikuandmete kaitse üldmääruse artiklile 39

EUR-Lex

Link
artikli 29 töörühmale: andmekaitseametnikke käsitlevad suunised

Euroopa Komisjoni uudistesalong

Kontrollnimekiri AKS-i määramiseks

  • Kontrollige, kas AKS on nõutav või mitte: Kontrollige, kas peate määrama AKS-i, ja kui kahtlete, dokumenteerige põhjused, miks te AKS-i nimetate või mitte.
  • Kui nõutakse AKS-i:
    • Otsustamine asutusesisese või -välise AKS-i vahel: Kui on vaja määrata AKS, otsustage kas ta töötab teenuslepingu alusel, või ta on teie organisatsiooni töötaja; 
    • Kontrollige, et AKS-il on andmekaitsealaste õigusaktide ja tavadega seotud ametialased oskused ja eksperditeadmised ning suutlikkus neid ülesandeid täita;
    • Sõltumatuse nõuete kontrollimine: Kontrollige, kas teie AKS-il on muid ülesandeid, mis võivad kahjustada tema sõltumatust oma ülesannete täitmisel (huvide konfliktid);
    • Arendage oma organisatsiooni juhtimises standardseid protseduure AKS-i kaasamiseks.
  • Kui AKS ei ole nõutav:
    • Mõtle läbi: Isegi kui te ei määra AKS-i isikuandmete kaitse üldmääruse tähenduses, peate siiski täitma mitmeid andmekaitsenõudeid. Soovitame teil määrata AKS vabatahtlikkuse alusel või määrata isik, kellel ei ole AKS-i ametinimetust ning kes ei täida täielikult AKS-i ülesandeid, kuid jälgib nõuete täitmist ja tegutseb andmesubjekti õigusi kasutavate isikute kontaktisikuna.