Andmekaitsespetsialist – tema õigused ja kohustused
Isikuandmete kaitse üldmääruses 2016/679 EU (edaspidi „üldmäärus“) on sätestatud tingimused, mil vastutav või volitatud töötleja peavad määrama endale andmekaitseametniku (inglise keeles Data Protection Officer, lühendina DPO). Eesti Andmekaitse Inspektsioon on soovitanud kasutada nimetuse „andmekaitseametnik“ asemel „andmekaitsespetsialist“, mistõttu käsitatakse käesolevas tekstis antut edaspidi vastavalt.
Millal tuleb siis vastutaval ja volitatud töötlejal andmekaitsespetsialist määrata? Seda tuleb teha, kui:
isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või
vastutava töötleja või volitatud töötleja põhitegevuse moodustab andmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Rõhutame, et eraettevõtete puhul on andmekaitsespetsialisti määramine kohustuslik üksnes sellisel juhul kui andmetöötleja põhitegevuse moodustab selline isikuandmete töötlemine, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või kui töödeldakse eriliiki isikuandmeid ulatuslikult. Ettevõtte enda töötajate isikuandmete töötlemist ei loeta põhitegevuse hulka kuuluvaks. Seega, mitte igasugune andmete töötlemine ei nõua andmekaitsespetsialisti määramist.
Kontsern võib määrata ühe andmekaitsespetsialisti, tingimusel et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest. Samas võib praktikas üksnes ühe andmekaitsespetsialisti olemasolu osutuda keeruliseks, näiteks tulenevalt keelebarjäärist järelevalveasutusega või andmesubjektidega suhtlemisel.
Andmekaitsespetsialisti määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita üldmääruses andmekaitsespetsialistile määratud ülesandeid. Andmekaitsespetsialistile formaalseid kvalifikatsiooninõudeid kehtestatud ei ole.
Andmekaitsespetsialist võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuslepingu alusel.
Silmas tuleb pidada seda, et vastutav töötleja või volitatud töötleja peavad avaldama andmekaitsespetsialisti kontaktandmed ning ühtlasi teatama need järelevalveasutusele. Eestis on võimalik ettevõttele andmekaitsespetsialist määrata e-äriregistri kaudu. Kui ettevõte on määranud andmekaitsespetsialisti ettevõtjaportaali kaudu, siis Andmekaitse Inspektsiooni sellest eraldi teavitama ei pea. Ka on selle tegevusega täidetud siis avalikkuse teavitamise kohustus, kuna andmekaitsespetsialisti andmed saavad sellega nähtavaks avalikkusele.
Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.
Andmekaitsespetsialisti suhtes kehtib tema ülesannete täitmisel vastavalt liidu või liikmesriigi õigusele saladuse hoidmise või konfidentsiaalsuse nõue.
Andmekaitsespetsialisti ülesanneteks on:
teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad üldmäärusest ja muudest liidu või liikmesriikide andmekaitsenormidest;
jälgida üldmääruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;
anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist;
teha koostööd järelevalveasutusega, ning
tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.
Tegemist ei ole ammendava loeteluga, vaid minimaalsete ülesannetega, mida andmekaitsespetsialistil täita tuleb. Näiteks võib siia loetelusse kindlasti veel lisada ettevõtte töötajate koolitamise andmekaitsealastes küsimustes jms.
Vastutav töötleja või volitatud töötleja ei saa andmekaitsespetsialisti tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitsespetsialist allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.