Kes peavad määrama andmekaitsespetsialisti?

25. mail 2018. a jõustuv isikuandmete kaitse üldmäärus annab uue mõiste, milleks on andmekaitseametnik. Sisuliselt on tegu andmekaitsespetsialistiga.

Määrus sätestab, millised isikuandmete töötlejad peavad andmekaitsespetsialisti määrama. Nendeks on

·         avaliku sektori asutus või organ,

·         andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine,

·         andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Järgnevalt selgitame neid mõisteid täpsemalt lähtudes Euroopa Liidu andmekaitseasutuste esialgsetest tõlgendustest.

Avaliku sektori asutus või organ

Määrus näeb ette, et andmekaitsespetsialisti peavad määrama kõik avaliku sektori asutused. Eesti seaduse kohaselt on nendeks avalike ülesannete täitjad. Ehk riigi- ja omavalitsusasutused ning avalik-õiguslikud või eraõiguslikud isikud, kes täidavad avalikke ülesandeid. Näiteks ministeeriumid, ametid, inspektsioonid. Samuti üldharidus-, kutse- ja kõrgkoolid. Kõik linna- ja vallavalitsused.

Põhitegevus

Määrus sätestab andmekaitsespetsialisti määramise üheks kriteeriumiks selle, kui vastutava või volitatud töötleja isikuandmete töötlemise toimingud on nende põhitegevus. Mõiste põhitegevus all mõeldakse andmetöötleja võtmetegevusi, ilma milleta ei saa andmetöötleja oma igapäevaseid tegevuseesmärke täita. Näiteks haigla põhieesmärk on tervishoiuteenuse osutamine. Kuid haigla ei saa seda teha ilma patsientide isikuandmeid töötlemata.

Samuti näiteks kaubanduskeskustes turvateenust osutav ettevõte. Kuigi tema põhitegevus on valveteenus, on viimane siiski seotud isikuandmete töötlemisega ning rakendub andmekaitsespetsialisti määramise kohustus. Sama põhimõtte kohaselt peaksid andmekaitsespetsialisti määrama näiteks krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad, sideettevõtted, hotellid, personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid.

Ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine

Kuigi need kolm tingimust peaksid määruse kohaselt olema korraga täidetud, analüüsime selguse huvides nende tähendust eraldi.

1. Ulatuslik andmetöötlus

Määruse kohaselt on üheks andmekaitsespetsialisti määramise kriteeriumiks see, kui toimub ulatuslik andmesubjektide jälgimine. On selge, et seda mõistet ei ole võimalik üheselt sisustada. See võib tähendada jälgitavate isikute arvu, jälgimise aega või geograafilist ulatust.

Siiski saame tuua mõned näited valdkondadest, mis võiksid paigutuda mõiste ulatuslik alla:

·         patsientide isikuandmete töötlemine haiglates või tervisekeskustes,
·         ühistranspordi valideerimislahendused,
·         kliendiandmete töötlemine pangas või kindlustusettevõttes,
·         telefoni- või internetiteenuse kasutajate andmete töötlemine,
·         võrguturbe ettevõtted.

Erandiks võib aga tuua üksiku perearsti patsientide andmetöötluse. See ei lähe määruse kohasel termini ulatuslik alla.

2. Korrapärane ja süstemaatiline andmetöötlus

Neid mõisteid ei ole määruses täpsemalt defineeritud. Küll aga annavad määruse mõned põhjenduspunktid aimu, mida täpsemalt on mõeldud.

Mõiste korrapärane laieneb juhtudele, kui andmetöötlus on kas pidev või kindla aja tagant korduv ning ei ole ühekordne toiming.

Süstemaatilise andmetöötlusega peab arvestama, kui see on eelnevalt planeeritud, läbiviimine organiseeritud ja metoodiline ning on selgelt osa andmetöötleja ärimudelist.

Toome mõned näited andmetöötlustest, mis on korrapärased ja süstemaatilised:

·         sideteenuse osutamine (nii telefoni kui internetiteenus),
·         kindla valimi alusel otseturustuse saatmine,
·         kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (näiteks maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
·         kliendi asukohaandmete töötlemine nutirakendustes,
·         kaubanduskettide lojaalsusprogrammid,
·         klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-reklaamide näitamine,
·         kliendiandmete töötlemine kaugloetavate arvestitega,
·         veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
·         telemaatikateenuse osutamine.

3. Eriliigiliste andmete ulatuslik töötlemine

Ka kõik isikuandmete vastutavad või volitatud töötlejad, kelle põhitegevuseks on isikuandmete eriliikide ulatuslik töötlemine, peavad määrama andmekaitsespetsialisti. Isikuandmete eriliikideks on näiteks terviseandmed, biomeetria, poliitilised vaated jne.

Eriliigiliste andmete ulatuslikud töötlejad on näiteks haiglad, perearstikeskused. Ka terviseuuringute teostajad, juhul kui kasutatakse isikustatud andmeid.

Euroopa andmekaitseasutuste töörühm on välja töötanud andmekaitsespetsialisti suunised ja vastused korduma kippuvatele küsimustele andmekaitsespetsialisti määramise kohta. Kõigi vastuvõetud juhendmaterjalidega saad tutvuda SIIN.

Ettevõtte andmekaitsespetsialisti määramisest tuleb teatada inspektsioonile 

Andmekaitsespetsialist nõustab tööandjat ja on andmekaitse alal kontaktisikuks. Ta võib täita ka muid tööülesandeid, see ei pea olema täistöökoht. Mitu ettevõtete ja asutust võivad määrata ka ühise AKS. Ettevõte võib AKS määrata vabatahtlikult – ka sel juhul saab ta inspektsiooni jaoks kontaktisikuks.

"Küberruumi ilmuvad üha uued ohud, õiguskeskkond muutub keerulisemaks. Nii ettevõtted kui asutused vajavad senisest rohkem infoturbe ja andmekaitse asjatundjaid. Nii saame paremini kaitsta nii oma infovara kui ka inimeste usaldust, kelle andmeid töötleme", ütles inspektsiooni peadirektor Viljar Peep.

Andmekaitsespetsialisti määramisest tuleb inspektsioonile teada anda. Teate saab esitada ettevõtjaportaali kaudu analoogselt teiste teadetega äriregistrile. Alates 25. maist 2018. a kuvatakse AKSde andmed lisainfona äriregistris ettevõtte või asutuse andmete juures.

"Esitamine on lihtne – samas kanalis ja samamoodi, nagu tavapärane ettevõtte ja äriregistri vaheline digisuhtlus. Äriregistris  on uus informatiivne infoväli. 

Andmekaitsespetsialisti määramine ettevõtjaportaalis

Kui teie asutusel või ettevõttel on EL isikuandmete kaitse üldmääruse järgi vaja määrata andmekaitsespetsialist, peate spetsialisti määramisest teavitama andmekaitse inspektsiooni. Seda saate teha ettevõtjaportaali kaudu. Kohustus andmekaitsespetsialisti määramisest inspektsiooni teavitada hakkab kehtima 25. maist 2018.

Andmekaitsespetsialisti määramisest saab ettevõtjaportaali kaudu teavitada esindusõiguslik isik. Esitamiseks on vaja andmekaitsespetsialisti ees- ja perekonnanime ning isikukoodi/sünniaega.

Klienditugi

Kui andmekaitsespetsialisti määramisest teavitamisel tekib tõrkeid või tehnilisi küsimusi, saab nõu küsida klienditoe meiliaadressil abi@aki.ee. Samuti saab nõu klienditoe telefoninumbrilt +372 682 8714, mis vastab tööpäevadel kell 10.00-12.00 ja 14.00-15.00.

Allikas: Andmekaitse Inspektsioon