Sisuturundus
25.06.2024, 11:42

Andmekaitsespetsialisti (DPO) ülesanded ja tähtsus tänapäeva ettevõtetes

 
FOTO: Pexels

Miks on vaja isikuandmeid kaitsta?

Isikuandmeid on vaja kaitsta selleks, et inimesed vajavad kindlust, et nende kohta käivat teavet kogutakse ja kasutatakse õigesti, ausalt ja turvaliselt. Vastasel juhul ei teki usaldust. Andmekaitsereeglite tõlgendamine, nende järgimine ja tõhus infoturve aitavad suurendada inimeste usaldust ja ühtlasi kaitsta ettevõtte/asutuse (info)vara.

Isikuandmete kaitse üldmäärus ehk GDPR

2016 võeti vastu isikuandmete kaitse üldmäärus ehk GDPR (inglise keeles General Data Protection Regulation), mis on Euroopa Liidu määrus, millega anti õiguslik raam isikuandmete kaitse normidele ehk need on juhised, kuidas töödelda isikuandmeid Euroopa Liidus ja ka väljaspool Euroopa Liidu territooriumi kui tegemist on Euroopa Liidu kodanikega .

GDPRi põhiline eesmärk on lihtsustada ja ühtlustada Euroopa Liidu isikuandmete kaitse norme nii, et üksikisikutel oleks suurem võimalus kontrollida oma isikuandmete töötlemist eraisikute, ettevõtete kui riigiasutuste poolt.

Isikuandmete all peetakse silmas igasugust teavet tuvastatud või tuvastatava isiku kohta. Tuvastatav on füüsiline isik, keda on võimalik tuvastada eelkõige mõne identifitseerimistunnuse põhjal nagu nimi, isikukood, tema geneetiline, majanduslik, kultuuriline vms tunnus.

Isikuandmete töötlemiseks on mistahes isikuandmetega tehtav toiming - näiteks isikuandmete kogumine, muutmine, salvestamine, edastamine, säilitamine, päringute tegemine, avalikustamine, kustutamine.

Selleks, et isikustatud kui ka isikustamata andmetest ettevõttes rohkem kasu oleks, tuleb kogutavaid andmeid paremini mõista ja kasutada ka kvaliteetset andmeanalüütikat.

Oluline on seejuures, et andmeid kasutatakse õigesti ehk kooskõlas õigusaktidega. Vastasel juhul ähvardavad ettevõtet trahvid ja seda ka olukordades, kus andmekaitsespetsialisti olemasolu on nõutav, kuid ettevõte ei ole andmekaitsespetsialisti määranud.

Kes on andmekaitsespetsialist ehk DPO?

Andmekaitsespetsialist (inglise keeles DPO, eesti keeles AKS) on lühidalt öeldes vastutav isik ettevõtte, üksikisiku ja järelevalveasutuse vahel. Tema ülesanne on tõsta asutuse või organisatsiooni teadlikkust isikuandmete töötlemist puudutavates küsimustes, samuti aidata teha õigeid valikuid.

Andmekaitsespetsialisti ekspertteadmiste tase ei ole kindlaks määratud, kuid see peab vastama töödeldavate andmete delikaatsusele, keerukusele ja hulgale. Andmekaitsespetsialistil peavad olema ekspertteadmised liikmesriigi ja liidu andmekaitseseaduste ja tavade kohta, lisaks põhjalikud teadmised GDPR-st.

Hea on teada, et andmekaitsespetsialist võib tegeleda ka muude ülesannetega seni, kuni muud ülesanded ja kohustused ei sisalda huvide konflikti seoses tema rolliga DPO-na.

Millistel juhtudel on vaja andmekaitsespetsialisti?

Andmekaitsespetsialisti vajadus tõusetus isikuandmete kaitse üldmäärusest, mille kohaselt on andmekaitsespetsialist ehk DPO kohustuslik kõikide avaliku sektori asutuste ja organite puhul.

Lisaks on DPO nõutav ettevõtete puhul, kelle põhitegevuses süsteemselt ja pidevalt töödeldakse isikuandmeid ning seda tehakse ulatuslikult. Termini „ulatuslikult“ täpset definitsiooni ei ole, kuid silmas võiks pidada järgmisi kriteeriume:

  1. kui paljusid isikuid andmetöötlusega hõlmatakse;

  2. kui kaua andmeid töödeldakse;

  3. kui suur on isikuandmete maht ja/või kui palju on erinevaid andmekirjeid;

  4. milline on isikuandmete töötlemise geograafiline ulatus ehk millisel alal neid töödeldakse.

Lisaks on tulenevalt GDPR-st kohustuslik andmekaitsespetsialist nimetada sellistes ettevõtetes, kus töödeldakse ettevõtte põhitegevuse raames ja ulatuslikult näiteks terviseandmeid, geneetilisi, biomeetrilisi, inimese seksuaalelu ja seksuaalse sättumusega, rassi või etnilise päritoluga seonduvaid andmeid vms isikuandmete eriliike.

Täiendavad valdkonnad, kus andmekaitsespetsialisti määramine võib olla kohustuslik

Lisaks on mõned valdkonnad, kus tulenevalt ettevõtte tegevusalast või suuremast võimalikust ohust isikute isikuandmete kaitsele, võib olla andmekaitsespetsialisti määramine kohustuslik. Näitena võib tuua:

  1. sideettevõtted (interneti- ja telefoniteenuste osutamisel andmete töötlemine);

  2. krediidiasutused, kindlustusseltsid ja kindlustuse vahendajad;

  3. kaubandusketid (püsikliendiprogrammides andmete kogumine);

  4. uudisteportaalid;

  5. hotellid (hotellis viibivate isikute osas andmete kogumine);

  6. töövahendusportaalid, personali- ja tööjõurendi ettevõtted;

  7. spaad ja tervisekeskused (terviseandmete töötlemine);

  8. perearstikeskused ja haiglad ning teised meditsiiniasutused;

  9. otseturundusega tegelevad ettevõtted;

  10. profiilianalüüsi tegevad ettevõtted (nt isikute maksevõime hindamine, nutirakendustes inimeste asukohaandmete töötlemisega tegelevad ettevõtted, klientide tervisekäitumise riski hindamisega tegelevad ettevõtted);

  11. ettevõtted, kes töötlevad isikuandmete eriliike (terviseandmed, geneetilised, biomeetrilised, inimese seksuaalelu ja seksuaalse sättumuse, rassi või etnilise päritoluga seonduvad andmed vms isikuandmete eriliigid).

Milliseid ülesandeid täidab andmekaitsespetsialist?

Andmekaitsespetsialisti ehk DPO ülesandeks on:

  1. teavitada ja nõustada vastutavat või volitatud töötlejat ja isikuandmeid töötlevaid töötajaid nende kohustustest, mis tulenevad GDPR-st ja teistest Euroopa Liidu või liikmesriikide andmekaitsenormidest;

  2. jälgida andmekaitse määruse jt andmekaitsenormide ja vastutava või volitatud töötleja isikuandmete kaitse põhimõtete täitmist, samuti isikuandmete töötlemises osalevate töötajate teadlikkuse suurendamist ja nende koolitamist, oluline on ka auditeerimine;

  3. nõustada seoses andmekaitsealase mõjuhinnanguga ja jälgida selle toimimist;

  4. teha koostööd järelevalveasutusega;

  5. olla kontaktisikuks isikuandmete töötlemise küsimustes järelevalveasutusele, sh GDPR artiklis 36 viidatud konsulteerimise osas ja nõustada vajaduse korral ka muudes küsimustes.

Kas andmekaitsespetsialisti teenust võib ka sisse osta?

GDPRi kohaselt võib andmekaitsespetsialist olla kas ettevõtte/asutuse koosseisuline töötaja või ta võib täita ka neid ülesandeid teenuslepingu alusel. Seega on andmekaitsespetsialisti teenus selline teenus, mida on võimalik sisse osta mõnelt advokaadibüroolt.

Kui ettevõtte andmekaitsespetsialisti töökoormus oleks väga väike või kui on tegemist väikeettevõttega, kus ei ole võimalik või otstarbekas eraldi andmekaitsespetsialisti tööle võtta, on samuti mõistlik osta andmekaitsespetsialisti teenus advokaadibüroo käest.

Advokaadi võiks otsida ka siis üles, kui ettevõttel on vaja ühekordset andmekaitsealast õigusnõustamist või näiteks nõustamist mõne suurema projekti või uuenduse raames.

Advokaadibüroost on võimalik tellida oma ettevõtte töötajatele personaliseeritud koolitusi andmekaitse küsimustes. Sellised personaliseeritud koolitused on oluliselt tõhusamad tavapärastest andmekaitsealastest koolitustest, kus räägitakse tavapäraselt üldiselt isikuandmete kaitse üldmäärusest. Personaliseeritud koolituste raames on aga võimalik minna süvitsi ühe või teise ettevõtte/asutuse tegevusala spetsiifikasse.

Advokaadid Tallinnas ja mujal Eestis on valmis andmekaitsealastes küsimustes nõustama ja pakuvad vajadusel andmekaitsespetsialisti teenuseid. Selleks võta julgesti ühendust!

Delfi
Jaga
Kommentaarid