Kas sinu ettevõte vajab andmekaitsespetsialisti?

Määruse eesmärk on Euroopa Liidus (ja teatud tingimustel ka väljaspool Euroopa Liitu) isikuandmete kaitse norme ühelt poolt tugevdada, teisalt lihtsustada ning anda suuremad võimalused isikutele kontrollida, kuidas teised (st nii eraisikud, firmad ja ka avalik sektor) nende andmeid töötlevad. Töötlemise all peetakse silmas mistahes isikuandmetega tehtavat toimingut – näiteks kogumine, salvestamine, muutmine, päringute tegemine, kustutamine, edastamine. Isikuandmete all tuleks mõista igasugust teavet tuvastatud või tuvastatava isiku kohta. Tuvastatav on füüsiline isik, keda saab tuvastada eelkõige mõne identifitseerimistunnuse põhjal nagu nimi, isikukood, tema geneetiline, majanduslik, kultuuriline vms tunnus.

Võrreldes seni kehtinud isikuandmete kaitse direktiiviga on oluline roll nüüd andmekaitsespetsialistil, kes on vastutavaks isikuks ettevõtte, üksikisiku ja järelevalveasutuse vahel. Andmekaitsespetsialist on tulenevalt GDPR-st kohustuslik kõikide avaliku sektori asutuste ja organite puhul. Samuti on see nõutav nende ettevõtete puhul, kelle põhitegevuseks on süsteemselt ja pidevalt töödelda isikuandmeid ning seda ulatuslikult. Mida sõna „ulatuslikult“ all täpselt isikuandmete kaitse üldmääruses silmas peetakse, ei ole defineeritud, kuid silmas tuleks pidada järgmist:

1) kui paljusid inimesi andmetöötlus hõlmab;

2) isikuandmete maht ja/või kui palju on erinevaid andmekirjeid;

3) kui kaua andmeid töödeldakse;

4) isikuandmete töötlemise geograafiline ulatus.

Lisaks eelnevale, on tulenevalt GDPR-st kohustuslik andmekaitsespetsialist nimetada ka neis ettevõtetes, kus töödeldakse ettevõtte põhitegevuse raames ja ulatuslikult näiteks terviseandmeid, geneetilisi või biomeetrilisi andmeid, rassi või etnilise päritoluga seonduvaid andmeid vms isikuandmete eriliike.

Lisaks eelnevale, on mõned tegevusvaldkonnad, kus on lähtuvalt ettevõtte tegevusalast ja sellest, kui suur võimalik oht eraelu puutumatusele, tõenäoliselt kohustuslik andmekaitsespetsialist. Alljärgnevalt mõned näited sellistest tegevusaladest:

- hotellid, kaubandusketid ja teised ettevõtted, kes koguvad klientide andmeid ja kellel on lojaalsusprogrammid;

- spaad (kui töödeldakse terviseandmeid);

- haiglad ja perearstikeskused;

- töövahendusportaalid, personali ja tööjõurendi ettevõtted;

- profiilianalüüsi teostavad ettevõtted (nt ettevõtted, kes tegelevad maksevõimet või kliendi tervise- või liikluskäitumise riski või ettevõtted, kes tegelevad inimeste asukohaandmete töötlemisega nutirakendustes)

- krediidiasutused, kindlustusega tegelevad ettevõtted;

- sideettevõtted (tegeletakse telefoni- või internetiteenuse kasutajate andmete töötlemisega);

- digiturundusega tegelevad ettevõtted (analüüsivad klientide võrgulehtede analüüsi ja lähtudes sellest edastavad reklaami);

- kaugloetavatest arvestitest ( smart devices ) pärit kliendiandmeid töötlevad ettevõtted;

- kõik need ettevõtted, kes töötlevad isikuandmete eriliike.

Lisaks olukorras, kus ettevõtte tegevus ei seondu eraisikutele teenuse pakkumisega, kuid teenuse kasutajal on mahukas kliendibaas ja teenuse käigus kasutatakse kliendibaasi andmeid ehk töödeldakse isikuandmeid, siis tuleks ikkagi andmekaitsespetsialist määrata (näitena võib tuua IT teenuste kasutamise, otseturunduse, andmete analüüs ja teised sarnased valdkonnad).

Andmekaitsespetsialisti puudumise tõttu on Euroopas tehtud ka trahviotsuseid, millest võib järeldada seda, et andmekaitsespetsialisti olemasolu nõude täitmist kontrollitakse. Selleks, et vältida ebameeldivusi ja võimalikke trahve, tuleks välja selgitada, kas konkreetse ettevõtte puhul on nõutav andmekaitsespetsialisti olemasolu või mitte.

Andmekaitsespetsialist ehk DPO täidab ettevõttes eelkõige järgmiseid ülesandeid:

1) on kontaktisikuks isikuandmete töötlemise küsimustes – ükskõik, milline andmekaitsealane küsimus tekib, saab alati DPO poole pöörduda ja abi saada. Samuti annab ta nõu andmekaitsealase mõjuhinnangu tegemisel ja jälgib selle toimimist;

2) informeerib ettevõtte juhtkonda ja töötajaid andmekaitse valdkonda puudutavatest muudatustest, vajadusel nõustab ning abistab neis küsimustes;

3) jälgib, et ettevõte täidaks andmekaitsealaseid reegleid, et ettevõtte töötajad oleksid läbinud vajalikud koolitused ning andmekaitsealased auditid oleksid tehtud;

4) teeb koostööd Andmekaitse Inspektsiooniga ning on ettevõtte poolseks kontaktiks.

Isikuandmete kaitse üldmääruse ehk GDPRi kohaselt võib andmekaitsespetsialist olla ettevõtte koosseisuline töötaja või täita neid ülesandeid teenuslepingu alusel. Andmekaitsespetsialist võib täita ka muid ülesandeid, kuid oluline on silmas pidada seda, et muud ülesanded ja kohustused ei põhjustaks huvide konflikti.

Kui on tegemist väikese ettevõttega või ettevõtte andmekaitsespetsialisti töökoormus oleks väga madal, siis võib kaaluda andmekaitsespetsialisti teenuse sisse ostmist advokaadibüroo käest. Advokaadibüroos on oma ala eksperdid, kes on isikuandmete kaitse üldmääruse ja teiste andmekaitsealaste regulatsioonidega kursis ning oskavad anda nõu ning leida probleemidele lahendusi. Ette võib tulla ka olukordi, kus oleks vaja andmekaitsealast õigusnõustamist ühekordselt või mõne suurema projekti raames. Samuti on teenuse sisseostmine mõistlik olukorras, kus on tekkinud ebaselgus, kuidas üldmäärust kohaldada või vaidlus mõne konkreetse juhtumi osas. Lisaks andmekaitsespetsialisti teenusele on võimalik advokaadibüroost tellida ka personaliseeritud koolitusi andmekaitsest ettevõtte töötajatele. Sellised personaliseeritud koolitused on kindlasti praktilisemad kui tavalised andmekaitsealased koolitused, kus antakse isikuandmete kaitse üldmäärusest üldine ülevaade ning tuuakse välja olulisemad nüansid, kuid need ei lähtu konkreetse ettevõtte eripäradest ja vajadustest.

Lisaks andmekaitsespetsialisti teenusele pakub Hedman advokaadibüroo ka teisi õigusalaseid teenuseid erinevates valdkondades nagu näiteks intellektuaalne omand, täitemenetlus, tööõigus ja optsioonid, infotehnoloogia ning maksuõigus.