Aastal 2016 vastu võetud isikuandmete kaitse üldmäärus ehk GDPR (inglise keeles General Data Protection Regulation) on Euroopa Liidu määrus, mis annab õigusliku raami isikuandmete kaitse normidele ehk antakse juhised, kuidas töödelda isikuandmeid Euroopa Liidus ja teatud juhtudel ka väljaspool Euroopa Liidu territooriumi.
Isikuandmete kaitse üldmääruse põhiline eesmärk on muuta lihtsamaks, ühtsemaks ja tugevamaks Euroopa Liidu isikuandmete kaitse normid selliselt, et üksikisikutel oleksid suuremad võimalused kontrollida oma isikuandmete töötlemist nii eraisikute, ettevõtete kui ka riigiasutuste poolt.
Millised andmed on isikuandmed?
Isikuandmed on igasugune teave tuvastatud või tuvastatava isiku kohta. Tuvastatav on füüsiline isik, keda on võimalik tuvastada eelkõige mõne identifitseerimistunnuse põhjal nagu nimi, isikukood, tema geneetiline, majanduslik, kultuuriline vms tunnus.
Mida peetakse silmas isikuandmete töötlemise all?
Isikuandmete töötlemine on mistahes isikuandmetega tehtav toiming. See võib olla näiteks kogumine, muutmine, salvestamine, säilitamine, edastamine, päringute tegemine, avalikustamine, kustutamine.
Seega selleks, et nii isikustatud kui ka isikustamata andmetest ettevõttes rohkem kasu oleks, on vaja kogutavatest andmetest rohkem aru saada ja kasutada kvaliteetset andmeanalüütikat.
Oluline on siinkohal aga see, et andmeid kasutatakse korrektselt ning kooskõlas õigusaktidega. Vastasel juhul on võimalik rakendada trahve ja seda ka olukordades, kus andmekaitsespetsialisti olemasolu on nõutav, kuid ettevõte ei ole andmekaitsespetsialisti määranud.
Millal ja miks on vaja andmekaitsespetsialisti?
Andmekaitsespetsialisti roll kerkis üles seoses isikuandmete kaitse üldmäärusega, millest tulenevalt on andmekaitsespetsialist kohustuslik kõikide avaliku sektori asutuste ja organite puhul.
Ka on see nõutav selliste ettevõtete puhul, kelle põhitegevusena süsteemselt ja pidevalt töödeldakse isikuandmeid ning seda tehakse ulatuslikult. Terminit „ulatuslikult“ ei ole küll täpselt defineeritud, kuid silmas tuleks pidada järgmiseid kriteeriume:
1) kui paljusid isikuid andmetöötlus hõlmab;
2) kui kaua andmeid töödeldakse;
3) kui suur on isikuandmete maht ja/või kui palju on erinevaid andmekirjeid;
3) milline on isikuandmete töötlemise geograafiline ulatus.
Lisaks eelpool toodule, on tulenevalt isikuandmete kaitse üldmäärusest kohustuslik andmekaitsespetsialist nimetada ka sellistes ettevõtetes, kus töödeldakse ettevõtte põhitegevuse raames ja ulatuslikult näiteks terviseandmeid, geneetilisi, biomeetrilisi, inimese seksuaalelu ja seksuaalse sättumusega, rassi või etnilise päritoluga seonduvaid andmeid vms isikuandmete eriliike.
Täiendavad valdkonnad, kus tõenäoliselt on andmekaitsespetsialisti määramine kohustuslik
Lisaks eelpool toodule, on mõned valdkonnad, kus tulenevalt ettevõtte tegevusalast või suuremast võimalikust ohust isikute isikuandmete kaitsele, võib olla kohustuslik andmekaitsespetsialisti määramine. Allpool toodud loetelu ei ole lõplik, kuid toome alljärgnevalt mõned näited:
1) sideettevõtted (tegelevad interneti- ja telefoniteenuste osutamisel andmete töötlemisega);
2) krediidiasutused, kindlustusseltsid ja kindlustuse vahendajad;
3) kaubandusketid (koguvad andmeid püsikliendiprogrammide raames);
4) hotellid (koguvad andmeid hotellis viibivate isikute osas);
5) töövahendusportaalid, personali- ja tööjõurendi ettevõtted;
6) uudisteportaalid;
7) spaad ja tervisekeskused (kui töödeldakse terviseandmeid);
8) perearstikeskused ja haiglad (meditsiiniasutused);
9) ettevõtted, kes tegelevad otseturundusega (ehk kindla valimi alusel saadetakse klientidele reklaami ja pakkumisi);
10) profiilianalüüsiga tegelevad ettevõtted (nt isikute maksevõime hindamine, nutirakendustes inimeste asukohaandmete töötlemisega tegelevad ettevõtted, klientide tervisekäitumise riski hindamisega tegelevad ettevõtted);
11) kaugloetavate arvestite (smart devices) abil kliendiandmete töötlemisega tegelevad ettevõtted;
12) kõik sellised ettevõtted, kes töötlevad isikuandmete eriliike (terviseandmed, geneetilised, biomeetrilised, inimese seksuaalelu ja seksuaalse sättumuse, rassi või etnilise päritoluga seonduvad andmed vms isikuandmete eriliigid).
Isegi kui ettevõtte põhitegevus ei ole seotud eraisikutele teenuse pakkumisega, kuid teenuse kasutajal on suur andmebaas klientide andmetega, mida kasutatakse teenuse pakkumiseks, on oluline silmas pidada isikuandmete kaitse üldmääruse nõudeid ning hinnata, kas andmekaitsespetsialisti määramine on vajalik.
Mida andmekaitsespetsialist teeb?
Andmekaitsespetsialist (AKS või inglise keeles DPO) on kokkuvõtvalt vastutav isik ettevõtte, üksikisiku ja järelevalveasutuse vahel. Tema roll on tõsta organisatsiooni teadlikkust isikuandmete töötlemist puudutavates küsimustes ning aidata teha õigeid valikuid.
Andmekaitsespetsialisti ülesanded ettevõttes on eelkõige järgmised:
1) ta on ettevõtte kontaktisik isikuandmete töötlemise küsimustes – tema poole saab pöörduda kõikides andmekaitsealastes küsimustes. Lisaks nõustab ta andmekaitsealase mõjuhinnangu tegemisel ja jälgib ka selle toimimist;
2) hoiab ettevõtte juhtkonda ja töötajaid andmekaitse valdkonda puudutavate muudatuste osas kursis, vajadusel nõustab ning abistab tekkinud küsimustes;
3) jälgib ettevõte andmekaitsealaste reeglite täitmist, vastutab selle eest, et ettevõtte töötajad oleksid läbinud vajalikud isikuandmete töötlemist puuduvad koolitused ning andmekaitsealased auditid oleksid tehtud ning vastaksid nõutule;
4) teeb Andmekaitse Inspektsiooniga koostööd ning on ettevõtte poolseks kontaktiks.
Kas andmekaitsespetsialisti teenust võiks ka sisse osta?
Andmekaitsespetsialist võib isikuandmete kaitse üldmääruse järgi olla ettevõtte koosseisuline töötaja või ta võib täita neid ülesandeid ka teenuslepingu alusel.
Andmekaitsespetsialistil on lubatud tegeleda ka muude ülesannetega seni, kuni need muud ülesanded ja kohustused ei too kaasa huvide konflikti seoses tema rolliga andmekaitsespetsialistina.
Kui on teada, et ettevõtte andmekaitsespetsialisti töökoormus oleks väga madal või on tegemist väikeettevõttega, kus ei ole võimalik või mõistlik eraldi andmekaitsespetsialisti värvata, on võimalik mõelda andmekaitsespetsialisti teenuse sisseostmisele advokaadibüroo käest.
Advokaadid saavad aidata ka selgusele jõuda selles, kas ettevõttel on kohustus määrata andmekaitsespetsialist või kui see kohustuslik ei ole, siis kas oleks siiski kasulik andmekaitsespetsialist määrata arvestades ettevõtte tegutsemisvaldkonda ja profiili.
Advokaadibüroodes töötavad advokaadid on oma valdkonna eksperdid ning isikuandmete kaitse küsimustele spetsialiseerunud advokaat on isikuandmete kaitse üldmääruse ja teiste andmekaitsealaste õigusaktidega põhjalikult tutvunud ning oskavad nõustada nii üldisemates kui ka spetsiifilisemates küsimustes ja aitavad leida tõusetunud probleemidele lahendusi.
Advokaadi poole on mõistlik pöörduda ka sellisel juhul, kui ettevõte vajaks ühekordset andmekaitsealast õigusnõustamist või näiteks nõustamist mõne suurema projekti või uuenduse raames.
Lisaks andmekaitsespetsialisti teenusele saab advokaadibüroost tellida oma ettevõtte töötajatele personaliseeritud koolitusi andmekaitsest. Sellised personaliseeritud koolitused on tõhusamad niiöelda tavapärastest andmekaitsealastest koolitustest, kus antakse reeglina üldine ülevaade isikuandmete kaitse üldmäärusest, kuid selliste koolituste raames ei ole võimalik minna süvitsi ühe või teise ettevõtte tegevusala spetsiifikasse.
Advokaadibüroo Hedman pakub lisaks andmekaitsespetsialisti teenusele ka mitmeid teisi õigusalaseid teenuseid erinevates valdkondades (näiteks täitemenetlus, intellektuaalne omand, tööõigus ja optsioonid, infotehnoloogia, maksuõigus).
Seotud lood
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi: võisteldakse tööjõuturul ja IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgus Äripäeva raadio saates.