Kes peavad määrama andmekaitsespetsialisti?

PrintPDF Jaga

25. mail 2018. a jõustuv isikuandmete kaitse üldmäärus sisustab uue mõiste, milleks on andmekaitseametnik (ingl. k. DPO ehk Data Protection Officer). Sisuliselt on tegu andmekaitsespetsialistiga.

Määruse artikkel 37(1) sätestab, millised isikuandmete töötlejad peavad andmekaitsespetsialisti määrama. Nendeks on

  • avaliku sektori asutus või organ,
  • andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine,
  • andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Järgnevalt selgitame neid mõisteid täpsemalt lähtudes Euroopa Liidu andmekaitseasutuste esialgsetest tõlgendustest.

Avaliku sektori asutus või organ

Määruse artikkel 37 (1a) näeb ette, et andmekaitsespetsialisti peavad määrama kõik avaliku sektori asutused. Eesti seaduse kohaselt on nendeks avalike ülesannete täitjad. Ehk riigi- ja omavalitsusasutused ning avalik-õiguslikud või eraõiguslikud isikud, kes täidavad avalikke ülesandeid. Näiteks ministeeriumid, ametid, inspektsioonid. Samuti üldharidus-, kutse- ja kõrgkoolid. Kõik linna- ja vallavalitsused. Avalik-õiguslik ringhääling. Samas näeb määrus ette erisuse kohtutele.

Kuigi määrus otseselt ei kohusta, soovitavad andmekaitseasutused arvestada võimalusega, et kui vastutav töötleja täidab avalikku ülesannet ja on määranud andmekaitsespetsialisti, peaks ka volitatud töötleja (sh eraõiguslik isik) andmekaitsespetsialisti määrama.

Põhitegevus

Määruse artikkel 37 (1b) sätestab andmekaitsespetsialisti määramise üheks kriteeriumiks selle, kui vastutava või volitatud töötleja isikuandmete töötlemise toimingud on nende põhitegevus. Mõiste põhitegevus all mõeldakse andmetöötleja võtmetegevusi, ilma milleta ei saa andmetöötleja oma igapäevaseid tegevuseesmärke täita. Nt haigla põhieesmärk on tervishoiuteenuse osutamine. Kuid haigla ei saa seda teha ilma patsientide isikuandmeid töötlemata.

Samuti näiteks kaubanduskeskustes turvateenust osutav ettevõte. Kuigi tema põhitegevus on valveteenus, on viimane siiski seotud isikuandmete töötlemisega ning rakendub andmekaitsespetsialisti määramise kohustus. Sama põhimõtte kohaselt peaksid andmekaitsespetsialisti määrama näiteks krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad, sideettevõtted, hotellid, personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid.

NB! Põhitegevusena ei tule siiski käsitleda andmetöötleja enda töötajate isikuandmete töötlemist. Olgu selleks näiteks kas puhkuse- ja haiguspäevade arvestus või elektrooniliste juurdepääsuõiguste haldamine.

Ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine

Kuigi need 3 tingimust peaksid määruse kohaselt olema korraga täidetud, analüüsime selguse huvides nende tähendust eraldi.

Ulatuslik andmetöötlus

Määruse artikli 37 (1b) kohaselt on üheks andmekaitsespetsialisti määramise kriteeriumiks see, kui toimub ulatuslik andmesubjektide jälgimine. On selge, et seda mõistet ei ole võimalik üheselt sisustada. See võib tähendada jälgitavate isikute arvu, jälgimise aega või geograafilist ulatust.

Siiski saame tuua mõned näited valdkondadest, mis võiksid paigutuda mõiste ulatuslik alla:

  • patsientide isikuandmete töötlemine haiglates või tervisekeskustes,
  • ühistranspordi valideerimislahendused,
  • kliendiandmete töötlemine pangas või kindlustusettevõttes,
  • telefoni- või internetiteenuse kasutajate andmete töötlemine,
  • võrguturbe ettevõtted.

Erandiks võib aga tuua üksiku perearsti patsientide andmetöötluse. See ei lähe määruse kohasel termini ulatuslik alla.

Korrapärane ja süstemaatiline andmetöötlus

Neid mõisteid ei ole määruses täpsemalt defineeritud. Küll aga annavad määruse mõned põhjenduspunktid aimu, mida täpsemalt on mõeldud.

Mõiste korrapärane laieneb juhtudele, kui andmetöötlus on kas pidev või kindla aja tagant korduv ning ei ole ühekordne toiming.
Süstemaatilise andmetöötlusega peab arvestama, kui see on eelnevalt planeeritud, läbiviimine organiseeritud ja metoodiline ning on selgelt osa andmetöötleja ärimudelist.

Toome mõned näited andmetöötlustest, mis on korrapärased ja süstemaatilised:

  • sideteenuse osutamine (nii telefoni kui internetiteenus),
  • kindla valimi alusel otseturustuse saatmine,
  • kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (nt maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
  • kliendi asukohaandmete töötlemine nutirakendustes,
  • kaubanduskettide lojaalsusprogrammid,
  • klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-reklaamide näitamine,
  • kliendiandmete töötlemine kaugloetavate arvestitega,
  • veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
  • telemaatikateenuse osutamine.

Eriliigiliste andmete ulatuslik töötlemine

Ka kõik isikuandmete vastutavad või volitatud töötlejad, kelle põhitegevuseks on isikuandmete eriliikide ulatuslik töötlemine, peavad määrama andmekaitsespetsialisti. Isikuandmete eriliikideks on nt terviseandmed, biomeetria, poliitilised vaated (vt lisaks määruse Art 9).

Eriliigiliste andmete ulatuslikud töötlejad on näiteks haiglad, perearstikeskused. Ka terviseuuringute teostajad, juhul kui kasutatakse isikustatud andmeid.

 

Euroopa andmekaitseasutuste töörühm on välja töötanud andmekaitsespetsialisti suunised ja vastused korduma kippuvatele küsimustele andmekaitsespetsialisti määramise kohta. Kõigi vastuvõetud juhendmaterjalidega saad tutvuda SIIN.


Selgitame siin rubriigis järgnevate kuude jooksul lähemalt erinevaid andmekaitse reformiga seotud küsimusi. Et parasjagu on inspektsioonil koos asjahuviliste partneritega käsil andmekaitsespetsialisti kompetentside väljatöötamine, tasub järgmisena oodata ülevaadet just sellest.


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner