Andmekaitse Inspektsiooni logo

3. peatükk. Andmekaitsespetsialist (AKS)

Andmekaitsespetsialisti (AKS) roll organisatsioonis on väga oluline ja see peab olema sõltumatu. Selles peatükis käistleme selle rolli tähtsust.
Vt. üldmääruse art. 37-39 ja pp. 97; direktiivi art. 32-34 ja pp. 63; IKS § 40-42; Vt. Euroopa andmekaitseasutuste töörühma „Suunised andmekaitseametnike kohta“. Vt. inspektsiooni võrgulehel selgitused andmekaitsespetsialisti määramise kohta.

Kes peavad määrama andmekaitsespetsialisti?

Andmekaitseõigus muutub keerulisemaks, infotehniline areng toob kaasa üha uusi võimalusi ja ohte. Ettevõtted/asutused vajavad seetõttu üha enam andmekaitse alast oskusteavet. Mõnel juhul nõuab üldmäärus ja õiguskaitseasutuste andmekaitsedirektiiv (ning seda üle võttev IKS) andmetöötlejalt andmekaitseametniku määramist. See ei ole õnnestunud eestikeelne terminivalik, sest ametnikud on üksnes avalikus teenistuses kas riigi või omavalitsuse ametiasutustes. Seetõttu kasutame kokkuleppeliselt andmekaitsespetsialisti (AKS) mõistet.29

Andmetöötlejatest peavad AKSi määrama:

  1. kõik avaliku sektori asutused ja organid (v.a. kohtud õigusemõistmise osas);
  2. need, kes jälgivad inimesi oma põhitegevuse raames
  • korrapäraselt ja süsteemselt ning
  • sealjuures ulatuslikult;

     3. need, kes töötlevad isikuandmete eriliike või süüteoandmeid ja süüdimõistavaid kohtuotsuseid

  • oma põhitegevuse raames ja
  • sealjuures ulatuslikult.

AKSi määramise kohustus on selline, mis võib kehtida nii vastutava kui volitatud andmetöötleja kohta.

Näide: väikesed poed tellivad klientide ostueelistuste väljaselgitamiseks ning isikustatud reklaami tegemiseks vajalikku andmeanalüütikat suurelt IT-ettevõttelt. Poodide endi püsiklientide arv on väike, neile teenust pakkuva IT-ettevõtte andmeanalüütika hõlmab aga kokku üle 50 tuhande inimese. Seega antud näites vastutavad töötlejad (poed) ise ei peagi AKSi määrama, küll aga peab seda tegema nende volitatud töötleja (IT-ettevõte).


Kui ühe andmetöötluse raames määravad AKSi nii vastutav kui volitatud töötleja, siis peavad nad omavahel koostööd tegema. Igasugune isikuandmete töötlemine ei tähenda alati jälgimist-monitoorimist.

Näide: pood peab küll püsiklientide üle arvestust raamatupidamisnõuete täitmiseks (arvete koostamiseks ja säilitamiseks), kuid klientide ostueelistuste analüüsi ei tee. Sel juhul ei ole kohustust AKSi määrata, sest kliente ei jälgita.


Vaatame üle mõisted, millest oleneb AKSi määramise kohustus:

Kes on avaliku sektori asutus või organ?

AKSi peavad määrama kõik avaliku sektori asutused ja organid. Need on eeskätt riigi ja omavalitsuse asutused (näiteks põhiseaduslike institutsioonide kantseleid, valitsusasutused, valla- ja linnavalitsused; samuti eelloetletute poolt hallatavad asutused, näiteks koolid) ning avalikõiguslikud juriidilised isikud (näiteks Eesti Rahvusringhääling, Kaitseliit, Rahvusraamatukogu, Eesti Pank, Eesti Haigekassa).

Teiseks paigutatakse avaliku sektori alla eraõiguslikud isikud, kui nad täidavad avalikku ülesannet. Eraõiguslikku avaliku ülesande täitjat aitab määratleda avaliku teabe seaduse § 5 lg 2: „isik täidab seaduse, haldusakti või lepingu alusel avalikke ülesandeid, sealhulgas osutab haridus-, tervishoiu-, sotsiaal- või muid avalikke teenuseid“. Eraõiguslikule isikule, kes on avaliku ülesande täitmise tõttu avaliku teabe valdaja, laienevad ka isikuandmete kaitse alal avaliku sektori asutuse nõuded.

Näiteks tervishoiu alal loetakse avalikuks ülesandeks a) perearsti tegevust ambulatoorse üldarstiabi osutamisel, b) statsionaarse eriarstiabi osutamist piirkondlikus ja keskhaiglas ning c) kiirabi osutamist.30 Samas ei välista avalik ülesanne võlaõiguslikku lepingulist suhet tervishoiuteenuse osutaja ja patsiendi vahel. Riigi ja omavalitsuse asutatud eraõiguslik juriidiline isik (äri- või mittetulundusühing, sihtasutus) paigutatakse andmekaitse mõttes avalikku sektorisse, kui ta täidab avalikku ülesannet avaliku teabe seaduse § 5 lg 2 mõttes.

Mis on isikuandmete töötlemine põhitegevuse raames?

Põhitegevuse määratlemisel välistame sellest tugitegevused. Iseenda töötajate andmete töötlemine (nt. palga- ja puhkusearvestus, pääsuõiguste haldamine) ei ole põhitegevus.

Põhitegevus on see, milleks ettevõte/asutus on loodud, või mis on vähemalt üks tema võtmetegevusi. AKSi määramise kohustusega seonduv isikuandmete töötlemine peab olema sellise tegevuse lahutamatu osa. Näiteks ei ole ilma isikuandmete töötlemiseta võimalik osutada: a) tervishoiuteenust, b) finantsteenust, c) sideteenust, d) kindlustusteenust.

Mis on ulatuslik andmetöötlus?

Andmetöötluse ulatuslikkust saab määratleda väga erinevate näitajate põhjal. Euroopa andmekaitsenõukogu on soovitanud lähtuda näiteks:

  • andmetöötluses hõlmatud isikute arvust või osakaalust asjaomases elanikkonnas;
  • töödeldavate isikuandmete mahust ja/või erinevate andmekirjete arvust;
  • isikuandmete töötlemise kestusest või pidevusest;
  • isikuandmete töötlemise geograafilisest ulatusest.31

Inspektsioon eelistab suuremat selgust ning lähtub ulatuslikkuse määratlemisel eeskätt sellest, mitme inimese andmed on jälgimisse (nt. kliendiandmebaasis) hõlmatud:

  1. eriliiki või süüteoandmed 5000 ja enama inimese kohta;32
  2. suurt ohtu põhjustavad andmed 10 000 ja enama inimese kohta,33 suure ohu näideteks võib tuua:

a. identiteedivarguse või -pettuse oht (eriti digitaalse usaldusteenuse ning sellega võrreldava identiteedihaldusteenuse puhul)
b. oht varale (eriti panga- ja krediitkaarditeenuse kaudu)
c. oht sõnumisaladuse rikkumisele (eriti sideteenuse puhul)
d. inimese asukoha reaalajas jälitamine (eriti sideteenuse puhul)
e. inimese majandusliku seisu avalikuks saamine (eriti maksuandmete, pangaandmete ning krediidireitingu andmete kaudu – kuid see ei hõlma avalike andmete kasutamist)
f. oht õiguslike tagajärgedega või samalaadse mõjuga diskrimineerimiseks (sealhulgas töövahendusteenuses ning palga- ja karjäärivõimalusi mõjutavas hindamisteenuses)


3. ülejäänud isikuandmed 50 000 ja enama inimese kohta.34

Mis on korrapärane ja süstemaatiline andmetöötlus?

  1.  Mõiste korrapärane laieneb andmetöötlusele, mis toimub pidevalt või teatud ajavahemike tagant ega ei ole juhuslik;
  2. Süstemaatiline andmetöötlus on planeeritud ja metoodiline.35

Mis on jälgimine?

Üldmääruse pp. 24 viitab jälgimise osas näitena avalikus arvutivõrgus (internetis) toimuvale jälgimisele, eeskätt profiilianalüüsile, et teha inimese kohta otsuseid või analüüsida ja ennustada tema eelistusi, käitumist ja hoiakuid.

Jälgimise mõiste ei piirdu siiski ainult veebikeskkonnaga, internetis jälgimine on vaid üks võimalusi. Jälgimine toimub näiteks püsiklientide ehk tuvastatud klientide kohta nende ostuajaloo analüüsimise kaudu. Inimese kohta eri allikatest sarnaste andmete kokku kogumine on samuti jälgimine (näiteks krediidivõimelisuse hindamiseks, ühendades inimese kohta saadavaolevad avalikud andmed võlausaldajatelt saadud mitteavalike andmetega). Jälgimine on ka inimese asukoha-andmete jälgimine tema teenuste või seadmete kaudu.

Kaamera võimaldab vaateväljas olevat inimest äratundavalt jälgida (sh suumida). Eriti tõhus jälgimine toimub näotuvastus-tarkvara kasutades. Ühekordne droonikaamera lennutamine ning suures plaanis avalike alade (nt väljakute) mittesuumitav kaamerapilt ei lähe inimeste jälgimise alla.

Kes saab olla AKSiks?

AKSi rolli võib täita:

  • andmetöötleja oma töötaja (täistöökoht või lisaülesanne) või
  • andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel).

Isegi kui tegelikult kasutatakse „kollektiivse AKSi“ mudelit (s.t. AKSi ülesanded on pandud mõnele omaenda osakonnale vms allüksusele), peab välispidiselt (avalikkuse ja inspektsiooniga suhtlemiseks) keegi olema nimeliselt AKSiks määratud.

Avalikus sektoris on üldmääruse rakendusettevalmistuse käigus määratud suuremates asutustes täiskohaga AKS-id, väiksemates antud lisaülesandena. Nii ühel kui teisel juhul on neile tagatud tugi (paika pandud koostöösuhted infoturbe-, asjaajamis-, avalike suhete, õigusala jt vajalike kolleegidega).

AKSile – sarnaselt raamatupidajaga – ei ole kehtestatud diplomi- ega muid formaalseid kvalifikatsiooninõudeid. Soovitav on siiski, et tal oleks asjakohane koolitus täiend- või diplomiõppena läbitud.

Inspektsioon loodab, et tulevikus suudetakse AKSi kvalifikatsiooniküsimused lahendada kutseseaduse alusel kutsestandardiga.

AKS peab olema võimeline suhtlema nii andmesubjektide kui inspektsiooniga eesti keeles.

Mis on AKSi ülesanded?

AKSi ülesanded:

  • olla andmesubjektidele kontaktisikuks kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ja nende andmekaitseliste õiguste kasutamisega;
  • teavitada ja nõustada oma organisatsiooni (vajadusel ka selle partnerite) juhtkonda ning personali andmekaitse alal;
  • jälgida andmekaitsenormide rakendamist, sealhulgas vastutusvaldkondade jaotamist, personali teadlikkust ja koolitamist, ning andmekaitselist auditeerimist;
  • anda nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist;
  • teha koostööd Andmekaitse Inspektsiooniga, olles tööandja kontaktisikuks.

Need on üldmäärusest/direktiivist (ehk sisuliselt IKS-st) tulenevad AKSi põhiülesanded. Iseenesest ei sega see andmast talle ka muid tööülesandeid – kui see ei takista põhiülesannete täitmist.

Paratamatult täidab AKS „tõlgi“ rolli – ta peab oskama andmekaitset selgitama nendele, kes ei ole selle ala spetsialistid. See nõuab erialažargoonist, eriti aga võõrkeelsetest sõnadest/lühenditest hoidumist.

Avalikus sektoris peab inspektsioon hädavajalikuks panna asutuse AKSile ka avaliku teabe seaduse rakendamise osas analoogsed ülesanded. Isikuandmete kaitse, avaliku teabe kättesaadavus ja avaliku teabe juurdepääsupiirangud on asutuse töös läbi põimunud. Seetõttu neil peaks olema ka sama koordinaator.

AKS peab oskama siduda õiguslikke ja tehnilisi teadmisi oma ettevõtte/asutuse tegeliku tööga, „köögipoolega“. See võib muuta väljast sisse ostetud teenusepakkuja kasutamise kasuteguri küsitavaks. 

Kuidas AKSi määramisest teada anda?

Kui AKS on määratud, tuleb sellest teada anda nii avalikkusele kui Andmekaitse Inspektsioonile. Mõlemat ühekorraga saab tööandja teha äriregistri ettevõtjaportaali kaudu – sinna sisestatud AKSi näeb nii avalikkus kui inspektsioon. Inspektsioonile ei ole enam eraldi teadet vaja saata. Täpsemad juhised on inspektsiooni võrgulehel.

Arusaadavalt saab andmetöötleja nimel teadet esitada vaid allkirjaõiguslik esindaja või tema volitatud isik, kes esitab ka volikirja. Üks ettevõte/asutus ei saa esitada ilma volituseta teise ettevõtte/asutuse AKSi – isegi kui ta on sama kontserni ettevõte või kõrgemalseisev asutus.

Kindlasti andke AKSi määramisest teada ka oma töötajatele. Ettevõtte/asutuse töökorraldus peaks tagama, et töötajad teaksid andmekaitselistes küsimustes kõigepealt omaenda AKSi poole pöörduda. Ilma selleta läheb info temast mööda.

Kui ettevõttes/asutuses, kus AKS on määratud, hakatakse inspektsiooni poole temast mööda minnes pöörduma, on see inspektsioonile kindel märk, et AKSi määramine sellises ettevõttes/asutuses on vaid paberi peal tehtud formaalsus ja tegelikult on asjad halvad.

Mis saab delikaatsete isikuandmete töötlemise eest vastutavatest isikutest?

Varasem seadus nõudis delikaatsete isikuandmete töötlejatelt kas töötlemise registreerimist inspektsioonis või alternatiivina töötlemise eest vastutava isiku määramist. Ka sellest määramisest tuli inspektsioonile teada anda.

Kuna nõuded on erinevad, siis senistest vastutavatest isikutest automaatselt AKSe ei saa. Alates 2018. a. 25. maist on delikaatsete isikuandmete töötlemise register suletud ning arhiveeritakse.

29Inglise keelde tõlgime selle termini data protection officer, mitte data protection specialist. 
30See kattub küberturvalisuse seaduse § 3 lg 1 punktides 6 ja 7 nimetatud oluliste tervishoiuteenustega.
31Vt Euroopa andmekaitsenõukogu „Suunised andmekaitseametnike kohta“, p. 2.1.3 (25.05.2018 ülekinnitatud versioonis).
32Eriliiki isikuandmed on üldmääruse art. 9 ja direktiivi art. 10 nimetatud andmed. Süüteomenetluste andmeid ja süüdimõistvaid kohtuotsuseid käsitleb üldmääruse art. 10. Reeglina kehtivad nii eriliiki kui süüteoandmetele samasugused nõuded (vrd. üldmääruse art. 35 lg 3 p. b, art. 37 lg 1 p. c). Inspektsioon lähtus arvu 5000 osas üldmääruse pp. 91 toodud ulatuslikkuse selgitusest mõjuhinnangu tegemise kohustuse kontekstis. Pp. 91 kohaselt ei ole ulatuslik töötlemine üksiku arsti või muu tervishoiutöötaja andmetöötlus. Üldmäärus ei ütle, mitmest tervishoiutöötajast algab ulatuslik töötlemine. Eestis on kõige levinuimaks üksikuks tervishoiutöötajaks perearst, kelle nimistu piirsuurus on tervishoiuteenuste korraldamise seaduse § 8 lg 41 kohaselt 2000 patsienti või koos abiarstiga tegutsedes 2400 (tegelikkuses tavaliselt suurem). Arv 5000 tähendab vähemalt 3 piirarvu sisse jäävat perearsti või 2 piirarvust suuremat perearsti. Selle näite puhul tuleb arvestada, et ulatuslikkus on perearsti puhul oluline mõjuhinnangu tegemise kohustuse, mitte AKSi määramise kohustuse osas (kuna perearst kuulub avalikku sektorisse). Üldmääruse põhjenduspunktis toodud näide viitab ka üksikult tegutsevale juristile, kuid juristide klientuuri kohta usaldusväärne arvuline teave puudub. Ühtlasi arvestame, et eriliiki isikuandmete kohta käivad üldmääruse normid on rangemad kui varasemalt kehtinud isikuandmete kaitse seaduses – nende töötlemise alused on sõnastatud erandina, reegliks on keeld (vrd art. 9 lg 1, samuti direktiivi art. 10 lg 1; vt ka IKS § 20). Seetõttu on mõistlik, et eriliiki isikuandmete puhul kehtib muudest tundlikumatest andmetest poole väiksem ulatuslikkuse näitaja.
33Suure ohu määratlus – vt üldmääruse pp. 75. Arvu 10 000 puhul lähtub inspektsioon võrreldavusest teiste oluliste teenustega, kus kasutatakse samuti 10 000 kliendi kriteeriumit: nt. oluline kaabelleviteenus (küberturvalisuse seaduse § 3 lg 1 p 5), elutähtsa teenusena osutatava elektrijaotusvõrgu teenus (elektrituruseaduse § 211 p. 4), elutähtsa teenusena osutatav gaasijaotusvõrgu teenus (maagaasiseaduse § 22 lg 15 p. 2).
34Ülejäänud andmete töötlemise ulatuslikkuse puhul lähtus inspektsioon üldmääruse pp. 75 viimasest lauseosast: „kui töötlemine hõlmab suurt hulka isikuandmeid ja mõjutab paljusid andmesubjekte“.
35Vt. põhjalikumalt lisast 4.

Last updated: 13.05.2024