Andmekaitsespetsialist tuleb määrata juhul, kui täidetud on üks isikuandmete kaitse üldmääruse (IKÜM) art 37 lõikes 1 loetletud eeldus. Kui ei ole just ilmselge, et organisatsioon ei ole kohustatud andmekaitsespetsialisti määrama, soovitatakse dokumenteerida sisemine analüüs selle otsustamiseks, kas andmekaitsespetsialist tuleb määrata või mitte.
Organisatsioonil, kellelt ei nõuta seadusega andmekaitsespetsialisti määramist ja kes ei soovi määrata andmekaitsespetsialisti vabatahtlikkuse alusel, ei ole keelatud palgata töötajaid või ettevõtteväliseid konsultante seoses ülesannetega, mis on seotud isikuandmete kaitsmisega.
Mõisted
vastutava töötleja põhitegevus on seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena
ei ole võimalik ei töödeldavate andmete hulga ega hõlmatud üksikisikutega seoses ette kirjutada täpset arvu, mis oleks igas olukorras kohaldatav. See ei välista siiski võimalust, et aja jooksul kujuneb välja tavapraktika spetsiifilisemaks ja/või arvuliselt täpsemaks kindlaksmääramiseks, mida mõeldakse teatavate tavapäraste andmetöötlustoimingute puhul „ulatuslikkuse“ all. Suunistes tuuakse välja, mida tuleks ulatuslikkuse määramisel hinnata
Artiklit 37 kohaldatakse andmekaitsespetsialisti määramise aspektist nii vastutavatele töötlejatele kui ka volitatud töötlejatele. Olenevalt sellest, kes täidab kohustusliku määramise kriteeriumid, peab mõnel juhul andmekaitsespetsialisti määrama üksnes vastutav töötleja või üksnes volitatud töötleja, mõnel juhul aga nii vastutav töötleja kui ka volitatud töötleja (viimasel juhul peaksid need andmekaitsespetsialistid üksteisega koostööd tegema).
Artikli 37 lõikes 2 lubatakse kontsernil määrata üks andmekaitsespetsialist, tingimusel et ta on „hõlpsasti kättesaadav kõikidest tegevuskohtadest“. Artikli 37 lõike 3 kohaselt võib mitme avaliku sektori asutuse või organi jaoks määrata ühe andmekaitsespetsialisti olenevalt nende organisatsioonilisest struktuurist ja suurusest. Andmekaitsespetsialist võiks asuda Euroopa Liidus.
Andmekaitsespetsialisti ekspertteadmiste tase ei ole määratletud, kuid peab vastama töödeldavate andmete delikaatsusele, keerukusele ja hulgale. Tal peavad olema ekspertteadmised liikmesriigi ja liidu andmekaitseseaduste ja tavade kohta, lisaks põhjalikud teadmised IKÜMist.
Artikli 37 lg 7 kohaselt peab vastutav või volitatud töötleja avaldama andmekaitsespetsialisti kontaktandmed (postiaadress, telefoninumber, ja/või spetsiaalne e-posti aadress; ei pea sisaldama andmekaitsespetsialisti nime) ja teatama need asjaomasele järelevalveasutusele. Loe lähemalt suuniste punktist 2.6.
Vastutavad töötlejad/volitatud töötlejad peavad tagama, et andmekaitsespetsialist „ei saa [oma] ülesannete täitmise suhtes juhiseid“. Põhjenduses 97 on lisatud, et "andmekaitsespetsialistil, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil".
Karistamine on isikuandmete kaitse üldmääruse kohaselt keelatud vaid siis, kui seda tehakse seetõttu, et andmekaitsespetsialist täidab oma ülesandeid andmekaitsespetsialistina (näiteks kui vastutav töötleja ei ole nõus andmekaitsespetsialisti mõjuhinnanguga).
Huvide konflikti puudumine on tihedalt seotud nõudega, et andmekaitsespetsialist saaks tegutseda sõltumatul viisil. Ehkki andmekaitsespetsialistidel on õigus teha ka muid toiminguid, saab neile teisi ülesandeid ja kohustusi panna üksnes tingimusel, et need ei tekita huvide konflikte.
Andmekaitsespetsialisti ülesanded ning ülesannete kirjeldused on toodud suuniste 4. peatükis.
Andmekaitsespetsialisti määramise ja ülesannete kohta vaata lähemalt isikuandmete töötleja üldjuhendi 3. peatükist.
Andmekaitsespetsialistist teavitamine toimub äriregistri ettevõtjaportaali kaudu. Sellisel juhul ei ole enam vaja eraldi teadet Andmekaitse Inspektsioonile saata. Portaali kaudu teatades saab info e-äriregistri lehel nähtavaks avalikkusele, seega olete täitnud ka avalikkuse teavitamise kohustuse.
Last updated: 03.10.2024