Kes peavad määrama andmekaitsespetsialisti?

14.05.2020
25. mail 2018. a jõustunud isikuandmete kaitse üldmäärus sisustab uue mõiste, milleks on andmekaitsespetsialist (ingl. k. DPO ehk Data Protection Officer). 
 
Määruse artikkel 37(1) sätestab, millised isikuandmete töötlejad peavad andmekaitsespetsialisti määrama. Nendeks on
  • avaliku sektori asutus või organ,
  • andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine,
  • andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Järgnevalt selgitame olulisi mõisteid täpsemalt, lähtudes Euroopa Liidu andmekaitseasutuste tõlgendustest.

    Avaliku sektori asutus või organ

    Määruse artikkel 37 (1a) näeb ette, et andmekaitsespetsialisti peavad määrama kõik avaliku sektori asutused. Eesti seaduse kohaselt on nendeks avalike ülesannete täitjad. Ehk riigi- ja omavalitsusasutused ning avalik-õiguslikud või eraõiguslikud isikud, kes täidavad avalikke ülesandeid. Näiteks ministeeriumid, ametid, inspektsioonid. Samuti üldharidus-, kutse- ja kõrgkoolid. Kõik linna- ja vallavalitsused. Avalik-õiguslik ringhääling. Samas näeb määrus ette erisuse kohtutele. Tervishoiuvaldkonnas peavad andmekaitsespetsialisti määrama kõik perearstid, haiglad ja kiirabiteenuse osutajad, kuna tegemist on avaliku ülesande täitjatega.
     
    Kuigi määrus otseselt ei kohusta, soovitavad andmekaitseasutused arvestada võimalusega, et kui vastutav töötleja täidab avalikku ülesannet ja on määranud andmekaitsespetsialisti, peaks ka volitatud töötleja (sh eraõiguslik isik) andmekaitsespetsialisti määrama.
     

    Põhitegevus

    Määruse artikkel 37 (1b) sätestab andmekaitsespetsialisti määramise üheks kriteeriumiks selle, kui vastutava või volitatud töötleja isikuandmete töötlemise toimingud on nende põhitegevus. Mõiste põhitegevus all mõeldakse andmetöötleja võtmetegevusi, ilma milleta ei saa andmetöötleja oma igapäevaseid tegevuseesmärke täita. Nt haigla põhieesmärk on tervishoiuteenuse osutamine. Kuid haigla ei saa seda teha ilma patsientide isikuandmeid töötlemata.
     
    Samuti näiteks kaubanduskeskustes turvateenust osutav ettevõte. Kuigi tema põhitegevus on valveteenus, on viimane siiski seotud isikuandmete töötlemisega ning rakendub andmekaitsespetsialisti määramise kohustus. Sama põhimõtte kohaselt peaksid andmekaitsespetsialisti määrama näiteks krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad, sideettevõtted, hotellid, personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid.
     
    NB! Põhitegevusena ei tule siiski käsitleda andmetöötleja enda töötajate isikuandmete töötlemist. Olgu selleks näiteks kas puhkuse- ja haiguspäevade arvestus või elektrooniliste juurdepääsuõiguste haldamine.
     

    Ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine

    Kuigi need 3 tingimust peaksid määruse kohaselt olema korraga täidetud, analüüsime selguse huvides nende tähendust eraldi.
     
    Ulatuslik andmetöötlus
    Määruse artikli 37 (1b) kohaselt on üheks andmekaitsespetsialisti määramise kriteeriumiks see, kui toimub ulatuslik andmesubjektide jälgimine. On selge, et seda mõistet ei ole võimalik üheselt sisustada. See võib tähendada jälgitavate isikute arvu, jälgimise aega või geograafilist ulatust.
     
    Näited valdkondadest, mis võivad paigutuda mõiste ulatuslik alla:
     
    1. ühistranspordi valideerimislahendused,
    2. kliendiandmete töötlemine pangas või kindlustusettevõttes,
    3. telefoni- või internetiteenuse kasutajate andmete töötlemine,
    4. võrguturbe ettevõtted.
    Korrapärane ja süstemaatiline andmetöötlus
    Neid mõisteid ei ole määruses täpsemalt defineeritud. Küll aga annavad määruse mõned põhjenduspunktid aimu, mida täpsemalt on mõeldud.
     
    Mõiste korrapärane laieneb juhtudele, kui andmetöötlus on kas pidev või kindla aja tagant korduv ning ei ole ühekordne toiming.
    Süstemaatilise andmetöötlusega peab arvestama, kui see on eelnevalt planeeritud, läbiviimine organiseeritud ja metoodiline ning on selgelt osa andmetöötleja ärimudelist.
     
    Toome mõned näited andmetöötlustest, mis on korrapärased ja süstemaatilised:
     
    sideteenuse osutamine (nii telefoni kui internetiteenus),
    kindla valimi alusel otseturustuse saatmine,
    kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (nt maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
    kliendi asukohaandmete töötlemine nutirakendustes,
    kaubanduskettide lojaalsusprogrammid,
    klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-reklaamide näitamine,
    kliendiandmete töötlemine kaugloetavate arvestitega,
    veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
    telemaatikateenuse osutamine.

     

    Eriliigiliste andmete ulatuslik töötlemine

    Ka kõik isikuandmete vastutavad või volitatud töötlejad, kelle põhitegevuseks on isikuandmete eriliikide ulatuslik töötlemine, peavad määrama andmekaitsespetsialisti. Isikuandmete eriliikideks on nt terviseandmed, biomeetria, poliitilised vaated (vt lisaks üldmääruse artikkel 9).
     

    Eriliigiliste andmete ulatuslikud töötlejad on kõik tervishoiuteenuse osutajad (NB! perearstid, haiglad ja kiirabiteenuse osutajad täidavad ka avalikku ülesannet), kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed.