Andmekaitsespetsialist

Andmekaitse Inspektsioon on koostanud nimekirja soovituslikest kompetentsidest, mis on eelduseks andmekaitsespetsialisti rolli tulemuslikul täitmisel. Kuna andmekaitse põhimõtete rakendamise osaks on oskus rakendada pädevaid turvameetmeid, peab andmekaitsespetsialistil olema teadmus ka infoturbe põhimõtetest ning sellega seotud tehnoloogiatest.

Andmekaitsespetsialisti ülesanded, teadmised ja oskused

 Andmekaitsespetsialisti rolli võib täita:

  • andmetöötleja koosseisuline töötaja (nt eraldi ametikoht)
  • andmetöötleja allüksus (nt osakond) või
  • andmetöötleja väline juriidiline isik (nt teenuslepingu alusel)

NB! Kui andmekaitsespetsialisti ülesandeid täidab andmetöötleja allüksus või mõni muu juriidiline isik, peaks kontaktiks avalikkusele ja järelevalveasutusele olema siiski üks konkreetne inimene koos kontaktandmetega (nt Mari Maasikas, tel. 123223, e-post mari.maasikas@ettevõte.ee). 

Andmekaitsespetsialisti rolli käsitlus tuleb isikuandmete kaitse üldmääruse artiklist 37(6).

Millised on andmekaitsespetsialisti ülesanded?
  • teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad isikuandmete kaitse üldmäärusest ja muudest Euroopa Liidu või liikmesriikide andmekaitsenormidest;
  • jälgida andmekaitse määruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;
  • anda nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist;
  • teha koostööd järelevalveasutusega;
  • tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas artiklis 36 osutatud eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.

Üldmääruse põhjenduspunkt 97 selgitab kokkuvõtvalt, et andmekaitsespetsialist on andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes abistab ja kontrollib andmetöötlejat määruse täitmisel.

Ülesandeid on kirjeldatud isikuandmete kaitse üldmääruse artiklis 39. 

Andmekaitsespetsialisti kompetentsid

Nende kompetentside alusel on koolitusasutustel võimalik luua kas põhiõppe osana või täienduskoolitusena andmekaitsespetsialisti õppekava(d) ja kursused.
 
Koolituse läbinul peaksid olema järgmised teadmised ja oskused:

Andmekaitsespetsialist teab:
  • organisatsiooni väärtuseid ja eesmärke, sh visiooni, missiooni ja strateegiat;
  • organisatsiooni sise- ja äriprotsesse;
  • organisatsiooni töökorralduse reegleid ja poliitikaid;
  • organisatsiooni toimimiseks vajalikku ELi ja siseriiklikku andmekaitseõigust;
  • õigusakte, mis võivad reguleerida kitsamalt organisatsiooni tegevusvaldkonda;
  • asjakohaseid tehnoloogiaid ja arenguid IKT ja infoturbe valdkonnas ning nende võimalikke mõjusid organisatsiooni protsessidele;
  • andmeanalüütika ja profileerimise põhimõtteid ja meetodeid, sh pseudonüümimine ja anonüümimine;
  • riskianalüüsi ja riskijuhtimise raamistikke ning meetodeid;
  • andmekaitsealase mõjuhinnangu läbiviimise raamistikke ning meetodeid;
  • asjakohaseid informatsiooniallikaid (ELi ja siseriiklikud õigusaktid, ELi ja siseriiklik kohtupraktika, ELi ja siseriiklike andmekaitseasutuste arvamused ja suunised);
  • siseriiklikku ja vajadusel mõne teise ELi riigi andmekaitse järelevalveasutust ja nendega teabevahetuseks vajalikke kontakte.
 
Kui ta tegutseb avalikus sektoris, siis lisaks:
  • tunneb riigi ning haldusala teabehalduse (avaliku teabe seadus) ja andmekaitse põhimõtteid ja vastavaid õigusakte;
  • tunneb riigi- ja haldusala infoturbe põhimõtteid ja vastavaid õigusakte

Andmekaitsespetsialist oskab:
  • väärtustada oma tööd ja selle olulisust;
  • suhelda ja esineda enesekindlalt ja pingevabalt;
  • kaasata organisatsiooni juhtkonda ja töötajaid;
  • esitada kirjalikke materjale struktureeritult ja loogiliselt ning keeleliselt korrektselt;
  • selgitada organisatsioonile andmekaitsealaseid kohustusi ja vastutust;
  • koostada ja ellu viia organisatsiooni andmekaitsealast strateegiat;
  • koostada organisatsiooni töökorralduseks vajalikke andmekaitsealaseid juhendeid;
  • koostada andmekaitsealast mõjuhinnangut, sealjuures teha kindlaks organisatsiooni; andmekaitsealased riskid ja koostada tegevusplaanid riskide leevendamiseks;
  • rakendada „vaikimisi“ ja „lõimitud“ andmekaitse põhimõtteid;
  • juhtida ja koordineerida organisatsiooni andmekaitsealaseid protsesse (projektide juhtimine);
  • tuvastada ja dokumenteerida isikuandmete töötlemise toiminguid ning isikuandmetega seotud rikkumisi;
  • eristada neid isikuandmetega seotud rikkumisi, mille korral tuleb teavitada andmekaitse järelevalveasutust ja füüsilisi isikuid, kelle suhtes rikkumine toimus.

Andmekaitsespetsialisti kursuseid võid leida siit.

Andmekaitsespetsialistist teavitamine toimub äriregistri ettevõtjaportaali kaudu. Sellisel juhul ei ole enam vaja eraldi teadet Andmekaitse Inspektsioonile saata. Portaali kaudu teatades saab info e-äriregistri lehel nähtavaks avalikkusele, seega olete täitnud ka avalikkuse teavitamise kohustuse.

Last updated: 03.10.2024