Andmekaitsespetsialisti roll ja osatähtsus organisatsioonis

19.07.2024 | 11:39

Aasta aastalt on isikuandmete kaitse tagamine muutunud inimeste jaoks tähtsamaks, seda näitavad nii Andmekaitse Inspektsioonile tehtud pöördumiste arv kui ka avalikkuse üldine huvi. Ei ole enam haruldane olukord, kus näiteks mõnda toimunud andmeleket kajastatakse mitmes suurimas meediaväljaandes. Inimestele läheb korda, kuidas nende andmetega ümber käiakse.

Teisalt tuleb jätkuvalt vastata ka küsimustele „Miks ma peaksin raiskama oma asutuse ressurssi andmekaitsele?“ või „Kellele seda andmekaitset vaja?“ Samas ei kahtle keegi selles, kas igal isikul peaks olema põhiõigused või kas nende kaitsmise eest peaks seisma. Isikuandmete kaitse eesmärk on kaitsta isikuandmete töötlemisel isikute põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele. Õigus isikuandmete kaitsele on põhiseaduse § 26 tulenev põhiõigus1 ning see ei ole rohkem ega vähem tähtsam, kui teised põhiõigused. Isikuandmeid kaitstes seistakse selle eest, et inimeste eraelu puutumatust ja vabadust lubamatult ei riivataks.

Olles jõudnud järeldusele, et andmekaitse on siiski äritegevuse tähtis alustala, võib organisatsiooni juht leida ennast järgmise probleemi eest – isikuandmete kaitse valdkond tundub esmapilgul keeruline ja hägune ala, kus on palju reegleid mida järgida. Ei saa salata, et isikuandmete kaitse üldmäärus (IKÜM), mis on kõikidele Euroopa Liidu liikmesriikidele otsekohalduv, on oma sõnastusega kohati üsna üldine ning selles orienteerumine võibki olla keerukas. Samas ei peagi organisatsiooni juht ise nende küsimustega tegelema. Üldmäärus on selleks ette näinud lausa eraldi ametikoha – andmekaitsespetsialisti. Kõige lihtsamalt öeldes on ta andmekaitse valdkonna õigusakte ja tavasid tundev andmekaitse ekspert ja ka organisatsiooni sisekontroll.

Isikuandmeid töötlevad ühel või teisel viisil põhimõtteliselt kõik ettevõtted. Selleks, et juriidiline isik saaks toimida, on vaja füüsilisi isikuid. Võimalik on, et üks ettevõte võib päevas töödelda sadade töötajate, klientide, lepingupartnerite ja veel muude isikute andmeid. Seda isegi siis kui teenust pakutakse näiteks ainult juriidilistele isikutele, kuna ettevõttes on siiski ka töötajate isikuandmeid. Kui äriühing on oma tegevusega saavutanud juba teatava suuruse, tal on näiteks sadu või tuhandeid kliente, sadu töötajaid ja kümneid lepingupartnereid, siis tundub praktikas kõigile loogiline, et ettevõte on endale palganud raamatupidaja, kes hoiab silma peal finantsasjadel. Raamatupidaja palkamine või vastava teenuse sisse ostmine ei ole küll seadusest tulenev kohustus, aga iga ettevõte teab, et oma dokumentatsiooni korrashoiu eest vastutab eelkõige ainult tema ise ja palkabki endale seetõttu selle ala eksperdi. Paraku ei mõisteta sarnaselt aga andmekaitsespetsialisti vajalikkust ja positsiooni.

Isikuandmed on vähemalt sama väärtuslik või isegi väärtuslikum vara, mida tuleb kaitsta hoolikalt, sest kui andmed on korra juba „mööda ilma rändama“ läinud, siis on neid väga raske sealt kokku korjata. Isikule tekitatud kahju võib selleks hetkeks olla ulatuslik ja korvamatu. Toome ühe näite  –  oletame, et lekivad ühe keskmise suurusega e-poe klientide kasutajanimed, salasõnad ja krediitkaardi andmed. E-pood avastab lekke üsna kiirelt ja peatab selle. Samas puudub e-poel lekke avastamise hetkel teadmine, kui paljud isikud on neid näinud, neid andmeid alla laadinud ja sõpradele edasi jaganud. Tulemuseks võib olla, et keegi võõras teeb klientide nimel ja arvel oste või proovib seda tulevikus teha. Samuti võidakse saadud andmeid kurjalt ära kasutada ning toimetada nendega pettuste läbiviimiseks. Toodud näide on küll lihtne, aga kujutage ette kui taoline rikkumine toimuks näiteks terviseandmetega ja internetiavarustes on kõigile nähtavad teie anamneesid, epikriisid ja info teile määratud retseptiravimite kohta. Tõenäoliselt ei tekitaks see teadmine just meeldivat tunnet, ega ka asjaolu, et mõne uuringu2 kohaselt kasutab 88% täiskasvanud eestlastest internetti iga päev. Infoühiskonnas liigub info tohutu kiirusega!

Andmekaitsespetsialisti suurim missioon organisatsioonis on eelnimetatud olukordi vältida ning tegutseda selle nimel, et kui intsident siiski juhtub, oleks isikutele tekkiv oht ja kahju võimalikest variantidest väikseim. Siinkohal võib muidugi tekkida mõte, et kas nendes asutustes, kus toimub mõni isikuandmetega seotud rikkumine, pole andmekaitsespetsialist oma tööd siis piisavalt hästi teinud? Kindlasti ei tasuks seda järeldada. Praktika ja erinevad uuringud näitavad, et andmekaitsespetsialistid on organisatsioonides sageli väga keerulises olukorras.

Näiteks viis Rootsi andmekaitseasutus läbi uuringu3 enda riigi 800 andmekaitsespetsialisti seas ning veerand vastanutest tunnistas, et tegelikult ei ole neil organisatsioonis ette nähtud eraldi aega andmekaitsealaste küsimustega tegelemiseks, ehki nad olid nimetatud ka andmekaitsespetsialisti rolli. Uuringust selgus muuhulgas, et erasektoris tegutsevad andmekaitsespetsialistid tunnevad, et neil on rohkem aega päriselt ja rahuldaval tasemel andmekaitsealaste probleemidega tegeleda. Lisaks selgus, et ainult pooled vastanud andmekaitsespetsialistidest suudavad juhtkonda veenda andmekaitsealaste küsimuste olulisuses ning veerand vastanutest leidis, et juhtkond ei ole üldse kursis ega teadlik andmekaitsealaste küsimuste ja probleemidega.

Kuigi andmekaitsespetsialisti määramise üle otsustamine võib olla iga ettevõtte enda kaalutlusel, siis mõnel juhul on see lausa seadusest tulenev kohustus. Näiteks peavad andmekaitsespetsialisti määrama endale kõik avaliku sektori asutused. Äriregistri andmetel on Eestis 38 avalik-õiguslik juriidilist isikut ja põhiseaduslikku institutsiooni, 1775 kohaliku omavalitsuse asutust ning 153 täidesaatva riigivõimu asutust. Andmekaitsespetsialist on määratud ainult umbes ühel kolmandikul kohalike omavalitsuste asutustest. Tegemist on murettekitava protsendiga, kuid oma osa selles numbris võib mängida asjaolu, et  väga tihti on omavalitsuste allasutuste andmekaitsespetsialistiks kohaliku omavalitsuse andmekitsespetsialist ja seetõttu on allasutuse puhul see märge jäetud äriregistris tegemata. Tegelikult tuleks nii inspektsiooni kui avalikkust siiski andmekaitsespetsialisti olemasolust teavitada, kusjuures mõlemat korraga saab teha äriregistri ettevõtjaportaali kaudu.

Erasektoris on kohustatud andmekaitsespetsialisti määrama  ulatuslikult eriliiki isikuandmeid töötlevad ettevõtted ja ka need ettevõtted, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine. Mõiste „põhitegevus“ all mõeldakse andmetöötleja võtmetegevusi, ilma milleta ei saa andmetöötleja oma igapäevaseid tegevuseesmärke täita. Näiteks on haigla põhieesmärk tervishoiuteenuse osutamine ja haigla ei saa seda teha ilma patsientide isikuandmeid töötlemata. Ulatusliku andmetöötluse määratlemisel on inspektsioon lähtunud aga sellest, kui paljude isikute ja milliseid andmeid töödeldakse. Ehk teisisõnu, andmekaitsespetsialisti määramine Eestis on kohustuslik juhul, kui Eestis asuva ettevõtte tegevus vastab vähemalt ühele tingimusele järgnevast:

  1. 5000 ja enama inimese eriliiki või süüteoandmed;
  2. 10 000 ja enama inimese andmed, mis seotud suure ohuga (makseteenused pankades, krediitkaartidega, digitaalsed usaldusteenused digiallkirjastamiseks, mitteavalik teave inimese varandusliku seisu kohta, sõnumisaladusega kaetud sideandmed, reaalajas asukohatuvastus, krediidireiting jm profileerimine, millel õiguslik tagajärg või oluline mõju);
  3. 50 000 ja enama inimese muud andmed.

1RKHKo 3-3-1-3-12, p 19.

2Rahvusvaheline digiuuring 2021.aastal.

3Inglisekeelset raportit on võimalik lugeda siit.

Seotud viited