Ettevõtetel on teatud juhtudel kohustus määrata andmekaitsespetsialist. See kohustus kehtib nii ettevõtetele, kes ise tegelevad andmetöötlusega, kui ka ettevõtetele, kes tegelevad teiste ettevõtete andmetöötlusega. Samuti peavad andmekaitsespetsialisti tööle võtma või teenusena sisse ostma avaliku sektori asutused.
Andmekaitsespetsialisti ehk AKS-i rolli võib täita mitut moodi.
- ettevõtte/asutus võtab tööle täiskohaga AKS-i;
- ettevõte/asutus ostab AKS-i teenusena sisse. Teisisõnu on AKS ettevõtte- või asutuseväline juriidiline isik. Sel juhul on välise juriidilise isiku AKS-i kontaktid ettevõtte AKS-i kontaktideks.
Millised on andmekaitsespetsialisti ülesanded?
- teavitada ja nõustada vastutavat andmetöötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad isikuandmete kaitse üldmäärusest ja muudest Euroopa Liidu või liikmesriikide andmekaitsenormidest ja -seadustest;
- jälgida isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist; suurendada isikuandmete töötlemises osaleva personali teadlikkust, sh neid koolitada;
- nõustada seoses andmekaitsealase mõjuhinnanguga ja jälgida selle toimimist;
- teha koostööd järelevalveasutusega ja olla isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisik.
Andmekaitsespetsialist tunneb andmekaitsealaseid õigusakte, standardeid, sertifikaate ja tavasid eksperdi tasandil. Ta abistab ja kontrollib andmetöötlejat isikuandmete töötlemise nõuete täitmisel.
Andmekaitsespetsialisti kompetentsid/oskused
AKS peab tundma:
- infoturbe põhimõtteid ja küberturbe tehnoloogiaid;
- ettevõtte väärtusi ja eesmärke, sh visiooni, missiooni ja strateegiat, sise- ja äriprotsesse, töökorralduse reegleid, kordasid ja juhiseid;
- ettevõtte või organisatsiooni või asutuse toimimiseks vajalikku Euroopa Liidu ja Eesti andmekaitseõigust ja õigusakte, mis reguleerivad kitsamalt organisatsiooni tegevusvaldkonda (näiteks küberturvalisuse seadus, avaliku teabe seadus);
- andmeanalüütika ja profileerimise põhimõtteid ja meetodeid, sh pseudonüümimine ja anonüümimine ja krüpteerimine;
- riskianalüüsi ja riskijuhtimise raamistikke ning meetodeid, kaasa arvatud andmekaitsealase mõjuhinnangu läbiviimise raamistikke ning meetodeid;
- EL-i ja siseriiklikke õigusakte, kohtupraktikat, andmekaitseasutuste arvamusi ja suuniseid.
AKS peab:
- rakendama vaikimisi ja lõimitud (lõimimisi) andmekaitse põhimõtteid;
- tuvastama ja dokumenteerima isikuandmetega seotud rikkumisi, andmelekkeid ning küberintsidente.
