Isikuandmete kaitse üldmäärus

Kes peab määrama andmekaitsespetsialisti?

Maili Torma Maili Torma

Digi- ja andmeturgude mahud kasvavad endiselt tempokalt. See muudab keerulisemaks andmekaitse- ja privaatsusõiguse teema ning ettevõtted vajavad rohkem oskusteavet. Lisaks on Euroopa Liidus isikuandmete kaitse üldmääruse (edaspidi IKÜM) järgi andmetöötlejatel teatavatel juhtudel kohustus määrata andmekaitsespetsialist. See kohustus kehtib nii ettevõtetele, kes ise tegelevad andmetöötlusega, kui ka ettevõtetele, kes tegelevad teiste ettevõtete andmetöötlusega.

Andmekaitsespetsialisti on kohustatud tööle võtma või teenust sisse ostma:

1) kõik avaliku sektori asutused ja organid (välja arvatud kohtud õigusemõistmise osas, kellele kehtib EL-i direktiiv 2016/680 ja isikuandmete kaitse seadus);

2) need ettevõtted, kes põhitegevusena töötlevad inimeste andmeid:

  • korrapäraselt ja süsteemselt ning
  • sealjuures ulatuslikult.

Mis täpselt on ulatuslik töötlemine, eraldi lahti seletatud ei ole, kuid Euroopa andmekaitsenõukogu on soovitanud ulatuslikkuse määramisel lähtuda:

  • andmetöötluses hõlmatud inimeste arvust või osakaalust asjaomases elanikkonnas;
  • töödeldavate isikuandmete mahust ja/või erinevate andmekirjete arvust;
  • isikuandmete töötlemise kestusest või pidevusest;
  • isikuandmete töötlemise geograafilisest ulatusest.

Põhitegevus on võtmetegevus, ilma milleta ei saa ettevõte oma igapäevaseid eesmärke täita. Näiteks haigla ei saa osutada tervishoiuteenust ilma isikuandmeid töötlemata. Tööandja enda töötajate isikuandmete töötlemine ei ole IKÜM-i mõistes põhitegevus, samas kui töötajaid on üle 250 ning enamik neist on Euroopa Liidu elanikud, siis on ettevõttel kohustus registreerida oma isikuandmete töötlemisprotsessid.

3) Andmekaitsespetsialisti peavad määrama ka need asutused/ettevõtted, kes töötlevad isikuandmete eriliike või süüteoandmeid ja süüdimõistvaid kohtuotsuseid

  • oma põhitegevuse raames ja
  • sealjuures ulatuslikult.

Meeldetuletuseks: isikuandmete eriliigid on terviseandmed, geneetilised ja biomeetrilised andmed, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingulisus, ja andmed, millest ilmneb rassiline või etniline päritolu ning andmed inimese seksuaalelu ja seksuaalse sättumuse kohta.

Andmekaitse Inspektsiooni (AKI) soovitusel peaksid järgnevat tüüpi ettevõtted määrama andmekaitsespetsialisti:

  • krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad;
  • sideettevõtted, kes tegelevad telefoni- või internetiteenuse kasutajate andmete töötlemisega;
  • hotellid, kaubandusketid ja muud ettevõtted, kes koguvad klientide andmeid ning kellel on lojaalsusprogrammid;
  • personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid;
  • uudisteportaalid;
  • riigi- ja omavalitsusasutused (näiteks põhiseaduslike institutsioonide kantseleid, valitsusasutused, valla- ja linnavalitsused; samuti nende hallatavad asutused, näiteks koolid) ning avalik-õiguslikud juriidilised isikud (näiteks Eesti Rahvusringhääling, Kaitseliit, Eesti Rahvusraamatukogu, Eesti Pank, Eesti Haigekassa).
  • spaad, kui nad töötlevad terviseandmeid;
  • kindla valimi alusel inimestele otseturunduse saatmisega tegelevad ettevõtted;
  • perearstid ja haiglad;
  • profiilianalüüsi tegevad ettevõtted, näiteks maksevõime või kliendi tervise- või liikluskäitumise riski hindamisega tegelevad ettevõtted; nutirakendustes inimeste asukohaandmete töötlemisega tegelevad ettevõtted;
  • klientide võrgulehtede kasutuse analüüsimisega ja selle põhjal reklaamimise ehk digiturundusega tegelevad ettevõtted;
  • kliendiandmete töötlejad kaugloetavate arvestite (smart devices) abil;
  • kõik ettevõtted, mis töötlevad isikuandmete eriliike.

Andmekaitse Inspektsiooni isikuandmete töötlemise juhendis on toodud järgmine näide:

Väikesed poed tellivad klientide ostueelistuste väljaselgitamiseks ja isikustatud reklaami tegemiseks vajalikku andmeanalüütikat suurelt IT-ettevõttelt. Poodide püsiklientide arv on väike, neile teenust pakkuva IT-ettevõtte andmeanalüütika hõlmab aga kokku üle 50 000 inimese. Selle näite puhul ei pea vastutavad töötlejad (poed) ise andmekaitsespetsialisti määrama, küll aga peab seda tegema nende volitatud töötleja (IT-ettevõte).

Sageli on ettevõttel vaja määrata andmekaitsespetsialist, kuid täistööajaga rakendust talle leida pole. Ettevõtte seest on keeruline kedagi sellesse ametisse seada, sest andmekaitse- ja privaatsusõigus ning isikuandmete kaitse üldmäärus on spetsiifiline teema. Siinkohal saabki abiks olla Grant Thornton Baltic.

 

Tutvuge meie andmekaitsespetsialisti teenusega

Saatke oma päring