Mida teeb andmekaitsespetsialist (DPO) ja kellel teda aastal 2024 vaja on?

Üha enam räägitakse andmete kasutamise suurest potentsiaalist ning sellest, et nii isikuandmed kui isikustamata andmed on organisatsioonides alakasutatud. Selleks, et andmetest täit kasu saada, on vaja kogutavatest andmetest aru saada ning rakendada ka kvaliteetset andmeanalüütikat.

Sageli ollakse aga hädas juriidiliste nõuete täitmisega kui andmestik sisaldab isikustatud andmeid. Andmekaitsespetsialist on selles olukorras oluline täiendus organisatsiooni teadlikkuse tõstmisel ja tarkade valikute planeerimisel.

Oluline on siinjuures meeles pidada, et andmekaitsespetsialisti näol ei ole tegemist vaid keelajaga. Selleks, et mõista tema rolli tervikuna, tuleb aru saada, et ekspert aitab paremini mõista ka seda, mis on lubatud.

Andmekaitsespetsialisti (DPO) ülesanded

  • Olla inimestele kontaktisikuks kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ja nende andmekaitseliste õiguste kasutamisega;
  • teavitada ja nõustada oma organisatsiooni (vajadusel ka selle partnerite) juhtkonda ning personali andmekaitse alal;
  • jälgida andmekaitsereeglite rakendamist, töötajate koolitamise tagamist ning andmekaitselist auditeerimist;
  • anda nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist;
  • teha koostööd Andmekaitse Inspektsiooniga, olles organisatsiooni poolseks kontaktisikuks.

Kellele on andmekaitsespetsialisti määramine GDPR järgne kohustus?

  • Kõik avaliku sektori asutused ja organid ja;
  • need ettevõtted, kes põhitegevusena (põhitegevus on võtmetegevus, milleta ettevõte oma igapäevaseid eesmärke täita ei saa) töötlevad isikuandmeid korrapäraselt ja süsteemselt ning sealjuures ulatuslikult.

Ulatuslikkuse mõiste ei ole GDPR-is täpselt sisustatud, kuid lähtuda tuleks järgnevatest mõõdikutest

  • Andmetöötluses hõlmatud inimeste arv;
  • töödeldavate isikuandmete maht ja/või erinevate andmekirjete arv;
  • isikuandmete töötlemise kestus;
  • isikuandmete töötlemise geograafiline ulatus.

Andmekaitsespetsialisti peavad määrama ka need ettevõtted, kes töötlevad isikuandmete eriliike (näiteks terviseandmed, geneetilised ja biomeetrilised andmed, rassiline või etniline päritolu, inimese seksuaalelu ja seksuaane sättumus jms):

  • oma põhitegevuse raames ja
  • sealjuures ulatuslikult.

Möödunud aasta on toonud Euroopas ka järjekordsed trahviotsused just andmekaitsespetsialisti määramise puuduste osas, mis näitab, et selle kohustuse täitmist kontrollitakse aktiivselt.

Hedmani andmekaitse eksperdid aitavad teil vajadusel otsustada, kas konkreetselt teie organisatsioonil on kohustus määrata andmekaitsespetsialist või kas kohustuse puudumisel oleks, tulenevalt ettevõtte profiilist ja tegutsemisvaldkonnast, kasulik seda teha.

Järgnevalt anname ka loetelu valdkondadest, kus tulenevalt tegevusalast ja potentsiaalsest suurest ohust isikute privaatsusele on tõenäoliselt andmekaitsespetsialisti määramine kohustuslik:

  • krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad;
  • sideettevõtted, kes tegelevad telefoni- või internetiteenuse kasutajate andmete töötlemisega;
  • hotellid, kaubandusketid ja muud ettevõtted, kes koguvad klientide andmeid ning kellel on lojaalsusprogrammid;
  • personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid;
  • uudisteportaalid;
  • spaad, kui nad töötlevad terviseandmeid;
  • kindla valimi alusel inimestele otseturunduse saatmisega tegelevad ettevõtted;
  • perearstikeskused ja haiglad;
  • profiilianalüüsi tegevad ettevõtted, näiteks maksevõime või kliendi tervise- või liikluskäitumise riski hindamisega tegelevad ettevõtted; nutirakendustes inimeste asukohaandmete töötlemisega tegelevad ettevõtted;
  • klientide võrgulehtede kasutuse analüüsimisega ja selle põhjal reklaamimise ehk digiturundusega tegelevad ettevõtted;
  • kliendiandmete töötlejad kaugloetavate arvestite (smart devices) abil;
  • kõik ettevõtted, mis töötlevad isikuandmete eriliike.

Arvestama peab ka sellega, et kui ettevõtte enda tegevus ei ole seotud eraisikutele teenuse pakkumisega, kuid teenuse kasutajatel on suur kliendibaas ning teenus hõlmab selle kliendibaasi andmetega tegelemist, tuleb teenust osutaval ettevõttel ikkagi arvestada ülaltoodud kriteeriumitega (näiteks andmeanalüütika, IT teenused, otseturundus jms).

Kui organisatsioonil tuleb määrata või soovib ta vabatahtlikult riskide maandamiseks määrata andmekaitsespetsialisti, kuid töömaht on suhteliselt väike, siis tuleks kaaluda teenuse sisseostmist.

Kvaliteetne teenus tagab selle, et ekspert on suurte kogemustega ning suure tõenäosusega juba varasemalt erinevate otsustuskohtadega kokku puutunud. Harvad ei ole ka juhud, kus organisatsioon, lisaks oma koosseisulisele andmekaitsespetsialistile, otsib lisatuge ka välisest teenusest, et lahendada näiteks suuremad projektid, arendused või intsidendid.

Loe lähemalt, kuidas milliseid andmekaitse teenuseid Hedman pakub või naase andmekaitsespetsialist teenusena lehele.

Ole kursis Hedmani uudiste ja üritustega

Hedman

Meie kuuluvused:
FinanceEstonia, Lexing®,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum