Möödunud aasta üheks eesmärgiks oli tugevdada andmekaitsespetsialistide rolli organisatsioonides, suurendada teadlikkust nende töö ning tähtsuse kohta, samas olla neile ka veel rohkem toeks. Selleks kutsus inspektsioon ellu mitu andmekaitsespetsialiste koondavat võrgustikku, infopäeva ning -seminari. Näiteks sai algus loodud koostöövõrgustikule, mis koondab endas haiglate ja kiirabide andmekaitsespetsialiste. Samuti viisime ellu kohalike omavalitsuste andmekaitsespetsialistide võrgustiku. Meie eesmärk on tulevikus aga veelgi rohkem eri valdkondade andmekaitsespetsialiste koondada ja seda ikka selleks, et saaksime pakkuda paremat tuge inimestele, kes seisavad iga päev eri organisatsioonides just Andmekaitse Inspektsiooni südameküsimuste eest. Koostöövõrgustikes saavad oma valdkonna spetsialistid jagada kogemusi ning küsida küsimusi just enda tegevussfääri spetsiifika alusel.
Andmekaitsespetsialisti roll ettevõtetes ja asutustes on tagada, et isikuandmete töötlemisel järgitakse isikuandmete kaitse reegleid, sh olla kontaktisikuks järelevalveasutusele ning inimestele. Lisaks on andmekaitsespetsialisti ülesanne nõustada ja abistada enda asutuse töötajaid, seega on andmekaitsespetsialistid justkui inspektsiooni asutuseväline abivägi. Andmekaitsespetsialistiks ei saa aga olla igaüks. Andmekaitsespetsialist peab oma rollis olema sõltumatu. Praktikas määratakse andmekaitsespetsialistiks tihti aga hoopiski mõni juhatuse liige, sagedasti just tervishoiuvaldkonnas. Andmekaitsespetsialisti positsiooni täitmine eeldab aga tööülesandeid, mida juhatuse liige ei saa sõltumatul viisil täita.
Juhatuse liikmeks olek eeldab konkreetseid ülesandeid ning vastutust, mh äriliste otsuste tegemist, organisatsiooni toimivana hoidmist, toimiva finantsjuhtimissüsteemi kindlustamist, raamatupidamise korraldamist jne. Andmekaitsespetsialist ei saa organisatsioonis olla aga sellisel ametikohal, millest tulenevalt peab ta otsustama isikuandmete töötlemise eesmärkide ja vahendite üle. Vastasel juhul tekib olukord, kus andmekaitsespetsialisti ülesanded ja ressursid ei ole piisavalt prioriteetsed.
Seega, kui lisaks andmekaitsespetsialisti ülesannetele täidetakse lisaks ka muid ülesandeid ja kohustusi, siis need ülesanded ja kohustused ei tohi põhjusta huvide konflikti. Huvide konflikt tekib muu hulgas siis, kui andmekaitsespetsialist ise määrab kindlaks näiteks isikuandmete töötlemise eesmärgid ja vahendid. Kuna juhatuse liikme puhul on tegemist ettevõtte esindajaga, kes määrab isikuandmete töötlemise eesmärgid ja vahendid, tekitab see huvide konflikti.
Isikuandmetekaitse üldmääruse põhjenduspunktis 97 on märgitud, et andmekaitsespetsialistidel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil. Andmekaitsespetsialisti rolli võib täita küll ka ettevõtte oma töötaja (täistöökohana või lisaülesandena) või ettevõtteväline füüsiline või juriidiline isik (nt teenuslepingu alusel), kuid tähtis on, et puuduks huvide konflikt. Huvide konflikt võib tekkida organisatsioonis selliste töökohtade puhul nagu kõrgema juhtimistaseme töötajad (näiteks tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht, turundusjuht, personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris madalamal asuvate töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise eesmärkide ja vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel andmekaitsespetsialistil palutakse kohtus isikuandmete kaitsega seotud küsimustes esindada vastutavat või volitatud töötlejat.
Pane tähele! Andmekaitsespetsialisti rolli võib täita:
• andmetöötleja koosseisuline töötaja (nt eraldi ametikoht);
• andmetöötleja allüksus (nt osakond) või;
• andmetöötleja väline juriidiline isik (nt teenuslepingu alusel).
Andmekaitsespetsialist peab mh:
• oma rollis olema sõltumatu ning objektiivne;
• omama piisavalt õiguslikke ning tehnilisi teadmisi;
• saama piisavalt ressurssi (sh aega) oma ülesannete
täitmiseks;
• saama piisavalt ressurssi (sh aega)
andmekaitsealasteks täiendkoolitusteks;
• olema organisatsioonis nähtav ja kuuldav;
• omama vajalikke õigusi ning volitusi enda ülesannete
täitmiseks.
Organisatsiooni juhi ja/või juhatuse roll on tagada, et andmekaitsespetsialist saaks olla sõltumatu, nähtav ning et tal oleks piisavalt vahendeid enda ülesannete täitmiseks.
- Kommenteerimiseks logi sisse või registreeru