DPO ehk andmekaitse spetsialist

Jaga infot:

Andmekaitse spetsialist ehk DPO (Data Protection Officer, eesti keele andmekaitse ametnik) on Euroopa andmekaitse üldmääruse raames sätestatud ametikoht, mis on vaja teatud töötlemistoimingute puhul täita.

Andmekaitse spetsialist tuleb määrata?

Andmekaitse spetsialisti on vaja kolmel juhul:

1. Eriliigiliste isikuandmete töötlemisel

Kui ettevõte tegeleb tänases mõistes delikaatsete isikuandmete töötlemisega, siis uuel aastal on vajalik kindlasti määrata andmekaitse spetsialist. Tõenäoliselt ollakse selle ametikohaga kursis ka täna (isikuandmete kaitse seaduses ei ole delikaatsete isikuandmete töötlemist momendil vaja registreerida, kui ettevõttes on tööl vastutav isik andmekaitse spetsialisti näol: sellisel juhul teatatakse Andmekaitse inspektsioonile vaid tema nimi)

Olulise punktina tuleb veel välja tuua, et biomeerilised andmed kuuluvad samuti delikaatsete isikuandmete alla. Seega on vaja määrata andmekaitse spetsialist ka juhul kui ettevõttes on kasutusel näitkes sõrmejäljelugejaga läbipääsusüsteemid.

2. Avaliku sektori asutused ja organid

Pealkiri ütleb kõik vajaliku ja pikemat seletus ei ole siinkohal vaja

3. Ettevõtted, kelle põhitegevuse moodustab Ulatuslik andmesubjektide Korrapärane ja Süstemaatiline jälgimine.

Käesolev punkt vajab  kõige pikemat seletust. Kui sõna korrapärane on lahti seletatud kui pidev või kindla aja tagant toimuv ja süstemaatiline kui eelnevalt planeeritud ja kindla valimi alusel toimuv, siis kurioosne on see, et ulatuslik on siinkohal subjektiivse tähendusega ja selle hindamisel ei ole võimalik tuua välja ühtegi konkreetset arvu, millest lähtuda. Küll aga on AKI välja toonud näited, mille puhul on need tingimused täidetud.

Näide 1: E-maili teel saadetavad uudiskirjad: need on kindlale kliendisegmendile (süstemaatiline), korrapärane (kindla aja tagant toimuv/olgu tegu kasvõi jõulukaardiga) ulatuslik töötlemine (kui kirja ei saadeta just üksikule kontaktile)

Näide 2: Lojaalsusprogrammid ja isikustatud kliendikaardid: iga päev tuvastatakse ostvaid kliente nende maksmise hetkel (igapäevane, ehk pidev tegevus, mis toimub metoodiliselt) ja seda ei tehta üksikute isikutega vaid eesmärk on kaasata võimalikult palju isikuid ehk kliente.

 

 Andmekaitse spetsialisti kompetentsid

Nii Tallinna Ülikoolis kui ka Tallinna Tehnikaülioolis on loodud õppekavad, mille eesmärgid on teha sissejuhatus antud valdkonda ja anda baasteadmised antud seaduse rakendamiseks. AKI on oma kodulehel ka välja toonud soovitusi.

Tulemuslikuks tööks on siiski vaja teadmisi nii seadusandlusest, organisatsioonist, IT-st, riskihaldusest ja mis põhiline, süstemaatilise lähenemise oskust.

Erinevates organisatsioonides on erinevad kompetentsid, mistõttu on väga raske hinnata, milliseid kompetentse täiendavald kaasata on vaja. Pankade puhul on näiteks IT teadmiste pagas niivõrd suur, et üks indiviid ei suuda seda kindlasti ületada. Samuti on seal tugev protsesside juhtimine,  seega piisab sellisel juhul pigem juriidilisest abist seaduste tõlgendamisel. Väiksemates ettevõtetes on samas enamik teenuseid sisse ostetud, mistõttu on majasiseseid teadmisi vähem. See suurendab oluliselt riski just näiteks IT turvalisuse alahindamisel, sest teenusepakkujad pahatihti ei süvene äri eripäradesse. See omakorda suurendab riskide realiseerumise tõenäosust, mis võib viia tõsiste tagajärgedeni (loe lisa blogist).

Kuidas täita andmekaitse spetsialisti ametikoht?

Kõnealune isik võib olla keegi oma organisatsioonist, mõni ettevõtte allüksus või ka teenuslepingu aluselt sisseostetud isik. Oluline on siinkohal jälgida, et isik oleks pädev katma kõik vajalikud valdkonnad, sest vastutajaks on ikkagi ettevõte.

Soovid täiendavat infot, võta minuga ühendust!