Ettevõtetel on teatud juhtudel kohustus määrata andmekaitsespetsialist. See kohustus kehtib nii ettevõtetele, kes ise tegelevad andmetöötlusega, kui ka ettevõtetele, kes tegelevad teiste ettevõtete andmetöötlusega. Samuti peavad andmekaitsespetsialist tööle võtma või teenusena sisse ostma avaliku sektori asutused.
Andmekaitsespetsialisti rolli võib täita mitut moodi:
- ettevõtte/asutus võtab tööle täiskohaga andmekaitsespetsialisti;
- ettevõte/asutus ostab andmekaitsespetsialisti teenusena sisse. Teisisõnu on andmekaitsespetsialist ettevõtte- või asutuseväline juriidiline isik. Sel juhul on välise juriidilise isiku andmekaitsespetsialisti kontaktid ettevõtte andmekaitsespetsialisti kontaktideks.
Millised on andmekaitsespetsialisti ülesanded?
- Teavitada ja nõustada vastutavat andmetöötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad isikuandmete kaitse üldmäärusest ja muudest Euroopa Liidu või liikmesriikide andmekaitsenormidest ja -seadustest.
- Jälgida isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist; suurendada isikuandmete töötlemises osaleva personali teadlikkust, sh neid koolitada.
- Nõustada seoses andmekaitsealase mõjuhinnanguga ja jälgida selle toimimist.
- Teha koostööd järelevalveasutusega ja olla isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisik.
Andmekaitsespetsialist tunneb andmekaitsealaseid õigusakte, standardeid, sertifikaate ja tavasid eksperdi tasandil. Ta abistab ja kontrollib andmetöötlejat isikuandmete töötlemise nõuete täitmisel.
Andmekaitsespetsialisti kompetentsid/oskused
Andmekaitsespetsialisti peab tundma:
- infoturbe põhimõtteid ja küberturbe tehnoloogiaid;
- ettevõtte väärtusi ja eesmärke, sh visiooni, missiooni ja strateegiat, sise- ja äriprotsesse, töökorralduse reegleid, kordasid ja juhiseid;
- ettevõtte või organisatsiooni või asutuse toimimiseks vajalikku Euroopa Liidu ja Eesti andmekaitseõigust ja õigusakte, mis reguleerivad kitsamalt organisatsiooni tegevusvaldkonda (näiteks küberturvalisuse seadus, avaliku teabe seadus);
- andmeanalüütika ja profileerimise põhimõtteid ja meetodeid, sh pseudonüümimine ja anonüümimine ja krüpteerimine;
- riskianalüüsi ja riskijuhtimise raamistikke ning meetodeid, kaasa arvatud andmekaitsealase mõjuhinnangu läbiviimise raamistikke ning meetodeid;
- Euroopa Liidu ja siseriiklikke õigusakte, kohtupraktikat, andmekaitseasutuste arvamusi ja suuniseid.
Andmekaitsespetsialist peab:
- rakendama vaikimisi ja lõimitud (lõimimisi) andmekaitse põhimõtteid;
- tuvastama ja dokumenteerima isikuandmetega seotud rikkumisi, andmelekkeid ning küberintsidente.