25. mail 2018. a jõustuv isikuandmete kaitse üldmäärus sisustab uue mõiste, milleks on andmekaitseametnik (ingl. k. DPO ehk Data Protection Officer). Sisuliselt on tegu andmekaitsespetsialistiga.
Määruse artikkel 37(1) sätestab, millised isikuandmete töötlejad peavad andmekaitsespetsialisti määrama. Nendeks on
- avaliku sektori asutus või organ,
- andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine,
- andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Järgnevalt selgitame neid mõisteid täpsemalt lähtudes Euroopa Liidu andmekaitseasutuste esialgsetest tõlgendustest.
Avaliku sektori asutus või organ
Määruse artikkel 37 (1a) näeb ette, et andmekaitsespetsialisti peavad määrama kõik avaliku sektori asutused. Eesti seaduse kohaselt on nendeks avalike ülesannete täitjad. Ehk riigi- ja omavalitsusasutused ning avalik-õiguslikud või eraõiguslikud isikud, kes täidavad avalikke ülesandeid. Näiteks ministeeriumid, ametid, inspektsioonid. Samuti üldharidus-, kutse- ja kõrgkoolid. Kõik linna- ja vallavalitsused. Avalik-õiguslik ringhääling. Samas näeb määrus ette erisuse kohtutele.
Kuigi määrus otseselt ei kohusta, soovitavad andmekaitseasutused arvestada võimalusega, et kui vastutav töötleja täidab avalikku ülesannet ja on määranud andmekaitsespetsialisti, peaks ka volitatud töötleja (sh eraõiguslik isik) andmekaitsespetsialisti määrama.
Põhitegevus
Määruse artikkel 37 (1b) sätestab andmekaitsespetsialisti määramise üheks kriteeriumiks selle, kui vastutava või volitatud töötleja isikuandmete töötlemise toimingud on nende põhitegevus. Mõiste põhitegevus all mõeldakse andmetöötleja võtmetegevusi, ilma milleta ei saa andmetöötleja oma igapäevaseid tegevuseesmärke täita. Näiteks haigla põhieesmärk on tervishoiuteenuse osutamine. Kuid haigla ei saa seda teha ilma patsientide isikuandmeid töötlemata.
Samuti näiteks kaubanduskeskustes turvateenust osutav ettevõte. Kuigi tema põhitegevus on valveteenus, on viimane siiski seotud isikuandmete töötlemisega ning rakendub andmekaitsespetsialisti määramise kohustus. Sama põhimõtte kohaselt peaksid andmekaitsespetsialisti määrama näiteks krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad, sideettevõtted, hotellid, personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid.
NB! Põhitegevusena ei tule siiski käsitleda andmetöötleja enda töötajate isikuandmete töötlemist. Olgu selleks näiteks kas puhkuse- ja haiguspäevade arvestus või elektrooniliste juurdepääsuõiguste haldamine.
Ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine
Kuigi need kolm tingimust peaksid määruse kohaselt olema korraga täidetud, analüüsime selguse huvides nende tähendust eraldi.
1. Ulatuslik andmetöötlus
Määruse artikli 37 (1b) kohaselt on üheks andmekaitsespetsialisti määramise kriteeriumiks see, kui toimub ulatuslik andmesubjektide jälgimine. On selge, et seda mõistet ei ole võimalik üheselt sisustada. See võib tähendada jälgitavate isikute arvu, jälgimise aega või geograafilist ulatust.
Siiski saame tuua mõned näited valdkondadest, mis võiksid paigutuda mõiste ulatuslik alla:
- patsientide isikuandmete töötlemine haiglates või tervisekeskustes,
- ühistranspordi valideerimislahendused,
- kliendiandmete töötlemine pangas või kindlustusettevõttes,
- telefoni- või internetiteenuse kasutajate andmete töötlemine,
- võrguturbe ettevõtted.
Erandiks võib aga tuua üksiku perearsti patsientide andmetöötluse. See ei lähe määruse kohasel termini ulatuslik alla.
2. Korrapärane ja süstemaatiline andmetöötlus
Neid mõisteid ei ole määruses täpsemalt defineeritud. Küll aga annavad määruse mõned põhjenduspunktid aimu, mida täpsemalt on mõeldud.
Mõiste korrapärane laieneb juhtudele, kui andmetöötlus on kas pidev või kindla aja tagant korduv ning ei ole ühekordne toiming.
Süstemaatilise andmetöötlusega peab arvestama, kui see on eelnevalt planeeritud, läbiviimine organiseeritud ja metoodiline ning on selgelt osa andmetöötleja ärimudelist.
Toome mõned näited andmetöötlustest, mis on korrapärased ja süstemaatilised:
- sideteenuse osutamine (nii telefoni kui internetiteenus),
- kindla valimi alusel otseturustuse saatmine,
- kliendi sobivuse hindamine panga või kindlustustoote kasutamiseks (näiteks maksevõime hindamine, kliendi tervise- või liikluskäitumise riski hindamine),
- kliendi asukohaandmete töötlemine nutirakendustes,
- kaubanduskettide lojaalsusprogrammid,
- klientide võrgulehtede kasutuse analüüsimine ja selle põhjal nn online-reklaamide näitamine,
- kliendiandmete töötlemine kaugloetavate arvestitega,
- veebiteenuse osutamine, eelkõige online-meedia (uudisteportaalid),
- telemaatikateenuse osutamine.
3. Eriliigiliste andmete ulatuslik töötlemine
Ka kõik isikuandmete vastutavad või volitatud töötlejad, kelle põhitegevuseks on isikuandmete eriliikide ulatuslik töötlemine, peavad määrama andmekaitsespetsialisti. Isikuandmete eriliikideks on näiteks terviseandmed, biomeetria, poliitilised vaated (vt lisaks määruse Art 9).
Eriliigiliste andmete ulatuslikud töötlejad on näiteks haiglad, perearstikeskused. Ka terviseuuringute teostajad, juhul kui kasutatakse isikustatud andmeid.
Euroopa andmekaitseasutuste töörühm on välja töötanud andmekaitsespetsialisti suunised ja vastused korduma kippuvatele küsimustele andmekaitsespetsialisti määramise kohta. Kõigi vastuvõetud juhendmaterjalidega saad tutvuda SIIN.