Tähelepanu juhtimine

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp juhatuse liikmed

Head Taastumise Teenused OÜ

[email protected]

17.07.2024 nr 2.2-10/24/1699-2

Tähelepanu juhtimine

Andmekaitse Inspektsioon sai märgukirja, mille kohaselt Head Taastumise Teenused OÜ juhatuse

liige on samaaegselt asutuse andmekaitsespetsialist. Lisaks sellele võisid märgukirjast nähtuvalt

Head Taastumise Teenused OÜ-s tekkida eksitused infosüsteemis olevate spetsialistide nimedega.

Märgukirjast ajendatuna soovib inspektsioon juhtida Head Taastumise Teenused OÜ tähelepanu

sellele, et andmekaitsespetsialisti rolli võivad ettevõttes täita:

- andmetöötleja enda koosseisuline töötaja (täistöökoht või lisaülesanne) või

- andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel).

Vastavalt isikuandmete kaitse üldmääruse art 38 lg-le 3 ja art 38 lg-le 6, selleks et

andmekaitseametnik saaks tegutseda sõltumatul viisil, on kehtestatud mitu kaitsemeedet:

- vastutavad töötlejad ega volitatud töötlejad ei tohi anda juhiseid andmekaitsespetsialist

ülesannete täitmise kohta;

- vastutav töötleja ei tohi andmekaitsespetsialisti tema ülesannete täitmise eest ametist

vabastada ega karistada;

- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.

Andmekaitse Inspektsioon selgitab, et andmekaitsespetsialisti muud ülesanded ja kohustused ei

tohi kaasa tuua huvide konflikti. Eeskätt tähendab see, et andmekaitsespetsialist ei saa

organisatsioonis olla sellisel ametikohal, millest tulenevalt ta peab otsustama isikuandmete

töötlemise eesmärkide ja vahendite üle. Kuna organisatsiooniline struktuur on igas

organisatsioonis erinev, tuleb olukorda igal üksikjuhul eraldi kaaluda. Huvide konflikt võib tekkida

organisatsioonis selliste töökohtade puhul nagu kõrgema juhtimistaseme töötajad (tegevjuht,

tootmisjuht, finantsjuht, meditsiinivaldkonna juht, turundusjuht, personalijuht või IT-juht), kuid ka

muude, organisatsioonilises struktuuris madalamal asuvate töökohtade puhul, kui nendega

kaasneb otsustamine isikuandmete töötlemise eesmärkide ja vahendite üle. Samuti võib huvide

konflikt tekkida juhul, kui ettevõttevälisel andmekaitsespetsialistil palutakse esindada vastutavat

töötlejat või volitatud töötlejat kohtus isikuandmete kaitsega seotud küsimustes. Oluline on teada,

et vastutav andmetöötleja (mitte andmekaitsespetsialist) vastutab ebaseadusliku andmetöötluse

korral, sh andmelekked, õigustamata edastamised, ebapädev ning teavitamata

andmekaitsespetsialist vms korral.

Andmekaitsespetsialisti rolli puudutavad täiendavad selgitused on leitavad inspektsiooni

kodulehelt.

Seoses isikuandmete töötlemise turvalisusega soovib inspektsioon juhtida tähelepanu sellele, et

juhul kui ettevõte on kasutusele võtnud uue infosüsteemi, siis isikuandmete kaitse üldmääruse art

32 lg 1 järgi peab isikuandmete vastutav töötleja rakendama isikuandmete töötlemisel (mille hulka

kuulub ka infosüsteemis olevate klientide isikuandmete töötlemine) turvalisuse tagamiseks

2 (2)

asjakohaseid tehnilisi ja korralduslikke meetmeid. Seejuures peab turvalisuse tagamisel arvesse

võtma isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke. Nii on mh oluline, et kui

infosüsteemis olevaid isikuandmeid töödeldakse, oleks tagatud süsteemi konfidentsiaalsus,

terviklikus ja vastupidavus, et seejuures ei saaks võimalikuks isikuandmete ebaseaduslik

töötlemine (sh nende kadu või juhuslik muutumine).

Inspektsioon on isikuandmete töötlemise turvalisuse ja andmeturbe põhimõtteid samuti oma

koduleheküljel selgitanud.

Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota.

Lugupidamisega

Agnes Järvela

jurist

peadirektori volitusel