| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2345-2 |
| Registreeritud | 18.09.2024 |
| Sünkroonitud | 19.09.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | OÜ Jürgenson PAK |
| Saabumis/saatmisviis | OÜ Jürgenson PAK |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Kerstin Jürgenson
OÜ Jürgenson PAK
Teie 13.09.2024 nr Meie 18.09.2024 nr 2.2-9/24/2345-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles küsite, et kas/miks on juhatuse
liikme andmekaitsespetsialistiks olek välistatud ning kas selles osas on äkki ka kohtupraktikat (kui
juhatuse liikmel on vastav kvalifikatsioon).
Kuna Te ei ole selgitanud täpsemalt, millised on Teie ülesanded juhatuse liikmena ning kuidas
need ülesanded on dokumenteeritud huvide konflikti vältimiseks, siis kõiki asjaolusid teadmata
saame selgitada, et Andmekaitse Inspektsioon on asunud seisukohale, et juhatuse liige ei saa olla
üldjuhul samal ajal ka asutuse andmekaitsespetsialist (eriti olukorras, kus ettevõttel on pelgalt üks
juhatuse liige või toimub ühine esindamine kõikides küsimustes). Juhatuse liikmeks olek ei ole
pelgalt kanne Äriregistris, vaid selle rolli taga on samuti konkreetsed ülesanded ning vastutus, mh
äriliste otsuste tegemine, organisatsiooni toimivana hoidmine, toimiva finantsjuhtimissüsteemi
kindlustamine, raamatupidamise korraldamine jne.
Huvide konflikti puudumine ongi tihedalt seotud nõudega, et andmekaitsespetsialist saaks
tegutseda sõltumatul viisil. Konkreetselt Teie näite puhul, kus te olete ettevõttes nii
andmekaitsespetsialist kui juhatuse liige, siis on Äriregistris muuhulgas kirjas info, et seda
osaühingut võib kõikide tehingute tegemisel esindada iga juhatuse liige. See aga siiski annab
esmase aimu, et konflikt kahe ameti, juhatuse liige vs andmekaitsespetsialist, puhul on olemas.
Head kohtupraktikat siseriiklikul tasandil hetkel veel ei ole, küll aga on meil menetlusi, mis
tõenäoliselt lisavad sellel teemal enam selgust. Menetluste ning avaldatud otsustega saate end
hoida kursis meie kodulehel.
Selgitan, et andmekaitsespetsialisti rolli võivad täita andmetöötleja oma töötaja (täistöökoht või
lisaülesanne) või andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel).
Vastavalt isikuandmete kaitse üldmääruse artikli 38 lõige 3 ja artikli 38 lõige 6, selleks et
andmekaitseametnik saaks tegutseda sõltumatul viisil, on kehtestatud mitu kaitsemeedet:
-vastutavad töötlejad ega volitatud töötlejad ei tohi anda juhiseid andmekaitseametniku ülesannete
täitmise kohta;
- vastutav töötleja ei tohi andmekaitseametnikku tema ülesannete täitmise eest ametist vabastada
ega karistada;
- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.
Andmekaitse Inspektsioon selgitab, et andmekaitseametniku muud ülesanded ja kohustused ei tohi
kaasa tuua huvide konflikti. Eeskätt tähendab see, et andmekaitseametnik ei saa organisatsioonis
olla sellisel ametikohal, millest tulenevalt ta peab otsustama isikuandmete töötlemise eesmärkide
2 (2)
ja vahendite üle.
Huvide konflikt võib tekkida organisatsioonis selliste töökohtade puhul nagu kõrgema
juhtimistaseme töötajad (muuhulgas tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht,
turundusjuht, personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris
madalamal asuvate töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise
eesmärkide ja vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel
andmekaitseametnikul palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus
isikuandmete kaitsega seotud küsimustes.
Oleme mitmeid kordi andmetöötlejatele muuhulgas ka rõhutanud, et kui ettevõttel/asutusel tuleb
määrata andmekaitsespetsialist, siis ettevõtte/asutuse töökorraldus peaks tagama, et töötajad
teaksid andmekaitselistes küsimustes kõigepealt omaenda andmekaitsespetsialisti poole pöörduda.
Ilma selleta läheb info temast mööda. Kui ettevõttes/asutuses, kus andmekaitsespetsialist on
määratud, hakatakse inspektsiooni poole temast mööda minnes pöörduma, on see inspektsioonile
kindel märk, et andmekaitsespetsialisti määramine sellises ettevõttes/asutuses on vaid formaalsus
ja tegelikult ei ole asutuses pädevat andmekaitsespetsialisti. Asutuse/ettevõtte
andmekaitsespetsialist peab olema pädev hindama kõiki asjaolusid ning võimeline jõudma
järelduseni, kas andmete edastamine on õiguspärane või mitte.
Isikuandmete töötleja üldjuhendi, mis annab põhilise teadmise isikuandmete töötlemisest, leiate
Andmekaitse Inspektsiooni kodulehelt:
https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdf.
Andmekaitsespetsialisti määramisest leiab informatsiooni siit.
Oluline ongi märkida, et seda, kas ettevõttes on tagatud andmekaitsespetsialisti sõltumatu
tegevus, peab igal juhul suutma selgitada iga konkreetne ettevõte/asutus ise. Ei tasuks oodata
järelevalvemenetlust, mis oleks muuhulgas suunatud asutuse isikuandmete rikkumise asjaolude
uurimisele, sh kas AKS oli pädev ning sõltumatu oma meetmete kasutamisel või kas määratud
isikut saab üldse andmekaitsespetsialistina esitleda.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|