Vastus pöördumisele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp Külli Tamm

Vinni Arst OÜ

[email protected]

Teie 21.10.2024 nr Meie 01.11.2024 nr 2.2.-5/24/21d-2

Vastus pöördumisele

Andmekaitse Inspektsioon (AKI) sai Teie teavituse andmekaitsespetsialisti määramise kohta.

Nimelt, Vinni Arst OÜ (regisrikood 17046555) juhatuse liige Külli Tamm määrab

andmekaitsespetsialistiks juhatuse liikme Külli Tamme (Tamm) alates 01.01.2025. Ehk siis

juhatuse liige plaanib ettevõttes täita ka andmekaitsespetsialisti ülesandeid.

Siinkohal pean vajalikuks selgitada, et Andmekaitse Inspektsioon on asunud seisukohale, et

juhatuse liige ei saa olla üldjuhul samal ajal ka asutuse andmekaitsespetsialist, eriti olukorras, kus

ettevõttel on pelgalt üks juhatuse liige või toimub ühine esindamine kõikides küsimustes. Juhatuse

liikmeks olek ei ole pelgalt kanne Äriregistris, vaid selle rolli taga on samuti konkreetsed

ülesanded ning vastutus, mh äriliste otsuste tegemine, organisatsiooni toimivana hoidmine,

toimiva finantsjuhtimissüsteemi kindlustamine, raamatupidamise korraldamine jne.

Vastavalt isikuandmete kaitse üldmäärusele1 ei tohi vastutavad ja volitatud töötlejad, selleks et

tagada andmekaitsespetsialisti sõltumatus:

- anda juhiseid andmekaitsespetsialisti ülesannete täitmise kohta;

- andmekaitsespetsialisti tema ülesannete täitmise eest ametist vabastada ega karistada;

- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.

Andmekaitsespetsialisti rolli võib täita küll ka ettevõtte oma töötaja (täistöökoht või lisaülesanne)

või andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel), kuid on tähtis et

puuduks mh huvide konflikt.

Huvide konflikti puudumine ongi tihedalt seotud nõudega, et andmekaitsespetsialist saaks

tegutseda sõltumatult. Konkreetselt Teie näite puhul, kus te olete ettevõttes nii

andmekaitsespetsialist kui juhatuse liige, on Äriregistris muuhulgas kirjas info, et seda osaühingut

võib kõikide tehingute tegemisel esindada iga juhatuse liige. See aga siiski annab esmase

indikatsiooni, et konflikt juhatuse liikme ja andmekaitsespetsialisti ametikoha vahel, puhul on

olemas.

Huvide konflikt võib tekkida organisatsioonis selliste töökohtade puhul nagu kõrgema

juhtimistaseme töötajad (muuhulgas tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht,

turundusjuht, personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris

madalamal asuvate töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise

eesmärkide ja vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel

andmekaitseametnikul palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus

isikuandmete kaitsega seotud küsimustes.

1 artikli 38 lõige 3 ja artikli 38 lõige 6

2 (2)

Eelnevast tulenevalt palume vaadata üle oma tegevused ning määrata andmekaitsespetsialist, kes

vastab kehtivale seadusandlusele. Muuhulgas soovitame tutvuda isikuandmete töötleja

üldjuhendiga, mis annab põhilise teadmise isikuandmete töötlemisest, leiate Andmekaitse

Inspektsiooni kodulehelt:

https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdf.

Andmekaitsespetsialisti määramisest leiab informatsiooni siit.

Kui sobiv andmekaitsespetsialist on olemas, siis on lihtsaim võimalus andmekaitsespetsialistist

teatamiseks Eestis seda teha ettevõtjaportaali kaudu. Sellisel juhul ei ole enam vaja eraldi teadet

Andmekaitse Inspektsioonile saata. Teate saab sisestada äriregistrisse esindusõiguslikuna kantud

isik.

Loodan, et minu selgitustest on abi.

Lugupidamisega

Liina Kroonberg

jurist

peadirektori volitusel