| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2.-5/24/22d-3 |
| Registreeritud | 01.11.2024 |
| Sünkroonitud | 04.11.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2.-5 Määratud andmekaitsespetsialist ja isikuandmete kaitse üldmääruse art 27 kohased teavitused |
| Toimik | 2.2.-5/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Undoink Eesti OÜ |
| Saabumis/saatmisviis | Undoink Eesti OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Lauri Levo
Undolink Eesti OÜ
Teie 22.10.2024 nr Meie 01.11.2024 nr 2.2.-5/24/22d-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie teavituse andmekaitsespetsialisti määramise kohta. Pöördumises kirjutate: Lisasime Undoink Eesti OÜ Äriregistriks delikaatsete andmete töötlejaks (vastutav isik Jani Petter Heikkilä). Kas sellele kandele lisaks peame täitma veel dokumendi: Taotlus delikaatsete isikuandmete töötlemise muudatuseks? Või see pole enam vajalik, kui Äriregistri kanne on tehtud?
Esmalt selgitan, et eraldi taotlust delikaatsete isikuandmete töötlemise muudatusteks ei ole enam
vaja teha. Juhime tähelepanu, et varasem delikaatsete isikuandmete töötlemise register ehk DIAT-
register on suletud ja arhiveeritud. Nimelt jõustus 25. mail 2018 isikuandmete kaitse üldmäärus.
Üldmääruse tähenduses on delikaatsed isikuandmed nimetatud eriliiki isikuandmeteks. Määrus
sisustas uue ka mõiste, milleks on andmekaitsespetsialist. Määruse artikkel 37(1) sätestab, millised
isikuandmete töötlejad peavad andmekaitsespetsialisti määrama. Näiteks peavad
andmekaitsespetsialisti määrama mh need ettevõtted, kes töötlevad isikuandmete eriliike oma
põhitegevuse raames ja ulatuslikult.1
Andmekaitsespetsialistist teavitamine toimubki äriregistri ettevõtjaportaali kaudu. Sellisel juhul ei
ole enam vaja eraldi teadet Andmekaitse Inspektsioonile saata. Siiski peab andmekaitsespetsialist
vastama kehtivale seadusandlusele.
Teiseks, mis puudutab konkreetselt pöördumises välja toodud ettevõtet, siis esineb siinkohal
andmekaitsespetsialisti määramisel puudujääke. Nimelt määrab Undoink Eesti OÜ juhatuse liige
Jani Petteri Heikkilä ettevõtte andmekaitsespetsialistiks juhatuse liikme Jani Petteri Heikkilä
(märge tehtud ka Äriregistris). Ehk siis juhatuse liige täidab ettevõttes ka andmekaitsespetsialisti
ülesandeid.
Siinkohal aga pean vajalikuks selgitada, et Andmekaitse Inspektsioon on asunud seisukohale, et
juhatuse liige ei saa olla üldjuhul samal ajal ka asutuse andmekaitsespetsialist, eriti olukorras, kus
ettevõttel on pelgalt üks juhatuse liige ja/või toimub ühine esindamine kõikides küsimustes. Nende
kahe rolli vahel on huvide konflikt. Juhatuse liikmeks olek ei ole pelgalt kanne Äriregistris, vaid
selle rolli taga on samuti konkreetsed ülesanded ning vastutus, mh äriliste otsuste tegemine,
organisatsiooni toimivana hoidmine, toimiva finantsjuhtimissüsteemi kindlustamine,
raamatupidamise korraldamine jne.
Andmekaitsespetsialisti muud ülesanded ja kohustused ei tohi kaasa tuua huvide konflikti. Eeskätt
tähendab see, et andmekaitsespetsialist ei saa ettevõttes olla sellisel ametikohal, millest tulenevalt
1 Täpsemalt võimalik lugeda ka siit: https://www.aki.ee/3-peatukk-andmekaitsespetsialist-aks
2 (2)
ta peab otsustama isikuandmete töötlemise eesmärkide ja vahendite üle.
Vastavalt isikuandmete kaitse üldmäärusele2 ei tohi vastutavad ja volitatud andmetöötlejad, selleks
et tagada andmekaitsespetsialisti sõltumatus:
- anda juhiseid andmekaitsespetsialisti ülesannete täitmise kohta;
- andmekaitsespetsialisti tema ülesannete täitmise eest ametist vabastada ega karistada;
- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.
Andmekaitsespetsialisti rolli võib täita küll ka ettevõtte oma töötaja (täistöökoht või lisaülesanne)
või andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel), kuid on tähtis et
puuduks mh huvide konflikt.
Huvide konflikt võib tekkida ettevõttes selliste töökohtade puhul nagu kõrgema juhtimistaseme
töötajad (muuhulgas tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht, turundusjuht,
personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris madalamal asuvate
töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise eesmärkide ja
vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel
andmekaitseametnikul palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus
isikuandmete kaitsega seotud küsimustes.
Kokkuvõtvalt on oluline märkida, et seda, kas ettevõttes on tagatud andmekaitsespetsialisti
sõltumatu tegevus, peab igal juhul suutma selgitada iga konkreetne ettevõte/asutus ise. Vajadusel
saate ka pöörduda õigusnõustajate poole, kes saavad Teile anda täpsemaid selgitusi lähtudes just
Teist ja Teie ettevõttest, sh selgitada, kas ettevõttel on vajalik määrata andmekaitsespetsialist ning
milline isik võib andmekaitsespetsialist olla ning millised peavad olema korrektsed toimingud
seaduspäraseks andmetöötluseks.
Andmekaitsespetsialisti ametikohustustest saab täpsemalt lugeda ka siit. Samuti leiab
Andmekaitse Inspektsiooni veebilehelt tervishoiuga seotud küsimuste kohta informatsiooni siit.
DIAT registri kohta on AKI selgitusi jaganud ka siin.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist
peadirektori volitusel
2 artikli 38 lõige 3 ja artikli 38 lõige 6
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|