| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2.-5/25/9d-2 |
| Registreeritud | 28.03.2025 |
| Sünkroonitud | 31.03.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2.-5 Määratud andmekaitsespetsialist ja isikuandmete kaitse üldmääruse art 27 kohased teavitused |
| Toimik | 2.2.-5/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Guardarian OÜ |
| Saabumis/saatmisviis | Guardarian OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Ilja Nikiforov
Guardarian OÜ
Teie 13.03.2025 Meie 28.03.2025 nr 2.2.-5/25/9d-2
Vastus pöördumisele
Andmekaitse Inspektsioon (AKI) sai Teie teavituse andmekaitsespetsialisti määramise kohta
ettevõttele Guardarian OÜ. Olukorras, kus AKI-le on edastatud allkirjastamata teavitus ning
esinevad muud puudused, peame vajalikuks selgitada järgnevat.
Nimelt, Andmekaitse Inspektsioon võtab vastu määramisteateid, kui:
1) teatele on digitaalselt või omakäeliselt alla kirjutanud isik, kes on ettevõtja/asutuse
esindusõigusliku isikuna kantud äriregistrisse, või
2) kui allkirjastaja tegutseb volituse alusel, siis on teatele lisatud esindusõigusliku isiku
allkirjastatud volikiri. Sealjuures ühe ettevõtja/asutuse esindusõiguslik isik ei saa ilma volituseta
esitada teadet teise ettevõtte/asutuse kohta – isegi kui ta on emaettevõtja või kõrgemalseisev
asutus.
Lihtsaim võimalus andmekaitsespetsialistist teatamiseks on Eestis seda teha ettevõtjaportaali
kaudu. Sellisel juhul ei ole enam vaja eraldi teadet Andmekaitse Inspektsioonile saata. Teate saab
sisestada äriregistrisse esindusõiguslikuna kantud isik.
Andmekaitsespetsialist saab inspektsiooni ees oma tööandja kontaktisikuks. Selleks avatakse talle
digitaalteenused. Teenuste kasutaja tuvastamiseks vajame tema isikukoodi või sünnikuupäeva ja
kodakondsust (lisaks määramise kuupäevale, andmekaitsespetsialisti nimele ning
kontaktandmetele). Kui tähtaeg puudub, eeldame, et andmekaitsespetsialisti ametikoht on
tähtajatu. Isikukoodi avalikus vaates ei kuvata.
Peame lisaks vajalikuks selgitada, mis puudutab andmekaitsespetsialisti ülesandeid, et juhatuse
liige ei saa olla üldjuhul samal ajal ka asutuse andmekaitsespetsialist, eriti olukorras, kus ettevõttel
on pelgalt üks juhatuse liige või toimub ühine esindamine kõikides küsimustes. Juhatuse liikmeks
olek ei ole pelgalt kanne Äriregistris, vaid selle rolli taga on samuti konkreetsed ülesanded ning
vastutus, mh äriliste otsuste tegemine, organisatsiooni toimivana hoidmine, toimiva
finantsjuhtimissüsteemi kindlustamine, raamatupidamise korraldamine jne.
Vastavalt isikuandmete kaitse üldmäärusele1 ei tohi vastutavad ja volitatud töötlejad, selleks
et tagada andmekaitsespetsialisti sõltumatus:
- anda juhiseid andmekaitsespetsialisti ülesannete täitmise kohta;
- andmekaitsespetsialisti tema ülesannete täitmise eest ametist vabastada ega karistada;
- ei tohi olla huvide konflikti muude võimalike ülesannete ja kohustustega.
Andmekaitsespetsialisti rolli võib täita küll ka ettevõtte oma töötaja (täistöökoht või lisaülesanne)
1 artikli 38 lõige 3 ja artikli 38 lõige 6
2 (2)
või andmetöötleja väline füüsiline või juriidiline isik (nt teenuslepingu alusel), kuid on tähtis et
puuduks mh huvide konflikt.
Huvide konflikti puudumine ongi tihedalt seotud nõudega, et andmekaitsespetsialist saaks
tegutseda sõltumatult. Olukorras, kus ollakse ettevõttes juhatuse liige, annab esmase indikatsiooni,
et konflikt juhatuse liikme ja andmekaitsespetsialisti ametikoha vahel, on olemas.
Huvide konflikt võib tekkida organisatsioonis selliste töökohtade puhul nagu kõrgema
juhtimistaseme töötajad (muuhulgas tegevjuht, tootmisjuht, finantsjuht, meditsiinivaldkonna juht,
turundusjuht, personalijuht või IT-juht), kuid ka muude, organisatsioonilises struktuuris
madalamal asuvate töökohtade puhul, kui nendega kaasneb otsustamine isikuandmete töötlemise
eesmärkide ja vahendite üle. Samuti võib huvide konflikt tekkida juhul, kui ettevõttevälisel
andmekaitseametnikul palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus
isikuandmete kaitsega seotud küsimustes.
Andmekaitsespetsialisti muutmiseks on vaja Andmekaitse Inspektsioonile esitada kohane
teavitus vastavalt eelnevalt selgitatule.
Isikuandmete töötlemise kohta informatsiooni saamiseks soovitame tutvuda Andmekaitse
Inspektsiooni veebilehel oleva informatsiooniga (m.h on oluline teada, kes saab olla ettevõtte
andmekaitsespetsialistiks ning tutvuda isikuandmete töötleja üldjuhendis antud selgitustega).
Lugupidamisega
Liina Kroonberg
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|