Andmekaitsespetsialist (inglise keeles Data Protection Officer, DPO) on isikuandmete kaitse üldmääruse (GDPR) artiklitega 37–39 loodud sõltumatu järelevalvefunktsioon, mille ülesanne on nõustada organisatsiooni andmekaitse küsimustes, jälgida GDPR-i täitmist ning olla kontaktpunktiks Andmekaitse Inspektsioonile (AKI) ja andmesubjektidele. Oluline on mõista: andmekaitsespetsialist ei vastuta ise vastavuse eest – vastutus lasub alati vastutaval töötlejal. Andmekaitsespetsialisti määramine on kohustuslik kolmel juhul: kui töötlemist teostab avaliku sektori asutus, kui organisatsiooni põhitegevus seisneb andmesubjektide ulatuslikus ja süstemaatilises jälgimises, või kui põhitegevus hõlmab eriliigiliste andmete või süüteoandmete ulatuslikku töötlemist. See juhend selgitab, millal määramine on kohustuslik, millised on ülesanded ja kuidas tagada sõltumatus.
Millal on andmekaitsespetsialisti määramine kohustuslik?
Artikli 37 lõige 1 näeb ette kolm kohustusliku määramise alust:
- Avaliku sektori asutus või organ. Eestis hõlmab see ministeeriume, ameteid, kohalikke omavalitsusi, koole, haiglaid ja muid avaliku võimu kandjaid (välja arvatud kohtud õigusemõistmise ülesannete täitmisel).
- Ulatuslik ja süstemaatiline jälgimine. Kui organisatsiooni põhitegevus seisneb andmesubjektide korrapärases ja süstemaatilises ulatuslikus jälgimises – näiteks käitumispõhine reklaam, asukohapõhised teenused, ulatuslik videovalve.
- Eriliigiliste andmete ulatuslik töötlemine. Kui põhitegevus hõlmab artikli 9 kohaste eriliigiliste andmete (terviseandmed, biomeetria jm) või artikli 10 süüteoandmete ulatuslikku töötlemist.
Isegi kui määramine ei ole kohustuslik, on paljude organisatsioonide jaoks mõistlik määrata andmekaitsespetsialist vabatahtlikult – sel juhul kohalduvad talle samad sõltumatuse ja ülesannete nõuded. AKI on avaldanud andmekaitsespetsialistidele suunatud teabe ja peab arvestust määratud spetsialistide üle.
Millised on andmekaitsespetsialisti ülesanded?
Artikli 39 lõige 1 loetleb viis põhiülesannet:
- Nõustada ja teavitada vastutavat või volitatud töötlejat ja töötajaid nende GDPR-kohustustest.
- Jälgida GDPR-i täitmist, sealhulgas vastutusvaldkondade jaotust, töötajate teadlikkust ja koolitust ning seonduvaid auditeid.
- Nõustada andmekaitsealase mõjuhinnangu osas ja jälgida selle teostamist artikli 35 järgi.
- Teha koostööd AKI-ga.
- Olla AKI kontaktpunktiks kõigis töötlemisega seotud küsimustes, sealhulgas artikli 36 kohase eelneva konsulteerimise puhul.
Praktikas abistab andmekaitsespetsialist ka töötlemise registri pidamisel, andmesubjektide õiguste teostamise korraldamisel ning rikkumiste käsitlemise korra haldamisel. Artikli 39 lõige 2 lisab, et ülesandeid tuleb täita töötlemisega seotud riski arvestades – seega tuleb esmajärjekorras keskenduda kõrge riskiga töötlemisele.
Sõltumatuse nõuded (art. 38)
Artikkel 38 näeb ette neli sõltumatuse tagatist:
- Vastutav töötleja ei anna juhiseid ülesannete täitmise viisi kohta (art. 38 lg 3).
- Andmekaitsespetsialisti ei tohi ülesannete täitmise eest vabastada ega karistada.
- Andmekaitsespetsialist allub vahetult kõrgeimale juhtkonnale.
- Andmesubjektid saavad andmekaitsespetsialistiga vahetult ühendust võtta.
Artikli 38 lõige 6 lubab andmekaitsespetsialistil täita ka muid ülesandeid, kui need ei tekita huvide konflikti. Konflikt tekib näiteks siis, kui sama isik on ühtaegu IT-juht, personalijuht või juhatuse liige, kes ise määrab töötlemise eesmärke – ta ei saa siis erapooletult iseenda tööd hinnata.
Sisemine või väline andmekaitsespetsialist?
Andmekaitsespetsialist võib olla organisatsiooni töötaja või tegutseda teenuslepingu alusel (art. 37 lg 6). Väliseks spetsialistiks pöördumine on Eesti väikeste ja keskmise suurusega organisatsioonide seas levinud: see tagab sõltumatuse ja erialaste teadmiste taseme, mida sisemiselt sageli napib. Ettevõtete kontsern võib määrata ühe ühise andmekaitsespetsialisti, tingimusel et ta on igast asutusest hõlpsasti kättesaadav (art. 37 lg 2).
Artikli 37 lõige 5 nõuab, et spetsialist määratakse ametialaste omaduste, eelkõige andmekaitseõiguse ja -praktika ekspertteadmiste alusel. GDPR ei nõua konkreetset sertifikaati ega kraadi; vajalik teadmiste tase sõltub töötlemise keerukusest. Andmekaitsespetsialisti kontaktandmed tuleb avaldada (näiteks privaatsuspoliitikas) ja teatada AKI-le.
AKI järelevalve Eestis
Andmekaitsespetsialisti määramata jätmine olukorras, kus see on kohustuslik, on iseseisev rikkumine. Alates 1. novembrist 2024 võimaldab Eesti õigus GDPR-iga kooskõlas olevaid haldustrahve kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest (art. 83 lg 4). AKI on ajalooliselt eelistanud turgu harivat lähenemist ja andnud pigem ettekirjutusi kui trahve, kuid uus haldustrahvirežiim muudab määramata jätmise ja huvide konflikti reaalseks riskiks. Tööriist nagu Legiscope aitab andmekaitsespetsialistil dokumenteerida oma nõuandeid ja jälgida organisatsiooni reageeringut.
Ressursid ja positsioon organisatsioonis
Sõltumatuse kõrval on andmekaitsespetsialisti tegeliku toimimise eelduseks piisavad ressursid. Artikli 38 lõige 2 kohustab vastutavat töötlejat tagama spetsialistile ressursid ülesannete täitmiseks: aja, juurdepääsu isikuandmetele ja töötlemistoimingutele, koolituseelarve ning võimaluse säilitada erialaseid teadmisi. Praktikas tähendab see, et andmekaitsespetsialist, kes täidab rolli muude ülesannete kõrvalt ilma eraldatud ajata, ei suuda funktsiooni sisuliselt täita. Euroopa Andmekaitsenõukogu 2024. aasta koordineeritud järelevalve tuvastas, et ressursside nappus – ebapiisav eelarve, aja- ja koolituspuudus – on üks levinumaid andmekaitsespetsialisti töö takistusi kogu Euroopas.
Positsiooni seisukohalt on oluline, et andmekaitsespetsialist alluks vahetult kõrgeimale juhtkonnale (art. 38 lg 3) ning et teda kaasataks õigel ajal kõigisse isikuandmete kaitsega seotud küsimustesse (art. 38 lg 1). See tähendab konsulteerimist enne uute töötlemistoimingute käivitamist, süsteemide hankimist, rikkumiste käsitlemist ja andmesubjektide kaebuste lahendamist – mitte alles tagantjärele. Andmekaitsespetsialist on seotud konfidentsiaalsuskohustusega (art. 38 lg 5) ja peaks dokumenteerima oma nõuanded ja hinnangud, et vajaduse korral tõendada, et ta täitis oma ülesandeid nõuetekohaselt.
Eesti kontekstis on paljude organisatsioonide, eriti VKE-de ja väiksemate omavalitsuste jaoks mõistlik lahendus väline andmekaitsespetsialist teenuslepingu alusel. See tagab sõltumatuse ja ekspertteadmiste taseme, mida sisemiselt sageli napib, ning väldib huvide konflikti, mis tekiks, kui rolli täidaks IT- või personalijuht. AKI peab andmekaitsespetsialistide üle arvestust ja ootab, et nende kontaktandmed oleksid ajakohased ja avaldatud.
Kontaktandmete avaldamine ja teavitamine AKI-le
Andmekaitsespetsialisti määramisega kaasneb kaks vormilist, kuid olulist kohustust. Esiteks tuleb spetsialisti kontaktandmed avaldada (art. 37 lg 7) – tavaliselt privaatsuspoliitikas ja veebilehel – nii et andmesubjektid saaksid temaga vahetult ühendust võtta oma õiguste teostamise ja andmekaitseküsimuste osas. Piisab funktsionaalsest kontaktist (näiteks dpo@ettevote.ee), isiku nime avaldamine ei ole kohustuslik.
Teiseks tuleb spetsialisti kontaktandmed teatada AKI-le, kes peab andmekaitsespetsialistide üle arvestust. See võimaldab järelevalveasutusel spetsialistiga otse suhelda ja kasutada teda kontaktpunktina. Kontaktandmete muutumisel tuleb teave ajakohastada.
Andmekaitsespetsialisti roll suhetes andmesubjektidega on eriti nähtav õiguste teostamisel. Spetsialist on sageli esimene kontaktpunkt, kui andmesubjekt soovib tutvuda oma andmetega või nõuab andmete kustutamist. Kuigi õiguste täitmise eest vastutab lõppkokkuvõttes vastutav töötleja, koordineerib spetsialist sageli protsessi ja jälgib tähtaegadest kinnipidamist. See seob andmekaitsespetsialisti töö otse organisatsiooni rikkumiste käsitlemise korra ja andmesubjektide õiguste haldusega ühtseks tervikuks.
Korduma kippuvad küsimused
Kas andmekaitsespetsialisti nimi tuleb avalikustada?
Ei pea. Kohustuslik on avaldada andmekaitsespetsialisti kontaktandmed, mitte tema nimi. Piisab funktsionaalsest kontaktist, näiteks e-posti aadressist või telefoninumbrist, mille kaudu andmesubjektid ja AKI saavad spetsialistiga ühendust võtta. Kontaktandmed tuleb avaldada ja AKI-le teatada.
Kas väline andmekaitsespetsialist on parem kui sisemine?
Kumbki mudel ei ole iseenesest parem – valik sõltub organisatsiooni suurusest ja töötlemise keerukusest. Väline spetsialist tagab sõltumatuse ja laiema kogemuse ning sobib hästi VKE-dele ja väiksematele asutustele. Sisemine spetsialist tunneb organisatsiooni protsesse põhjalikumalt, kuid tema puhul tuleb hoolikalt vältida huvide konflikti. Mõlemal juhul kehtivad samad artiklite 38–39 nõuded.
Kas iga ettevõte peab määrama andmekaitsespetsialisti?
Ei. Määramine on kohustuslik üksnes avaliku sektori asutustele ning organisatsioonidele, mille põhitegevus seisneb ulatuslikus süstemaatilises jälgimises või eriliigiliste andmete ulatuslikus töötlemises. Muudel juhtudel on määramine vabatahtlik, kuid sageli soovitatav.
Kas andmekaitsespetsialist vastutab isiklikult rikkumiste eest?
Ei. Vastutus GDPR-i täitmise eest lasub vastutaval või volitatud töötlejal. Andmekaitsespetsialist täidab sõltumatut nõuandvat ja järelevalvefunktsiooni. Isiklik vastutus võib tekkida üksnes siis, kui ta ise rikkumises aktiivselt osaleb.
Kas andmekaitsespetsialist võib olla ka juhatuse liige?
Üldjuhul mitte, kui see tekitab huvide konflikti. Juhatuse liige, kes määrab töötlemise eesmärke, ei saa erapooletult hinnata iseenda otsuseid. Sama kehtib IT-juhi ja personalijuhi kohta. Konflikti hindamisel tuleb lähtuda tegelikest ülesannetest.
Kokkuvõte
Andmekaitsespetsialist on sõltumatu järelevalvefunktsioon, mitte vastavuse teostaja. Määramine on kohustuslik avaliku sektori asutustele ning organisatsioonidele, mille põhitegevus seisneb ulatuslikus jälgimises või eriliigiliste andmete töötlemises. Artikli 39 viis ülesannet keskenduvad nõustamisele, jälgimisele ja koostööle AKI-ga; artikkel 38 tagab sõltumatuse ja huvide konflikti puudumise. Uus Eesti haldustrahvirežiim muudab õige määramise ja positsioneerimise senisest olulisemaks. Määrake spetsialist ametialaste teadmiste alusel, tagage talle sõltumatus ja piisavad ressursid ning avaldage tema kontaktandmed – see on üks esimesi asju, mida rikkumiste käsitlemise korra ja registri kõrval AKI kontrollib.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial