Andmekaitseuudised

Juht ei saa samaaegselt olla ka andmekaitsespetsialist.

Postitatud

GDPR art 4 punkti 7 kohaselt on isikuandmete vastutava töötleja määravaks tunnuseks töötlemise eesmärkide ja meetodite (vahendite) kindlaksmääramine. Ettevõttes või asutuses teevad selliseid otsuseid tavaliselt juhatuse esimees, finantsdirektor, turundusjuht, personalijuht või IT juht.

Vastavalt GDPR artiklile 37 peavad vastutavad ja volitatud töötlejad määrama andmekaitsespetsialisti järgmistel juhtudel:

  1. isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud kohtud õigusemõistmisel;
  2. vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või
  3. vastutava töötleja või volitatud töötleja põhitegevuse moodustab GDPR artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Samuti võib andmekaitseametniku määramise nõue tuleneda EL või liikmesriigi muudest õigusaktidest.

Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita GDPR artiklis 39 osutatud ülesandeid.

Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuselepingu alusel (nö. firma kaudu).

Oma juhendis on Euroopa Andmekaitsenõukogu rõhutanud, et andmekaitsespetsialist peab oma kohustuste täitmisel olema sõltumatu ning vaba huvide konfliktist.

See tähendab, et andmekaitsespetsialist ei saa seega täita samaaegselt ülesandeid, mis hõlmavad isikuandmete töötlemise toimingute eesmärkide ja meetodite üle otsustamist.