Sageli tekib küsimus, kellele panna asutuses või ettevõttes andmekaitsespetsialisti (AKS) ülesanded?

EL isikuandmete kaitse üldmääruse (GDPR) artiklid 37-39 sisaldavad reegleid, millistel juhtudel AKS määrata, milline on tema ametiseisund ning ülesanded. Siiski ei määra GDPR üheselt, kas AKS peaks olema keegi töötajatest või tuleks selle ülesande täitmine osta hoopis välise teenusepakkuja käest.

Organisatsioon võib palgata AKS-i eraldi loodud ametipostile või leida sobiva isiku oma olemasolevate töötajate hulgast. GDPR artikli 38 punktis 6 on täpsustatud, et AKS võib täita ka muid ülesandeid ja kohustusi, kuid tuleb tagada, et sellised ülesanded ja kohustused ei põhjustaks huvide konflikti.

Kuidas huvide konflikti vältida?

Euroopa Andmekaitsenõukogu on (https://ec.europa.eu/newsroom/article29/items/612048/en) välja toonud, et AKS ei tohi olla sellisel ametikohal, millest tulenevalt ta peab otsustama isikuandmete töötlemise vahendite ja eesmärkide üle. Olulisim on AKS-i erapooletus, nö kõrvaltvaataja seisund.

Sellest järeldub, et juhid , sh erinevate osakondade juhid, kes otsustavad isikuandmete töötlemise protsesside algatamise, ettevalmistamise ja teostamise üle, ei sobi AKS-i ülesannet täitma.

Üldjuhul on nii tippjuhi, aga ka IT osakonna roll osaleda isikuandmete töötlemise vahendite valikus. Näiteks arendada ise tarkvara või otsustada organisatsioonile riist- ja tarkvaralahenduste ostmine. Seetõttu ei ole neile isikutele lisaks ka AKS ülesannete määramine GDPR põhimõtetega kooskõlas.

Väärad valikud on toonud ka negatiivseid rahalisi tagajärgi. Nii määras Belgia andmekaitse järelevalveasutus 50 000 € trahvi ettevõttele selle eest, et AKS ülesanded olid pandud siseauditi osakonna juhile (vt. https://www.huntonprivacyblog.com/2020/05/06/belgian-dpa-sanctions-company-for-non-compliance-with-the-gdprs-dpo-requirements/).

Kõnealusel juhtumil oli andmekaitsespetsialistil osakonna juhina otsustusõigus töötajate vallandamise üle, mis on vastuolus andmekaitsespetsialisti nõustajarolliga. Samuti leidis järelevalveasutus, et osakonna juhataja määras isikuandmete töötlemise eesmärgid ja viisi, mistõttu tekkis olukord, kus andmekaitsespetsialist istus justkui „mõlemal pool lauda“. Andmekaitsespetsialist, kes samal ajal langetab otsuseid andmetöötlustoimingute üle, ei taga piisavalt sõltumatut kontrolli andmetöötlustoimingute üle.