{"id":748,"date":"2019-02-14T07:14:25","date_gmt":"2019-02-14T07:14:25","guid":{"rendered":"https:\/\/arendus.magilex.ee\/?p=748"},"modified":"2023-02-01T07:18:11","modified_gmt":"2023-02-01T07:18:11","slug":"kas-ettevote-peab-maarama-andmekaitsespetsialisti","status":"publish","type":"post","link":"https:\/\/www.magilex.ee\/en\/kas-ettevote-peab-maarama-andmekaitsespetsialisti\/","title":{"rendered":"Does the company have to appoint a data protection specialist?"},"content":{"rendered":"<p>If your company is exposed to the processing of personal data, you have to assess whether your company is obliged to appoint a data protection specialist by checking compliance with the data protection regulation.<\/p>\n<p>Spetsialisti m\u00e4\u00e4ramisel peab veenduma isiku sobivuses ja teavitama spetsialisti m\u00e4\u00e4ramisest avalikkust ja Andmekaitse Inspektsiooni.<\/p>\n<h2>Mis juhul peab ettev\u00f5te m\u00e4\u00e4rama andmekaitsespetsialisti?<\/h2>\n<p>Iga ettev\u00f5te tegeleb isikuandmete t\u00f6\u00f6tlemisega, kuid iga ettev\u00f5te ei pea m\u00e4\u00e4rama andmekaitsespetsialisti.<\/p>\n<p>Ettev\u00f5te peab m\u00e4\u00e4rama andmekaitsespetsialisti, kui tema p\u00f5hitegevus h\u00f5lmab isikuandmete<\/p>\n<ol>\n<li>ulatuslikku,<\/li>\n<li>korrap\u00e4rast ja<\/li>\n<li>s\u00fcstemaatilist t\u00f6\u00f6tlemist.<\/li>\n<\/ol>\n<p>Ettev\u00f5tte enda t\u00f6\u00f6tajate isikuandmete t\u00f6\u00f6tlemist ei loeta p\u00f5hitegevuse hulka.<\/p>\n<p>P\u00f5hitegevuseks loetakse v\u00f5tmetegevust, ilma milleta ei saa ettev\u00f5te oma igap\u00e4evaseid eesm\u00e4rke t\u00e4ita. Spetsialisti m\u00e4\u00e4ramise kohustusega seonduv isikuandmete t\u00f6\u00f6tlemine peab olema sellise tegevuse lahutamatu osa.<\/p>\n<p>N\u00e4iteks ei ole Andmekaitse Inspektsiooni\u00a0<a href=\"https:\/\/www.aki.ee\/sites\/www.aki.ee\/files\/elfinder\/article_files\/2018.09.28%20andmet%C3%B6%C3%B6tleja%20%C3%BCldjuhend.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Isikuandmete T\u00f6\u00f6tleja Juhendis<\/a>\u00a0andmetel ilma isikuandmete t\u00f6\u00f6tlemiseta v\u00f5imalik osutada: a) tervishoiuteenust, b) finantsteenust, c) sideteenust, d) kindlustusteenust.<\/p>\n<p>Lisaks peavad andmekaitsespetsialisti m\u00e4\u00e4rama (i) avaliku sektori asutused v\u00f5i organid ja (ii) isikuandmete eriliike v\u00f5i s\u00fc\u00fcteoandmeid ja s\u00fc\u00fcdim\u00f5istvaid kohtuotsuseid t\u00f6\u00f6tlevad t\u00f6\u00f6tlejad, kui need ei kuulu meie postituse vaatluse alla.<\/p>\n<h2>Mis on ulatuslik andmet\u00f6\u00f6tlus?<\/h2>\n<p>Andmet\u00f6\u00f6tluse ulatuslikkust saab m\u00e4\u00e4ratleda v\u00e4ga erinevate n\u00e4itajate p\u00f5hjal. Euroopa<br \/>\nandmekaitsen\u00f5ukogu on soovitanud l\u00e4htuda n\u00e4iteks:<\/p>\n<ul>\n<li>andmet\u00f6\u00f6tluses h\u00f5lmatud isikute arvust v\u00f5i osakaalust asjaomases elanikkonnas<\/li>\n<li>t\u00f6\u00f6deldavate isikuandmete mahust ja\/v\u00f5i erinevate andmekirjete arvust<\/li>\n<li>isikuandmete t\u00f6\u00f6tlemise kestusest v\u00f5i pidevusest<\/li>\n<li>isikuandmete t\u00f6\u00f6tlemise geograafilisest ulatusest.<\/li>\n<\/ul>\n<p>Andmekaitse Inspektsioon l\u00e4htub eelk\u00f5ige sellest, mitme isiku andmed on j\u00e4lgimisse kaasatud ja loeb ulatuslikuks andmet\u00f6\u00f6tluseks:<\/p>\n<ul>\n<li>eriliiki v\u00f5i s\u00fc\u00fcteo andmed 5000 ja enama inimese kohta<\/li>\n<li>suurt ohtu p\u00f5hjustavad andmed 10 000 ja enama inimese kohta, seejuures suure ohu n\u00e4ideteks on toodud:\n<ul>\n<li>identiteedivarguse v\u00f5i -pettuse oht (eriti digitaalse usaldusteenuse ning sellega v\u00f5rreldava identiteedihaldusteenuse puhul)<\/li>\n<li>oht varale (eriti panga- ja krediitkaarditeenuse kaudu)<\/li>\n<li>oht s\u00f5numisaladuse rikkumisele (eriti sideteenuse puhul)<\/li>\n<li>inimese asukoha reaalajas j\u00e4litamine (eriti sideteenuse puhul)<\/li>\n<li>inimese majandusliku seisu avalikuks saamine (eriti maksuandmete, pangaandmete ning krediidireitingu andmete kaudu \u2013 kuid see ei h\u00f5lma avalike andmete kasutamist)<\/li>\n<li>oht \u00f5iguslike tagaj\u00e4rgedega v\u00f5i samalaadse m\u00f5juga diskrimineerimiseks (sealhulgas t\u00f6\u00f6vahendusteenuses ning palga- ja karj\u00e4\u00e4riv\u00f5imalusi m\u00f5jutavas hindamisteenuses)<\/li>\n<\/ul>\n<\/li>\n<li>\u00fclej\u00e4\u00e4nud isikuandmed 50 000 ja enama isiku kohta.<\/li>\n<\/ul>\n<h2>Mis on korrap\u00e4rane ja s\u00fcstemaatiline andmet\u00f6\u00f6tlus?<\/h2>\n<p><b>Korrap\u00e4rane andmet\u00f6\u00f6tlus<\/b>. \u00a0Isikuandmete T\u00f6\u00f6tleja Juhendis selgitab, et m\u00f5iste korrap\u00e4rane laieneb andmet\u00f6\u00f6tlusele, mis toimub pidevalt v\u00f5i teatud ajavahemike tagant ega ei ole juhuslik.<\/p>\n<p><b>S\u00fcstemaatiline andmet\u00f6\u00f6tlus<\/b>. \u00a0Juhendi kohaselt loetakse s\u00fcstemaatiliseks andmet\u00f6\u00f6tluseks planeeritud ja metoodiline andmet\u00f6\u00f6tlus.<\/p>\n<p>Isikuandmete T\u00f6\u00f6tleja Juhendis on v\u00e4lja toodud kaks n\u00e4idet andmekaitsespetsialisti m\u00e4\u00e4ramise \u00fcle otsustamiseks.<\/p>\n<h2>Andmekaitsespetsialisti m\u00e4\u00e4ramise n\u00e4ide 1<\/h2>\n<p>V\u00e4ikesed poed tellivad klientide ostueelistuste v\u00e4ljaselgitamiseks ning isikustatud reklaami tegemiseks vajalikku andmeanal\u00fc\u00fctikat suurelt IT-ettev\u00f5ttelt.<\/p>\n<p>Poodide endi p\u00fcsiklientide arv on v\u00e4ike, neile teenust pakkuva IT-ettev\u00f5tte andmeanal\u00fc\u00fctika h\u00f5lmab aga kokku \u00fcle 50 tuhande inimese.<\/p>\n<p>Seega antud n\u00e4ites vastutavad t\u00f6\u00f6tlejad (poed) ise ei peagi spetsialisti m\u00e4\u00e4rama, k\u00fcll aga peab seda tegema nende volitatud t\u00f6\u00f6tleja (IT-ettev\u00f5te).<\/p>\n<h2>Andmekaitsespetsialisti m\u00e4\u00e4ramise n\u00e4ide 2<\/h2>\n<p>Pood peab p\u00fcsiklientide \u00fcle arvestust raamatupidamise n\u00f5uete t\u00e4itmiseks (arvete koostamiseks ja s\u00e4ilitamiseks), kuid klientide ostueelistuste anal\u00fc\u00fcsi ei tee.<\/p>\n<p>Sel juhul ei ole kohustust andmekaitsespetsialisti m\u00e4\u00e4rata, sest kliente ei j\u00e4lgita.<\/p>\n<h2>Kes v\u00f5ib olla ettev\u00f5tte andmekaitsespetsialistiks?<\/h2>\n<p>Andmekaitsespetsialisti rolli v\u00f5ib t\u00e4ita:<\/p>\n<ul>\n<li>andmet\u00f6\u00f6tleja koosseisuline t\u00f6\u00f6taja (nt eraldi ametikoht),<\/li>\n<li>andmet\u00f6\u00f6tleja all\u00fcksus (nt osakond) v\u00f5i<\/li>\n<li>andmet\u00f6\u00f6tleja v\u00e4line juriidiline isik (nt teenuslepingu alusel).<\/li>\n<\/ul>\n<p>Kui andmekaitsespetsialisti \u00fclesandeid t\u00e4idab andmet\u00f6\u00f6tleja all\u00fcksus v\u00f5i m\u00f5ni muu juriidiline isik, peaks kontaktiks avalikkusele ja j\u00e4relevalveasutusele olema siiski \u00fcks konkreetne eraisik koos isiklike kontaktandmetega.<\/p>\n<h2>Kuidas valida andmekaitsespetsialisti?<\/h2>\n<p>Kui ettev\u00f5ttel on kohustus m\u00e4\u00e4rata andmekaitsespetsialist, peaks konkreetse ettev\u00f5tte erip\u00e4radest l\u00e4htuvalt kaaluma, kui suur on andmekaitsespetsialisti t\u00f6\u00f6koormus.<\/p>\n<p>Seej\u00e4rel saab otsustada, kas ametikoha \u00fclesandeid saab t\u00e4ita m\u00f5ni olemasolev t\u00f6\u00f6taja, kellele v\u00f5imaldatakse vajalikke t\u00e4ienduskoolitusi, v\u00f5i v\u00f5etakse t\u00f6\u00f6le uus spetsialist.<\/p>\n<p>Alternatiiviks on andmekaitsespetsialisti teenuse sisseostmine professionaalse teenusepakkuja poolt.<\/p>\n<h2>Mis on andmekaitsespetsialisti \u00fclesanded?<\/h2>\n<p>Andmekaitsespetsialisti \u00fcldm\u00e4\u00e4rusest\/direktiivist tulenevad p\u00f5hi\u00fclesanded on:<\/p>\n<ul>\n<li>olla andmesubjektidele kontaktisikuks k\u00f5igis k\u00fcsimustes, mis on seotud nende isikuandmete t\u00f6\u00f6tlemise ja nende andmekaitse alaste \u00f5iguste kasutamisega<\/li>\n<li>teavitada ja n\u00f5ustada oma organisatsiooni (vajadusel ka selle partnerite) juhtkonda ning personali andmekaitse alal<\/li>\n<li>j\u00e4lgida andmekaitse normide rakendamist, sealhulgas vastutusvaldkondade jaotamist, personali teadlikkust ja koolitust, ning andmekaitse alast auditeerimist<\/li>\n<li>anda n\u00f5u seoses andmekaitsealase m\u00f5juhinnanguga ning j\u00e4lgida selle toimimist<\/li>\n<li>teha koost\u00f6\u00f6d Andmekaitse Inspektsiooniga, olles t\u00f6\u00f6andja kontaktisikuks.<\/li>\n<\/ul>\n<p>Eeltoodud \u00fclesanded ei sega m\u00e4\u00e4ramast spetsialistile ka muid t\u00f6\u00f6\u00fclesandeid \u2013 kui see ei takista p\u00f5hi\u00fclesannete t\u00e4itmist.<\/p>\n<h2>Mida peab andmekaitsespetsialist teadma?<\/h2>\n<p>Andmekaitse Inspektsioon on koostanud nimekirja soovituslikest kompetentsidest, mis on eelduseks andmekaitsespetsialisti rolli n\u00f5uetekohasel t\u00e4itmisel.<\/p>\n<h3>Ettev\u00f5tte andmekaitsespetsialist peab teadma:<\/h3>\n<ul>\n<li>ettev\u00f5tte v\u00e4\u00e4rtuseid ja eesm\u00e4rke, sh visiooni, missiooni ja strateegiat<\/li>\n<li>ettev\u00f5tte sise- ja \u00e4riprotsesse<\/li>\n<li>ettev\u00f5tte t\u00f6\u00f6korralduse reegleid ja poliitikaid<\/li>\n<li>ettev\u00f5tte toimimiseks vajalikku ELi ja siseriiklikku andmekaitse\u00f5igust<\/li>\n<li>\u00f5igusakte, mis v\u00f5ivad reguleerida kitsamalt organisatsiooni tegevusvaldkonda<\/li>\n<li>asjakohaseid tehnoloogiaid ja arenguid IKT ja infoturbe valdkonnas ning nende v\u00f5imalikke m\u00f5jusid organisatsiooni protsessidele<\/li>\n<li>andmeanal\u00fc\u00fctika ja profileerimise p\u00f5him\u00f5tteid ja meetodeid, sh pseudon\u00fc\u00fcmimine ja anon\u00fc\u00fcmimine<\/li>\n<li>riskianal\u00fc\u00fcsi ja riskijuhtimise raamistikke ning meetodeid<\/li>\n<li>andmekaitsealase m\u00f5juhinnangu l\u00e4biviimise raamistikke ning meetodeid<\/li>\n<li>asjakohaseid informatsiooniallikaid (ELi ja siseriiklikud \u00f5igusaktid, ELi ja siseriiklik kohtupraktika, ELi ja siseriiklike andmekaitseasutuste arvamused ja suunised)<\/li>\n<li>siseriiklikku ja vajadusel m\u00f5ne teise ELi riigi andmekaitse j\u00e4relevalveasutust ja nendega teabevahetuseks vajalikke kontakte<\/li>\n<\/ul>\n<h3>Ettev\u00f5tte andmekaitsespetsialist peab oskama:<\/h3>\n<ul>\n<li>v\u00e4\u00e4rtustada oma t\u00f6\u00f6d ja selle olulisust<\/li>\n<li>suhelda ja esineda enesekindlalt ja pingevabalt<\/li>\n<li>kaasata ettev\u00f5tte juhtkonda ja t\u00f6\u00f6tajaid<\/li>\n<li>esitada kirjalikke materjale struktureeritult ja loogiliselt ning keeleliselt korrektselt<\/li>\n<li>selgitada ettev\u00f5tte inimestele andmekaitse alaseid kohustusi ja vastutust<\/li>\n<li>koostada ja ellu viia ettev\u00f5tte andmekaitsealast strateegiat<\/li>\n<li>koostada ettev\u00f5tte t\u00f6\u00f6korralduseks vajalikke andmekaitsealaseid juhendeid<\/li>\n<li>koostada andmekaitsealast m\u00f5juhinnangut, sealjuures teha kindlaks ettev\u00f5tte andmekaitsealased riskid ja koostada tegevusplaanid riskide leevendamiseks<\/li>\n<li>rakendada \u201evaikimisi\u201c ja \u201el\u00f5imitud\u201c andmekaitse p\u00f5him\u00f5tteid<\/li>\n<li>juhtida ja koordineerida ettev\u00f5tte andmekaitsealaseid protsesse (projektide juhtimine)<\/li>\n<li>tuvastada ja dokumenteerida isikuandmete t\u00f6\u00f6tlemise toiminguid ning isikuandmetega seotud rikkumisi<\/li>\n<li>eristada neid isikuandmetega seotud rikkumisi, mille korral tuleb teavitada andmekaitse j\u00e4relevalveasutust ja f\u00fc\u00fcsilisi isikuid, kelle suhtes rikkumine toimus.<\/li>\n<\/ul>\n<h2>Kuidas ja keda peab teavitama andmekaitsespetsialisti m\u00e4\u00e4ramisest?<\/h2>\n<p>Spetsialisti m\u00e4\u00e4ramisest peab teavitama Andmekaitse Inspektsiooni ja selleks on loodud mugav v\u00f5imalus ettev\u00f5tjaportaali kaudu. Kui olete andmekaitsespetsialisti m\u00e4\u00e4ranud ettev\u00f5tjaportaali kaudu, siis eraldi kirjalikult sellest inspektsiooni teavitama ei pea.<\/p>\n<p>Portaali kaudu saab informatsioon n\u00e4htavaks avalikkusele ja seega olete t\u00e4itnud ka avalikkuse teavitamise kohustuse.<\/p>\n<p>Andmekaitsespetsialisti m\u00e4\u00e4ramisest saab ettev\u00f5tjaportaali kaudu teavitada esindus\u00f5iguslik isik. Esitamiseks on vaja andmekaitsespetsialisti ees- ja perekonnanime ning isikukoodi\/s\u00fcnniaega.<\/p>\n<p>Vt ka Andmekaitse Inspektsiooni juhendit \u2013\u00a0<a href=\"https:\/\/www.aki.ee\/et\/andmekaitsespetsialisti-maaramine\/kuidas-ettevotjaportaalis-andmekaitsespetsialisti-andmed-esitada\" target=\"_blank\" rel=\"noopener noreferrer\">Kuidas ettev\u00f5tjaportaalis andmekaitsespetsialisti andmed esitada?<\/a><\/p>\n<h2>Mis on isikuandmed?<\/h2>\n<p>Isikuandmeteks loetakse igasugust teavet tuvastatud v\u00f5i tuvastatava f\u00fc\u00fcsilise isiku kohta.<\/p>\n<p>Tuvastatav f\u00fc\u00fcsiline isik on isik, keda saab otseselt v\u00f5i kaudselt tuvastada, eelk\u00f5ige sellise identifitseerimistunnuse p\u00f5hjal nagu nimi, isikukood, asukohateave, v\u00f5rguidentifikaator v\u00f5i selle f\u00fc\u00fcsilise isiku \u00fche v\u00f5i mitme f\u00fc\u00fcsilise, f\u00fcsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise v\u00f5i sotsiaalse tunnuse p\u00f5hjal.<\/p>\n<p>Seega on isikuandmetena k\u00e4sitletavad k\u00f5iki andmeid, mis on kasv\u00f5i kaudselt seostatavad konkreetse f\u00fc\u00fcsilise isikuga.<\/p>\n<h2>Kuidas leida informatsiooni andmekaitse regulatsiooni kohta?<\/h2>\n<p>Isikuandmete kaitse valdkonda Euroopa Liidus reguleerib\u00a0<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/ET\/TXT\/?uri=CELEX%3A32016R0679%20\" target=\"_blank\" rel=\"noopener noreferrer\">Euroopa Parlamendi ja n\u00f5ukogu m\u00e4\u00e4rus 2016\/679<\/a>\u00a0f\u00fc\u00fcsiliste isikute kaitse kohta isikuandmete t\u00f6\u00f6tlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse \u00fcldm\u00e4\u00e4rus \u2013\u00a0<i>General Data Protection Regulation<\/i>, edaspidi\u00a0<b>GDPR v\u00f5i M\u00e4\u00e4rus<\/b>).<\/p>\n<p>Tegemist on\u00a0<b>otsekohalduva<\/b>\u00a0m\u00e4\u00e4rusega, mis rakendub samal kujul k\u00f5igis liikmesriikides vajaduseta enne siseriiklikke \u00f5igusakte vastu v\u00f5tta. Siseriiklikus seadusandluses reguleeritakse vaid neid k\u00fcsimusi, mida m\u00e4\u00e4rus ei k\u00e4sitle v\u00f5i mille osas j\u00e4tab m\u00e4\u00e4rus liikmesriikidele t\u00e4psustamise \u00f5iguse.<\/p>\n<p>GDPR sisustab Eesti \u00f5iguss\u00fcsteemis seni tundmatu m\u00f5iste, milleks on andmekaitseametnik ehk\u00a0<i>Data Protection Officer<\/i>. Eesti \u00f5igusaktides kasutatakse andmekaitseametniku asemel terminit andmekaitsespetsialist.<\/p>\n<h2>Kokkuv\u00f5te<\/h2>\n<p>Andmekaitsespetsialisti m\u00e4\u00e4ramise regulatsiooni raames peaks Iga ettev\u00f5tja l\u00e4bi m\u00f5tlema j\u00e4rgmised k\u00fcsimused:<\/p>\n<ol>\n<li>hinnata, kas ettev\u00f5tte peab m\u00e4\u00e4rama andmekaitsespetsialisti<\/li>\n<li>kui andmekaitsespetsialist tuleb m\u00e4\u00e4rata, siis valida v\u00e4lja vastav t\u00f6\u00f6taja ja pakkuda t\u00f6\u00f6tajale vajadusel sobivat koolitust<\/li>\n<li>t\u00e4psustada ja fikseerida andmekaitsespetsialisti \u00fclesanded konkreetse ettev\u00f5tte sees<\/li>\n<\/ol>\n<p>Magilex aitab vajadusel eeltoodud sammud ellu viia. Pakume nii andmekaitse alast n\u00f5ustamist, kui andmekaitsespetsialisti teenust.<\/p>","protected":false},"excerpt":{"rendered":"<p>If your company is exposed to the processing of personal data, you have to assess whether your company is obliged to appoint a data protection specialist by checking compliance with the data protection regulation.<\/p>","protected":false},"author":1,"featured_media":749,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","iawp_total_views":6,"footnotes":""},"categories":[22],"tags":[],"class_list":["post-748","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-andmekaitse"],"_links":{"self":[{"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/posts\/748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/comments?post=748"}],"version-history":[{"count":2,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/posts\/748\/revisions"}],"predecessor-version":[{"id":751,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/posts\/748\/revisions\/751"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/media\/749"}],"wp:attachment":[{"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/media?parent=748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/categories?post=748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.magilex.ee\/en\/wp-json\/wp\/v2\/tags?post=748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}