Andmekaitseametniku teenus
Valida saab kahe lahenduse vahel:
A
DPO TEENUS
Andmekaitseametnik ehk DPO on Ellex Raidla advokaat, kes määratakse vastava kliendi jaoks tööd korraldama. Töömaht pannakse paika kokkuleppel, kuid hinnanguliselt keskmiselt ca 10 tundi kuus.
B
DPO-NÕUNIKU TEENUS
Andmekaitseametnik ehk DPO on ettevõtte oma töötaja, kes määratakse seda tööd igapäevaselt tegema. Ellex Raidla advokaat töötab nõunikuna ja aitab kliendi enda DPO-l õigeid toiminguid teostada. Töömaht pannakse paika kokkuleppel kas igakuise tasuna või tunnitasu alusel.
Meeskond
20 aastat kogemust andmekaitse valdkonda puudutavate keerukate küsimuste ja protsesside nõustamisel.
Töörühma liikmed peavad erinevatel konverentsidel, seminaridel ning ka Tartu Ülikoolis ja Tallinna Tehnikaülikoolis regulaarselt loenguid IT, küberturvalisuse ja andmekaitse valdkonda puudutavatel teemadel.
Võimekus
Meil on advokaadibüroodest suurim andmekaitse valdkonnale spetsialiseeruv meeskond ning võimekus kaasata töö efektiivseks lahendamiseks eksperte ka büroo teistest valdkondadest, vastavalt kliendi tegevusalale (finants, energeetika, meditsiin, startup, kaubandus jne).
Baltiülene teenus
Ellexi bürood Eestis, Lätis ja Leedus töötavad igapäevaselt üheskoos, et aidata GDPRi rakendada klientidel, kel on tegevus ülebaltiline.
Andmekaitseametniku regulatsioon ei ole GDPR-is uudne, vaid on rajatud seni kehtinud isikuandmete kaitse direktiivi regulatsioonile. Kui seni on isikuandmete kaitse eest vastutava isiku määramine olnud vabatahtlik, siis GDPR-i jõustumisega kaasneb teatud asutustel ja ettevõtetel andmekaitseametniku (Data Protection Officer ehk DPO) määramise kohustus. GDPR-i kontekstis soosivad Eesti ja ELi järelevalveasutused andmekaitse eest vastutava isiku määramist ka juhtudel, mil see ettevõttele või asutusele kohustuslik ei ole.
Vastava ametniku peavad määrama (kas oma organisatsiooni seest või allhankena): kõik avaliku sektori asutused (v.a. kohus) ja väga suur hulk erasektorist: kinnisvarabürood, finantsasutused, e-poed, reisibürood, tööhõiveagentuurid, inkassod, tervishoiuteenuse osutajad, telekommunikatsiooniettevõtted, turu-uuringu ettevõtted, teadustegevusega tegelejad, majutusasutused, turvaettevõtted jpt. Nimekiri tegevusvaldkondadest ei ole ammendav.
GDPR-i kohaselt on andmekaitseametniku määramine kohustuslik kui:
- isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
- vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise;
- vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Teenuse sihtgrupiks on:
- GDPR-i alusel andmekaitseametniku määramiseks kohustatud asutused ja ettevõtted;
- GDPR-i rakendamiseks isikuandmete töötlemise eest vastutava isiku määramist vajalikuks pidavad ettevõtted.
Teenuse sisuks on:
- Kliendi teavitamine ja nõustamine isikuandmete kaitse nõuetest tulenevalt GDPR-ist ja muudest töötlemisele kohalduvatest õigusaktidest;
- isikuandmete töötlemise toimingutega seotud ohtude hindamine, arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke;
- isikuandmete kaitse põhimõtete ja nõuete tagamise jälgimine ning ettepanekute tegemine vastutusvaldkondade jaotamiseks, sh vastavate eeskirjade, lepingute jm dokumentide koostamine;
- isikuandmete töötlemises osaleva personali teadlikkuse suurendamine ja koolitamine;
- isikuandmete töötlemise nõuetega seonduvates auditites, sh andmekaitsealane mõjuhinnangus, osalemine;
- andmetöötlusprotsesside analüüs ja nõustamine tagamaks isikuandmete töötlemise nõuete täitmine;
- järelevalveasutuse ja andmesubjekti teavitamine isikuandmetega seotud rikkumisest;
- isikuandmete töötlemise toimingute registreerimise juhendamine;
- andmesubjektide nõustamine Kliendi poolt isikuandmete töötlemisega seonduvates küsimustes;
- koostöö järelevalveasutusega, sh eelnev konsulteerimine, ning kontaktisiku funktsioon;
- muud ülesanded poolte kokkuleppel.
Vastutav töötleja ja volitatud töötleja peab tagama andmekaitseametnikule tema ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid. Teenuse raames koondatakse vastavad vahendid selliselt, et teenuse osutaja saab Klientidele pakkuda nende tegevusvaldkonna ja praktikaga seonduvalt kõrgetasemelist ning kaasajastatud teavet, sh ohuhinnang ja -trendid, õiguspoliitilised arengud ning Kliendi tegevusele kohalduvad parimad praktikad.
Samuti teeb teenuse osutaja klientidele kättesaadavaks materjalid ja lahendused, mida on võimalik kasutada ettevõttes isikuandmete kaitse nõuete täitmiseks ja täitmise tagamiseks (vastavate eeskirjade, dokumentide jm näidised ning juhendmaterjalid).
Teenuse nõuetekohase täitmise tagamiseks võimaldab Klient teenuse osutajale juurdepääsu isikuandmete töötlemisega seonduvale dokumentatsioonile, otsustus- ja tööprotsessidele ning isikuandmete kaitse nõuete tagamise eest vastutavatele isikutele.
Teenuse osutaja ei vastuta isiklikult isikuandmete töötlemise nõuete rikkumise ning sellest tuleneda võivate nõuete eest.
Teenuse osutaja tagab ülesannete täitmisega seonduva saladuse hoidmise ja konfidentsiaalsuse.
Kumbki pool tagab, et ülesannete ja kohustuste täitmisega ei kaasne huvide konflikti.
Andmekaitseametniku regulatsioon ei ole GDPR-is uudne, vaid on rajatud seni kehtinud isikuandmete kaitse direktiivi regulatsioonile. Kui seni on isikuandmete kaitse eest vastutava isiku määramine olnud vabatahtlik, siis GDPR-i jõustumisega kaasneb teatud asutustel ja ettevõtetel andmekaitseametniku (Data Protection Officer ehk DPO) määramise kohustus. GDPR-i kontekstis soosivad Eesti ja ELi järelevalveasutused andmekaitse eest vastutava isiku määramist ka juhtudel, mil see ettevõttele või asutusele kohustuslik ei ole.
Vastava ametniku peavad määrama (kas oma organisatsiooni seest või allhankena): kõik avaliku sektori asutused (v.a. kohus) ja väga suur hulk erasektorist: kinnisvarabürood, finantsasutused, e-poed, reisibürood, tööhõiveagentuurid, inkassod, tervishoiuteenuse osutajad, telekommunikatsiooniettevõtted, turu-uuringu ettevõtted, teadustegevusega tegelejad, majutusasutused, turvaettevõtted jpt. Nimekiri tegevusvaldkondadest ei ole ammendav.
GDPR-i kohaselt on andmekaitseametniku määramine kohustuslik kui:
- isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
- vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise;
- vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
Teenuse sihtgrupiks on:
- GDPR-i alusel andmekaitseametniku määramiseks kohustatud asutused ja ettevõtted;
- GDPR-i rakendamiseks isikuandmete töötlemise eest vastutava isiku määramist vajalikuks pidavad ettevõtted.
Teenuse sisuks on:
- Kliendi teavitamine ja nõustamine isikuandmete kaitse nõuetest tulenevalt GDPR-ist ja muudest töötlemisele kohalduvatest õigusaktidest;
- isikuandmete töötlemise toimingutega seotud ohtude hindamine, arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke;
- isikuandmete kaitse põhimõtete ja nõuete tagamise jälgimine ning ettepanekute tegemine vastutusvaldkondade jaotamiseks, sh vastavate eeskirjade, lepingute jm dokumentide koostamine;
- isikuandmete töötlemises osaleva personali teadlikkuse suurendamine ja koolitamine;
- isikuandmete töötlemise nõuetega seonduvates auditites, sh andmekaitsealane mõjuhinnangus, osalemine;
- andmetöötlusprotsesside analüüs ja nõustamine tagamaks isikuandmete töötlemise nõuete täitmine;
- järelevalveasutuse ja andmesubjekti teavitamine isikuandmetega seotud rikkumisest;
- isikuandmete töötlemise toimingute registreerimise juhendamine;
- andmesubjektide nõustamine Kliendi poolt isikuandmete töötlemisega seonduvates küsimustes;
- koostöö järelevalveasutusega, sh eelnev konsulteerimine, ning kontaktisiku funktsioon;
- muud ülesanded poolte kokkuleppel.
Vastutav töötleja ja volitatud töötleja peab tagama andmekaitseametnikule tema ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid. Teenuse raames koondatakse vastavad vahendid selliselt, et teenuse osutaja saab Klientidele pakkuda nende tegevusvaldkonna ja praktikaga seonduvalt kõrgetasemelist ning kaasajastatud teavet, sh ohuhinnang ja -trendid, õiguspoliitilised arengud ning Kliendi tegevusele kohalduvad parimad praktikad.
Samuti teeb teenuse osutaja klientidele kättesaadavaks materjalid ja lahendused, mida on võimalik kasutada ettevõttes isikuandmete kaitse nõuete täitmiseks ja täitmise tagamiseks (vastavate eeskirjade, dokumentide jm näidised ning juhendmaterjalid).
Teenuse nõuetekohase täitmise tagamiseks võimaldab Klient teenuse osutajale juurdepääsu isikuandmete töötlemisega seonduvale dokumentatsioonile, otsustus- ja tööprotsessidele ning isikuandmete kaitse nõuete tagamise eest vastutavatele isikutele.
Teenuse osutaja ei vastuta isiklikult isikuandmete töötlemise nõuete rikkumise ning sellest tuleneda võivate nõuete eest.
Teenuse osutaja tagab ülesannete täitmisega seonduva saladuse hoidmise ja konfidentsiaalsuse.
Kumbki pool tagab, et ülesannete ja kohustuste täitmisega ei kaasne huvide konflikti.
Töörühma liikmed
