Andmekaitseametnik ehk DPO on Ellex Raidla advokaat, kes määratakse vastava kliendi jaoks tööd korraldama. Töömaht pannakse paika kokkuleppel, kuid hinnanguliselt keskmiselt ca 10 tundi kuus.
Andmekaitseametnik ehk DPO on ettevõtte oma töötaja, kes määratakse seda tööd igapäevaselt tegema. Ellex Raidla advokaat töötab nõunikuna ja aitab kliendi enda DPO-l õigeid toiminguid teostada. Töömaht pannakse paika kokkuleppel kas igakuise tasuna või tunnitasu alusel.
20 aastat kogemust andmekaitse valdkonda puudutavate keerukate küsimuste ja protsesside nõustamisel.
Töörühma liikmed peavad erinevatel konverentsidel, seminaridel ning ka Tartu Ülikoolis ja Tallinna Tehnikaülikoolis regulaarselt loenguid IT, küberturvalisuse ja andmekaitse valdkonda puudutavatel teemadel.
Meil on advokaadibüroodest suurim andmekaitse valdkonnale spetsialiseeruv meeskond ning võimekus kaasata töö efektiivseks lahendamiseks eksperte ka büroo teistest valdkondadest, vastavalt kliendi tegevusalale (finants, energeetika, meditsiin, startup, kaubandus jne).
Ellexi bürood Eestis, Lätis ja Leedus töötavad igapäevaselt üheskoos, et aidata GDPRi rakendada klientidel, kel on tegevus ülebaltiline.
Andmekaitseametniku regulatsioon ei ole GDPR-is uudne, vaid on rajatud seni kehtinud isikuandmete kaitse direktiivi regulatsioonile. Kui seni on isikuandmete kaitse eest vastutava isiku määramine olnud vabatahtlik, siis GDPR-i jõustumisega kaasneb teatud asutustel ja ettevõtetel andmekaitseametniku (Data Protection Officer ehk DPO) määramise kohustus. GDPR-i kontekstis soosivad Eesti ja ELi järelevalveasutused andmekaitse eest vastutava isiku määramist ka juhtudel, mil see ettevõttele või asutusele kohustuslik ei ole.
Vastava ametniku peavad määrama (kas oma organisatsiooni seest või allhankena): kõik avaliku sektori asutused (v.a. kohus) ja väga suur hulk erasektorist: kinnisvarabürood, finantsasutused, e-poed, reisibürood, tööhõiveagentuurid, inkassod, tervishoiuteenuse osutajad, telekommunikatsiooniettevõtted, turu-uuringu ettevõtted, teadustegevusega tegelejad, majutusasutused, turvaettevõtted jpt. Nimekiri tegevusvaldkondadest ei ole ammendav.
GDPR-i kohaselt on andmekaitseametniku määramine kohustuslik kui:
Vastutav töötleja ja volitatud töötleja peab tagama andmekaitseametnikule tema ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid. Teenuse raames koondatakse vastavad vahendid selliselt, et teenuse osutaja saab Klientidele pakkuda nende tegevusvaldkonna ja praktikaga seonduvalt kõrgetasemelist ning kaasajastatud teavet, sh ohuhinnang ja -trendid, õiguspoliitilised arengud ning Kliendi tegevusele kohalduvad parimad praktikad.
Samuti teeb teenuse osutaja klientidele kättesaadavaks materjalid ja lahendused, mida on võimalik kasutada ettevõttes isikuandmete kaitse nõuete täitmiseks ja täitmise tagamiseks (vastavate eeskirjade, dokumentide jm näidised ning juhendmaterjalid).
Teenuse nõuetekohase täitmise tagamiseks võimaldab Klient teenuse osutajale juurdepääsu isikuandmete töötlemisega seonduvale dokumentatsioonile, otsustus- ja tööprotsessidele ning isikuandmete kaitse nõuete tagamise eest vastutavatele isikutele.
Teenuse osutaja ei vastuta isiklikult isikuandmete töötlemise nõuete rikkumise ning sellest tuleneda võivate nõuete eest.
Teenuse osutaja tagab ülesannete täitmisega seonduva saladuse hoidmise ja konfidentsiaalsuse.
Kumbki pool tagab, et ülesannete ja kohustuste täitmisega ei kaasne huvide konflikti.
Andmekaitseametniku regulatsioon ei ole GDPR-is uudne, vaid on rajatud seni kehtinud isikuandmete kaitse direktiivi regulatsioonile. Kui seni on isikuandmete kaitse eest vastutava isiku määramine olnud vabatahtlik, siis GDPR-i jõustumisega kaasneb teatud asutustel ja ettevõtetel andmekaitseametniku (Data Protection Officer ehk DPO) määramise kohustus. GDPR-i kontekstis soosivad Eesti ja ELi järelevalveasutused andmekaitse eest vastutava isiku määramist ka juhtudel, mil see ettevõttele või asutusele kohustuslik ei ole.
Vastava ametniku peavad määrama (kas oma organisatsiooni seest või allhankena): kõik avaliku sektori asutused (v.a. kohus) ja väga suur hulk erasektorist: kinnisvarabürood, finantsasutused, e-poed, reisibürood, tööhõiveagentuurid, inkassod, tervishoiuteenuse osutajad, telekommunikatsiooniettevõtted, turu-uuringu ettevõtted, teadustegevusega tegelejad, majutusasutused, turvaettevõtted jpt. Nimekiri tegevusvaldkondadest ei ole ammendav.
GDPR-i kohaselt on andmekaitseametniku määramine kohustuslik kui:
Vastutav töötleja ja volitatud töötleja peab tagama andmekaitseametnikule tema ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid. Teenuse raames koondatakse vastavad vahendid selliselt, et teenuse osutaja saab Klientidele pakkuda nende tegevusvaldkonna ja praktikaga seonduvalt kõrgetasemelist ning kaasajastatud teavet, sh ohuhinnang ja -trendid, õiguspoliitilised arengud ning Kliendi tegevusele kohalduvad parimad praktikad.
Samuti teeb teenuse osutaja klientidele kättesaadavaks materjalid ja lahendused, mida on võimalik kasutada ettevõttes isikuandmete kaitse nõuete täitmiseks ja täitmise tagamiseks (vastavate eeskirjade, dokumentide jm näidised ning juhendmaterjalid).
Teenuse nõuetekohase täitmise tagamiseks võimaldab Klient teenuse osutajale juurdepääsu isikuandmete töötlemisega seonduvale dokumentatsioonile, otsustus- ja tööprotsessidele ning isikuandmete kaitse nõuete tagamise eest vastutavatele isikutele.
Teenuse osutaja ei vastuta isiklikult isikuandmete töötlemise nõuete rikkumise ning sellest tuleneda võivate nõuete eest.
Teenuse osutaja tagab ülesannete täitmisega seonduva saladuse hoidmise ja konfidentsiaalsuse.
Kumbki pool tagab, et ülesannete ja kohustuste täitmisega ei kaasne huvide konflikti.