Henri Oliver Palm
Advokaadibüroo Magnusson jurist, endine kohtute andmekaitsespetsialist

 

Sissejuhatus

Isikuandmete kaitse üldmääruse[1] (IKÜM) jõustumisega loodi andmekaitsespetsialisti[2] instituut. Viidatud määrusest tulenevat nõuet nimetada andmekaitsespetsialist on sarnaselt teiste Euroopa Liidu (EL) kohtutega järginud ka Eesti kohtud. Siinse kirjatöö eesmärgiks on selgitada, millal tuleb andmekaitsespetsialist nimetada, milliseid nõudeid andmekaitsespetsialistile esitatakse ning millised on andmekaitsespetsialisti ülesanded nii laiemalt kui ka kohtute kontekstis. Parema ülevaate huvides esmalt aga lühike põige ajalukku.

Ajalooline taust

Andmekaitsespetsialisti eelkäijaks võib pidada Euroopa Parlamendi ja nõukogu direktiivis 95/46/EÜ[3] nimetatud isikuandmete kaitsmisega tegelevat isikut. Direktiiviga jäeti liikmesriikidele võimalus näha riigisiseses õiguses ette erandeid üldisest artiklis 18 ettenähtud järelevalveasutuse teavitamisekohustusest[4] juhul, kui vastutav töötleja määrab vastavalt riigisisesele õigusele ametisse andmekaitsespetsialisti. Kuna paljudes liikmesriikides, k.a Eestis, ei kehtestatud konkreetsemaid sätteid andmekaitsespetsialisti nimetamiseks, puudus vastutavatel töötlejatel ajend sellise spetsialisti nimetamiseks. Alles Euroopa Parlamendi ja Nõukogu määruse (EÜ) nr 45/2001[5] jõustumisega nähti andmekaitsespetsialistile ette praegusele sarnane roll. Viidatud määruse artiklist 24 tulenevalt pidid Euroopa Ühenduse asutused nimetama ametisse vähemalt ühe andmekaitseametniku.

Liikmesriikidel kohustust oma asutustelt või ettevõtetelt andmekaitsespetsialisti nimetamist nõuda ei olnud, kuid osa riike kehtestas sellise nõude, võttes sellega juhtrolli andmekaitsealases seadusloomes. Näiteks Saksamaal seati 2001. aasta seadusmuudatusega[6] ettevõtetele ja ametiasutustele sisse kohustus nimetada teatud tingimuste täitumisel andmekaitsespetsialist ning üsna pea täiendasid teised liikmesriigid ka oma seaduseid, seadmaks sisse andmekaitsespetsialisti positsioon.

Andmekaitsespetsialisti kontseptsiooni revolutsiooniline areng toimus IKÜM-i jõustumisega 25. mail 2018. Andmekaitsespetsialist institutsionaliseeriti, st määratleti, millal nimetada andmekaitsespetsialist, milline on tema ametiseisund ning mis on tema ülesanded.

Andmekaitseametniku nimetamine

Vastavalt IKÜM artikkel 37 lõikele 1 on andmekaitseametniku määramise kohustus vastutaval ja volitatud andmete töötlejal juhul kui:           

  • isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
  • vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise;
  • vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Eeltoodu ei tähenda, et andmekaitseametnikku ei võiks vastutav või volitatud töötleja määrata vabatahtlikult, kuivõrd viidatud artikli lõige 4 ütleb, et „Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja või volitatud töötleja või nende kategooriaid esindavad ühendused ja muud organid määrata andmekaitseametniku või nad peavad seda tegema, kui see on nõutav liidu või liikmesriigi õigusega“. Liikmesriigid võivad ette näha täiendavad rangemad kriteeriumid, mille täitumisel on vaja nimetada andmekaitseametnik. Näiteks Saksamaa andmekaitseseadus täiendab IKÜM-is sätestatud nõudeid ning seab andmekaitsespetsialisti nimetamise kohustuse vastutavatele ja volitatud töötlejatele ka juhul, kui ettevõttes tegeleb isikuandmete automatiseeritud töötlemisega vähemalt 20 inimest[7].

Eesti kohtute jaoks tuleneb andmekaitsespetsialisti nimetamise kohtustus nii IKÜM-ist kui ka isikuandmete kaitse seaduse (IKS) § 40 lõikest 1, mille kohaselt peavad õiguskaitseasutused määrama andmekaitsespetsialisti. Andmekaitsespetsialisti nimetamise kohustus on Eesti õigusesse üle võetud direktiivi 2016/680[8] artiklist 32. Direktiiviga nähakse ette erinormid füüsiliste isikute isikuandmete töötlemisele süütegude valdkonnas, sh erinormid andmekaitsespetsialisti nimetamiseks. Direktiivist tuleneva kohustuseta puuduks õiguskaitseasutuse andmekaitsespetsialistil pädevus andmekaitsealaste nõuete täitmise kontrollimiseks nt kriminaalkaristuste täitmisele pööramise valdkonnas. Õiguskaitseasutustel on enamasti määratud üks andmekaitsespetsialist, kes teostab nii IKS-ist kui ka IKÜM-ist tulenevaid andmekaitsespetsialisti ülesandeid, mis on oma loomult kattuvad.

Võrdlusmomendina võib välja tuua, et kui Eestis on 2020. aasta seisuga registreeritud ligi 5000[9] andmekaitsespetsialisti, siis Prantsusmaal on neid registreeritud üle 80 000[10] ning Saksamaal hinnanguliselt üle 200 000[11].

Andmekaitsespetsialisti rolli võib täita eraldi koosseisuline töötaja, allüksus (nt osakond) või ka väline juriidiline isik (nt advokaadibüroo).[12] Sealjuures võib andmekaitsespetsialisti ametikoha ühildada mõne olemasoleva ametikohaga: Riigikohtus täidab andmekaitsespetsialisti ülesandeid andmekaitsespetsialist-arhivaar[13], Maksu- ja Tolliametis sisekontrolliosakonna juhataja[14], Prokuratuuris haldusdirektor[15] jne.

EL-i liikmesriikide kohtutes on IKÜM-ist tulenevat nõuet andmekaitsespetsialisti nimetamiseks täidetud erinevalt, osalt selle tõttu, et IKÜM artikkel 37 lõike 1 punkti a kohaselt on andmekaitsespetsialisti nimetamise kohustus siis, kui „isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud“. Liikmesriikide kohtute tasandil on IKÜM-ist tulenevat andmekaitse eest vastutava ameti (ning andmekaitsespetsialisti) järelevalvepädevust tõlgendatud erisuguselt[16]:

  • Euroopa Kohus (EK) väljendas hiljutise otsuse C-245/20[17] p-des 31 ja 34 seisukohta, et kohtute üle andmekaitsealase järelevalve teostamise pädevus peaks olema pigem liikmesriigi kohtusüsteemi asutusel kui liikmesriigi järelevalveasutusel ning välistada tuleks järelevalveasutuse pädevus selliste andmetöötlustoimingute suhtes, mille üle järelevalve tegemine selle asutuse poolt võiks otse või kaudselt mõjutada kohtu liikmete sõltumatust või nende otsuseid.
  • Praktikas on osad riigid välistanud andmekaitse eest vastutava ameti[18] sekkumise järelevalve teostamiseks täielikult, samas on ka riike, kes on tõlgendanud kohtute õigusemõistmisevälist haldusfunktsiooni täitmist kitsalt, mis tähendab andmekaitse eest vastutavale ametile sisuliselt väga piiratud mandaati kohtute tegevust kontrollida. Teise äärmuse moodustavad riigid, kes on andnud järelevalve teostamise andmekaitsealaste nõuete täitmise üle (ka õigust mõistva funktsiooni raames) justiitsministeeriumile[19].
  • Siiski on enamike EL-i liikmesriikide kohtutes oma sisejärelevalve andmekaitsealaste nõuete täitmise üle õigusemõistmise raames. Sisejärelevalvet teeb kõrgemalseisev kohus apellatsioonimenetluses, eraldi selleks puhuks nimetatud kohtunik, kohtunike paneel või spetsiaalne komitee.
  • Õigusemõistmiseväliselt kontrollib andmekaitsealaste nõuete täitmist üldjuhul andmekaitsespetsialist.

Andmekaitsespetsialistile esitatavad nõudmised

IKÜM artikkel 37 lõige 5 näeb ette, et andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 39 osutatud ülesandeid. Preambula punkt 97 selgitab, et erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige lähtuvalt tehtavatest andmetöötlustoimingutest ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetest. Sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks andmekaitseametnikel olema võimalik täita oma kohustusi ja ülesandeid sõltumatult.

Eeltoodu ei anna just palju infot selle kohta, millist haridust või kogemust andmekaitsespetsialistilt eeldatakse. Eestis on Andmekaitseinspektsioon (AKI) avaldanud loetelu andmekaitsespetsialisti soovituslikest kompetentsidest, mille kohaselt andmekaitsespetsialist teab:

  • organisatsiooni väärtuseid ja eesmärke, sh visiooni, missiooni ja strateegiat;
  • organisatsiooni sise- ja äriprotsesse;
  • organisatsiooni töökorralduse reegleid ja poliitikaid;
  • organisatsiooni toimimiseks vajalikku EL-i ja siseriiklikku andmekaitseõigust;
  • õigusakte, mis võivad reguleerida kitsamalt organisatsiooni tegevusvaldkonda;
  • asjakohaseid tehnoloogiaid ja arenguid IKT ja infoturbe valdkonnas ning nende võimalikke mõjusid organisatsiooni protsessidele;
  • andmeanalüütika ja profileerimise põhimõtteid ja meetodeid, sh pseudonüümimist ja anonüümimist;
  • riskianalüüsi ja riskijuhtimise raamistikke ning meetodeid;
  • andmekaitsealase mõjuhinnangu läbiviimise raamistikke ning meetodeid;
  • asjakohaseid informatsiooniallikaid (EL-i ja riigisiseseid õigusakte, EL-i ja riigisisest kohtupraktikat, EL-i ja riigisiseste andmekaitseasutuste arvamusi ja suuniseid);
  • riigisisest ja vajadusel mõne teise EL-i riigi andmekaitse järelevalveasutust ja nendega teabevahetuseks vajalikke kontakte.[20]

EL-i institutsioonide andmekaitsespetsialistide võrgustik avaldas 2010. aastal andmekaitsespetsialistide värbamise hea tava[21], milles tuuakse välja soovitatavad isiklikud omadused ja ametialased oskused ning ühtlasi täpsustatakse määruses 45/2001 sätestatud nõudmisi andmekaitseametnikele, millest paljud on üle kantavad IKÜM-i andmekaitsespetsialistile.

Andmekaitsespetsialistile esitatavad nõuded ei tohiks olla liiga kõrged või asjassepuutumatud, seda eriti olukorras, kus riigisiseselt võivad olla ette nähtud rangemad reeglid ametnike värbamisel. Näiteks leidis Itaalia esimese astme halduskohus, et ISO 27001[22] audiitorina sertifitseeritusse nõue ei ole andmekaitsespetsialisti värbamisel asjakohane kriteerium, kuivõrd andmekaitsespetsialisti roll ei ole ISO 27001 kohase auditi läbiviimine asutuses[23].

Eeltoodu ei tähenda, et erinevates valdkondades enese täiendamine ei annaks teatavat turueelist[24], mistõttu koolitustel osalemine ning erialaste kursuste läbimine on andmekaitsespetsialisti puhul eriti oluline. Hetkel puudub EL-ülene ametlik andmekaitsespetsialisti sertifitseerimise võimalus, olemas on vaid mitteametlikest sertifitseerijatest äriühingud, ülikoolid ning mittetulundusühingud[25]. Suuremates riikides nagu Prantsusmaa[26] ning Hispaania[27] on võimalik läbida ametlik andmekaitsespetsialisti koolitus ning eksam, mille eduka sooritamise järgselt saab andmekaitsespetsialist riigisisese sertifikaadi.  

Andmekaitsespetsialistil on soovitatav siduda ennast mõne andmekaitsespetsialistide võrgustikuga[28].

Andmekaitsespetsialisti ülesanded

Andmekaitsespetsialisti ülesanded sõltuvad sellest, millises asutuses seda rolli täidetakse. IKÜM artiklis 39 on sätestatud üldine loetelu andmekaitsespetsialisti ülesannetest, mida tal tuleb täita sõltumata asutusest või muudest asjaoludest. Nimetatud artikli kohaselt tuleb andmekaitsespetsialistil:

  • teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad IKÜM-ist ja muudest EL-i või liikmesriikide andmekaitsenormidest;
  • jälgida IKÜM-i, muude EL-i või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;
  • anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 35;
  • teha koostööd järelevalveasutusega;
  • tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas artiklis 36 osutatud eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.

Andmekaitsespetsialistina alustava inimese üks esimesi ülesandeid on enda kurssi viimine tööandja organisatsiooni sisemise struktuuri (rollide ning ülesannete jaotuse) ja väliste suhetega (st sellega, mis teenuseid osutavad tööandjale teised organisatsioonid); samuti tuleb teha endale selgeks organisatsioonile kohalduv õiguslik raamistik ehk teisisõnu sisse elada[29]. Kohtute kontekstis tähendab see kõikvõimalikel koosolekutel osalemist, teenistujatega (arhiivitöötajate, personalispetsialistide, pressiesindajate ja juristidega) vestlemist, AKI-ga suhtluskanali loomist ning õigusliku raamistiku selgeks tegemist avaliku sektori spetsiifilikast lähtudes.

Mis puudutab andmekaitsespetsialisti positsiooni kohtusüsteemi siseselt[30], siis andmekaitsespetsialist kuulub küll Tartu Halduskohtu koosseisu ning allub töökorralduslikes ja organisatsioonilistes küsimustes Tartu Halduskohtu esimehele, kuid olemuslikult on andmekaitsespetsialisti ametikoht kohtuteülene sarnaselt IT-juhiga, turvajuhiga jt.

Sisseelamisperioodi järel on andmekaitsespetsialisti oluline ülesanne õigusalane nõustamine, seda eriti uute teenuste või toodete kasutusele võtmisel. Andmekaitsespetsialistina kohtutes on mul olnud rõõm olla mitme huvitava projekti sünni juures. Siinkohal kirjeldan võimalikke ülesandeid ning väljakutseid andmekaitsespetsialisti vaatest kohtute infotelefoni teenuse käivitamise kontekstis.

Infotelefoni teenuse puhul lähtusin arusaamast, et teenuse tarkvaraline pool ostetakse sisse. Minu kui andmekaitsespetsialisti roll oli hinnata, kas tarkvaraarendaja ehk volitatud töötleja kasutab IKÜM artikkel 28 lõikele 1 vastavaid tehnilisi ja korralduslike meetmeid sellisel viisil, et andmete töötlemine vastaks IKÜM-i nõuetele, ning kas tarkvaras on kasutusel lõimitud ning vaikimisi andmekaitse põhimõtted tulenevalt IKÜM artikkel 25 lõikest 1. Andmekaitsespetsialist ei ole tarkvarainsener ehk ta ei ole enamasti pädev ütlemaks, milliseid süsteemiarenduse mudeleid, arhitektuure, tehnikaid jm tuleks tarkvaraarenduses kasutada, küll aga saab andmekaitsespetsialist esitada arendajatele asjakohaseid küsimusi. Asjakohaseks küsimuseks oleks näiteks, milliseid põhimõtteid kasutati koodi kirjutamisel (kas kasutati automatiseeritud koodi läbivaatust, üldlevinud ja kinnitatud raamistike jne)[31]. Volitatud töötleja hindamisel kontrollib andmekaitsespetsialist IKÜM artikkel 30 kohase töötlemisülevaate olemasolu, varasemaid auditeid, alamtöötlejaid, isikuandmete töötlemise tingimusi jm.

Isegi, kui valik tehakse olemasolevate tarkvarade vahel, peab andmekaitsespetsialist uurima, millised on selliste tarkvarade puhul kõige uuemad tehnilised meetmed ning kas neid oleks võimalik tarkvarasse integreerida. Infotelefoni tarkvara puhul võiks üheks tehniliseks meetmeks olla mobiil-ID kaudu isikusamasuse tuvastamine. Kui mobiil-ID-d ei ole võimalik kasutada, tuleb andmekaitsespetsialistil tuvastada, kas alternatiivid tagavad piisava kindluse isikusamasuse tuvastamisel ning kui mitte, siis millised riskid kaasnevad nõrgema isikusamasuse tuvastamise meetodi kasutamisel. Põhimõtete rakendamine käib läbi riski- ja mõjupõhise lähenemise, kus andmetöötluse laadi, ulatust, konteksti ja eesmärke arvesse võttes saab riske hinnates rakendada asjakohaseid tehnilisi ning korralduslike meetmeid.

Uute teenuste kasutusele võtmisel universaalset andmekaitsealast kontrollküsimustikku pole, on vaid teemad, millest võiks olla mõningane arusaamine. Esmajärjekorras oleks vaja saada ettekujutus teenusest, vastutavatest ja volitatud töötlejatest ning töödeldavate isikuandmete kategooriatest. Seejärel tuleks kindlaks teha töötlemise eesmärk, töötlemise vastavus andmekaitse põhimõtetele (nt minimaalsuse põhimõte, eesmärgi piirangu põhimõte: vt IKÜM artikkel 5), õiguslik alus, isikuandmete säilitamise ajavahemik ning andmesubjekti õiguste tagamise võimalused. Samuti jääb andmekaitsespetsialisti ülesandeks tagada, et vastutava ja volitatud töötleja oleks sõlmitud leping ning vajaduse korral oleks tehtud andmekaitsealane mõjuhinnang.

Üks näide võimalikust probleemist infotelefoni teenuse juures on kõnede salvestamise õiguslik alus. Erasektoris tuginetakse kõnede salvestamisel valdavalt õigustatud huvile[32], samas avaliku sektori asutus tulenevalt IKÜM artikkel 6 lõikest 1 (vt punkt f ja lõike 1 teine lause) sellele oma ülesannete täitmisel tugineda ei saa. „Oma ülesannete täitmise“ all artikkel 6 lõike 1 teises lauses on silmas peetud avalikke ülesandeid, st ülesandeid, mis on vahetult seadusega või seaduse alusel riigile, kohaliku omavalitsusele või muule avalik õiguslikule juriidilisele isikule pandud. Avaliku ülesande täitmisega on tegu ka siis, kui pädev asutus on eraõiguslikule isikule õigusakti või lepinguga andnud volituse või pannud kohustuse osutada avalikes huvides sellist teenust, mille toimimise eest vastutab seaduse järgi lõppkokkuvõttes riik või mõni muu avalik-õiguslik juriidiline isik.[33] Avalike ülesannete täitmisel on asutusel mõistlik tugineda IKÜM artikkel 6 lõike 1 punktile e, mis lubab isikuandmete töötlemist, kui see on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Võimalik, et mingid tegevused jäävad väljapoole asutuse avalikke ülesandeid ega ole automaatselt avalikeks ülesanneteks liigitatavad, kuivõrd avalik huvi mingi teenuse olemasolu vastu ei muuda seda teenust veel avalikuks ülesandeks. Infotelefoni kõnede salvestamisel tugineb kohus praegu õigustatud huvile, kuid välistatud ei ole, et AKI väljastab tulevikus täpsemad suunised, mille tõttu tuleb kas leida muu õiguslik alus kõnede salvestamiseks või kõnede salvestamine üleüldse lõpetada.

Need on vaid mõned näited küsimustest, mis võivad või peavad tekkima. Võimalikud murekohad ei kao teenuse käiku laskmisel, kuivõrd volitatud töötleja teenus ei pruugi vastata lepingus ettenähtud tasemele, realiseeruvad riskid (nt infotelefonile vastajad võivad teha ettenägematuid vigu), ilmneb vajadus täiendavateks töötlemistoiminguteks jne.

Konkreetse teenuse raamest väljaspool nõustab kohtute andmekaitsespetsialist kohtute töötajaid andmekaitsega seotud õigusalastes probleemides. Selleks võib olla mõne sätte tõlgendamine, teabenõudele vastuse kirjutamine, kohtuasja raames õigusliku arvamuse väljendamine, pressiesindajate nõustamine toimikute tutvustamisel jm.

Andmekaitsespetsialist peab isikuandmete lekke korral olema üks esimesi isikuid, kes saab lekkest teada, kuivõrd tema ülesandeks on hinnata kooskõlas IKÜM artikliga 33, kas leke kujutab tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Reeglina on andmekaitsespetsialist ka isikuks, kes vastavalt IKÜM artiklile 34 teavitab vajaduse korral isikuandmete lekkest andmesubjekte. Näiteks, kui varastatakse vastutava töötleja andmekandja, kuhu on salvestatud kliendiandmebaas, siis sõltub teavitamine sellest, millised kliendiandmed sinna on salvestatud, kas andmebaas on krüpteeritud ning kas andmebaas on varundatud. Minu ametiaja jooksul oli vaid paar juhtumit, kus AKI teavitamine oli vajalik, ning ka siis polnud vajadust andmesubjektide teavitamiseks, kuivõrd leke ei kujutanud suurt ohtu füüsiliste isikute õigustele ja vabadustele.

Viimase olulise ülesandena võib välja tuua teenistujate koolitamise ning andmekaitse põhimõtete juurutamise organisatsioonis. Küberhügieeni ning infoturbe juurutamine vähemalt põhimõtete tasandil võiks olla iga andmekaitsespetsialisti missiooniks. Kohtute andmekaitsespetsialistina õnnestus vahetult enne ametiaja lõppu koostöös AKI-ga läbi viia põhjalik koolitus kohtusekretäridele ning referentidele. Samuti sai pressiesindajatele läbi viidud töötuba kriminaaltoimikute tutvustamisest eesmärgiga ühtlustada kohtute praktikat ses küsimuses.

Kokkuvõtteks

Andmekaitsespetsialisti väärtus asutusele või ettevõttele sõltub suuresti spetsialistist endast. Võidavad ettevõtted ja asutused, kellel on tarmukas andmekaitsespetsialist ning kellele tagatakse tema tööks vajalik iseseisvus ning volitused. Andmekaitsespetsialisti nimetamine puhtalt formaalsuse täitmise nimel ja/või tema kaasamata jätmine või volituste piiramine on juba iseenesest käsitatav rikkumisena, mis võib tuua kaasa muud rikkumised, mis tulenevad asjakohaste tehniliste ning korralduslike meetmete puudumisest, isikuandmete töötlemise õigusliku aluse puudumisest või isikuandmete töötlemise põhimõtetele mittevastavusest[34]. Seda kõike, saaks vältida andmekaitsespetsialistilt nõu küsimise ning tema rakendamisega.

Kõigi eelduste kohaselt ei näita EL-i seadusloome aeglustumise märke ning seda eriti Euroopa andmestrateegia[35] ning tehisintellekti[36] valdkonnas, mis on lahutamatult seotud IKÜM-iga. Andmekaitsespetsialisti roll on tulevikus aidata ettevõttel või asutusel regulatsiooni rägastikus orienteeruda ja tagada isikuandmete töötlemisel seadusest tulenevate nõuete täitmine, millised iganes need nõuded tulevikus ka oleks. Võttes arvesse kohtus tehtavate isikuandmete töötlemistoimingute rohkust ja komplekssust, võib öelda, et andmekaitsespetsialist on vajalik kohtutele praegu ning eelduslikult ka tulevikus.

____________________________

[1] Euroopa Parlamendi ja nõukogu 27. aprilli 2016 määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.

[2] Autor lähtub edaspidi AKI soovitustest ingliskeelse termini data protection officer tõlkimisel, kus segaduse vältimiseks kasutatakse kokkuleppeliselt tõlget andmekaitsespetsialist, kuigi IKÜM ise räägib andmekaitseametnikust. – https://www.aki.ee/et/isikuandmete-tootleja-uldjuhendi-veebitekst#peat%C3%BCkk3.3 (08.03.2023).

[3] Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.

[4] Artikkel 18 lõike 1 kohaselt näevad liikmesriigid ette, et vastutav töötleja või tema võimalik esindaja peab teavitama artiklis 28 osutatud järelevalveasutust enne igasuguse osaliselt või täielikult automatiseeritud töötlemise või selliste töötlemiste kogumi alustamist, millel on üks eesmärk või mitu omavahel seotud eesmärki.

[5] Euroopa Parlamendi ja Nõukogu 18. detsembri 2000 määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta.

[6] Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze, 18. mai 2001, p 904. –  https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl101s0904.pdf%27]#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl101023.pdf%27%5D__1676540429019 (08.03.2023).  D. Meyer. What will mandatory DPOs look like under the GDPR? Germany could tell you. – https://iapp.org/news/a/what-will-mandatory-dpos-look-like-under-the-gdpr-germany-could-tell-you/ (08.03.2023).  

[7] Bundesdatenschutzgesetz § 38. – https://www.gesetze-im-internet.de/englisch_bdsg/englisch_bdsg.html (06.04.2023).

[8] Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK.

[9] Andmekaitsespetsialistide arv kasvab. Andmekaitse Inspektsiooni aastaraamat 2020. – https://aastaraamat.aki.ee/aastaraamat-2020-tegevustest-numbrites/andmekaitsespetsialistide-arv-kasvab (08.03.2023).

[10] Practical Guide GDPR. Data Protection Officers. French Data Protection Authority (CNIL, Commission nationale de l’informatique et des libertés). – https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf (08.03.2023).

[11] IAPP-Umfrage: rund 500.000 Unternehmen in der EU mit Datenschutzbeauftragten –

https://web.archive.org/web/20221128015453/https://www.iitr.de/blog/iapp-umfrage-500000-unternehmen-eu-datenschutzbeauftragte/12790/ (29.03.2023).

[12] Andmekaitsespetsialisti ülesanded, teadmised ja oskused. – https://www.aki.ee/et/eraelu-kaitse/andmekaitsespetsialist (08.03.2023).

[13] Riigikohtu andmekaitsespetsialist-arhivaari töökirjeldus. – https://www.riigikohus.ee/sites/default/files/elfinder/ametijuhendid/51067107.pdf (08.03.2023).

[14] Maksu- ja Tolliameti andmekaitsetingimused. – https://www.emta.ee/eraklient/amet-uudised-ja-kontakt/dokumendid-isikuandmed/isikuandmete-tootlemine (06.04.2023).

[15] Prokuratuuri põhimäärus § 18 lõige 2 punkt 6. – RT I, 12.10.2022, 4.

[16] B. Custers, L. Louis, M. Spinelli, K. Terzidou. Quis custodiet ipsos custodes? Data protection in the judiciary in EU and EEA Member States. International Data Privacy Law, Vol. 12, Issue 2, May 2022, pp 93–112. Vt ka Kohtute aastaraamat 2020, ptk III Isikuandmete kaitse ja järelevalve välisriikide kohtutes, arvutivõrgus: https://aastaraamat.riigikohus.ee/category/aasta-2020/iii-isikuandmete-kaitse-ja-jarelevalve-valisriikide-kohtutes-2020/.

[17] EKo C-245/20, X ja Z versus Autoriteit Persoonsgegevens, ECLI:EU:C:2022:216.

[18] Autor peab siin silmas IKÜM art 51 jj alusel tegutsevat liikmesriigi järelevalveasutust.

[19] Kahtlemata võib selline järelevalve mõjutada kohtute sõltumatust. Ka Eesti ei ole probleemidest prii, kuivõrd mõne aasta tagune kohtute infosüsteemi kasutamise üle järelevalve teostamine Justiitsministeeriumi poolt tõi kaasa Eesti Kohtunike Ühingu hukkamõistu, vt https://www.err.ee/995867/erikontroll-solvas-kohtunikke-ministeerium-nuhib-meie-jarele (08.03.2023).

[20] Andmekaitsespetsialisti ülesanded, teadmised ja oskused. – https://www.aki.ee/et/eraelu-kaitse/andmekaitsespetsialist (08.03.2023).

[21] Professional Standards for Data Protection Officers of the EU institutions and bodies working under Regulation (EC) 45/20011, 14 October 2010. Network of Data Protection Officers of the EU institutions and bodies. – https://edps.europa.eu/sites/default/files/publication/10-10-14_dpo_standards_en.pdf (08.03.2023).

[22] Rahvusvaheline infoturbe standard.

[23] A. Oberschelp de Meneses, K. Van Quathem. Italian court decides that a data protection officer does not have to be a certified ISO 27001 Auditor. – https://www.insideprivacy.com/eu-data-protection/italian-court-decides-that-a-data-protection-officer-does-not-have-to-be-a-certified-iso-27001-auditor/ (08.03.2023).

[24] Näiteks pakutakse ühe ettevõtte poolt nii infoturbealast auditit kui ka DPO teenust, vt https://dataprotectionprivacy.eu/.

[25] Üks populaarsemaid sertifikaate on CIPP/E sertifikaat, mida väljastab IAPP (International Association of Privacy Professionals).

[26] https://iapp.org/certify/cdpo/fr/ (08.03.2023).

[27] https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/delegado-de-proteccion-de-datos/certificacion (08.03.2023).

[28] Autori ametiajal tekkisid mitmed võrgustikud nii avalikus kui ka erasektoris. Osades riikides on suurima andmekaitsespetsialistide võrgustiku organiseerinud riiklik järelevalveasutus, nt CNIL Prantsusmaal. Autorile teadaolevalt on sarnase võrgustiku ellukutsumise plaan ka AKI-l.

[29] D. Korff, M. Georges, The DPO Handbook. Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation, 2019, lk 145.

[30] Kohtute andmekaitsespetsialist ehk esimese ja teise astme kohtute andmekaitsespetsialist.

[31] Vt täpsemalt Norra järelevalveasutuse juhendmaterjalist põhimõtete rakendamise kohta veebilehelt: https://www.datatilsynet.no/en/about-privacy/virksomhetenes-plikter/innebygd-personvern/data-protection-by-design-and-by-default/ (30.03.2023).

[32] Näiteks on Telia privaatsustingimustes märgitud, et klienditeeninduse eesmärgil vajalik andmete töötlemine, sh suhtluse salvestamine, toimub õigustatud huvi alusel. – https://www.telia.ee/abi/juhend/645/telia-eesti-as-privaatsusteade (08.03.2023).

[33] RKHKo 19.06.2014, 3-3-1-19-14, p 12.

[34] Summaarselt ¾ trahvidest mõistetakse välja isikuandmete töötlemise põhimõtete rikkumise ning isikuandmete töötlemise õigusliku aluse puudumise eest, vt lähemalt https://www.enforcementtracker.com/?insights (08.03.2023).

[35] Euroopa andmestrateegia. – https://digital-strategy.ec.europa.eu/et/policies/strategy-data (08.03.2023).

[36] Euroopa Komisjoni ettepanek võtta vastu määrus, millega nähakse ette tehisintellekti käsitlevad ühtlustatud õigusnormid (tehisintellekti käsitlev õigusakt). 2021/0106 (COD). – https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0017.02/DOC_1&format=PDF (08.03.2023).