Andmekaitseametnike (DPO/AKS) suunised WP 29 alusel

Andmekaitseametnike (andmekaitseametnike) suunised

Vastu võetud 13. detsembril 2016. Viimati muudetud ja vastu võetud 5. aprillil 2017

ISIKUANDMETE TÖÖTLEMISE SUHTES ÜKSIKASJADE KAITSE TÖÖRÜHM

asutatud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiviga 95/46/EÜ, võttes arvesse selle artikleid 29 ja 30, võttes arvesse oma kodukorda,

Veebileht

ON VASTU VÕTNUD KÄESOLEVAD JUHISED:

1. Sissejuhatus

Andmekaitse üldmäärus (GDPR) [1], mis peaks jõustuma 25. mail 2018, pakub Euroopa andmekaitse jaoks ajakohastatud, vastutusel põhinevat vastavusraamistikku. Andmekaitseametnikud on paljude organisatsioonide jaoks selle uue õigusraamistiku keskmes, hõlbustades GDPR-i sätete järgimist.

_{[1] Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks direktiiv 95/ 46/EÜ (andmekaitse üldmäärus), (ELT L 119, 4.5.2016). GDPR on EMP jaoks asjakohane ja hakkab kehtima pärast selle inkorporeerimist EMP lepingusse.}

GDPR-i kohaselt on teatud vastutavatel töötlejatel ja volitatud töötlejatel kohustuslik määrata andmekaitseametnik [2]. See kehtib kõigi ametiasutuste ja organite kohta (olenemata sellest, milliseid andmeid nad töötlevad) ja muude organisatsioonide kohta, kes põhitegevusena jälgivad üksikisikuid süstemaatiliselt ja laiaulatuslikult või töötlevad isikuandmete erikategooriaid. suures ulatuses.

_{[2] Andmekaitseametniku määramine on pädevatele asutustele kohustuslik ka Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680 (füüsiliste isikute kaitse kohta isikuandmete töötlemisel) artikli 32 alusel. andmed pädevate asutuste poolt kuritegude ennetamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmiseks ning selliste andmete vaba liikumise kohta, ja millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89–131) ja siseriiklikud rakendusaktid. Kuigi need juhised keskenduvad GDPR-i kohastele andmekaitseametnikele, on juhised asjakohased ka direktiivi 2016/680 kohaste andmekaitseametnike jaoks, arvestades nende sarnaste sätetega.}

Isegi kui GDPR ei nõua konkreetselt andmekaitseametniku määramist, võivad organisatsioonid mõnikord leida kasulikuks andmekaitseametniku vabatahtliku määramise. Artikli 29 alusel asutatud andmekaitse töörühm (WP29) julgustab neid vabatahtlikke jõupingutusi.

Andmekaitseametniku mõiste ei ole uus. Kuigi direktiiviga 95/46/EÜ [3] ei nõutud üheltki organisatsioonilt andmekaitseametnikku määramist, on andmekaitseametniku määramise praktika aastate jooksul mitmes liikmesriigis siiski välja kujunenud.

_{[3] Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995). , lk 31).}

Enne GDPR-i vastuvõtmist väitis WP29, et andmekaitseametnik on aruandekohustuse nurgakivi ja et andmekaitseametniku määramine võib hõlbustada nõuete täitmist ja saada ettevõtetele konkurentsieeliseks [4]. Lisaks nõuetele vastavuse hõlbustamisele aruandekohustuslike vahendite rakendamise kaudu (nagu andmekaitse mõjuhinnangute hõlbustamine ja auditite läbiviimine või hõlbustamine) tegutsevad andmekaitseametnikud vahendajatena asjaomaste sidusrühmade (nt järelevalveasutused, andmesubjektid ja organisatsioonisisesed äriüksused) vahel.

_{[4] Vt http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary_en.pdf}

Andmekaitseametnikud ei vastuta isiklikult GDPR-i mittejärgimise eest. GDPR teeb selgeks, et vastutav töötleja või volitatud töötleja on see, kes peab tagama ja suutma tõendada, et töötlemine toimub vastavalt selle sätetele (artikli 24 lõige 1). Andmekaitse järgimise eest vastutab vastutav töötleja või volitatud töötleja.

Vastutaval töötlejal või töötlejal on samuti oluline roll andmekaitseametniku ülesannete tõhusa täitmise võimaldamisel. Andmekaitseametniku määramine on esimene samm, kuid andmekaitseametnikele tuleb anda ka piisav iseseisvus ja vahendid oma ülesannete tõhusaks täitmiseks.

GDPR tunnustab andmekaitseametnikku uue andmehaldussüsteemi võtmeisikuna ning sätestab tema ametisse nimetamise, ametikoha ja ülesannete tingimused. Nende juhiste eesmärk on selgitada GDPR-i asjakohaseid sätteid, et aidata vastutavatel töötlejatel ja volitatud töötlejatel seadusi järgida, aga ka andmekaitseametnikke nende rollis. Suunistes antakse ka soovitusi parimate tavade kohta, tuginedes mõnes ELi liikmesriigis omandatud kogemustele. WP29 jälgib nende suuniste rakendamist ja võib neid vajaduse korral täiendavate üksikasjadega täiendada.

2. Andmekaitseametniku määramine

2.1. Kohustuslik määramine

GDPR-i artikli 37 lõige 1 nõuab andmekaitseametniku määramist kolmel konkreetsel juhul [5]:

_{[5] Pange tähele, et artikli 37 lõike 4 kohaselt võib liidu või liikmesriigi õigus nõuda andmekaitseametnike määramist ka muudes olukordades.}

1. a) kui töötleb ametiasutus või organ [6];

_{[6] Välja arvatud kohtud, kes tegutsevad kohtunikuna. Vt direktiivi (EL) 2016/680 artiklit 32.}

1. b) kui vastutava töötleja või volitatud töötleja põhitegevus seisneb töötlemistoimingutes, mis nõuavad andmesubjektide korrapärast ja süstemaatilist jälgimist; või
2. c) kui vastutava töötleja või volitatud töötleja põhitegevus seisneb kriminaalkorras süüdimõistvate kohtuotsuste ja süütegudega [9] seotud andmete [7] või [8] erikategooriate [9] suures ulatuses töötlemisega.

_{[7] Artikli 9 kohaselt hõlmavad need isikuandmeid, mis näitavad rassilist või etnilist päritolu, poliitilisi seisukohti, usulisi või filosoofilisi veendumusi või ametiühingusse kuulumist, ning geneetiliste andmete töötlemist, biomeetriliste andmete töötlemist füüsilise isiku unikaalse identifitseerimise eesmärgil, andmeid. tervise kohta või füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta käivaid andmeid.}

_{[8] Artikli 37 lõike 1 punktis c kasutatakse sõna „ja”. Vt allpool jaotist 2.1.5, et saada selgitusi sõna „või” kasutamise kohta sõna „ja” asemel .}

_{[9] Artikkel 10.}

Järgmistes alajaotistes annab töörühm 29 juhiseid artikli 37 lõikes 1 kasutatud kriteeriumide ja terminoloogia kohta.

Välja arvatud juhul, kui on ilmne, et organisatsioon ei pea andmekaitseametnikku määrama, soovitab WP29 vastutavatel töötlejatel ja volitatud töötlejatel dokumenteerida sisemine analüüs, mis tehti, et teha kindlaks, kas andmekaitseametnik määratakse või mitte, et oleks võimalik tõendada, et asjaomane ametnik tegureid on korralikult arvesse võetud [10]. See analüüs on osa aruandekohustuse põhimõttest lähtuvast dokumentatsioonist. Järelevalveasutus võib seda nõuda ja seda tuleks vajaduse korral ajakohastada, näiteks kui vastutavad töötlejad või volitatud töötlejad alustavad uusi tegevusi või osutavad uusi teenuseid, mis võivad kuuluda artikli 37 lõikes 1 loetletud juhtumite alla.

_{[10] Vt artikli 24 lõiget 1.}

Kui organisatsioon määrab andmekaitseametniku vabatahtlikult, kohaldatakse tema määramise, ametikoha ja ülesannete suhtes artiklite 37–39 nõudeid nii, nagu oleks määramine olnud kohustuslik.

Miski ei takista organisatsioonil, kes ei ole seadusega kohustatud määrama andmekaitseametnikku ega soovi andmekaitseametnikku vabatahtlikult määrata, võtmast tööle personali või väliskonsultante, kes täidavad isikuandmete kaitsega seotud ülesandeid. Sel juhul on oluline tagada, et nende ametinimetuse, staatuse, ametikoha ja ülesannete osas ei tekiks segadust. Seetõttu tuleks ettevõttesiseses suhtluses, samuti andmekaitseasutuste, andmesubjektide ja laiema avalikkusega suheldes selgitada, et selle isiku või konsultandi ametinimetus ei ole andmekaitseametnik (DPO). 11].

_{[11] See on asjakohane ka praegu mõnes ettevõttes juba tegutsevate privaatsusametnike (CPO) või muude privaatsusspetsialistide jaoks, kes ei pruugi alati vastata GDPR-i kriteeriumidele, näiteks olemasolevate ressursside või sõltumatuse garantiide osas. , kui nad seda ei tee, ei saa neid pidada andmekaitseametnikeks ega nimetada neid.}

Andmekaitseametnik, olenemata sellest, kas ta on kohustuslik või vabatahtlik, määratakse kõigi vastutava töötleja või volitatud töötleja teostatavate töötlemistoimingute jaoks.

2.1.1 AVALIK ASUTUS VÕI ORGAN

GDPR ei määratle, mis on „avalik asutus või organ” . WP29 leiab, et selline mõiste tuleb kindlaks määrata siseriikliku õiguse alusel. Vastavalt sellele hõlmavad riigiasutused ja organid riiklikke, piirkondlikke ja kohalikke asutusi, kuid kohaldatavate siseriiklike seaduste kohaselt hõlmab mõiste tavaliselt ka mitmeid muid avalik-õiguslikke asutusi [12]. Sellistel juhtudel on andmekaitseametniku määramine kohustuslik.

_{Euroopa Parlamendi ja nõukogu 17. novembri direktiivi 2003/98/EÜ artikli 2 lõigetes 1 ja 2 esitatud mõiste „avaliku sektori asutus” ja „avalik-õiguslik asutus”. 2003 avaliku sektori teabe taaskasutamise kohta (ELT L 345, 31.12.2003, lk 90).}

Avalikku ülesannet võivad täita ja avalikku võimu võivad teostada [13] mitte ainult riigiasutused või organid, vaid ka muud avalik- või eraõiguslikud füüsilised või juriidilised isikud sellistes sektorites nagu vastavalt iga riigi siseriiklikule regulatsioonile. Liikmesriik, ühistransporditeenused, vee- ja energiavarustus, teede infrastruktuur, avalik-õiguslik ringhääling, avalik-õiguslik eluase või reguleeritud kutsealade distsiplinaarasutused.

_{[13] Artikli 6 lõike 1 punkt e.}

Sellistel juhtudel võivad andmesubjektid olla väga sarnases olukorras, kui nende andmeid töötleb avalik-õiguslik asutus või organ. Eelkõige saab andmeid töödelda sarnastel eesmärkidel ja üksikisikutel on sageli sarnaselt vähe või üldse mitte valikut selle üle, kas ja kuidas nende andmeid töödeldakse, ning seetõttu võivad nad vajada täiendavat kaitset, mida andmekaitseametniku määramine võib kaasa tuua.

Kuigi sellistel juhtudel ei ole kohustust, soovitab WP29 hea tava kohaselt avalikke ülesandeid täitvatel või avalikku võimu teostavatel eraorganisatsioonidel määrata andmekaitseametniku. Selline andmekaitseametniku tegevus hõlmab kõiki teostatavaid töötlemistoiminguid, sealhulgas neid, mis ei ole seotud avaliku ülesande täitmise või ametikohustuse täitmisega (nt töötajate andmebaasi haldamine).

2.1.2 „PÕHITEGEVUSED”

GDPR-i artikli 37 lõike 1 punktid b ja c viitavad „vastutava töötleja või volitatud töötleja põhitegevusele” . Põhjenduses 97 täpsustatakse, et vastutava töötleja põhitegevused on seotud „põhitegevusega ega ole seotud isikuandmete töötlemisega abitegevusena” . Põhitegevusi võib pidada vastutava töötleja või volitatud töötleja eesmärkide saavutamiseks vajalikeks põhitoiminguteks.

Põhitegevusi ei tohiks siiski tõlgendada nii, et need välistavad tegevused, mille puhul andmete töötlemine moodustab vastutava töötleja või volitatud töötleja tegevuse lahutamatu osa. Näiteks haigla põhitegevuseks on tervishoiuteenuste osutamine. Siiski ei saaks haigla ohutult ja tõhusalt tervishoiuteenust osutada ilma terviseandmeid, näiteks patsientide terviselugusid, töötlemata. Seetõttu tuleks nende andmete töötlemist pidada iga haigla üheks põhitegevuseks ja haiglad peavad seetõttu määrama andmekaitseametnikud.

Teise näitena teostab eraturvafirma mitmete erakaubanduskeskuste ja avalike ruumide valvet. Järelevalve on ettevõtte põhitegevus, mis omakorda on lahutamatult seotud isikuandmete töötlemisega. Seetõttu peab see ettevõte määrama ka andmekaitseametniku.

Teisest küljest teostavad kõik organisatsioonid teatud tegevusi, näiteks maksavad oma töötajatele palka või omavad standardseid IT tugitegevusi. Need on näited organisatsiooni põhitegevuse või põhitegevuse jaoks vajalikest tugifunktsioonidest. Kuigi need tegevused on vajalikud või hädavajalikud, peetakse neid tavaliselt pigem abifunktsioonideks kui põhitegevuseks.

2.1.3 ‘SUUR SKAAL’

Artikli 37 lõike 1 punktides b ja c nõutakse, et andmekaitseametniku määramise käivitamiseks tuleb isikuandmeid töödelda ulatuslikult. GDPR ei määratle, mis kujutab endast suuremahulist töötlemist, kuigi põhjenduses 91 on mõned juhised [14].

_{[14] Põhjenduse kohaselt on „suureulatuslikud töötlemistoimingud, mille eesmärk on töödelda märkimisväärsel hulgal isikuandmeid piirkondlikul, riiklikul või riigiülesel tasandil ja mis võivad mõjutada suurt hulka andmesubjekte ja mille tulemuseks on tõenäoliselt suur hulk isikuandmeid. riski” hõlmataks eelkõige. Teisest küljest sätestatakse põhjenduses konkreetselt, et „isikuandmete töötlemist ei tohiks pidada ulatuslikuks, kui töötlemine puudutab patsientide või klientide isikuandmeid konkreetse arsti, muu tervishoiutöötaja või juristi poolt” . Oluline on arvestada, et kuigi põhjenduses tuuakse näiteid skaala äärmustest (üksikarsti töötlemine versus kogu riigi või kogu Euroopa andmete töötlemine); nende äärmuste vahel on suur hall tsoon. Lisaks tuleb meeles pidada, et käesolev põhjendus viitab andmekaitse mõju hindamistele. See tähendab, et mõned elemendid võivad olla selle konteksti jaoks spetsiifilised ega kehti andmekaitseametnike määramisel täpselt samal viisil.}

Tõepoolest, ei ole võimalik anda täpset arvu ei töödeldavate andmete hulga ega asjaomaste isikute arvu kohta, mis oleks kohaldatav kõikides olukordades. See ei välista siiski võimalust, et aja jooksul võib välja kujuneda standardne tava, mille abil saab konkreetsemalt ja/või kvantitatiivsemalt kindlaks teha, mis on teatud tüüpi tavaliste töötlemistoimingute puhul laiaulatuslik . WP29 kavatseb ka sellele arengule kaasa aidata, jagades ja avalikustades näiteid andmekaitseametniku määramise asjakohaste künniste kohta.

Igal juhul soovitab WP29, et otsustades, kas töötlemine toimub laiaulatuslikult, tuleks arvesse võtta eelkõige järgmisi tegureid:

• asjaomaste andmesubjektide arv – kas konkreetse arvuna või osana asjaomasest elanikkonnast
• töödeldavate andmete maht ja/või erinevate andmeüksuste hulk
• andmetöötlustoimingu kestus või püsivus
• töötlemistegevuse geograafiline ulatus.

Suuremahulise töötlemise näited on järgmised:

• patsiendiandmete töötlemine haiglas tavapärase äritegevuse käigus
• linna ühistranspordisüsteemi kasutavate isikute reisiandmete töötlemine (nt jälgimine sõidukaartide kaudu)
• rahvusvahelise kiirtoiduketi klientide geograafilise asukoha andmete reaalajas töötlemine statistilistel eesmärkidel nende teenuste osutamisele spetsialiseerunud töötleja poolt
• kliendiandmete töötlemine tavapärase äritegevuse käigus kindlustusseltsi või panga poolt
• isikuandmete töötlemine käitumispõhise reklaami jaoks otsingumootori poolt
• andmete (sisu, liiklus, asukoht) töötlemine telefoni- või internetiteenuse pakkujate poolt.

Näited, mis ei kujuta endast suuremahulist töötlemist, on järgmised:

• patsiendiandmete töötlemine üksiku arsti poolt
• kriminaalkorras süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine advokaadi poolt.

2.1.4 „REGULAARNE JA SÜSTEMAATILINE JÄLGIMINE”

Andmesubjektide regulaarse ja süstemaatilise jälgimise mõistet GDPR ei määratle, kuid mõistet „andmesubjektide käitumise jälgimine” mainitakse põhjenduses 24 [15] ja see hõlmab selgelt kõiki jälgimise ja profiilide koostamise vorme Internetis. , sealhulgas käitumusliku reklaami eesmärgil.

_{[15] „Selleks et teha kindlaks, kas töötlemistoimingut saab pidada andmesubjektide käitumise jälgimiseks, tuleks kindlaks teha, kas füüsilisi isikuid jälgitakse Internetis, sealhulgas isikuandmete töötlemise tehnikate võimaliku hilisema kasutamise, mis seisneb füüsilise isiku profiili koostamises. isik, eelkõige selleks, et teha teda puudutavaid otsuseid või analüüsida või ennustada tema isiklikke eelistusi, käitumist ja hoiakuid”.}

Seire mõiste ei piirdu aga veebikeskkonnaga ja veebipõhist jälgimist tuleks käsitleda vaid ühe näitena andmesubjektide käitumise jälgimisest [16].

_{[16] Pange tähele, et põhjenduses 24 keskendutakse GDPR-i ekstraterritoriaalsele kohaldamisele. Lisaks on erinevus ka sõnastuste „nende käitumise jälgimine” (artikli 3 lõike 2 punkt b) ja „andmesubjektide regulaarne ja süstemaatiline jälgimine” (artikli 37 lõike 1 punkt b) vahel, mis võib seetõttu käsitleda erineva mõistena.}

WP29 tõlgendab tavalist ühte või mitut järgmistest:

• käimasolevad või esinevad teatud ajavahemike järel teatud perioodi jooksul
• korduvad või korduvad kindlatel kellaaegadel
• pidevalt või perioodiliselt toimuv.

WP29 tõlgendab „süstemaatiliselt” ühte või mitut järgmistest:

• toimub vastavalt süsteemile
• eelnevalt kokkulepitud, organiseeritud või metoodiline
• toimub andmete kogumise üldplaani osana
• viiakse läbi strateegia osana.

Näited tegevustest, mis võivad kujutada endast andmesubjektide regulaarset ja süstemaatilist jälgimist: telekommunikatsioonivõrgu haldamine; telekommunikatsiooniteenuste pakkumine; e-posti uuesti sihtimine; andmepõhised turundustegevused; profiilide koostamine ja skoorimine riskide hindamise eesmärgil (nt krediidiskoorimine, kindlustusmaksete määramine, pettuste ennetamine, rahapesu avastamine); asukoha jälgimine, näiteks mobiilirakenduste kaudu; lojaalsusprogrammid; käitumuslik reklaam; heaolu-, vormi- ja terviseandmete jälgimine kantavate seadmete kaudu; suletud ahelaga televisioon; ühendatud seadmed nt nutikad arvestid, nutikad autod, koduautomaatika jne.

2.1.5 ANDME- JA ANDMETE ERILIIGID, MIS SEOTUD KRIMINAALSÜSTANDAMISE JA KURIKUTEGUDEGA

Artikli 37 lõike 1 punkt c käsitleb erikategooriate andmete töötlemist vastavalt artiklile 9 ning isikuandmeid, mis on seotud süüdimõistvate kohtuotsuste ja artiklis 10 sätestatud kuritegudega. Kuigi sättes kasutatakse sõna „ja”, ei ole poliitilistel põhjustel, miks neid kahte kriteeriumi tuleb kohaldada samaaegselt. Seetõttu tuleks teksti lugeda nii, et öeldakse “või”.

2.2. protsessori andmekaitseametnik

Artiklit 37 kohaldatakse andmekaitseametniku määramisel nii vastutavate töötlejate [17] kui ka volitatud töötlejate [18] suhtes. Olenevalt sellest, kes täidab kohustusliku määramise kriteeriume, on mõnel juhul ainult vastutav töötleja või ainult volitatud töötleja, teistel juhtudel peavad nii vastutav töötleja kui ka tema volitatud töötleja määrama andmekaitseametniku (kes peaks seejärel tegema omavahel koostööd).

_{[17] Vastutav töötleja on artikli 4 lõikes 7 määratletud kui isik või organ, kes määrab kindlaks töötlemise eesmärgid ja vahendid.}

_{[18] Artikli 4 lõikes 8 on volitatud töötleja määratletud kui isik või asutus, kes töötleb andmeid vastutava töötleja nimel.}

Oluline on rõhutada, et isegi kui vastutav töötleja täidab kohustusliku määramise kriteeriumid, ei pea tema volitatud töötleja tingimata andmekaitseametnikku määrama. See võib siiski olla hea tava.

Näited:

• Ühes linnas kodumasinate turustamisega tegelev väike pereettevõte kasutab töötleja teenuseid, mille põhitegevuseks on veebilehe analüüsiteenuste pakkumine ning abi suunatud reklaami ja turundusega. Pereettevõtte ja selle klientide tegevus ei tekita klientide väikest arvu ja suhteliselt piiratud tegevusi arvestades andmete nn suuremahulist töötlemist. Kuid töötleja tegevus, millel on palju kliente nagu see väikeettevõte kokku võttes, on suuremahuline töötlemine . Seetõttu peab töötleja määrama artikli 37 lõike 1 punkti b alusel andmekaitseametniku. Samas ei ole pereettevõttel endal andmekaitseametniku määramise kohustust.
• Keskmise suurusega plaate valmistav ettevõte tellib oma töötervishoiuteenuste alltöövõtu korras välistöötleja, kellel on palju sarnaseid kliente. Töötleja määrab artikli 37 lõike 1 punkti c alusel andmekaitseametniku tingimusel, et töötlemine on ulatuslik. Tootja ei ole aga tingimata kohustatud andmekaitseametnikku määrama.

Töötleja määratud andmekaitseametnik jälgib ka volitatud töötleja organisatsiooni tegevust, kui ta tegutseb iseseisvalt vastutava töötlejana (nt personalijuhtimine, IT, logistika).

2.3. Mitme organisatsiooni jaoks ühe andmekaitseametniku määramine

Artikli 37 lõige 2 lubab ettevõtjate rühmal määrata ühe andmekaitseametniku tingimusel, et ta on “igast asutusest hõlpsasti juurdepääsetav” . Juurdepääsetavuse mõiste viitab andmekaitseametniku kui andmesubjektide [19] kontaktpunkti, järelevalveasutuse [20] ülesannetele, aga ka organisatsioonisiseselt, arvestades, et andmekaitseametniku üks ülesandeid on teavitada. ning nõustab vastutavat töötlejat ja volitatud töötlejat ning töötlevaid töötajaid nende käesoleva määruse kohaste kohustuste kohta” [21].

_{[19] Artikli 38 lõige 4: „andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ja käesolevast määrusest tulenevate õiguste kasutamisega”.}

_{[20] Artikli 39 lõike 1 punkt e: „toimib järelevalveasutuse kontaktpunktina töötlemisega seotud küsimustes, sealhulgas artiklis 36 osutatud eelnevate konsultatsioonide osas ning konsulteerib vajaduse korral mis tahes muus küsimuses. ‘.}

_{[21] Artikli 39 lõike 1 punkt a.}

Sise- või välisandmekaitseametniku ligipääsetavuse tagamiseks on oluline tagada, et tema kontaktandmed oleksid kättesaadavad vastavalt GDPR-i nõuetele [22].

_{[22] Vt ka punkt 2.6 allpool.}

Ta peab vajaduse korral meeskonna abiga suutma andmesubjektidega tõhusalt suhelda [23] ja tegema koostööd [24] asjaomaste järelevalveasutustega. See tähendab ka seda, et kõnealune suhtlus peab toimuma keeles või keeltes, mida kasutavad järelevalveasutused ja asjaomased andmesubjektid. Andmekaitseametniku kättesaadavus (kas füüsiliselt töötajatega samades ruumides, vihjeliini või muu turvalise sidevahendi kaudu) on oluline selleks, et andmesubjektid saaksid andmekaitseametnikuga ühendust võtta.

_{[23] Artikli 12 lõige 1: „Vastutav töötleja võtab asjakohased meetmed, et edastada andmesubjektile artiklites 13 ja 14 osutatud teave ning artiklite 15–22 ja 34 kohased töötlemisega seotud teatised kokkuvõtlikult ja läbipaistvalt, arusaadavas ja hõlpsasti juurdepääsetavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe puhul”.}

_{[24] Artikli 39 lõike 1 punkt d: „teha koostööd järelevalveasutusega”}

Artikli 37 lõike 3 kohaselt võib ühe andmekaitseametniku määrata mitme riigiasutuse või asutuse jaoks, võttes arvesse nende organisatsioonilist struktuuri ja suurust. Samad kaalutlused kehtivad ressursside ja kommunikatsiooni osas. Arvestades, et andmekaitseametnik vastutab mitmesuguste ülesannete eest, peab vastutav töötleja või volitatud töötleja tagama, et üks andmekaitseametnik saaks vajaduse korral meeskonna abiga neid tõhusalt täita, hoolimata sellest, et ta on määratud mitme riigiasutuse ja asutuse jaoks.

2.4. Andmekaitseametniku juurdepääsetavus ja lokaliseerimine

GDPR-i jaotise 4 kohaselt peaks andmekaitseametniku juurdepääsetavus olema tõhus.

Andmekaitseametnikule ligipääsetavuse tagamiseks soovitab WP29, et andmekaitseametnik asuks Euroopa Liidus, olenemata sellest, kas vastutav töötleja või volitatud töötleja on asutatud Euroopa Liidus või mitte.

Siiski ei saa välistada, et mõnes olukorras, kus vastutav töötleja või volitatud töötleja ei asu Euroopa Liidus [25], võib andmekaitseametnik oma tegevusi tõhusamalt teostada, kui ta asub väljaspool ELi.

_{[25] Vt GDPR-i artiklit 3 territoriaalse kohaldamisala kohta.}

2.5. Andmekaitseametniku asjatundlikkus ja oskused

Artikli 37 lõikes 5 on sätestatud, et andmekaitseametnik „määratakse ametialaste omaduste ja eelkõige andmekaitseseaduste ja -tavade ekspertteadmiste ning artiklis 39 osutatud ülesannete täitmise võime alusel” . Põhjenduses 97 on sätestatud, et vajalik ekspertteadmiste tase tuleks kindlaks määrata vastavalt teostatud andmetöötlustoimingutele ja töödeldavate isikuandmete kaitsele.

Teadmiste tase

Nõutav asjatundlikkuse tase ei ole rangelt määratletud, kuid see peab olema vastavuses organisatsioonis töödeldavate andmete tundlikkuse, keerukuse ja hulgaga. Näiteks kui andmetöötlustegevus on eriti keeruline või kui tegemist on suure hulga tundlikke andmeid, võib andmekaitseametnik vajada suuremat asjatundlikkust ja tuge. Samuti on erinevus selles, kas organisatsioon edastab isikuandmeid süstemaatiliselt väljapoole Euroopa Liitu või on sellised edastamised juhuslikud. Andmekaitseametnik tuleks seega valida hoolikalt, võttes nõuetekohaselt arvesse organisatsioonis tekkivaid andmekaitseprobleeme.

Professionaalsed omadused

Kuigi artikli 37 lõikes 5 ei täpsustata kutsealaseid omadusi, mida tuleks andmekaitseametniku määramisel arvesse võtta, on oluline element, et andmekaitseametnikel peavad olema siseriiklike ja Euroopa andmekaitseseaduste ja -tavade alased teadmised ning GDPR-i põhjalik mõistmine. Samuti on kasulik, kui järelevalveasutused edendavad andmekaitseametnike piisavat ja regulaarset koolitust.

Kasuks tulevad teadmised ärisektorist ja vastutava töötleja organisatsioonist. Andmekaitseametnik peaks samuti hästi mõistma läbiviidud töötlemistoiminguid, samuti infosüsteeme ning vastutava töötleja andmeturbe ja andmekaitse vajadusi.

Avaliku asutuse või organi puhul peaksid andmekaitseametnikul olema ka põhjalikud teadmised organisatsiooni halduseeskirjadest ja -protseduuridest.

Oskus oma ülesandeid täita

Suutlikkust täita andmekaitseametnikule pandud ülesandeid tuleks tõlgendada nii, et see viitab nii tema isikuomadustele ja teadmistele, kui ka positsioonile organisatsioonis. Isiklikud omadused peaksid hõlmama näiteks ausust ja kõrget kutse-eetikat; Andmekaitseametniku esmane mure peaks olema GDPR-i järgimise võimaldamine. Andmekaitseametnikul on võtmeroll organisatsioonisisese andmekaitsekultuuri edendamisel ja ta aitab rakendada GDPR-i olulisi elemente, nagu andmetöötluse põhimõtted [26], andmesubjektide õigused [27], kavandatud andmekaitse ja vaikimisi [28], töötlemistoimingute kirjeid [29], töötlemise turvalisust [30] ning andmetega seotud rikkumistest teatamist ja teavitamist [31].

_{[26] II peatükk.}

_{[27] III peatükk.}

_{[28] Artikkel 25.}

_{[29] Artikkel 30.}

_{[30] Artikkel 32.}

_{[31] Artiklid 33 ja 34.}

Andmekaitseametnik teenuslepingu alusel

Andmekaitseametniku ülesandeid saab täita ka üksikisiku või vastutava töötleja/volitatud töötleja organisatsioonivälise organisatsiooniga sõlmitud teenuslepingu alusel. Viimasel juhul on oluline, et iga andmekaitseametniku ülesandeid täitva organisatsiooni liige täidaks kõiki GDPR-i jaotise 4 kohaldatavaid nõudeid (nt on oluline, et kellelgi ei oleks huvide konflikti). Sama oluline on, et iga sellist liiget kaitseksid GDPR-i sätted (nt teenuslepingu ebaõiglast lõpetamist andmekaitseametnikuna, aga ka andmekaitseametniku ülesandeid täitva organisatsiooni üksikliikme ebaõiglast vallandamist). Samas saab kombineerida individuaalseid oskusi ja tugevusi, et mitu inimest meeskonnas töötades saaksid oma kliente tõhusamalt teenindada.

Õigusselguse ja hea korralduse huvides ning meeskonnaliikmete huvide konfliktide vältimiseks on soovitatav andmekaitseametniku meeskonnas selgelt jaotada ülesanded ning määrata juhtkontaktiks ja vastutavaks isikuks üks isik. iga kliendi jaoks. Üldjuhul oleks kasulik ka need punktid teenuslepingus täpsustada.

2.6. Andmekaitseametniku kontaktandmete avaldamine ja edastamine

GDPR-i artikli 37 lõige 7 nõuab, et vastutav töötleja või volitatud töötleja:

avaldada andmekaitseametniku kontaktandmed ja

edastama andmekaitseametniku kontaktandmed asjaomastele järelevalveasutustele.

Nende nõuete eesmärk on tagada, et andmesubjektid (nii organisatsiooni sees kui ka väljaspool) ja järelevalveasutused saaksid andmekaitseametnikuga hõlpsalt ja vahetult ühendust võtta, ilma et nad peaksid ühendust võtma organisatsiooni mõne muu osaga. Sama oluline on ka konfidentsiaalsus: näiteks võivad töötajad olla tõrksad andmekaitseametnikule kaebust esitama, kui nende suhtluse konfidentsiaalsus ei ole tagatud.

Andmekaitseametnik on oma ülesannete täitmisega seotud saladuse või konfidentsiaalsusega kooskõlas liidu või liikmesriigi õigusega (artikli 38 lõige 5).

Andmekaitseametniku kontaktandmed peaksid sisaldama teavet, mis võimaldab andmesubjektidel ja järelevalveasutustel andmekaitseametnikuga hõlpsalt ühendust võtta (postiaadress, spetsiaalne telefoninumber ja/või spetsiaalne e-posti aadress). Kui see on asjakohane, võib avalikkusega suhtlemiseks pakkuda ka muid sidevahendeid, näiteks spetsiaalset vihjeliini või andmekaitseametnikule adresseeritud spetsiaalset kontaktivormi organisatsiooni veebisaidil.

Artikli 37 lõige 7 ei nõua, et avaldatud kontaktandmed peaksid sisaldama andmekaitseametniku nime. Kuigi see võib olla hea tava, otsustavad vastutav töötleja või volitatud töötleja ja andmekaitseametnik, kas see on konkreetses olukorras vajalik või kasulik [32].

_{[32] Tähelepanuväärne on, et artikli 33 lõike 3 punkt b, mis kirjeldab teavet, mis tuleb isikuandmetega seotud rikkumise korral esitada järelevalveasutusele ja andmesubjektidele, nõuab erinevalt artikli 37 lõikest 7 ka konkreetset edastatava andmekaitseametniku nimi (ja mitte ainult kontaktandmed).}

Andmekaitseametniku nime teatamine järelevalveasutusele on aga oluline selleks, et andmekaitseametnik saaks olla organisatsiooni ja järelevalveasutuse vaheline kontaktpunkt (artikli 39 lõike 1 punkt e).

Hea tava kohaselt soovitab WP29 ka organisatsioonil teavitada oma töötajaid andmekaitseametniku nimest ja kontaktandmed. Näiteks võib andmekaitseametniku nime ja kontaktandmeid avaldada organisatsioonisiseselt siseveebis, sisemises telefonikataloogis ja organisatsiooni skeemides.

3. Andmekaitseametniku ametikoht

3.1. Andmekaitseametniku kaasamine kõikidesse isikuandmete kaitsega seotud küsimustesse

GDPR-i artiklis 38 on sätestatud, et vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik on „nõuetekohaselt ja õigeaegselt kaasatud kõikidesse isikuandmete kaitsega seotud küsimustesse” .

On ülioluline, et andmekaitseametnik või tema meeskond oleks võimalikult varajases staadiumis kaasatud kõikidesse andmekaitsega seotud küsimustesse. Seoses andmekaitsemõju hindamistega näeb GDPR selgesõnaliselt ette andmekaitseametniku varajase kaasamise ja täpsustab, et vastutav töötleja küsib selliste mõjuhinnangute tegemisel andmekaitseametnikult nõu [33]. Andmekaitseametniku kohe alguses teavitamise ja temaga konsulteerimise tagamine hõlbustab GDPR-i järgimist, edendab eraelu kavandatud puutumatuse lähenemisviisi ja peaks seetõttu olema organisatsiooni juhtimises standardmenetlus. Lisaks on oluline, et andmekaitseametnikku käsitletaks organisatsioonisisese arutelupartnerina ning ta kuuluks vastavatesse töörühmadesse, mis tegelevad organisatsioonisisese andmetöötlustegevusega.

_{[33] Artikli 35 lõige 2.}

Sellest tulenevalt peaks organisatsioon tagama näiteks, et:

andmekaitseametnikku kutsutakse regulaarselt osalema kõrgema ja keskastme juhtkonna koosolekutel

tema kohalolek on andmekaitsega seotud otsuste tegemisel soovitatav. Kogu asjakohane teave tuleb andmekaitseametnikule õigeaegselt edastada, et ta saaks anda piisavat nõu

Andmekaitseametniku arvamusele tuleb alati piisavalt tähelepanu pöörata. Lahkarvamuste korral soovitab WP29 hea tava kohaselt dokumenteerida andmekaitseametniku nõuande mittejärgimise põhjused.

Andmekaitseametnikuga tuleb viivitamatult konsulteerida, kui andmetega seotud rikkumine või muu intsident on aset leidnud.

Vajaduse korral võiks vastutav töötleja või volitatud töötleja välja töötada andmekaitsesuunised või programmid, milles sätestatakse, millal tuleb andmekaitseametnikuga konsulteerida.

3.2. Vajalikud ressursid

GDPR-i artikli 38 lõige 2 nõuab, et organisatsioon toetaks oma andmekaitseametnikku, „pakkudes oma ülesannete täitmiseks vajalikke ressursse ning juurdepääsu isikuandmetele ja töötlemistoimingutele ning säilitama oma ekspertteadmisi” . Eelkõige tuleb arvesse võtta järgmisi elemente:

• andmekaitseametniku funktsiooni aktiivne toetus kõrgema juhtkonna poolt (näiteks juhatuse tasandil)
• andmekaitseametnikele piisavalt aega oma ülesannete täitmiseks. See on eriti oluline juhul, kui sisemine andmekaitseametnik määratakse ametisse osalise tööajaga või kui väline andmekaitseametnik tegeleb lisaks muudele ülesannetele andmekaitsega. Vastasel juhul võivad vastuolulised prioriteedid põhjustada andmekaitseametniku kohustuste eiramise. Ülioluline on andmekaitseametniku ülesannetele pühendada piisavalt aega. Hea tava on kehtestada andmekaitseametniku funktsiooni ajaprotsent, kui seda ei täideta täiskohaga. Samuti on hea tava määrata kindlaks funktsiooni täitmiseks kuluv aeg, andmekaitseametniku ülesannete sobiv prioriteetsuse tase ja andmekaitseametnik (või organisatsioon) koostab tööplaani.
• piisav toetus rahaliste ressursside, infrastruktuuri (ruumid, rajatised, seadmed) ja vajaduse korral personali osas
• ametlik teavitamine andmekaitseametniku määramisest kõigile töötajatele tagamaks, et nende olemasolu ja funktsioon on organisatsioonis teada
• vajalik juurdepääs muudele teenustele, nagu personali-, õigus-, IT-, turvateenused jne, et andmekaitseametnikud saaksid nendelt teistelt teenustelt olulist tuge, sisendit ja teavet.
• pidev koolitus. Andmekaitseametnikele tuleb anda võimalus olla kursis andmekaitse valdkonna arengutega. Eesmärk peaks olema andmekaitseametnike asjatundlikkuse pidev tõstmine ning neid tuleks julgustada osalema andmekaitse- ja muude ametialase arengu koolitustel, nagu osalemine privaatsusfoorumitel, töötubades jne.
• organisatsiooni suurust ja struktuuri arvestades võib osutuda vajalikuks luua andmekaitseametniku meeskond (andmekaitseametnik ja tema töötajad). Sellistel juhtudel tuleks selgelt välja töötada meeskonna sisemine struktuur ning iga selle liikme ülesanded ja vastutus. Samamoodi, kui andmekaitseametniku ülesandeid täidab väline teenusepakkuja, võib selle üksuse heaks töötavatest isikutest koosnev meeskond tõhusalt täita andmekaitseametniku ülesandeid meeskonnana kliendi määratud juhtiva kontaktisiku vastutusel.

Üldiselt tuleb andmekaitseametnikule anda rohkem ressursse, mida keerukamad ja/või tundlikumad on töötlemistoimingud. Andmekaitsefunktsioon peab olema teostatava andmetöötluse suhtes tõhus ja piisavalt varustatud.

3.3. Juhised ja “oma kohustuste ja ülesannete sõltumatu täitmine”

Artikli 38 lõikes 3 on sätestatud mõned põhitagatised, mis aitavad tagada, et andmekaitseametnikud suudavad oma ülesandeid oma organisatsioonis piisavalt iseseisvalt täita. Eelkõige peavad vastutavad töötlejad/volitatud töötlejad tagama, et andmekaitseametnik „ei saa mingeid juhiseid [oma] ülesannete täitmise kohta” . Põhjenduses 97 lisatakse, et andmekaitseametnikud, „olenemata sellest, kas nad on vastutava töötleja töötajad või mitte, peaksid olema võimelised täitma oma kohustusi ja ülesandeid sõltumatult” .

See tähendab, et andmekaitseametnikele ei tohi artiklist 39 tulenevate ülesannete täitmisel anda juhiseid, kuidas mingi asjaga tegeleda, näiteks millist tulemust tuleks saavutada, kuidas kaebust uurida või kas konsulteerida järelevalveasutusega. Lisaks ei tohi neid juhendada võtma teatud seisukohta andmekaitseseadusega seotud küsimuses, näiteks seaduse konkreetses tõlgenduses.

Andmekaitseametnike autonoomia ei tähenda siiski, et neil on artikli 39 kohastest ülesannetest kaugemale ulatuvad otsustusõigused.

Vastutav töötleja või volitatud töötleja vastutab jätkuvalt andmekaitseseaduse järgimise eest ja peab suutma vastavust tõendada [34]. Kui vastutav töötleja või volitatud töötleja teeb otsuseid, mis on vastuolus GDPR-i ja andmekaitseametniku nõuannetega, tuleks andmekaitseametnikule anda võimalus teha oma eriarvamus selgeks kõrgeimale juhtimistasandile ja otsuse tegijatele. Sellega seoses on artikli 38 lõikes 3 sätestatud, et andmekaitseametnik „allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile” . Selline otsene aruandlus tagab, et kõrgem juhtkond (nt direktorite nõukogu) on teadlik andmekaitseametniku nõuannetest ja soovitustest, mis on osa andmekaitseametniku missioonist teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat. Teine näide otsesest aruandlusest on andmekaitseametniku tegevuse aastaaruande koostamine, mis esitatakse kõrgeimale juhtimistasandile.

_{[34] Artikli 5 lõige 2.}

3.4. Vallandamine või karistus andmekaitseametniku ülesannete täitmise eest

Artikli 38 lõikes 3 nõutakse, et vastutav töötleja või volitatud töötleja ei tohiks andmekaitseametnikke oma ülesannete täitmise eest vallandada ega karistada .

See nõue tugevdab andmekaitseametnike autonoomiat ja aitab tagada, et nad tegutsevad sõltumatult ja saavad andmekaitseülesannete täitmisel piisavat kaitset.

Karistused on GDPR-iga keelatud ainult siis, kui need on määratud seetõttu, et andmekaitseametnik täidab oma ülesandeid andmekaitseametnikuna. Näiteks võib andmekaitseametnik arvata, et konkreetne töötlemine toob tõenäoliselt kaasa suure riski, ja soovitada vastutaval töötlejal või volitatud töötlejal viia läbi andmekaitsealase mõju hindamine, kuid vastutav töötleja või volitatud töötleja ei nõustu andmekaitseametniku hinnanguga. Sellises olukorras ei saa andmekaitseametnikku selle nõustamise eest ametist vabastada.

Karistused võivad esineda erineval kujul ja võivad olla otsesed või kaudsed. Need võivad seisneda näiteks edutamise puudumises või hilinemises; karjääri edendamise ennetamine; keeldumine hüvitistest, mida teised töötajad saavad. Neid karistusi ei ole vaja tegelikult rakendada, piisab pelgalt ähvardamisest seni, kuni neid kasutatakse andmekaitseametniku karistamiseks tema tegevusega seotud põhjustel.

Tavapärase juhtimisreeglina ja nagu iga teise töötaja või töövõtja puhul kohaldatava siseriikliku lepingu või töö- ja kriminaalõiguse alusel, võib andmekaitseametniku siiski seaduslikult vallandada muudel põhjustel kui tema ülesannete täitmine. andmekaitseametnikuna (näiteks varguse, füüsilise, psühholoogilise või seksuaalse ahistamise või sarnase raske üleastumise korral).

Sellega seoses tuleb märkida, et GDPR ei täpsusta, kuidas ja millal saab andmekaitseametniku vallandada või teise isikuga asendada. Mida stabiilsem on andmekaitseametniku leping ja mida rohkem on tagatisi ebaõiglase vallandamise vastu, seda tõenäolisemalt saab ta tegutseda sõltumatult. Seetõttu tervitaks WP29 organisatsioonide sellekohaseid jõupingutusi.

3.5. Huvide konflikt

Artikli 38 lõige 6 lubab andmekaitseametnikel „täita muid ülesandeid ja kohustusi”. See nõuab aga, et organisatsioon tagaks, et „ükskõik millise sellise ülesande ja kohustusega ei kaasne huvide konflikti”.

Huvide konflikti puudumine on tihedalt seotud nõudega tegutseda sõltumatult. Kuigi andmekaitseametnikel on lubatud täita muid ülesandeid, saab neile usaldada muid ülesandeid ja kohustusi ainult juhul, kui need ei põhjusta huvide konflikti. Eelkõige tähendab see seda, et andmekaitseametnik ei saa olla organisatsioonis ametikohal, mis viiks ta määrama isikuandmete töötlemise eesmärgid ja vahendid. Iga organisatsiooni spetsiifilise organisatsioonilise struktuuri tõttu tuleb seda kaaluda iga juhtumi puhul eraldi.

Rusikareeglina võivad vastuolulised ametikohad organisatsiooni sees hõlmata kõrgemaid juhte (nt tegevjuht, tegevjuht, finantsjuht, peaarst, turundusosakonna juhataja, personaliosakonna juhataja või IT-osakonna juhataja), aga ka muid ametikohti. organisatsioonistruktuuris madalamad rollid, kui sellised ametikohad või rollid viivad töötlemise eesmärkide ja vahendite kindlaksmääramiseni. Lisaks võib huvide konflikt tekkida ka näiteks siis, kui välist andmekaitseametnikku palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus andmekaitseküsimustega seotud juhtudel.

Sõltuvalt organisatsiooni tegevusest, suurusest ja struktuurist võib vastutavate töötlejate või volitatud töötlejate jaoks olla hea tava:

• teha kindlaks ametikohad, mis ei sobiks kokku andmekaitseametniku ülesannetega
• koostada sellekohased sise-eeskirjad, et vältida huvide konflikti
• lisada üldisem selgitus huvide konflikti kohta
• teatama, et nende andmekaitseametnikul ei ole huvide konflikti seoses tema ülesannetega andmekaitseametnikuna, et tõsta teadlikkust sellest nõudest
• lisada kaitsemeetmed organisatsiooni sise-eeskirjadesse ning tagada, et DPO vaba ametikoha teade või teenistusleping on piisavalt täpne ja üksikasjalik, et vältida huvide konflikti. Sellega seoses tuleks samuti meeles pidada, et huvide konfliktid võivad esineda erineval kujul, olenevalt sellest, kas andmekaitseametnik värvatakse ettevõttesiseselt või -väliselt.

4. Andmekaitseametniku ülesanded

4.1. GDPR-i järgimise jälgimine

Artikli 39 lõike 1 punkt b annab andmekaitseametnikele muu hulgas kohustuse jälgida GDPR-i järgimist. Põhjenduses 97 täpsustatakse lisaks, et andmekaitseametnik „peaks aitama vastutaval töötlejal või volitatud töötlejal jälgida käesoleva määruse sisemist järgimist” .

Nende nõuete täitmise järelevalve kohustuste osana võivad andmekaitseametnikud eelkõige:

• koguda teavet töötlemistoimingute tuvastamiseks
• analüüsida ja kontrollida töötlemistoimingute vastavust
• teavitada, nõustada ja anda soovitusi vastutavale töötlejale või volitatud töötlejale.

Nõuetele vastavuse jälgimine ei tähenda, et täitmata jätmise korral vastutab isiklikult andmekaitseametnik. GDPR teeb selgeks, et vastutav töötleja, mitte andmekaitseametnik, on see, kes peab „rakendamiseks vajalikke tehnilisi ja organisatsioonilisi meetmeid tagamaks ja suutma tõendada, et töötlemine toimub kooskõlas käesoleva määrusega” (artikli 24 lõige 1). ). Andmekaitse järgimine on vastutava töötleja, mitte andmekaitseametniku korporatiivne vastutus.

4.2. Andmekaitseametniku roll andmekaitsemõju hindamisel

Artikli 35 lõike 1 kohaselt on vastutava töötleja, mitte andmekaitseametniku ülesanne vajaduse korral läbi viia andmekaitsealase mõju hindamine (edaspidi „DPIA”). Andmekaitseametnikul võib aga olla vastutava töötleja abistamisel väga oluline ja kasulik roll. Kavandatud andmekaitse põhimõtet järgides nõuab artikli 35 lõige 2 konkreetselt, et vastutav töötleja „küsib andmekaitseametnikult nõu”. Artikli 39 lõike 1 punkt c paneb andmekaitseametnikule omakorda ülesandeks „nõustada nõudmisel [DPIA] kohta nõu ja jälgida selle täitmist vastavalt artiklile 35” .

WP29 soovitab vastutaval töötlejal andmekaitseametnikult nõu küsida muu hulgas järgmistes küsimustes [35]:

_{[35] Artikli 39 lõikes 1 mainitakse andmekaitseametniku ülesandeid ja osutatakse, et andmekaitseametnikul on „vähemalt” järgmised ülesanded. Seetõttu ei takista miski vastutaval töötlejal andmekaitseametnikule muid ülesandeid peale artikli 39 lõikes 1 selgesõnaliselt mainitud või neid ülesandeid üksikasjalikumalt täpsustamast.}

• kas teha DPIA või mitte
• millist metoodikat DPIA läbiviimisel järgida
• kas teha DPIA ettevõttesiseselt või tellida see väljast
• milliseid kaitsemeetmeid (sealhulgas tehnilisi ja korralduslikke meetmeid) andmesubjektide õigusi ja huve ohustavate riskide maandamiseks rakendada
• kas andmekaitsemõju hindamine on õigesti läbi viidud või mitte ja kas selle järeldused (kas jätkata töötlemist või mitte ning milliseid kaitsemeetmeid rakendada) on GDPR-iga kooskõlas.

Kui vastutav töötleja ei nõustu andmekaitseametniku nõuannetega, tuleks DPIA dokumentatsioonis konkreetselt kirjalikult põhjendada, miks nõuandeid ei ole arvesse võetud [36].

_{[36] Artikli 24 lõikes 1 on sätestatud, et „võttes arvesse töötlemise olemust, ulatust, konteksti ja eesmärke ning erineva tõenäosuse ja raskusastmega seotud riske füüsiliste isikute õigustele ja vabadustele, rakendab vastutav töötleja asjakohaseid tehnilisi ja organisatsioonilised meetmed tagamaks ja suutmaks tõendada, et töötlemine toimub kooskõlas käesoleva määrusega. Need meetmed vaadatakse läbi ja vajaduse korral ajakohastatakse”.}

WP29 soovitab lisaks, et vastutav töötleja kirjeldaks selgelt, näiteks andmekaitseametniku lepingus, aga ka töötajatele, juhtkonnale (ja muudele sidusrühmadele, kui see on asjakohane) edastatavas teabes andmekaitseametniku täpsed ülesanded ja nende ulatus, eelkõige seoses DPIA läbiviimine.

4.3. Järelevalveasutusega koostöö tegemine ja kontaktpunktina tegutsemine

Vastavalt artikli 39 lõike 1 punktidele d ja e peaks andmekaitseametnik „tegema koostööd järelevalveasutusega” ja „toimima järelevalveasutuse kontaktpunktina töötlemisega seotud küsimustes, sealhulgas artiklis 1 osutatud eelnevates konsultatsioonides. 36 ja vajaduse korral konsulteerida mis tahes muus küsimuses” .

Need ülesanded viitavad käesolevate suuniste sissejuhatuses mainitud andmekaitseametniku abistaja rollile. Andmekaitseametnik tegutseb kontaktpunktina, et hõlbustada järelevalveasutuse juurdepääsu dokumentidele ja teabele artiklis 57 nimetatud ülesannete täitmiseks, samuti artiklis 57 nimetatud uurimis-, parandus-, lubade andmise ja nõustamisvolituste teostamiseks. 58. Nagu juba mainitud, on andmekaitseametnik oma ülesannete täitmisel seotud saladuse hoidmise või konfidentsiaalsusega vastavalt liidu või liikmesriigi õigusele (artikli 38 lõige 5). Salastatuse/konfidentsiaalsuse kohustus ei keela andmekaitseametnikul siiski järelevalveasutusega ühendust võtta ja temalt nõu küsida. Artikli 39 lõike 1 punktis e on sätestatud, et andmekaitseametnik võib vajaduse korral konsulteerida järelevalveasutusega mis tahes muus küsimuses.

4.4. Riskipõhine lähenemine

Artikli 39 lõikes 2 nõutakse, et andmekaitseametnik „võtaks nõuetekohaselt arvesse töötlemistoimingutega seotud riske, võttes arvesse töötlemise olemust, ulatust, konteksti ja eesmärke” .

See artikkel meenutab üldist ja terve mõistuse põhimõtet, mis võib olla asjakohane andmekaitseametniku igapäevase töö paljude aspektide jaoks. Sisuliselt nõuab see, et andmekaitseametnikud seaksid oma tegevuse prioriteediks ja keskenduksid probleemidele, mis kujutavad endast kõrgemaid andmekaitseriske. See ei tähenda, et nad peaksid tähelepanuta jätma suhteliselt madalama riskitasemega andmetöötlustoimingute nõuetele vastavuse jälgimise, küll aga, et keskenduda tuleks eelkõige kõrgema riskitasemega valdkondadele.

Selline valikuline ja pragmaatiline lähenemine peaks aitama andmekaitseametnikel anda vastutavale töötlejale nõu, millist metoodikat kasutada andmekaitsekontrolli läbiviimisel, millistes valdkondades tuleks läbi viia sise- või välisandmekaitseaudit, milliseid sisemisi koolitusi andmetöötlustoimingute eest vastutavatele töötajatele või juhtkonnale pakkuda. ja millistele töötlemistoimingutele rohkem oma aega ja ressursse pühendada.

4.5. Andmekaitseametniku roll arvestuse pidamisel

Artikli 30 lõigete 1 ja 2 kohaselt on vastutav töötleja või volitatud töötleja, mitte andmekaitseametnik, kes peab „oma vastutusel olevate töötlemistoimingute kohta arvestust pidama” või „registrit pidama kõigi teostatud töötlemistoimingute kategooriate kohta. vastutava töötleja nimel” .

Praktikas koostavad andmekaitseametnikud sageli andmekogusid ja peavad töötlemistoimingute registrit teabe põhjal, mille on neile esitanud isikuandmete töötlemise eest vastutavad organisatsiooni erinevad osakonnad. See tava on kehtestatud paljude kehtivate siseriiklike seaduste ning ELi institutsioonide ja asutuste suhtes kohaldatavate andmekaitseeeskirjadega [37].

_{[37] Määruse (EÜ) nr 45/2001 artikli 24 lõike 1 punkt d.}

Artikli 39 lõikes 1 on sätestatud ülesannete loetelu, mis andmekaitseametnikul peavad olema vähemalt. Seetõttu ei takista miski vastutaval töötlejal või volitatud töötlejal andmast andmekaitseametnikule ülesandeks pidada vastutava töötleja või volitatud töötleja vastutusel andmeid töötlemistoimingute kohta. Sellist registrit tuleks pidada üheks vahendiks, mis võimaldab andmekaitseametnikul täita oma ülesandeid, milleks on nõuete täitmise järelevalve, vastutava töötleja või volitatud töötleja teavitamine ja nõustamine.

Igal juhul tuleks artikli 30 alusel säilitatavat registrit vaadelda ka vahendina, mis võimaldab vastutaval töötlejal ja järelevalveasutusel nõudmisel saada ülevaadet kõigist isikuandmete töötlemise toimingutest, mida organisatsioon teostab. Seega on see nõuetele vastavuse eeltingimus ja sellisena tõhus vastutusmeede.

5. LISA – DPO JUHISED: MIDA PEATE TEADMA

Selle lisa eesmärk on vastata lihtsustatud ja hõlpsasti loetavas vormingus mõnele põhiküsimusele, mis organisatsioonidel võib tekkida seoses andmekaitse üldmääruse (GDPR) uute nõuetega andmekaitseametniku määramiseks.

Andmekaitseametniku määramine

1. Millised organisatsioonid peavad määrama andmekaitseametniku?

Andmekaitseametniku määramine on kohustus:

• kui töötlemist viib läbi avalik asutus või organ (olenemata sellest, milliseid andmeid töödeldakse)
• kui vastutava töötleja või volitatud töötleja põhitegevuseks on töötlemistoimingud, mis nõuavad andmesubjektide regulaarset ja süstemaatilist jälgimist ulatuslikult
• kui vastutava töötleja või volitatud töötleja põhitegevus seisneb kriminaalkorras süüdimõistvate kohtuotsuste ja süütegudega seotud erikategooriate andmete või isikuandmete suures mahus töötlemises.

Pange tähele, et liidu või liikmesriigi õigus võib nõuda andmekaitseametnike määramist ka muudes olukordades. Lõpuks, isegi kui andmekaitseametniku määramine ei ole kohustuslik, võivad organisatsioonid mõnikord leida kasulikuks andmekaitseametniku vabatahtliku määramise. Artikli 29 alusel asutatud andmekaitse töörühm (WP29) julgustab neid vabatahtlikke jõupingutusi. Kui organisatsioon määrab andmekaitseametniku vabatahtlikult, kehtivad tema määramisele, ametikohale ja ülesannetele samad nõuded, nagu oleks määramine olnud kohustuslik.

Allikas: GDPR artikli 37 lõige 1

2. Mida tähendab ‘põhitegevused’?

Põhitegevusi võib pidada vastutava töötleja või volitatud töötleja eesmärkide saavutamiseks võtmetoiminguteks. Nende hulka kuuluvad ka kõik tegevused, mille puhul andmete töötlemine moodustab vastutava töötleja või volitatud töötleja tegevuse lahutamatu osa. Näiteks terviseandmete, näiteks patsiendi terviseandmete töötlemist tuleks pidada iga haigla üheks põhitegevuseks ja seetõttu peavad haiglad määrama andmekaitseametnikud.

Teisalt teostavad kõik organisatsioonid teatud toetavaid tegevusi, näiteks maksavad oma töötajatele palka või omavad standardseid IT tugitegevusi. Need on näited organisatsiooni põhitegevuse või põhitegevuse jaoks vajalikest tugifunktsioonidest. Kuigi need tegevused on vajalikud või hädavajalikud, peetakse neid tavaliselt pigem abifunktsioonideks kui põhitegevuseks.

Allikas: GDPR artikli 37 lõike 1 punktid b ja c

3. Mida tähendab ‘suurmahuline’?

GDPR ei määratle, mis kujutab endast suuremahulist töötlemist. WP29 soovitab, et otsustades, kas töötlemine toimub laiaulatuslikult, tuleks arvesse võtta eelkõige järgmisi tegureid:

• asjaomaste andmesubjektide arv – kas konkreetse arvuna või osana asjaomasest elanikkonnast
• töödeldavate andmete maht ja/või erinevate andmeüksuste hulk
• andmetöötlustoimingu kestus või püsivus
• töötlemistegevuse geograafiline ulatus.

Suuremahulise töötlemise näited on järgmised:

• patsiendiandmete töötlemine haiglas tavapärase äritegevuse käigus
• linna ühistranspordisüsteemi kasutavate isikute reisiandmete töötlemine (nt jälgimine sõidukaartide kaudu)
• rahvusvahelise kiirtoiduketi klientide geograafilise asukoha andmete reaalajas töötlemine statistilistel eesmärkidel nendele tegevustele spetsialiseerunud töötleja poolt
• kliendiandmete töötlemine tavapärase äritegevuse käigus kindlustusseltsi või panga poolt
• isikuandmete töötlemine käitumispõhise reklaami jaoks otsingumootori poolt
• andmete (sisu, liiklus, asukoht) töötlemine telefoni- või internetiteenuse pakkujate poolt.

Näited, mis ei kujuta endast suuremahulist töötlemist, on järgmised:

• patsiendiandmete töötlemine üksiku arsti poolt
• kriminaalkorras süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine advokaadi poolt.

Allikas: GDPR artikli 37 lõike 1 punktid b ja c

4. Mida tähendab regulaarne ja süstemaatiline järelevalve?

Andmesubjektide regulaarse ja süstemaatilise jälgimise mõiste ei ole GDPR-is määratletud, kuid hõlmab selgelt kõiki jälgimise ja profiilide koostamise vorme Internetis, sealhulgas käitumispõhise reklaami eesmärgil. Seire mõiste ei piirdu aga veebikeskkonnaga.

Näited tegevustest, mis võivad kujutada endast andmesubjektide regulaarset ja süstemaatilist jälgimist: telekommunikatsioonivõrgu haldamine; telekommunikatsiooniteenuste pakkumine; e-posti uuesti sihtimine; andmepõhised turundustegevused; profiilide koostamine ja skoorimine riskide hindamise eesmärgil (nt krediidiskoorimine, kindlustusmaksete määramine, pettuste ennetamine, rahapesu avastamine); asukoha jälgimine, näiteks mobiilirakenduste kaudu; lojaalsusprogrammid; käitumuslik reklaam; heaolu-, vormi- ja terviseandmete jälgimine kantavate seadmete kaudu; suletud ahelaga televisioon; ühendatud seadmed nt nutikad arvestid, nutikad autod, koduautomaatika jne.

WP29 tõlgendab tavalist ühte või mitut järgmistest:

• käimasolevad või esinevad teatud ajavahemike järel teatud perioodi jooksul
• korduvad või korduvad kindlatel kellaaegadel
• pidevalt või perioodiliselt toimuv.

WP29 tõlgendab „süstemaatiliselt” ühte või mitut järgmistest:

• toimub vastavalt süsteemile
• eelnevalt kokkulepitud, organiseeritud või metoodiline
• toimub andmete kogumise üldplaani osana
• viiakse läbi strateegia osana.

Allikas: GDPR artikli 37 lõike 1 punkt b

5. Kas organisatsioonid saavad andmekaitseametniku nimetada ühiselt? Kui jah, siis mis tingimustel?

Jah. Ettevõtjate rühm võib määrata ühe andmekaitseametniku tingimusel, et ta on “igast asutusest kergesti ligipääsetav” . Juurdepääsetavuse mõiste viitab andmekaitseametniku ülesannetele kontaktpunktina andmesubjektide, järelevalveasutuse ja ka organisatsioonisiseselt. Andmekaitseametniku sise- või välisjuurdepääsu tagamiseks on oluline tagada, et tema kontaktandmed oleksid kättesaadavad. Andmekaitseametnik peab vajaduse korral meeskonna abiga suutma andmesubjektidega tõhusalt suhelda ja asjaomaste järelevalveasutustega koostööd teha. See tähendab, et kõnealune suhtlus peab toimuma keeles või keeltes, mida kasutavad järelevalveasutused ja asjaomased andmesubjektid. Andmekaitseametniku kättesaadavus (kas füüsiliselt töötajatega samades ruumides, vihjeliini või muu turvalise sidevahendi kaudu) on oluline selleks, et andmesubjektid saaksid andmekaitseametnikuga ühendust võtta.

Ühe andmekaitseametniku võib määrata mitme riigiasutuse või asutuse jaoks, võttes arvesse nende organisatsioonilist struktuuri ja suurust. Samad kaalutlused kehtivad ressursside ja kommunikatsiooni osas. Arvestades, et andmekaitseametnik vastutab mitmesuguste ülesannete eest, peab vastutav töötleja või volitatud töötleja tagama, et üks andmekaitseametnik saaks vajaduse korral meeskonna abiga neid tõhusalt täita, hoolimata sellest, et ta on määratud mitme riigiasutuse ja asutuse jaoks.

Allikas: GDPR artikli 37 lõiked 2 ja 3

6. Kus peaks asuma andmekaitseametnik?

Andmekaitseametnikule ligipääsetavuse tagamiseks soovitab WP29, et andmekaitseametnik asuks Euroopa Liidus, olenemata sellest, kas vastutav töötleja või volitatud töötleja on asutatud Euroopa Liidus või mitte. Siiski ei saa välistada, et mõnes olukorras, kus vastutav töötleja või volitatud töötleja ei asu Euroopa Liidus, võib andmekaitseametnik oma tegevusi tõhusamalt teostada, kui ta asub väljaspool ELi.

7. Kas on võimalik määrata välist andmekaitseametnikku?

Jah. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja töötaja (siseandmekaitseametnik) või täita ülesandeid teenuslepingu alusel. See tähendab, et andmekaitseametnik võib olla väline ja sel juhul saab tema ülesannet täita üksikisiku või organisatsiooniga sõlmitud teenuslepingu alusel.

Kui andmekaitseametniku ülesandeid täidab väline teenusepakkuja, võib selle üksuse heaks töötavatest isikutest koosnev meeskond andmekaitseametniku ülesandeid tõhusalt täita meeskonnana määratud juhtiva kontaktisiku ja kliendi eest vastutava isiku vastutusel. . Sel juhul on oluline, et iga andmekaitseametniku ülesandeid täitva välise organisatsiooni liige täidaks kõiki GDPR-i kohaldatavaid nõudeid.

Õigusselguse ja hea korralduse huvides ning meeskonnaliikmete huvide konfliktide vältimiseks soovitatakse juhendites teenuslepingus selgelt määratleda ülesanded välise andmekaitseametniku meeskonnas ning määrata juhiks üks isik. kontakt ja kliendi eest vastutav isik.

Allikas: GDPR artikli 37 lõige 6

8. Millised on andmekaitseametniku ametialased omadused?

Andmekaitseametnik määratakse ametialaste omaduste ja eelkõige andmekaitseõiguse ja -tavade ekspertteadmiste ning oma ülesannete täitmise võime alusel.

Vajalik ekspertteadmiste tase tuleks kindlaks määrata vastavalt teostatavatele andmetöötlustoimingutele ja töödeldavate isikuandmete kaitsele. Näiteks kui andmetöötlustegevus on eriti keeruline või kui tegemist on suure hulga tundlikke andmeid, võib andmekaitseametnik vajada suuremat asjatundlikkust ja tuge.

Vastavad oskused ja teadmised hõlmavad järgmist:

• asjatundlikkus riiklike ja Euroopa andmekaitseseaduste ja -tavade alal, sealhulgas GDPR-i põhjalik mõistmine
• läbiviidud töötlemistoimingute mõistmine
• infotehnoloogiate ja andmeturbe mõistmine
• teadmised ettevõtlussektorist ja organisatsioonist
• võime edendada organisatsioonis andmekaitsekultuuri.

Allikas: GDPR artikli 37 lõige 5

Andmekaitseametniku ametikoht

9. Milliseid ressursse peaks andmekaitseametnikule andma vastutav töötleja või volitatud töötleja?

Andmekaitseametnikul peavad olema oma ülesannete täitmiseks vajalikud ressursid.

Olenevalt töötlemistoimingute laadist ning organisatsiooni tegevusest ja suurusest tuleks andmekaitseametnikule anda järgmised ressursid:

• andmekaitseametniku funktsiooni aktiivne toetamine kõrgema juhtkonna poolt
• andmekaitseametnikele piisavalt aega oma ülesannete täitmiseks
• piisav toetus rahaliste ressursside, infrastruktuuri (ruumid, rajatised, seadmed) ja vajaduse korral personali osas
• ametlik teavitamine andmekaitseametniku määramisest kõigile töötajatele
• juurdepääs teistele organisatsiooni teenustele, et andmekaitseametnikud saaksid nendelt teistelt teenustelt olulist tuge, sisendit või teavet
• pidev koolitus.

Allikas: GDPR artikli 38 lõige 2

10. Millised on kaitsemeetmed, mis võimaldavad andmekaitseametnikul oma ülesandeid sõltumatult täita? Mida tähendab “huvide konflikt”?

Selleks et andmekaitseametnik saaks tegutseda sõltumatult, on mitmeid kaitsemeetmeid:

• vastutavad töötlejad või volitatud töötlejad ei ole andnud andmekaitseametniku ülesannete täitmise kohta juhiseid
• vastutav töötleja ei vallanda ega karista andmekaitseametniku ülesannete täitmise eest
• puudub huvide konflikt võimalike muude ülesannete ja kohustustega.

Andmekaitseametniku muud ülesanded ja kohustused ei tohi põhjustada huvide konflikti. See tähendab esiteks, et andmekaitseametnik ei saa olla organisatsioonis ametikohal, mis viiks ta määrama isikuandmete töötlemise eesmärgid ja vahendid. Iga organisatsiooni spetsiifilise organisatsioonilise struktuuri tõttu tuleb seda kaaluda iga juhtumi puhul eraldi.

Rusikareeglina võivad vastuolulised ametikohad organisatsiooni sees hõlmata kõrgemaid juhte (nt tegevjuht, tegevjuht, finantsjuht, peaarst, turundusosakonna juhataja, personaliosakonna juhataja või IT-osakonna juhataja), aga ka muid ametikohti. organisatsioonistruktuuris madalamad rollid, kui sellised ametikohad või rollid viivad töötlemise eesmärkide ja vahendite kindlaksmääramiseni. Lisaks võib huvide konflikt tekkida ka näiteks siis, kui välist andmekaitseametnikku palutakse esindada vastutavat töötlejat või volitatud töötlejat kohtus andmekaitseküsimustega seotud juhtudel.

Allikas: GDPR artikli 38 lõige 3 ja artikli 38 lõige 6

Andmekaitseametniku ülesanded

11. Mida tähendab „vastavuse jälgimine”?

Nende nõuete täitmise järelevalve kohustuste osana võivad andmekaitseametnikud eelkõige:

• koguda teavet töötlemistoimingute tuvastamiseks
• analüüsida ja kontrollida töötlemistoimingute vastavust
• teavitada, nõustada ja anda soovitusi vastutavale töötlejale või volitatud töötlejale.

Allikas: GDPR artikli 39 lõike 1 punkt b

12. Kas andmekaitseametnik vastutab isiklikult andmekaitsenõuete eiramise eest?

Ei. Andmekaitseametnikud ei vastuta isiklikult andmekaitsenõuete eiramise eest. Vastutav töötleja või volitatud töötleja on kohustatud tagama ja suutma tõendada, et töötlemine toimub käesoleva määruse kohaselt. Andmekaitse järgimise eest vastutab vastutav töötleja või volitatud töötleja.

13. Milline on andmekaitseametniku roll andmekaitsemõju hindamiste ja töötlemistoimingute dokumentide osas?

Mis puudutab andmekaitse mõju hindamist, peaks vastutav töötleja või volitatud töötleja küsima nõu andmekaitseametnikult muu hulgas järgmistes küsimustes:

• kas teha DPIA või mitte
• millist metoodikat DPIA läbiviimisel järgida
• kas teha DPIA ettevõttesiseselt või tellida see väljast
• milliseid kaitsemeetmeid (sealhulgas tehnilisi ja korralduslikke meetmeid) andmesubjektide õigusi ja huve ohustavate riskide maandamiseks rakendada
• kas andmekaitsealase mõju hindamine on tehtud õigesti või mitte ja kas selle järeldused (kas jätkata töötlemist või mitte ning milliseid kaitsemeetmeid rakendada) on kooskõlas andmekaitsenõuetega.

Mis puudutab töötlemistoimingute dokumente, siis vastutav töötleja või volitatud töötleja, mitte andmekaitseametnik, on kohustatud säilitama andmeid töötlemistoimingute kohta. Miski aga ei takista vastutaval töötlejal või volitatud töötlejal andmekaitseametnikule ülesandeks pidada töötlemistoimingute dokumente vastutava töötleja või volitatud töötleja vastutusel. Selliseid dokumente tuleks pidada üheks vahendiks, mis võimaldab andmekaitseametnikul täita oma ülesandeid, milleks on nõuete täitmise järelevalve, vastutava töötleja või volitatud töötleja teavitamine ja nõustamine.

Allikas: GDPR artikli 39 lõike 1 punkt c ja artikkel 30