Sille Lehtsaar ja Mirjam Võsu: kas palgata andmekaitseametnik või valida teenusepakkuja?

Selleks ajaks peab ettevõtete isikuandmete töötlemist puudutav dokumentatsioon olema korras, töötajate koolitamine tehtud, infosüsteemid vastavalt ümber kujundatud ning valmidus uusi reegleid täita tagatud. Ettenägelikud ettevõtjad tegelevad sellega juba praegu.

Avaliku sektori asutused ja ettevõtted, mis töötlevad oma põhitegevusena isikuandmeid süstemaatiliselt ja regulaarselt suures ulatuses või eriliiki isikuandmeid (nt terviseandmeid) peavad uue määruse kohaselt nimetama andmekaitseametniku.

Mida teeb andmekaitseametnik?

Andmekaitseametnik kontrollib isikuandmete töötlemist ning annab nõu, kuidas reegleid järgida. Teisalt on ta eestkõneleja suhtluses andmekaitse inspektsiooniga. Osa ettevõtteid on asunud sellist inimest tööturult otsima, kuid on ka teine võimalus: valida selleks teenusepakkuja.

Kas eelistada ettevõttesse eraldi inimest või professionaalset teenusepakkujat?

Ettevõttesisese andmekaitseametniku eeliseks on, et ta tegeleb vaid konkreetse ettevõtte andmekaitse küsimustega ja on eelduslikult ettevõttes pidevalt olemas. Kui ta on samas ettevõttes varem täitnud muid tööülesandeid, siis ta on juba tõenäoliselt tuttav ka ettevõtte äri-, IT- ja infosüsteemide toimimisega. Ettevõttevälisele spetsialistile peab alguses neid teemasid aga tutvustama. Samas on andmekaitseametniku profiiliga sobivat inimest tööturult väga raske leida. Ei ole palju töötajaid, kes tunneksid hästi andmekaitse uusi reegleid ja samal ajal orienteeruksid infosüsteemide, infoturbe ning projektijuhtimise maailmas. Neid on vähe ning nende koolitamine võtab palju aega ja on kulukas. Samuti on sellise spetsialisti tasu tavapäraselt üsna kõrge. Unustada ei saa, et lisaks peab palgalist andmekaitseametnikku ka jooksvalt koolitama, et viimane kõige uue ja vajalikuga kursis oleks.

Alternatiivina on võimalik otsustada teenusepakkuja kasuks: valdkonnas pädevalt advokaadibüroolt saab professionaalset teenust ning muretsema ei pea andmekaitseametniku ülesandeid täitva advokaadi kvalifikatsiooni pärast, kuna ta tegeleb andmekaitse valdkonnaga iga päev, sest nõustab eri tegevusvaldkondadega ettevõtteid ning on kursis nii siseriikliku kui ka Euroopa Liidu regulatsiooni ja kohtupraktikaga. See annab väga laialdase kogemuse ning võimaldab andmekaitseametniku ülesandeid täita efektiivselt ja oskuslikult. Seega näeme, et eelkõige  keskmise ja väiksema suurusega ettevõtetel võib olla kasulik otsustada teenusepakkuja kasuks, sest nii saab paremat teenust ja kulutatud raha eest saadud väärtus on suurem.

Andmekaitseametnikul ei tohi olla huvide konflikti

Oluline on ka meeles pidada, et andmekaitseametnik peab olema oma tegevuses iseseisev. Välistada ei saa, et ettevõttesisesel andmekaitseametnikul tekib huvide konflikt. Seda eelkõige juhul, kui andmekaitseametnikul on ettevõttes täita ka muid ülesandeid lisaks andmekaitseametniku ülesannetele. Andmekaitseametniku ülesanneteks on nõustada ettevõtet andmekaitse nõuete järgimises ning jälgida nende täitmist. Ta peab samal ajal tegema koostööd järelevalveasutusega, nõustama isikuid nende õiguste rakendamises ning teavitama andmekaitse nõuete rikkumisest.

Kui andmekaitseametnikul on ettevõttes täita ka muid ülesandeid, mis lähevad vastuollu eeltoodud kohustuste täitmisega, toob see endaga kaasa huvide konflikti. Näiteks on Saksamaa Baieri liidumaa järelevalveasutus hiljuti leidnud, et IT-juht ei saa huvide konflikti tõttu täita andmekaitseametniku ülesandeid, kuna see tähendaks sisuliselt enda kontrollimist.

Kindlasti peaks avaliku sektori asutus või ettevõte kirjeldatud asjaolusid kaaluma: kas oma andmekaitseametnik või muretum lahendus teenusepakkuja näol? Oma eelised on mõlemal, kuid teenuse tellimisel saab ettevõtja keskenduda oma põhitegevusele, mis kahtlemata lisab majanduslikku väärtust nii säästetud rahas kui ajas.