Sulge

ANDMEKAITSEAMETNIKU TEENUS

  • Ellex Raidla andmekaitse valdkonna TÖÖRÜHM pakub organisatsioonidele andmekaitseametniku ehk DPO-teenust.
  • Valida saab kahe lahenduse vahel:
 
  • Millised organisatsioonid peavad DPO määrama?
Andmekaitseametniku regulatsioon ei ole GDPR-is uudne, vaid on rajatud seni kehtinud isikuandmete kaitse direktiivi regulatsioonile. Kui seni on isikuandmete kaitse eest vastutava isiku määramine olnud vabatahtlik, siis GDPR-i jõustumisega kaasneb teatud asutustel ja ettevõtetel andmekaitseametniku (Data Protection Officer ehk DPO) määramise kohustus. GDPR-i kontekstis soosivad Eesti ja ELi järelevalveasutused andmekaitse eest vastutava isiku määramist ka juhtudel, mil see ettevõttele või asutusele kohustuslik ei ole.
 
Vastava ametniku peavad määrama (kas oma organisatsiooni seest või allhankena): kõik avaliku sektori asutused (v.a. kohus) ja väga suur hulk erasektorist: kinnisvarabürood, finantsasutused, e-poed, reisibürood, tööhõiveagentuurid, inkassod, tervishoiuteenuse osutajad, telekommunikatsiooniettevõtted, turu-uuringu ettevõtted, teadustegevusega tegelejad, majutusasutused, turvaettevõtted jpt. Nimekiri tegevusvaldkondadest ei ole ammendav.
 
GDPR-i kohaselt on andmekaitseametniku määramine kohustuslik kui:
 
(a) isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;
 
(b) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise;
 
(c) vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.
  • Teenuse sihtgrupiks on:
  1. GDPR-i alusel andmekaitseametniku määramiseks kohustatud asutused ja ettevõtted;
  2. GDPR-i rakendamiseks isikuandmete töötlemise eest vastutava isiku määramist vajalikuks pidavad ettevõtted.
  • Teenuse sisuks on:
  1. Kliendi teavitamine ja nõustamine isikuandmete kaitse nõuetest tulenevalt GDPR-ist ja muudest töötlemisele kohalduvatest õigusaktidest;
  2. isikuandmete töötlemise toimingutega seotud ohtude hindamine, arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke;
  3. isikuandmete kaitse põhimõtete ja nõuete tagamise jälgimine ning ettepanekute tegemine vastutusvaldkondade jaotamiseks, sh vastavate eeskirjade, lepingute jm dokumentide koostamine;
  4. isikuandmete töötlemises osaleva personali teadlikkuse suurendamine ja koolitamine;
  5. isikuandmete töötlemise nõuetega seonduvates auditites, sh andmekaitsealane mõjuhinnangus, osalemine;
  6. andmetöötlusprotsesside analüüs ja nõustamine tagamaks isikuandmete töötlemise nõuete täitmine;
  7. järelevalveasutuse ja andmesubjekti teavitamine isikuandmetega seotud rikkumisest;
  8. isikuandmete töötlemise toimingute registreerimise juhendamine;
  9. andmesubjektide nõustamine Kliendi poolt isikuandmete töötlemisega seonduvates küsimustes;
  10. koostöö järelevalveasutusega, sh eelnev konsulteerimine,  ning kontaktisiku funktsioon;
  11. muud ülesanded poolte kokkuleppel.
  • Teenusega kaasnev lisaväärtus
Vastutav töötleja ja volitatud töötleja peab tagama andmekaitseametnikule tema ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid. Teenuse raames koondatakse vastavad vahendid selliselt, et teenuse osutaja saab Klientidele pakkuda nende tegevusvaldkonna ja praktikaga seonduvalt kõrgetasemelist ning kaasajastatud teavet, sh ohuhinnang ja -trendid, õiguspoliitilised arengud ning Kliendi tegevusele kohalduvad parimad praktikad.
 
Samuti teeb teenuse osutaja klientidele kättesaadavaks materjalid ja lahendused, mida on võimalik kasutada ettevõttes isikuandmete kaitse nõuete täitmiseks ja täitmise tagamiseks (vastavate eeskirjade, dokumentide jm näidised ning juhendmaterjalid).
  • Teenusega kaasnevad kohustused
Teenuse nõuetekohase täitmise tagamiseks võimaldab Klient teenuse osutajale juurdepääsu isikuandmete töötlemisega seonduvale dokumentatsioonile, otsustus- ja tööprotsessidele ning isikuandmete kaitse nõuete tagamise eest vastutavatele isikutele.
  • Vastutuse piiramine
Teenuse osutaja ei vastuta isiklikult isikuandmete töötlemise nõuete rikkumise ning sellest tuleneda võivate nõuete eest.
  • Muud küsimused
Teenuse osutaja tagab ülesannete täitmisega seonduva saladuse hoidmise ja konfidentsiaalsuse.
Kumbki pool tagab, et ülesannete ja kohustuste täitmisega ei kaasne huvide konflikti.
  • Miks valida meid?
Ellex Raidla on uue isikuandmete kaitse määruse (GDPR) valguses pannud kokku spetsiaalse TÖÖRÜHMA. Töörühma tööd kureerib partner Ants Nõmper ning DPO teenust pakub Merlin Liis.
 
MEESKOND:
  • 20 aastat kogemust andmekaitse valdkonda puudutavate keerukate küsimuste ja protsesside nõustamisel.
  • Töörühma liikmed peavad erinevatel konverentsidel, seminaridel ning ka Tartu Ülikoolis ja Tallinna Tehnikaülikoolis regulaarselt loenguid IT, küberturvalisuse ja andmekaitse valdkonda puudutavatel teemadel.
 
VÕIMEKUS: meil on advokaadibüroodest suurim andmekaitse valdkonnale spetsialiseeruv meeskond ning võimekus kaasata töö efektiivseks lahendamiseks eksperte ka büroo teistest valdkondadest, vastavalt kliendi tegevusalale (finants, energeetika, meditsiin, startup, kaubandus jne).
 
BALTIÜLENE TEENUS: Ellexi bürood Eestis, Lätis ja Leedus töötavad igapäevaselt üheskoos, et aidata GDPRi rakendada klientidel, kel on tegevus ülebaltiline.