Andmekaitseametniku roll

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Koos mõjuhinnanguga on andmekaitseametnik (DPO) GDPR-i teine sümboolne looming. Prantsusmaal asendab see loogiliselt andmekaitseametnikku (CIL) ehk andmekaitseametnikku (CPL). Siiski tuleb märkida, et Euroopa Liit on pikka aega soovitanud andmekaitseametniku määramist suurtes haldus- ja majandusstruktuurides ning mõned on seda soovitust järginud.

G29 töötas andmekaitseametniku rolli kallal ja võttis vastu mõned „suunised“, mis vormistati lõplikult 5. aprillil 2017. Need üksikasjad aitavad meil visandada selle võtmepositsiooni kontuure ja sisu.

Andmekaitseametniku määramine on kohustuslik (artikkel 37-1):

– avalik-õiguslikud asutused;

– organisatsioonid, mille põhitegevus nõuab regulaarset ja süstemaatilist isikute jälgimist laiaulatuslikult. G29 eristab tugitegevusi, nagu palgaarvestus või IT, ja põhitegevusi, mis puudutavad organisatsiooni põhitegevust (näiteks haigla terviseandmed). Samamoodi käsitleb see „regulaarse ja süstemaatilise jälgimise” mõistet väga laialt, mis ei piirdu ainult veebikeskkonnaga;

– organisatsioonid, mille põhitegevus sunnib neid töötlema ulatuslikult „tundlikke” andmeid või kriminaalkaristuste ja süütegudega seotud andmeid (G29 annab olulisi elemente „ulatusliku” mõiste määratlemiseks).

Ettevõtete grupp või avalik-õiguslike asutuste kogum võib määrata ühe andmekaitseametniku (artiklid 37-2 ja 37-3). Loomulikult soovitab G29 andmekaitseametniku määramist tungivalt, mis on siinkohal hea tava.

Andmekaitseametniku nimetab ametisse vastutav töötleja ja vajadusel volitatud töötleja, lähtudes tema kutseomadustest, „eelkõige tema andmekaitseõiguse ja -tavade alaste erialaste teadmiste ning oma ülesannete täitmise võime põhjal“ (artikkel 37-5). Mida keerukamad on töötlemistoimingud, seda kõrgemad on oodatavad oskused.

Andmekaitseametnik võib olla organisatsioonisisene või -väline ning viimasel juhul täidab ta oma ülesandeid lepingu alusel. Kui teenusepakkuja on meeskond, tuleb iga liikme ülesanded täpsustada ja määrata meeskonnajuht. WP29 soovitab, et andmekaitseametnik oleks kergesti kättesaadav ja seetõttu asuks ta Euroopa Liidus. Eriti juhul, kui vastutav töötleja või volitatud töötleja asub väljaspool Euroopa Liitu, on andmekaitseametniku asukoht väljaspool ELi vastuvõetav, kui nad saavad nii tõhusamalt tegutseda.

Andmekaitseametnikul ei ole ainult sümboolne roll. Ta peab olema andmetöötleja ja volitatud töötleja poolt kaasatud „kõigisse isikuandmete kaitsega seotud küsimustesse“ (artikkel 38-1). Temaga võib ühendust võtta iga isik, kelle isikuandmeid töödeldakse (artikkel 38-4). Tal on oma ülesannete täitmiseks „vajalikud ressursid“, tal on juurdepääs andmetele ja töötlemistoimingutele ning ta peab isegi suutma „säilitada oma erialaseid teadmisi“ (artikkel 38-2). „Vajalike ressursside“ all peab G29 silmas ka tuge järelevalve, piisava aja, materiaalsete tingimuste ja koolituse kaudu. Andmekaitseametnik on teatud mõttes pühitsetud.

Seda enam, et tema sõltumatus on tagatud. Tegelikult ei saa ta „saada mingeid juhiseid ülesannete täitmise kohta” (artikkel 38-3). Andmetöötlejal ja alltöövõtjal ei ole tema üle mingit võimu (küll on neil õigus ta ametisse nimetada), kes vastutab ainult oma juhtkonna „kõrgeima taseme” ees. Samuti on tema suhtes kohaldatav ametisaladuse hoidmise kohustus ja konfidentsiaalsuskohustus (artikkel 38-5).

Olenemata oma staatusest ei vastuta andmekaitseametnik teda tellinud organisatsiooni poolt isikuandmete kaitse üldmääruse rikkumise eest. Vastutav on ainult vastutav töötleja ja/või volitatud töötleja. Kriminaalvastutus võib tekkida ainult tahtliku rikkumise kaasosaluse korral.

Andmekaitseametnik võib täita ka muid kohustusi ja ülesandeid, mis ei tohi kaasa tuua huvide konflikte (artikkel 38-6). Seetõttu on tal võimatu täita ülesandeid, mis viiksid tema otsuste tegemiseni isikuandmete töötlemise eesmärkide ja vahendite üle. Andmekaitseametnik ei saa seega vaevalt täita organisatsiooni juhtimisfunktsioone ega töötada andmehalduse eest vastutavas osakonnas. 2015. aastal viis CNIL läbi uuringu andmekaitseametnike profiilide kindlakstegemiseks; selgus, et tüüpilist profiili ei ole: 47-l %-l oli tehniline profiil, 19-l %-l juriidiline profiil ja 10-l %-l administratiivne profiil. On tõenäoline, et vähemalt esialgu leitakse see tüüpilise profiili puudumine andmekaitseametnike seas.

Isikuandmete kaitse üldmääruse artiklis 39 on loetletud delegaadi kohustused:

– teavitama ja nõustama vastutavat töötlejat, volitatud töötlejat ja töötlevaid töötajaid nende kohustuste osas seoses isikuandmete töötlemise eeskirjadega;

– jälgida määruste järgimist, aga ka suurendada teadlikkust ja koolitada töötlemistoimingutes osalevaid töötajaid;

– anda taotluse korral nõu mõjuhinnangu kohta. WP29 suunised annavad andmekaitseametnikule selles hindamises selgelt olulise rolli. Temaga tuleb konsulteerida ajakohasuse, metoodika ja sisu osas ning seejärel hinnata selle kvaliteeti;

– teha järelevalveasutusega koostööd ja olla selle kontaktpunktiks. Käesoleva artikli kirjutamise ajal töötab CNIL välja andmekaitseametniku määramise vormi.

Artiklis seda küll ei ole, aga G29 lisab andmekaitseametnikule täiendava ja valikulise ülesande: „Miski ei takista vastutaval töötlejal ega volitatud töötlejal usaldamast andmekaitseametnikule ülesannet pidada vastutava töötleja või volitatud töötleja vastutusel teostatavate töötlemistoimingute registrit.“ Võib-olla on see ettepanek, et hõlbustada teabe liikumist eri osaliste vahel?

See ei oleks kasutu. Sest selle funktsiooni analüüsi lõpus ütleme endale, et isegi suures ettevõttes ei ole lihtne leida inimest, kes on nii pädev seda olulist rolli täitma kui ka vaba igasugusest vastutusest andmete töötlemisel, et vältida huvide konflikte. Tegelikult ei ole lihtne olla teadlik määruse sätetest ja eriti nende tagajärgedest, kui ei pea neid oma töö kontekstis ise rakendama.

Praegusel hetkel on andmekaitseametniku nimetamise probleemipüstitus lihtne, kuigi tegelikult koosneb see kolmest eraldi lausest:

Sisemiselt ametisse nimetamisel tuleb ületada mitu takistust, näiteks sotsiaalne aspekt ja töölepingu ümberläbirääkimised. Tõepoolest, antud juhul on kindel, et selle uue missiooni ulatus ei olnud lepingu esialgse allkirjastamise ajal teada. Kui lisada riski mõiste, otsene ja eksklusiivne alluvus ettevõtte juhtimisele ja mitte millelegi muule, on tegemist lepingu olulise muutmisega, seega uue töölepinguga. Ja kes seda sisemiselt hindab, kontrollib? Ja kes teeb oma tööd, kuna nad ei saa enam olla kohtunikud ja vahekohtunikud...

Kui ta tööle võtta, kasvab nõudlus lakke. Suur- ja keskmise suurusega ettevõtted on seda profiili nii nõutud, et puuduse tõttu on tekkinud tõeline inflatsioon. Ja probleem jääb alles: kes teda hindab ja jälgib?

Miks mitte delegeerida see andmekaitseametniku funktsioon vannutatud spetsialistile, kes suudaks oma rolli täita oskuste ja sõltumatusega, mida on sisemiselt raske ühildada? Määruses pole selle võimaluse kohta midagi öeldud ning tuleb praktikas näha, kas see on mõeldav ja ette nähtud (miski ei takista meil CNIL-i sellel teemal küsitlemast). Igal juhul tundub meile huvitav, et see tagaks andmetöötleja ja andmekaitseametniku vahelise hea suhte.

Ja lõpuks võime lihtsalt otsustada andmekaitseametnikku mitte määrata, sest te ei ole lihtsalt rangelt kohustatud seda tegema.