core-3.png

Millal ei tohiks panna andmekaitsespetsialisti (ingl k DPO) kohustusi juhatusele?

Euroopa Liidu isikuandmete kaitse üldmäärus (IKÜM, ingl k GDPR) rõhutab andmekaitse olulisust, nõudes organisatsioonidelt ja ettevõtetelt erilist tähelepanu isikuandmete töötlemise õiguspärasusele ja turvalisusele. Üks oluline nõue GDPR-is on andmekaitsespetsialisti (DPO) määramine vastava kohustusega ettevõtetes. See roll peab tagama, et ettevõte järgib isikuandmete kaitse eeskirju. Praktiaks on levinud, et roll määratakse muid ülesandeid täitvale tegevjuhile/juhatuse liikmele, kuid on mitmeid põhjuseid, miks juhatuse liige ei tohiks olla määratud andmekaitsespetsialistiks. GDPR nõuab, et andmekaitsespetsialistil oleks otsene juurdepääs juhtkonnale, kuid see ei tähenda, et andmekaitsespetsialisti ja juhtkonna liikmete rollid kattuvad.

Huvide konflikt

Üks peamisi põhjuseid, miks juhatuse liige ei tohiks täita andmekaitsespetsialisti rolli, on huvide konflikt. GDPR nõuab, et andmekaitsespetsialist täidaks oma ülesandeid sõltumatult ja objektiivselt. Juhatuse liikmed vastutavad strateegiliste eesmärkide ja äriotsuste eest, mis võivad olla vastuolus isikuandmete kaitse nõuetega. Näiteks võib tekkida olukordi, kus juhatuse liige peab valima andmekaitse ja ärihuvide vahel, mis kahjustab andmekaitsespetsialisti objektiivsust, kui rolli kannab sama inimene.

Sõltumatus ja autonoomia

GDPR artikli 38 kohaselt peab andmekaitsespetsialist olema oma ülesannete täitmisel sõltumatu ega tohi saada korraldusi seoses oma ülesannete täitmisega. Juhatuse liikmena on isik seotud otseselt ettevõtte juhtimise ja kontrolliga, mis võib piirata tema võimet tegutseda sõltumatult. Lisaks sellele võib juhatuse liige tunda survet teha otsuseid, mis on ettevõtte omanikele ja/või juhtkonnale kasulikud, kuid ei pruugi olla kooskõlas andmekaitse parimate tavadega.

Ressursid ja volitused

Andmekaitsespetsialistile tuleb tagada piisavad ressursid ja volitused, et täita oma ülesandeid tõhusalt. Juhatuse liikmel võivad olla teised prioriteedid ja vastutusalad, mis võivad takistada tema võimet pühendada piisavalt aega ja ressursse andmekaitse küsimustega tegelemiseks. 

Pädevus ja eriteadmised

Andmekaitsespetsialisti roll nõuab erialaseid teadmisi andmekaitseseadustest ja -praktikast. Kuigi juhatuse liikmel võivad olla laiapõhjalised teadmised ja kogemused juhtimisel, ei pruugi tal olla eriteadmisi andmekaitsest. Seetõttu on oluline, et andmekaitsespetsialisti rolli täidaks isik, kellel on vastavad eriteadmised ja kogemused.

Usaldus ja läbipaistvus

GDPR-i nõuete täitmine on tihedalt seotud ettevõtte tegevuse läbipaistvuse ja usaldusväärsusega. Kui andmekaitsespetsialist on juhatuse liige, võib see tekitada töötajates ja avalikkuses kahtlusi tema sõltumatuse ja objektiivsuse suhtes. Andmekaitsespetsialisti rolli eristamine juhtkonnast võib aidata tagada andmekaitseprotsesside läbipaistvust ja usaldusväärsust.

Kokkuvõte

Kokkuvõttes on mitmeid kaalukaid põhjuseid, miks juhatuse liige ei peaks olema ühtlasi andmekaitsespetsialisti rollis. Andmekaitse kõrget taset saab saavutada vaid siis, kui andmekaitsespetsialist on sõltumatu ja pühendunud andmekaitsepraktikate tõhusale rakendamisele.

Advokaadid Julia Gramma ja Tiina Pukk omavad pikaajalist kogemust andmekaitses ja privaatsusõigustes ning pakuvad ettevõttetele kuutasupõhist andmekaitsespetsialisti teenust. Küsi täpsemalt info@corelega.eu 

Advokaadid Julia Gramma ja Tiina Pukk pakuvad andmekaitsespetsialisti kuutasupõhise teenusena.

Loe veel