Euroopa Liidu isikuandmete kaitse üldmäärus (IKÜM, ingl k GDPR) rõhutab andmekaitse olulisust, nõudes organisatsioonidelt ja ettevõtetelt erilist tähelepanu isikuandmete töötlemise õiguspärasusele ja turvalisusele. Üks oluline nõue GDPR-is on andmekaitsespetsialisti (DPO) määramine vastava kohustusega ettevõtetes. See roll peab tagama, et ettevõte järgib kõiki andmekaitse eeskirju. Praktikas on levinud, et roll määratakse kõrvalkohustuseks muid ülesandeid täitvale tegevjuhile/juhatuse liikmele. Kuid on mitmeid põhjuseid, miks juhatuse liige ei peaks olema määratud andmekaitsespetsialisti rolli. GDPR nõuab, et andmekaitsespetsialistil oleks otsene juurdepääs juhtkonnale, kuid see ei tähenda, et andmekaitsespetsialisti ja juhtkonna liikmete rollid peaksid kattuma.
Huvide konflikt
Üks peamisi põhjuseid, miks juhatuse liige ei tohiks täita andmekaitsespetsialisti rolli, on huvide konflikt. GDPR nõuab, et andmekaitsespetsialist täidaks oma ülesandeid sõltumatult ja objektiivselt. Juhatuse liikmed vastutavad strateegiliste eesmärkide ja äriotsuste eest, mis võivad olla vastuolus isikuandmete kaitse nõuetega. Näiteks võib tekkida olukordi, kus juhatuse liige peab valima andmekaitse ja ärihuvide vahel, mis kahjustab andmekaitsespetsialisti objektiivsust, kui rolli kannab sama inimene.
Sõltumatus ja autonoomia
GDPR artikli 38 kohaselt peab andmekaitsespetsialist olema oma ülesannete täitmisel sõltumatu ega tohi saada korraldusi seoses oma ülesannete täitmisega. Juhatuse liikmena on isik seotud otseselt ettevõtte juhtimise ja kontrolliga, mis võib piirata tema võimet tegutseda sõltumatult. Lisaks sellele võib juhatuse liige tunda survet teha otsuseid, mis on ettevõtte omanikele ja/või juhtkonnale kasulikud, kuid ei pruugi olla kooskõlas andmekaitse parimate tavadega.
Ressursid ja volitused
Andmekaitsespetsialistile tuleb tagada piisavad ressursid ja volitused, et täita oma ülesandeid tõhusalt. Juhatuse liikmel võivad olla teised prioriteedid ja vastutusalad, mis võivad takistada tema võimet pühendada piisavalt aega ja ressursse andmekaitse küsimustega tegelemiseks.
Pädevus ja eriteadmised
Andmekaitsespetsialisti roll nõuab erialaseid teadmisi andmekaitseseadustest ja -praktikast. Kuigi juhatuse liikmel võivad olla laiapõhjalised teadmised ja kogemused juhtimisel, ei pruugi tal olla eriteadmisi andmekaitsest. Seetõttu on oluline, et andmekaitsespetsialisti rolli täidaks isik, kellel on vastavad eriteadmised ja kogemused.
Usaldus ja läbipaistvus
GDPR-i nõuete täitmine on tihedalt seotud ettevõtte tegevuse läbipaistvuse ja usaldusväärsusega. Kui andmekaitsespetsialist on juhatuse liige, võib see tekitada töötajates ja avalikkuses kahtlusi tema sõltumatuse ja objektiivsuse suhtes. Andmekaitsespetsialisti rolli eristamine juhtkonnast võib aidata tagada andmekaitseprotsesside läbipaistvust ja usaldusväärsust.
Kokkuvõte
Kokkuvõttes on mitmeid kaalukaid põhjuseid, miks juhatuse liige ei peaks olema ühtlasi andmekaitsespetsialisti rollis. Andmekaitse kõrget taset saab saavutada vaid siis, kui andmekaitsespetsialist on sõltumatu ja pühendunud andmekaitsepraktikate tõhusale rakendamisele.
Advokaadid Julia Gramma ja Tiina Pukk omavad pikaajalist kogemust andmekaitses ja privaatsusõigustes ning pakuvad ettevõttetele kuutasupõhist andmekaitsespetsialisti teenust. Küsi täpsemalt info@corelega.eu
