Sa oled siin

Vastutav ja volitatud töötleja

06.07.2022

Suunised 07/2020 vastutava töötleja ja volitatud töötleja mõistete kohta isikuandmete kaitse üldmääruses (1.22 MB, PDF)

Euroopa Andmekaitsenõukogu antud suunistes on oluline roll vastutava töötleja, kaasvastutava töötleja ja volitatud töötleja mõistetel, kuna nendega määratakse kindlaks, kes vastutab erinevate andmekaitse eeskirjade järgimise eest ja kuidas isikud ehk andmesubjektid saavad oma õigusi praktikas kasutada. Nende mõistete täpne tähendus ja nende õige tõlgendamise kriteeriumid peavad olema piisavalt selged ja järjepidevad kogu Euroopa Majanduspiirkonnas (EMP).

Vastutava töötleja, kaasvastutava töötleja ja volitatud töötleja mõisted on funktsionaalsed mõisted, kuna nende eesmärk on jaotada vastutus vastavalt poolte tegelikele rollidele ja autonoomsed mõisted selles mõttes, et neid tuleks tõlgendada peamiselt ELi andmekaitseõiguse kohaselt.

Vastutav töötleja


Põhimõtteliselt ei ole piiranguid, kes võib võtta vastutava töötleja rolli, kuid tegelikkuses tegutseb vastutava töötlejana tavaliselt organisatsioon kui selline, mitte organisatsiooni üksikisik (nt tegevjuht, töötaja või juhatuse liige).

Vastutav töötleja on asutus, kes teeb otsuse töötlemise teatavate põhielementide kohta. Vastutav töötleja võib olla määratletud seadusega või tuleneda üksikjuhtumi faktiliste asjaolude või olukorra analüüsist. Teatavaid töötlemistoiminguid võib pidada (majandus)üksuse rolliga loomulikult seotuks. Paljudel juhtudel võivad lepingutingimused aidata vastutavat töötlejat tuvastada, kuigi need ei ole igas olukorras määravad.

Vastutav töötleja määrab kindlaks töötlemise eesmärgid ja vahendid, st töötlemise põhjuse ja viisi. Vastutav töötleja peab otsustama nii eesmärkide kui ka vahendite üle. Mõned praktilisemad rakendamise aspektid („mitteolemuslikud vahendid“) võib siiski jätta töötleja otsustada. Ei ole vaja, et vastutaval töötlejal oleks tegelikult juurdepääs töödeldavatele andmetele, et teda saaks käsitada vastutava töötlejana.

Kaasvastutavad töötlejad


Kaasvastutavateks töötlejateks kvalifitseerumine võib tekkida juhul, kui töötlemisega on seotud rohkem kui üks osaline. Isikuandmete kaitse üldmäärusega (IKÜM) kehtestatakse kaasvastutavatele töötlejatele erieeskirjad ja kehtestatakse raamistik nende suhete reguleerimiseks. Ühise vastutuse peamine kriteerium on kahe või enama üksuse ühine osalemine töötlemistoimingu eesmärkide ja vahendite kindlaksmääramisel. Ühine osalemine võib toimuda kahe või enama üksuse ühise otsuse vormis või tuleneda kahe või enama üksuse ühistest otsustest, kui otsused täiendavad üksteist ja on vajalikud selleks, et töötlemine toimuks viisil, mis avaldab konkreetset mõju töötlemise eesmärkide ja vahendite kindlaksmääramisele. Oluline kriteerium on see, et töötlemine ei oleks võimalik ilma mõlema poole osaluseta selles mõttes, et kummagi poole poolne töötlemine on lahutamatu, st lahutamatult seotud. Ühine osalemine peab hõlmama ühelt poolt eesmärkide ja teiselt poolt vahendite kindlaksmääramist.

Volitatud töötleja


Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel. Töötlejaks kvalifitseerumiseks on kaks põhitingimust: ta on vastutava töötleja suhtes eraldiseisev üksus ja töötleb isikuandmeid vastutava töötleja nimel.

Volitatud töötleja ei tohi töödelda andmeid muul viisil kui vastutava töötleja juhiste kohaselt. Vastutava töötleja juhtnöörid võivad siiski jätta teatava kaalutlusõiguse selle suhtes, kuidas vastutava töötleja huve kõige paremini teenida, võimaldades volitatud töötlejal valida kõige sobivamad tehnilised ja organisatsioonilised vahendid. Volitatud töötleja rikub IKÜMi, kui läheb vastutava töötleja juhistest kaugemale ja hakkab kindlaks määrama oma isikuandmete töötlemise eesmärke ja vahendeid. Seejärel käsitletakse volitatud töötlejat kõnealuse töötlemisega seoses vastutava töötlejana ja tema suhtes võidakse kohaldada sanktsioone.

Vastutava töötleja ja volitatud töötleja vaheline suhe


Vastutav töötleja võib kasutada üksnes volitatud töötlejaid, kes annavad piisavad tagatised asjakohaste tehniliste ja korralduslike meetmete rakendamiseks, et töötlemine vastaks IKÜMi nõuetele. Arvesse tuleks võtta volitatud töötleja ekspertteadmisi (nt tehniline oskusteave turvameetmete ja andmetega seotud rikkumiste kohta); töötlemise usaldusväärsus; volitatud töötleja ressursse ja volitatud töötleja vastavust heakskiidetud tegevusjuhendile või sertifitseerimismehhanismile.

Volitatud töötleja peab isikuandmeid töötlema lepingu või muu õigusakti alusel, mis on kirjalik (mh elektrooniline) ja siduv. Vastutav töötleja ja volitatud töötleja võivad otsustada pidada läbirääkimisi oma lepingu üle, mis sisaldab kõiki kohustuslikke elemente, või tugineda täielikult või osaliselt lepingu tüüptingimustele.

Isikuandmete kaitse üldmääruses on loetletud elemendid, mis tuleb töötlemislepingus sätestada. Töötlemislepingus ei tohiks siiski lihtsalt korrata IKÜMi sätteid; pigem peaks see sisaldama täpsemat ja konkreetset teavet selle kohta, kuidas nõudeid täidetakse ja millist turvalisuse taset nõutakse isikuandmete töötlemiseks, mh mis on töötlemislepingu ese.

Kaasvastutavate töötlejate vahelised suhted


Kaasvastutavad töötlejad määravad läbipaistval viisil kindlaks ja lepivad kokku oma vastutuses IKÜMist tulenevate kohustuste täitmisel. Nende vastavate kohustuste kindlaksmääramisel tuleb eelkõige arvesse võtta isikute õiguste kasutamist ja teabe esitamise kohustust. Lisaks peaks vastutuse jaotus hõlmama muid vastutava töötleja kohustusi, nagu andmekaitse üldpõhimõtted, õiguslik alus, turvameetmed, andmete rikkumisest teatamise kohustus, andmekaitsealane mõjuhinnang, volitatud töötlejate kasutamine, andmete edastamine kolmandate riikide poolt ning kontaktid isikute ja järelevalveasutustega.

Igal kaasvastutaval töötlejal on kohustus tagada, et tal on töötlemise õiguslik alus ja et andmeid ei töödelda edasi viisil, mis on vastuolus eesmärkidega, milleks andmeid jagav vastutav töötleja neid algselt kogus.

Kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku vormi ei ole IKÜMis täpsustatud. Õiguskindluse huvides ning läbipaistvuse ja vastutuse tagamiseks soovitab Euroopa Andmekaitsenõukogu, et selline kokkulepe tuleks sõlmida siduva dokumendina, nagu leping või muu ELi või liikmesriigi õiguse kohane siduv õigusakt, mida vastutava töötleja suhtes kohaldatakse.

Kokkulepe kajastab nõuetekohaselt kaasvastutavate töötlejate vastavaid rolle ja suhteid isikute -suhtes ning kokkuleppe olemus tehakse isikutele kättesaadavaks.

Olenemata kokkuleppe tingimustest võivad isikud kasutada oma õigusi kõigi kaasvastutavate töötlejate suhtes ja nende vastu. Kokkuleppe tingimused ei ole järelevalveasutustele siduvad, olenemata sellest, kas osapooli käsitatakse kaasvastutavate töötlejatena või määratud kontaktpunktina.
 

 


Suunised WP244 vastutava töötleja või volitatud töötleja juhtiva järelevalveasutuse kindlaksmääramiseks (460.78 KB, PDF)

Isikuandmete kaitse üldmääruse (IKÜM) art 4 p 23 on määratletud isikuandmete piiriülene töötlemine. Suunistes on selgitatud sõnapaari „mõjutab oluliselt“ tähendust – selleks, et isikuandmete töötlemine kedagi mõjutaks, peab olema asjaomasele isikule teatavat liiki mõju ning oluline mõju peab olema tõenäoline. Järelevalveasutused tõlgendavad aga väljendit „mõjutab oluliselt“ juhtumipõhiselt, st võetakse arvesse mh isikuandmete konteksti, andmete liiki ning töötlemise eesmärki.

Juhtivaks järelevalveasutuseks on asutus, kelle esmane ülesanne on käsitleda isikuandmete piiriülese töötlemisega seotud juhtumeid. Selleks tuleb välja selgitada IKÜM art 56 kohaselt vastutava töötleja peamine või ainus tegevuskoht ELs. Peamine tegevuskoht on IKÜM art 4 p 16 kirjeldatud kui koht, kus on juhatuse asukoht või koht, kus võetakse vastu isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused ning sellel tegevuskohal on volitused neid otsuseid rakendada või kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus. 

Vastutava töötleja peamise tegevuskoha kindlaksmääramiseks on esmalt vaja välja selgitada tema juhatuse asukoht ELis, kui see on olemas. Samas võib juhtuda, et töötlemistoimingu eesmärki ja vahendeid käsitlevad otsused tehakse muus tegevuskohas kui juhatuse asukohas. Siis on võimalik kindlaks määrata rohkem kui üks juhtiv järelevalveasutus, nt juhul kui hargmaisel ettevõtjal on eri riikides eri töötlemistoimingute jaoks eraldi otsuseid vastu võtvad keskused.

Kui juhatuse peamise tegevuskoha kindlaksmääramine on keeruline, siis IKÜM põhjenduspunkt 36 selgitab, mida tuleks sellises olukorras arvesse võtta, mh kus allkirjastatakse töötlemise eesmärke ja vahendeid käsitlevad otsused; kus on volitused kõnealuseid otsuseid rakendada ning kus on vastutav või volitatud töötleja ettevõtjaks registreeritud.

Mis puutub kontserni, võetakse eelduslikult isikuandmete töötlemist käsitlevad otsused vastu üldist kontrolli omava ettevõtte tegevuskohas, va juhul, kui otsused töötlemise eesmärkide ja vahendite kohta tehakse mõnes muus tegevuskohas.

Kaasvastutavad töötlejad peaksid määrama kindlaks, millisel nende tegevuskohal on volitused rakendada isikuandmete töötlemist käsitlevaid otsuseid kõikide kaasvastutavate töötlejate suhtes (= töötlemise osas peamine tegevuskoht). 

IKÜMis ei ole ette nähtud lahendust olukordadeks, kui vastutaval töötlejal on tegevuskoht mitmes liikmesriigis, kuid juhatus ELis puudub ning üheski ELis asuvatest tegevuskohtadest ei võeta vastu töötlemist käsitlevaid otsuseid. 

Volitatud töötleja puhul on juhtiv järelevalveasutus see järelevalveasutus, kes on pädev tegutsema vastutava töötleja juhtiva järelevalveasutusena. See tähendab, et võib tekkida olukord, kus volitatud töötlejal tuleb kokku puutuda mitme järelevalveasutusega. 

Asjaomase järelevalveasutuse põhimõtte kohaldamise eesmärk on tagada, et juhtiva järelevalveasutuse mudeli kasutamine ei takistaks muudel järelevalveasutustel küsimuse käsitlemisel sõna sekka öelda, näiteks kui isikuandmete töötlemise toiming mõjutab oluliselt ka neid, kes elavad (kuid ei pruugi olla kodanikud) väljaspool juhtiva järelevalveasutuse jurisdiktsiooni.