Vastutav ja volitatud töötleja

Isikuandmete kaitse üldmääruses on oluline osa vastutava ja volitatud töötlejate rollide määratlemisel, kuna seeläbi määratakse osapoolte vastutused ja kohustused.

Vastutava töötleja, kaasvastutava töötleja ja volitatud töötleja mõistetel on oluline roll isikuandmete kaitse üldmääruse 2016/679 kohaldamisel, kuna nendega määratakse kindlaks, kes vastutab erinevate andmekaitse eeskirjade järgimise eest ja kuidas andmesubjektid saavad oma õigusi praktikas kasutada. Nende mõistete täpne tähendus ja nende õige tõlgendamise kriteeriumid peavad olema piisavalt selged ja järjepidevad kogu Euroopa Majanduspiirkonnas (EMP).

Vastutava töötleja, kaasvastutava töötleja ja volitatud töötleja mõisted on funktsionaalsed mõisted, kuna nende eesmärk on jaotada vastutus vastavalt poolte tegelikele rollidele ja autonoomsed mõisted selles mõttes, et neid tuleks tõlgendada peamiselt ELi andmekaitseõiguse kohaselt.

Vastutav töötleja

Põhimõtteliselt ei ole piiranguid, kes võib võtta vastutava töötleja rolli, kuid tegelikkuses tegutseb vastutava töötlejana tavaliselt organisatsioon kui selline, mitte organisatsiooni üksikisik (nt tegevjuht, töötaja või juhatuse liige).

Vastutav töötleja on asutus, kes teeb otsuse töötlemise teatavate põhielementide kohta. Vastutav töötleja võib olla määratletud seadusega või tuleneda üksikjuhtumi faktiliste asjaolude või olukorra analüüsist. Teatavaid töötlemistoiminguid võib pidada (majandus)üksuse rolliga loomulikult seotuks. Paljudel juhtudel võivad lepingutingimused aidata vastutavat töötlejat tuvastada, kuigi need ei ole igas olukorras määravad.

Vastutav töötleja määrab kindlaks töötlemise eesmärgid ja vahendid, st töötlemise põhjuse ja viisi. Vastutav töötleja peab otsustama nii eesmärkide kui ka vahendite üle. Mõned praktilisemad rakendamise aspektid („mitteolemuslikud vahendid“) võib siiski jätta töötleja otsustada. Ei ole vaja, et vastutaval töötlejal oleks tegelikult juurdepääs töödeldavatele andmetele, et teda saaks käsitada vastutava töötlejana.

Kaasvastutavad töötlejad

Kaasvastutavateks töötlejateks kvalifitseerumine võib tekkida juhul, kui töötlemisega on seotud rohkem kui üks osaline. Isikuandmete kaitse üldmäärusega kehtestatakse kaasvastutavatele töötlejatele erieeskirjad ja kehtestatakse raamistik nende suhete reguleerimiseks. Ühise vastutuse peamine kriteerium on kahe või enama üksuse ühine osalemine töötlemistoimingu eesmärkide ja vahendite kindlaksmääramisel. Ühine osalemine võib toimuda kahe või enama üksuse ühise otsuse vormis või tuleneda kahe või enama üksuse ühistest otsustest, kui otsused täiendavad üksteist ja on vajalikud selleks, et töötlemine toimuks viisil, mis avaldab konkreetset mõju töötlemise eesmärkide ja vahendite kindlaksmääramisele. Oluline kriteerium on see, et töötlemine ei oleks võimalik ilma mõlema poole osaluseta selles mõttes, et kummagi poole poolne töötlemine on lahutamatu, st lahutamatult seotud. Ühine osalemine peab hõlmama ühelt poolt eesmärkide ja teiselt poolt vahendite kindlaksmääramist.

Töötleja

Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel. Töötlejaks kvalifitseerumiseks on kaks põhitingimust: ta on vastutava töötleja suhtes eraldiseisev üksus ja töötleb isikuandmeid vastutava töötleja nimel.

Volitatud töötleja ei tohi töödelda andmeid muul viisil kui vastutava töötleja juhiste kohaselt. Vastutava töötleja juhtnöörid võivad siiski jätta teatava kaalutlusõiguse selle suhtes, kuidas vastutava töötleja huve kõige paremini teenida, võimaldades volitatud töötlejal valida kõige sobivamad tehnilised ja organisatsioonilised vahendid. Volitatud töötleja rikub isikuandmete kaitse üldmäärust, kui läheb vastutava töötleja juhistest kaugemale ja hakkab kindlaks määrama oma isikuandmete töötlemise eesmärke ja vahendeid. Seejärel käsitletakse volitatud töötlejat kõnealuse töötlemisega seoses vastutava töötlejana ja tema suhtes võidakse kohaldada sanktsioone.

Vastutava töötleja ja volitatud töötleja vaheline suhe

Vastutav töötleja võib kasutada üksnes volitatud töötlejaid, kes annavad piisavad tagatised asjakohaste tehniliste ja korralduslike meetmete rakendamiseks, et töötlemine vastaks isikuandmete kaitse üldmääruse nõuetele. Arvesse tuleks võtta volitatud töötleja ekspertteadmisi (nt tehniline oskusteave turvameetmete ja andmetega seotud rikkumiste kohta); töötlemise usaldusväärsus; volitatud töötleja ressursse ja volitatud töötleja vastavust heakskiidetud tegevusjuhendile või sertifitseerimismehhanismile.

Volitatud töötleja peab isikuandmeid töötlema lepingu või muu õigusakti alusel, mis on kirjalik (mh elektrooniline) ja siduv. Vastutav töötleja ja volitatud töötleja võivad otsustada pidada läbirääkimisi oma lepingu üle, mis sisaldab kõiki kohustuslikke elemente, või tugineda täielikult või osaliselt lepingu tüüptingimustele.

Isikuandmete kaitse üldmääruses on loetletud elemendid, mis tuleb töötlemislepingus sätestada. Töötlemislepingus ei tohiks siiski lihtsalt korrata isikuandmete kaitse üldmääruse sätteid; pigem peaks see sisaldama täpsemat ja konkreetset teavet selle kohta, kuidas nõudeid täidetakse ja millist turvalisuse taset nõutakse isikuandmete töötlemiseks, mh mis on töötlemislepingu ese.

Kaasvastutavate töötlejate vahelised suhted

Kaasvastutavad töötlejad määravad läbipaistval viisil kindlaks ja lepivad kokku oma vastutuses isikuandmete kaitse üldmäärusest tulenevate kohustuste täitmisel. Nende vastavate kohustuste kindlaksmääramisel tuleb eelkõige arvesse võtta andmesubjektide õiguste kasutamist ja teabe esitamise kohustust. Lisaks peaks vastutuse jaotus hõlmama muid vastutava töötleja kohustusi, nagu andmekaitse üldpõhimõtted, õiguslik alus, turvameetmed, andmete rikkumisest teatamise kohustus, andmekaitsealane mõjuhinnang, volitatud töötlejate kasutamine, andmete edastamine kolmandate riikide poolt ning kontaktid andmesubjektide ja järelevalveasutustega.

Igal kaasvastutaval töötlejal on kohustus tagada, et tal on töötlemise õiguslik alus ja et andmeid ei töödelda edasi viisil, mis on vastuolus eesmärkidega, milleks andmeid jagav vastutav töötleja neid algselt kogus.

Kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku vormi ei ole isikuandmete kaitse üldmääruses täpsustatud. Õiguskindluse huvides ning läbipaistvuse ja vastutuse tagamiseks soovitab Euroopa Andmekaitsenõukogu, et selline kokkulepe tuleks sõlmida siduva dokumendina, nagu leping või muu ELi või liikmesriigi õiguse kohane siduv õigusakt, mida vastutava töötleja suhtes kohaldatakse.

Kokkulepe kajastab nõuetekohaselt kaasvastutavate töötlejate vastavaid rolle ja suhteid andmesubjektide ­suhtes ning kokkuleppe olemus tehakse andmesubjektile kättesaadavaks.

Olenemata kokkuleppe tingimustest võivad andmesubjektid kasutada oma õigusi kõigi kaasvastutavate töötlejate suhtes ja nende vastu. Kokkuleppe tingimused ei ole järelevalveasutustele siduvad, olenemata sellest, kas osapooli käsitatakse kaasvastutavate töötlejatena või määratud kontaktpunktina.

Suunised vastutava ja volitatud töötleja kohta (ingl.k)

Suunised vastutava ja volitatud töötleja kohta eesti keelne masintõlge

Uuendatud vastutava töötleja või volitatud töötleja juhtiva järelevalveasutuse kindlaksmääramise suunised

Millal?

Mitte alati ei ole andmetöötleja andmetöötlus piiriüleseks menetluseks. IKÜMis on kirjas, et andmetöötlus peab "ilmselt mõjutama" ("substantially affects") ehk olema piisavalt kaalukas ja omama piisavalt suurt mõju ning sellisel andmetöötlusel peab olema piisavalt suur tõenäosus ehk mitte alati ei ole paljusid andmesubjekte mõjutav andmetöötlus "ilmselt mõjutavaks". Lisaks ei pea andmesubjektid reaalselt olema mõjutatud: juba ilmne võimalus on piisavaks, et andmetöötlust pidada piiriüleseks.

Asjaolu, et andmetöötlus puudutab suurt hulga andmesubjekte, ei tähenda, et andmetöötlusel oleks neile mõju. Iga selline andmetöötlus ei ole piiriülese menetluse subjektiks.

Kes?

Juhtivaks järelevalveasutuseks on andmetöötleja peamise tegevuskoha järelevalveasutus.

Main establishment: keskne juhtimine (!), va kui andmetöötluse otsused võetakse mujal vastu.

Keskne juhtimine - koht, kus võetakse vastu andmetöötlust puudutavad otsused ja eesmärgid ning sellel kohal on võim selliseid otsuseid kohaldada.

Kui otsused võetakse vastu mitmes ELi keskse juhtimise kohas, võib juhtuda, et iga konkreetse otsuse puhul tuleks määrata juhtiv järelevalveasutus.

Näide: Saksamaa panga kindlustusosakond asub Viinis. Kui Viinis asuval osakonnal on õigus otsustada kindlustusega seonduvate andmetöötluste otsused ja eesmärgid, on kindlustusega seotud andmetöötluse puhul juhtivaks järelevalveasutuseks Austria järelevalveasutus, kõikidel muudel juhtudel aga pädev Saksamaa järelevalveasutus.

Kes, kui ELis puudub keskne juhtimine?

Vastutav töötleja võib ise määrata, kes on nende main establishmentiks ning juhtiv JVA määratakse selle järgi, kuid sellest hoolimata võivad kaasatud JVA seda vaidlustada.

Võtmeküsimused:
  1. Kus allkirjastakse eesmärke ja vahendeid puudutavad otsused?
  2. Kus tehakse otsused, mis puudutavad ärieesmärke?
  3. Kus on koht, kus on pädevus otsuseid vastu võtta?
  4. Kus asub juhatus?
  5. Kus on vastutav või volitatud töötleja ettevõttena registreeritud?

Lisaks võib juhtuda, et kuigi andmetöötlejal on ELis mitmeid establishmente, ei ole ükski neist keskne ega võta vastu otsuseid andmetöötluse kohta.

Keelatud on ka nn shoppamine, ehk isegi kui andmetöötleja nimetab ELi keskseks asukohaks ühe liikmesriigi, võivad järelevalveasutused (ja lõpuks EAKN) jõuda teistsugusele järeldusele.

Volitatud töötleja

Kõike eelnev kehtib ka volitatud töötleja kohta. Tuleb arvesse võtta et juhul, kui andmetöötlusega on seotud nii vastutav kui ka volitatud töötleja, on juhtivaks järelevalveasutuseks vastutava töötleja järelevalveasutus, väljaarvatud juhul, kui vastutav töötleja on asutatud väljaspool ELi ehk kui kohaldub IKÜM art 3 lõige 2 (sellisel juhul OSS vastutavale töötlejale ei kohaldu).

Kaasatud järelevalveasutus

Definitsiooni vt IKÜM art 44 lg 22.

Võib juhtuda, et definitsiooni järgi kaasatud asutuseks olev järelevalveasutus võtab ise juhtiva järelevalveasutuse rolli (vt IKÜM art 56 lg 2 kuni 5 ja põhjenduspunkt 127), kui selline andmetöötlus puudutab vaid kaasatud järelevalveasutuse territooriumit, kuid mitte juhtiva järelevalveasutuse oma.

Esindaja EL-is

Vaid esindaja olemasolu ei tähenda piiriülese menetluse algatamist. Iga järelevalveasutus peab sellise andmetöötleja puhul ise siseriikliku menetluse läbi viima (nagu näiteks praegu Clearview AI puhul, kus andmetöötlejale on mitmes liikmesriigis trahve määratud).

Üldmäärus ei täpsusta, kes peaks olema juhtiv järelevalveasutus juhul, kui korraga on kaks või rohkem vastutavat töötlejat (e kaasvastutavat töötlejat). Kaasvastutavad töötlejad peavad jagama ülesanded olemaks veendunud, et andmetöötlus vastab IKÜMi kaasvastutavate töötlejate regulatsioonile. Isegi, kui kaasvastutavad töötlejad lepivad kokku ühe asutuse, kes andmesubjektide ja järelevalveasutusega suhtleb, ei ole järelevalveasutused kohustatud seda järgima.

IKÜM räägib peamisest tegevuskohast, kuid kaasvastutava töötleja peamine tegevuskoht ei saa olla teise andmetöötleja omaks. Seega ei saa kaasvastutavad töötlejad omavahel leppida kokku ühises peamises tegevuskohas.

VANEM VERSIOON: Juhtiva järelevalveasutuse kindlaksmääramise suuniste eesti keelne masintõlge

Uuendatud suunis juhtiva järelevaleasutuse kindlaksmääramiseks

Last updated: 24.01.2024