Arvamus vastutavate ja volitatud töötlejate ja nende alamtöötlejate rollide ja kohustuste kohta

27.11.2024 | 16:00

Euroopa Andmekaitsenõukogu (EAKN) võttis 9. oktoobril vastu Taani järelevalveasutuse taotlusel põhineva arvamuse isikuandmete kaitse üldmääruse (IKÜM) artikli 28 ja V peatüki tõlgendamise kohta. Arvamus keskendus vastutavate töötlejate, volitatud töötlejate ja nende alamtöötlejate rollidele ning seotud kohustustele.

Andmekaitsenõukogu järeldas oma arvamuses, et vastutavatel töötlejatel peaks olema igal ajal kergesti kättesaadav teave kõigi volitatud töötlejate ja nende alamtöötlejate identiteedi kohta (st nimi, aadress, kontaktisik), olenemata töötlemistoiminguga seotud riskist, et võimaldada vastutaval töötlejal võimalikult tõhusalt täita IKÜM artiklist 28 tulenevaid kohustusi. Selleks peaks volitatud töötleja esitama vastutavale töötlejale ennetavalt kogu asjakohase teabe ja seda pidevalt ajakohastama.

IKÜM artikli 28 lõikes 1 on sätestatud, et vastutavad töötlejad on kohustatud kaasama volitatud töötlejad, kes annavad „piisavad tagatised“, et rakendada „asjakohaseid“ meetmeid sellisel viisil, et töötlemine vastab IKÜM-i nõuetele ja tagab andmesubjektide õiguste kaitse. Andmekaitsenõukogu rõhutas oma arvamuses, et volitatud töötlejate kaasamine ei tohiks vähendada andmesubjektide õiguste kaitse taset. Vastutaval töötlejal on alati kohustus kontrollida, kas volitatud töötlejad ja nende alamtöötlejad esitavad „piisavad tagatised“ vastutava töötleja poolt kindlaks määratud asjakohaste meetmete rakendamiseks, kuid sellise kontrolli ulatus võib varieeruda sõltuvalt konkreetsete tehniliste ja korralduslike meetmete laadist, arvestades töötlemisega kaasnevat riskitaset.

Ühtlasi täpsustas Andmekaitsenõukogu oma arvamuses, et kui kaasatakse alamtöötlejaid, siis kuigi volitatud töötleja peab tagama alamtöötlejate piisavate tagatiste olemasolu, jääb lõplik vastutus ning otsustamiskohustus nende kaasamise üle vastutavale töötlejale. Vastutav töötleja võib tugineda volitatud töötlejalt saadud teabele, kuid peab seda vajadusel parandama või täiendama. Kui töötlemistoimingud kujutavad endast suurt ohtu andmesubjektide õigustele ja vabadustele, peaks vastutav töötleja viima läbi põhjalikuma kontrolli.

Oma arvamuses analüüsis Andmekaitsenõukogu ka vastutavate ja volitatud töötlejate kohustusi olukorras, kus toimub isikuandmete edastamine kolmandatesse riikidesse. Andmekaitsenõukogu selgitas, et isegi kui isikuandmete edastamine väljapoole Euroopa majanduspiirkonda toimub kahe volitatud töötleja või alamtöötleja vahel vastavalt vastutava töötleja juhistele, kohaldatakse vastutava töötleja suhtes lisaks artiklis 44 sätestatud kohustustele endiselt ka IKÜM artikli 28 lõikest 1 tulenevaid kohustusi „piisavate tagatiste“ kohta, tagamaks, et isikuandmete edastamine ei kahjusta üldmäärusega tagatud kaitse taset. Vastutav töötleja peab dokumenteerima ja olema võimeline tõendama, et isikuandmete edastamine toimub asjakohaste kaitsemeetmete alusel, kuid võib toetuda volitatud töötlejalt saadud dokumentidele ja teabele.

Arvamusega sooviti lisaks vastust küsimusele, kas IKÜM-i artikli 28 lõike 3 kohane leping peaks hõlmama määruse artikli 28 lõike 3 punktis a nimetatud erandit ehk klauslit, mis selgitab, et volitatud töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, „välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega“. Andmekaitsenõukogu asus seisukohale, et igal juhul peaks lepingus andma juhised olukorra jaoks, kus isikuandmete töötlemise kohustus tuleneb mõnest õigusaktist ja mitte andmetöötluslepingus antud juhistest. Seejuures ei pruugi selline klausel viidata üksnes liidu või liikmesriigi õigusele, kuivõrd isikuandmete edastamisel kolmandasse riiki võib asjakohane säte sisalduda ka kolmanda riigi õiguses. Lepingus kolmanda riigi õigusele viitamine on lubatav kui vastavad sätted ei õõnesta isikuandmete kaitse IKÜM-iga tagatavat kaitsetaset.

Viimasena analüüsis Andmekaitsenõukogu ka eelkirjeldatud klausli olemust, asudes seisukohale, et volitatud töötleja võetud kohustust töödelda üksnes dokumenteeritud juhiste alusel, „välja arvatud juhul, kui see on nõutav seaduse või valitsusasutuse siduva korraldusega“ (sõna-sõnalt või väga sarnases sõnastuses), ei saa tõlgendada vastutava töötleja dokumenteeritud juhisena.