Kas igasuguseks andmetöötluseks on lisaks koostöölepingule vaja sõlmida ka andmetöötlusleping?
Tuleb mõelda, kas see ettevõte, kellele andmeid edastatakse, tegutseb n-ö minu kui ettevõtte huvides – tekib vastutava ja volitatud töötleja suhe. Sellisel juhul tuleb kindlasti andmetöötluslepingu sõlmimise peale mõelda.
Kuidas aga eristada vastutavat ja volitatud andmetöötlejat?
Vastutav töötleja – see, kes määrab isikuandmete töötlemise eesmärgid ja vahendid, ehk milliseid andmeid, miks ja kuidas töödeldakse. Tema valib endale volitatud töötleja.
Volitatud töötleja – see, kes täidab vastutava töötleja ette antud juhiseid. Samas peab ta kinnitama, et tema andmetöötlus on turvaline.
Heaks näiteks võib tuua palga arvestuse. Ettevõte tellib raamatupidamisteenuse ja edastab andmed raamatupidamisettevõttele, kes omakorda töötleb saadud andmeid nendel eesmärkidel, mida ettevõte on talle andnud ja muid eesmärke tal pole. Siin on selge volitatud töötleja suhe (raamatupidamisettevõte).
Samas hõlmavad eri koostöösuhted endas ikkagi peaaegu alati mõlema osapoole isiklikke huve ja eesmärke. Nendeks võivad olla mingisugused ärilised eesmärgid, mille jaoks nad neid andmeid kasutada tahavad vms. Sellisel juhul ei pruugi vastutava ja volitatud töötleja suhe kuigi selgepiiriline olla. Siis võib tekkida ka olukord, kus näiteks mõnes osas on tegemist vastutava ja volitatud töötleja suhtega, aga mingis osas on pooled eraldiseisvad vastutavad töötlejad. Seega võivad ka ühe koostöösuhte raames eri rollid tekkida.
Kuidas saab vastutav töötleja kindel olla, et tema valitud volitatud töötleja on pädev, turvameetmed on tagatud ja ta on teadlik ohtudest?
Selleks on loomulikult palju eri viise. Üks – kuigi alati ei saa seda kasutada – on teatava sertifikaadi küsimine. Teine võimalus on teostada n-ö väike audit, ehk saata küsimustik, kus küsida, milliseid samme on volitatud töötleja turvalisuse ja andmekaitsenõuete täitmiseks võtnud. Mis puudutab nende konkreetsete turvameetmete rakendamist, siis isikuandmete kaitse üldmäärus (IKÜM) ütleb, et volitatud töötleja peab ise artikkel 32 kohased turvameetmed tagama.
Samas võib kontrollida ka volitatud töötleja n-ö ekspertteadmisi, näiteks küsidagi, et kas teil on olemas kord rikkumisjuhtumite menetlemiseks ja korrektseks tegutsemiseks. Kui vastus on jah, siis võib juba rahulikumalt hingata, aga kui vastus on ei, siis on selge, et ilmselt ei ole piisavalt pädev volitatud töötleja.
Kuidas tekib kaasvastutus ja mida see endast kujutab?
Kaasvastutus tähendab, kui andmetöötluse eesmärgi ja vahendid määratavad mitu organisatsiooni üheskoos.
Mida peab üks andmetöötlusleping sisaldama?
- Esiteks juhiseid, mida volitatud töötleja peab järgima, ehk siis väga lihtsustatult öeldes, milliseid andmeid ja millisel eesmärgil ja kuidas volitatud töötleja töötleb. Näiteks töötleb ta nime, e-posti aadressi ja arvesummat selle jaoks, et koostada arveid.
- Teiseks peab see sisaldama tingimust, et volitatud töötleja tagab andmete konfidentsiaalsuse.
- Kolmandaks peab olemas olema turvameetmete kirjeldus.
- Tingimused, mille alusel volitatud töötleja alltöötlejaid kaasata saab. Teatud juhtudel antakse volitatud töötlejale üldvolitus alltöötlejaid kaasata. Teatud juhtudel keelatakse see ära, vahel antakse volitus kaasata konkreetselt neid alltöötlejaid, kes on lepingus nimeliselt määratletud.
- Kaasaaitamiskohustused, mida volitatud töötleja peab täitma, kui toimuvad andmekaitsealased rikkumised.
- Kohustus, mille alusel volitatud töötleja pärast andmetöötluse suhte lõppu tagastab talle edastatud või kättesaadavaks tehtud isikuandmed.
- Auditeerimise kohustus, mis peab andma vastutavale töötlejale loa vajaduse korral volitatud töötlejat auditeerida ulatuses, mis on vajalik, tegemaks kindlaks, kas volitatud töötleja täidab enda kohustusi, milles on kokku lepitud.
Kas ja kellel peab sellistel juhtudel olema õiguslik alus?
Õiguslik alus peab olema vastutaval töötlejal. Kui aga juhtub nii, et volitatud töötlejal tekib mingi andmebaas ja ta soovib neid andmeid ise kasutama hakata, nt saata otseturustuse eesmärgil kirju vms, siis muutub tema vastutavaks töötlejaks ja sellisel juhul peab tal selliseks andmetöötluseks olema ka õiguslik alus ja täitma peab kõiki teisi isikuandmete kaitse üldmäärusest tulenevaid kohustusi ja põhimõtteid.
Mis saab, kui andmetöötlustoimingute tegemisel rolle ei määratleta ja andmetöötluslepingut ei sõlmita?
Kõige suurem äriline risk võib olla see, et klientide andmeid hoitakse ebaturvaliselt ja need võivad lekkida.
Mida teha siis, kui andmeid edastatakse kolmandatesse riikidesse?
Isikuandmete edastamine välisriiki | Andmekaitse Inspektsioon
Esiteks on teatud riigid, kelle andmekaitsetaset on Euroopa Komisjon hinnanud piisavaks ehk siis nende kohta on nii-öelda adekvaatsusotsus. Nendesse võib andmeid edastada ilma täiendavate kaitsemeetmete rakendamiseta. Kui sellist adekvaatsusotsust ei ole, siis on praktikas kõige tavalisem võimalus kasutada Euroopa Komisjoni välja töötatud standardseid andmekaitseklausleid, mille alusel tuleb leping sõlmida. Sellised mudelklauslid aga ei ole üksinda piisavad. Lisaks nende kohaldamisele tuleb läbi viia sisuline hindamine selle kohta, kas sihtriigis on andmekaitsetase konkreetse volitatud töötleja puhul ka päriselt tagatud või mitte. Praktikas aga võib selline hindamine olla väga keeruline.
Kokkuvõtlikult soovitame põhjalikult läbi mõelda, keda oma koostööpartneritena kasutada. Tuleb vaadata nende tausta ja hinnata, kas nad on usaldusväärsed.
Andmehäälingu uus episood on valminud koostöös Euroopa Liidu CERV programmiga, mis toetab privaatsuse ja andmekaitseteadlikkuse arendamist Eestis.
