Euroopa Andmekaitsenõukogu võttis oktoobris vastu arvamuse nr 22/2024, milles selgitatakse teatavaid kohustusi, mis lasuvad volitatud töötlejatel ja nende alamtöötlejatel. Arvamus põhineb Taani järelevalveasutuse taotlusel ning selles täpsustatakse vastutavate ja volitatud töötlejate ning nende alamtöötlejate kohustuste ulatust ning jaotumist eri osapoolte vahel. Esimese küsimusega soovis Taani järelevalveasutus teada, kui kaugele peaks vastutav töötleja minema, et tuvastada töötlemisahelasse kuuluvad volitatud töötlejad ning nende alamtöötlejad, st kas vastutavale töötlejale peavad teada olema kõik töötlemisahelasse kuuluvad andmetöötlejad või piisab nn esimese ringi volitatud töötlejate tuvastamisest. Seejuures sooviti täpsustada, kui lai on vastutava töötleja kohustus kontrollida volitatud töötlejate ja nende alamtöötlejate tagatud kaitsemeetmete piisavust, nende omavaheliste lepingute sisu ning vastavust isikuandmete kaitse üldmääruse (IKÜM) artikli 28 nõuetele.
Euroopa Andmekaitsenõukogu leidis oma arvamuses, et vastutaval töötlejal peaks alati olema võimalus hõlpsasti ligi pääseda kõiki töötlemisahela osapooli tuvastavale teabele. Kuivõrd vastutaval töötlejal lasub kohustus tagada, et töötlemine oleks IKÜMiga kooskõlas, siis on oluline, et tal oleks ka tegelik kontroll isikuandmete töötlemise üle. Seejuures on vastutaval töötlejal IKÜM-i artiklitest 13 ja 14 tulenev kohustus teavitada andmesubjekte isikuandmete vastuvõtjatest või nende kategooriatest, olles nii täpne kui võimalik. Lisaks on andmesubjektil võimalik IKÜM-i artikli 15 alusel oma andmetega tutvuda. Euroopa Kohus on selgitanud, et see hõlmab andmesubjekti õigust saada ülevaade konkreetsetest isikuandmete vastuvõtjatest. Eeltoodud kaalutlustel on oluline, et vastutaval töötlejatel oleks terviklik ülevaade kogu töötlemisahelast, ainult sellisel juhul on tagatud andmesubjektide õiguste tõhus kaitse. Seejuures on vastutaval töötlejal alati kohustus kontrollida, kas volitatud töötlejad ja nende alamtöötlejad annavad piisavaid tagatisi, et rakendada vastutava töötleja kindlaksmääratud meetmeid, kuid sellise kontrollikohustuse ulatus sõltub konkreetse töötlemisega kaasnevast riskiastmest. Vastutaval töötlejal ei lasu kohustust süstemaatiliselt nõuda volitatud töötlejate ja nende alamtöötlejate vaheliste lepingute koopiaid ning neid läbi vaadata, kuid seda tuleks teha olukorras, kui tekib kahtlus, kas IKÜM artikli 28 lõigetest 1 ja 4 tulenevaid kohustusi on täidetud.
Oma arvamuses analüüsis Euroopa Andmekaitsenõukogu ka vastutavate ja volitatud töötlejate kohustusi olukorras, kus toimub isikuandmete edastamine kolmandatesse riikidesse. Andmekaitsenõukogul paluti selgitada, kui kaugele peab vastutav töötleja minema, et olla kindel, et töötlemisahelas toimuval isikuandmete edastamisel oleks tagatud piisav kaitsetase. Arvamuses rõhutati, et kuivõrd ka isikuandmete edastamisel kolmandatesse riikidesse on tegemist isikuandmete töötlemisega, siis on hoolimata sellest, et andmeid edastab volitatud töötleja või tema alamtöötleja, vastutaval töötleja endiselt kohustus tagada, et IKÜM 5. peatüki nõuded oleksid täidetud ning et volitatud töötleja on andnud piisavad tagatised asjakohaste tehniliste ja korralduslike meetmete rakendamise kohta IKÜM artikli 28 kontekstis.
Seejuures võib vastutav töötleja tugineda volitatud töötleja koostatud dokumentidele (nt andmeedastuste kaardistamisega seonduvalt), kuid juhul, kui dokumentides esineb puudujääke, peaks vastutav töötleja küsima täiendavat teavet ja vajadusel seda parandama või täiendama.
Viimaks soovis Taani oma taotluses vastust küsimusele, kas IKÜM artikli 28 lõike 3 kohane leping peaks hõlmama määruse artikli 28 lõike 3 punktis a nimetatud erandit ehk klauslit, mis selgitab, et volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, „välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega“. Andmekaitsenõukogu asus seisukohale, et igal juhul peaks lepingus reguleerima olukorda, kus isikuandmete töötlemise kohustus tuleneb mõnest õigusaktist, mitte andmetöötluslepingust. Seejuures ei pruugi selline klausel viidata üksnes liidu või liikmesriigi õigusele, kuivõrd isikuandmete edastamisel kolmandasse riiki võib asjakohane säte sisalduda ka kolmanda riigi õiguses. Lepingus kolmanda riigi õigusele viitamine on lubatud, kui vastavad sätted ei õõnesta isikuandmete kaitse IKÜMiga tagatavat kaitsetaset.
Andmekaitsenõukogu püüdis oma arvamuses leida tasakaalu vastutavatel ja volitatud töötlejatel lasuvate kohustuste vahel. Samas toodi selgelt esile põhimõte, et kuigi vastutav töötleja ei pea viimse detailini analüüsima iga volitatud töötleja ja tema alamtöötleja vahel sõlmitud lepingut ega kaardistama ise volitatud töötleja tehtavaid andmeedastusi, lasub lõplik vastutus IKÜM nõuete täitmise eest siiski vastutaval töötlejal. Vastutaval töötlejal peab olema piisav ülevaade ja kontroll kogu töötlemisahelas toimuva isikuandmete töötlemise üle, et tagada andmesubjektide õiguste tõhus ja ühetaoline kaitse kogu töötlemisahela ulatuses.
- Kommenteerimiseks logi sisse või registreeru