Vastutav töötleja või volitatud töötleja

Kes on vastutav töötleja?

Vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Teisisõnu otsustab vastutav töötleja, kuidas ja miks andmetöötlustoimingut tehakse. Vastutav töötleja võib olla juriidiline isik, näiteks ettevõtja, väike- ja keskmise suurusega ettevõte (VKE), avaliku sektori asutus, amet või muu organ.

Teatavatel juhtudel võib isikuandmete töötlemise eesmärgid vahendid ja ka vastutava töötleja kindlaks määrata Euroopa Liidu (EL) või liikmesriigi õigusega.

Kes on kaasvastutav töötleja?

Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks töötlemise eesmärgi ja vahendid, käsitatakse neid kaasvastutavate töötlejatena. Nad otsustavad koos töödelda isikuandmeid ühisel eesmärgil. Kaasvastutavate  vastutus võib esineda mitmes vormis ja erinevate vastutavate töötlejate osalemine võib olla ebavõrdne. Seetõttu peavad kaasvastutavad töötlejad määrama kindlaks oma kohustused isikuandmete kaitse üldmääruse (IKÜM) järgimisel.

Millised on vastutava töötleja ja kaasvastutava töötleja kohustused?

Isikuandmete töötlemise eesmärkide ja vahendite üle otsustades peab vastutav töötleja või kaasvastutavad töötlejad tagama üksikisikute isikuandmete kaitse. 

Selle saavutamiseks peab vastutav töötleja või kaasvastutavad töötlejad kehtestama meetmed, et kaitsta isikuandmeid ja võimaldama üksikisikutel oma õigusi kasutada.

Lisateabe saamiseks vt „Kontrollija/ühise vastutava töötleja kohustuste kontrollnimekiri“.

Kes on volitatud töötleja?

Volitatud töötleja tegutseb ainult vastutava töötleja juhiste kohaselt, töödeldes isikuandmeid vastutava töötleja nimel.

Sarnaselt vastutava töötleja või kaasvastutava töötlejaga võib volitatud töötleja olla juriidiline isik, näiteks ettevõtja, VKE, avaliku sektori asutus, amet või muu organ.

Kes on volitatud töötleja kaasatud volitatud töötleja?

Volitatud töötleja kaasatud teised volitatud töötlejad tegutsevad juhiste kohaselt, mis tähendab, et volitatud töötleja poolt kaasatud uus volitatud töötleja võib töödelda üksikisikute isikuandmeid algse volitatud töötleja nimel. Kaasatud volitatud töötleja võib olla juriidiline isik, näiteks ettevõte, VKE, avaliku sektori asutus, amet või muu organ.

Volitatud töötleja võib kaasata teise volitatud töötleja ainult siis, kui vastutav töötleja või kaasvastutav töötleja annab selleks kirjaliku loa. Sellisel juhul peab volitatud töötleja sõlmima kaasatava volitatud töötlejaga siduva lepingu, milles kirjeldatakse üksikasjalikult kaasatud volitatud töötleja kohustusi. Nimetatud leping peab tagama samaväärse üksikisikute isikuandmete kaitse kui algne vastutava töövõtja – volitatud töötleja vaheline leping.

Millised on volitatud töötleja kohustused?

Kuigi üldine vastutus lasub üldiselt vastutaval töötlejal, on volitatud töötlejatel ka teatavad IKÜM-ist tulenevad kohustused. Volitatud töötlejad peavad tegema töötlemistoiminguid asjakohaste tehniliste ja korralduslike meetmetega, mille on määranud vastutav töötleja või kaasvastutav töötleja. Seejuures abistab volitatud töötleja vastutavat IKÜM-i järgimisel.

Vastutava töötleja ja volitatud töötleja vahelist suhet, sealhulgas volitatud töötleja kohustusi reguleeritakse lepinguga, milles dokumenteeritakse isikuandmete töötlemise toimingud ja vahendid.

Lisateabe saamiseks vt „Töötleja kohustuste kontrollnimekiri“.

 

Mida lisada vastutava töötleja ja volitatud töötleja vahelisele lepingule?

Vastutava töötleja või kaasvastutava töötleja ja volitatud töötleja vahelises lepingus tuleb sätestada, et volitatud töötleja:

  • töötleb isikuandmeid ainult vastutava töötleja juhiste kohaselt, sealhulgas seoses isikuandmete edastamisega Euroopa majanduspiirkonna (EMP) välisesse riiki;
  • tagab, et andmeid töötlema volitatud isikud on kohustatud järgima konfidentsiaalsust või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus;
  • tagab töötlemise turvalisuse;
  • ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata, kellel on mõistlik võimalus vastuväiteid esitada;
  • abistab vastutavat töötlejat kohustuste täitmisel, et vastata üksikisiku taotlustele oma õiguste kasutamiseks;
  • abistab vastutavat töötlejat töötlemise tagamisel, andmetega seotud rikkumistest teavitamisel ja andmekaitsealaste mõjuhinnangute tegemisel;
  • kustutab või tagastab vastutava töötleja valikul kõik isikuandmed pärast teenuste osutamise lõppu vastutavale töötlejale;
  • teeb vastutavale töötlejale kättesaadavaks kogu vajaliku teabe, et tõendada IKÜM-ist tulenevate kohustuste täitmist;
  • võimaldab auditeid, sealhulgas kontrolle, mida viib läbi vastutav töötleja või vastutava töötleja volitatud muu audiitor ja aitab neid kaasa.

Mida peab sisaldama volitatud töötleja – ja kaasatud volitatud töötleja leping?

Volitatud töötleja ja kaasatud volitatud töötleja vaheline leping peab sisaldama erisätteid, mis tagavad töödeldavate isikuandmete kaitse samal viisil nagu on ette nähtud vastutava töötleja ja volitatud töötleja vahelises lepingus.

 

Kes vastutab kelle ees?

Vastutav töötleja või kaasvastutav töötleja vastutab nii enda kui ka valitud volitatud töötleja vastavuse eest IKÜM-ile. Kui volitatud töötleja rikub IKÜM-st tulenevaid kohustusi, võib vastutavat töötlejat või kaasvastutavat töötlejat pidada vastutavaks ning tema suhtes võidakse vajaduse korral kohaldada trahve ja muid meetmeid.

Volitatud töötleja vastutab nii enda IKÜM-i järgimise eest kui ka vastutava töötleja töövõtja-töötleja lepingu rikkumise eest. Volitatud töötleja võib vastutava töötleja ees vastutada ka volitatud töötleja poolt põhjustatud rikkumiste eest. 

 

Kohustuste kontrollnimekiri

Vastutava töötleja või kaasvastutava töötleja ülesannete kontrollnimekiri

  • IKÜM artiklis 5 sätestatud andmekaitsepõhimõtete järgimine
  • Üksikisikute andmekaitseõiguste tagamine
  • Töötlemistoimingute üle arvestuse pidamine
  • Töötlemise turvalisuse tagamine
  • Sobiva volitatud töötleja valimine
  • Üksikasjalikum teave vastutava ja volitatud töötleja vahelise suhte kohta siduvas lepingus
  • Isikuandmetega seotud rikkumistest teavitamine asjaomasele EMP andmekaitseasutusele ja vajaduse korral üksikisikutele
  • Vastutamine töötlemistoimingute eest, lõimitud ja vaikimisi andmekaitsega tegelemine, vajadusel andmekaitsealase mõjuhinnangu läbiviimine;
  • Vajadusel andmekaitseametniku ametisse nimetamine
  • Isikuandmete rahvusvahelise edastamisega seotud andmekaitsekohustuste täitmine
  • Koostöö andmekaitseasutustega

Volitatud töötleja ülesannete kontrollnimekiri
 

  • Vastutava töötleja juhiste järgimine
  • Töötlemistoimingute üle arvestuse pidamine
  • Töötlemise turvalisuse tagamine
  • Vastutava töötleja ja volitatud töötleja siduva lepingu austamine ja järgimine
  • Saada vastutavalt töötlejalt luba enne uue volitatud töötleja kaasamist (ja anda vastutavale töötlejale võimalus vastuväiteid esitada). Vajaduse korral sõlmida volitatud töötleja ja  kaasatud volitatud töötleja leping, mis võrdub esialgse töövõtja-töötleja lepinguga.
  • Isikuandmetega seotud rikkumistest vastutava töötleja teavitamine
  • IKÜM-i rikkumistest vastutava töötleja teavitamine
  • Töötlemistoimingute vastutamine: nt lõimitud ja vaikimisi andmekaitse praktiseerimine
  • Vajaduse korral andmekaitseametniku ametisse nimetamine
  • Tagada vastutava töötleja luba ja selle vastavus IKÜM-ile rahvusvaheliseks edastamiseks 
  • Koostöö andmekaitseasutustega