Volitatud töötleja leping on isikuandmete kaitse üldmääruse (GDPR) artikli 28 lõike 3 kohaselt kohustuslik kirjalik kokkulepe, mis tuleb sõlmida iga kord, kui volitatud töötleja (teenusepakkuja) töötleb isikuandmeid vastutava töötleja nimel: majutusteenuse pakkuja, tarkvara-teenuse (SaaS) pakkuja, turundusagentuur, palgaarvestust tegev raamatupidaja. Lepingu puudumine või puudulik leping on iseseisev rikkumine, mille eest saab karistada sõltumata sellest, kas andmetega on midagi juhtunud. See juhend selgitab, milline on vastutava ja volitatud töötleja rollide vahe, millised on artikli 28 lõikes 3 loetletud kaheksa kohustuslikku klauslit ning kuidas Andmekaitse Inspektsioon (AKI) neid kohustusi järelevalves hindab.
Vastutav töötleja või volitatud töötleja?
Enne lepingu koostamist tuleb rollid õigesti määratleda. Vastutav töötleja määrab isikuandmete töötlemise eesmärgid ja vahendid – ta otsustab, miks ja kuidas andmeid töödeldakse. Volitatud töötleja töötleb andmeid üksnes vastutava töötleja nimel ja tema dokumenteeritud juhiste alusel.
Kvalifitseerimine ei sõltu sellest, mida pooled lepingus enda kohta kirjutavad, vaid tegelikust rollijaotusest. Kui teenusepakkuja määrab ise töötlemise eesmärgid, on ta vastutav töötleja või kaasvastutav töötleja (art. 26) ning lepinguline ülesehitus on teistsugune. Rollide määratlemine on esimene samm ka töötlemise registri koostamisel.
Artikli 28 lõike 3 kaheksa kohustuslikku klauslit
Artikli 28 lõige 3 nõuab, et volitatud töötleja leping sisaldaks vähemalt järgmist:
- Töötlemise ese, kestus, laad ja eesmärk, isikuandmete ja andmesubjektide liigid;
- Töötlemine üksnes vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas kolmandatesse riikidesse edastamisel;
- Andmeid töötlevate isikute konfidentsiaalsuskohustus;
- Artikli 32 kohased turvameetmed;
- Alltöötlemise kord (eelnev kirjalik, üldine või konkreetne luba);
- Abistamine andmesubjektide õiguste teostamise taotlustele vastamisel;
- Abistamine artiklite 32–36 kohustuste täitmisel (turvalisus, rikkumisest teavitamine, mõjuhinnang);
- Andmete kustutamine või tagastamine lepingu lõppedes ning auditite võimaldamiseks vajaliku teabe kättesaadavaks tegemine.
Euroopa Komisjon on avaldanud artikli 28 jaoks eraldi tüüptingimused (rakendusotsus (EL) 2021/915), mida saab kasutada muutmata kujul. Sama sisu operatiivsemas vormis leiate meie volitatud töötleja lepingu näidisest.
Millised kohustused on volitatud töötlejal endal?
GDPR ei pane kohustusi üksnes vastutavale töötlejale. Volitatud töötleja vastutab ise järgmiste kohustuste eest:
- Töötleja register (art. 30 lg 2). Volitatud töötleja peab pidama registrit iga vastutava töötleja jaoks tehtavate töötlemistoimingute kategooriate kohta.
- Turvalisus (art. 32). Volitatud töötleja peab rakendama sobivaid tehnilisi ja korralduslikke meetmeid sõltumatult sellest, mida leping ütleb.
- Rikkumisest teavitamine (art. 33 lg 2). Volitatud töötleja peab teavitama vastutavat töötlejat isikuandmetega seotud rikkumisest põhjendamatu viivituseta.
- Alltöötlejate vastutus. Volitatud töötleja jääb vastutavaks alltöötlejate tegevuse eest, kellele ta on osa tööst edasi andnud.
Kui volitatud töötleja väljub juhistest ja määrab ise töötlemise eesmärgid, käsitatakse teda kõnealuse töötlemise osas vastutava töötlejana (art. 28 lg 10) koos kõigi sellega kaasnevate kohustustega.
Levinud vead
- Teenusepakkuja lepingu allkirjastamine seda lugemata. Suurte pakkujate standardlepingud piiravad sageli vastutust ja lahjendavad auditiõigust. Läbirääkimistel nõudke vähemalt alltöötlejate nimekirja ja rikkumisest teavitamise tähtaega.
- “Nähtamatute” teenusepakkujate unustamine: piletisüsteem, CRM, e-kirjade saatmise lahendus, arhiivide hävitamise teenus. Igal volitatud töötlejal peab olema oma leping – võrrelge seda oma töötlemise registriga.
- Juhiste dokumenteerimata jätmine. Leping viitab “dokumenteeritud juhistele” – säilitage need (lisad, tellimused, päringud).
- Kolmandatesse riikidesse edastamise ignoreerimine, mida volitatud töötleja ise teostab (USA tugi, varumajutus). Kontrollige andmete tegelikku asukohta, mitte üksnes peakontori asukohta.
- Ilma järelevalveta jäämine. Leping ei ole surnud dokument: kontrollige igal aastal lisasid ja alltöötlejate muudatusi.
AKI järelevalve ja sanktsioonid
Volitatud töötleja lepingu olemasolu on üks esimesi asju, mida AKI järelevalves kontrollib. Alates 1. novembrist 2024 kehtib Eestis GDPR-iga kooskõlas olev haldustrahvi süsteem: artikli 28 rikkumise eest võib määrata trahvi kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest (art. 83 lg 4). Varasem Eesti kord piiras juriidilise isiku trahvi 400 000 euroga; uus kord kohaldub rikkumistele, mis on toime pandud pärast 1. novembrit 2024. AKI kui kohtuväline menetleja hindab eelkõige seda, kas leping on olemas, kas see katab kõik kaheksa kohustuslikku elementi ja kas alltöötlejate nimekiri vastab tegelikkusele.
Platvorm nagu Legiscope võimaldab koondada kõik volitatud töötleja lepingud ühte kohta ja siduda need automaatselt registri töötlemistoimingutega, nii et ükski teenusepakkuja ei jää lepinguta.
Alltöötlemine ja pilveteenused
Suurem osa Eesti ettevõtete volitatud töötleja suhetest puudutab pilveteenuseid – majutust, tarkvara-teenust (SaaS), e-kirjade platvorme, varundust. Just siin tekivad kõige sagedasemad artikli 28 probleemid. Esimene neist on alltöötlemise ahel: pilveteenuse pakkuja kasutab omakorda taristupakkujat (näiteks AWS, Microsoft Azure või Google Cloud), kes võib kasutada veel omakorda alltöötlejaid. Vastutav töötleja peab teadma kogu ahelat, sest ta jääb vastutavaks selle eest, kus tema andmeid tegelikult töödeldakse. Nõudke teenusepakkujalt ajakohast alltöötlejate nimekirja ja fikseerige lepingus üldise loa korral vastuväite õigus.
Teine korduv probleem on andmete tegelik asukoht. Paljud pilveteenuse pakkujad on registreeritud Euroopas, kuid nende tugi, varundus või taristu asub kolmandas riigis, sageli USA-s. Sellisel juhul toimub kolmandasse riiki edastamine ja vaja on artikli 46 kaitsemeetmeid, tüüpiliselt tüüptingimusi (2021/914), täiendatuna edastamise mõjuhinnanguga. Kontrollige andmete tegelikku asukohta, mitte üksnes teenusepakkuja peakontori asukohta.
Kolmas probleem on standardlepingu tasakaalustamatus. Suurte pilveteenuse pakkujate volitatud töötleja lepingud on koostatud pakkuja huve silmas pidades: need piiravad sageli vastutust, kitsendavad auditiõigust ja jätavad alltöötlejate muutmise pakkuja ainuotsustada. Väiksemal vastutaval töötlejal on keeruline neid tingimusi muuta, kuid ta peab vähemalt teadma, millega ta nõustub, ja hindama, kas jääkrisk on aktsepteeritav. Pilveteenuste andmekaitse hindamine tuleb siduda töötlemise registriga, et iga pilves töödeldav andmekogum oleks kaetud kehtiva lepinguga.
Kaasvastutavad töötlejad: kui rollijaotus on jagatud
Kõik andmesuhted ei mahu vastutava ja volitatud töötleja skeemi. Kui kaks või enam organisatsiooni määravad ühiselt töötlemise eesmärgid ja vahendid, on tegemist kaasvastutavate töötlejatega artikli 26 tähenduses – mitte volitatud töötlemisega. Sel juhul ei sõlmita mitte volitatud töötleja lepingut, vaid kaasvastutuse kokkulepet, milles jaotatakse GDPR-i kohustused, eelkõige andmesubjektide õiguste tagamine ja teavitamiskohustus.
Rollijaotuse õige määratlemine on praktikas keeruline, kuid määrava tähtsusega, sest sellest sõltub kogu lepinguline ülesehitus. Näiteks kui turundusagentuur järgib rangelt kliendi juhiseid, on ta volitatud töötleja; kui ta aga kasutab kogutud andmeid ka oma eesmärkidel, muutub ta kõnealuse töötlemise osas vastutavaks või kaasvastutavaks töötlejaks. Sama küsimus tekib ühiste kampaaniate, andmete vahetamise ja platvormide puhul, kus mitu osalist saavad andmetest kasu.
Kvalifitseerimisel tuleb lähtuda tegelikust rollist, mitte pooltevahelisest kokkuleppest. Euroopa Andmekaitsenõukogu suunised (07/2020) käsitlevad vastutava ja volitatud töötleja mõisteid põhjalikult ja aitavad piiripealseid olukordi lahendada. Enne mis tahes lepingu koostamist tuleb seega rollid selgelt määratleda – see on ka töötlemise registri korrektse täitmise eeldus, sest register kajastab, millises rollis organisatsioon iga töötlemistoimingu puhul tegutseb.
Korduma kippuvad küsimused
Kas pilveteenuse pakkuja standardleping on piisav?
Sageli on see lähtepunkt, kuid seda tuleb kontrollida, mitte pimesi allkirjastada. Veenduge, et leping katab kõik kaheksa artikli 28 lõike 3 elementi, sisaldab ajakohast alltöötlejate nimekirja, sätestab rikkumisest teavitamise tähtaja ja käsitleb kolmandatesse riikidesse edastamist. Kui mõni element puudub, tuleb see lisada või pakkujaga läbi rääkida.
Kas leping on kohustuslik ka väikese teenusepakkujaga?
Jah. Artikli 28 lõige 3 ei näe ette ühtki künnist: niipea kui kolmas isik töötleb teie nimel isikuandmeid, on kirjalik leping – sealhulgas elektroonilisel kujul – kohustuslik. Teenusepakkuja suurus või andmemaht ei muuda seda.
Kas võib kasutada Euroopa Komisjoni tüüptingimusi?
Jah. Rakendusotsus (EL) 2021/915 pakub artikli 28 tüüptingimusi, mida saab kasutada sisulisi muudatusi tegemata. Tähelepanu: need ei ole samad, mis 2021/914 kolmandatesse riikidesse edastamise tüüptingimused – kaht komplekti võib kohaldada koos.
Mis juhtub, kui volitatud töötleja lepingut ei ole?
Lepingu puudumine on iseseisev artikli 28 rikkumine, mille eest võib määrata haldustrahvi kuni 10 miljonit eurot või 2% aastakäibest. Lisaks tekib intsidendi korral suur lepinguline risk: ilma lepinguta ei ole rollide ja vastutuse jaotus dokumenteeritud, vaid vaieldav.
Kokkuvõte
Hea volitatud töötleja leping mahub kaheksasse kohustuslikku klauslisse: töötlemise kirjeldus, juhistepõhisus, konfidentsiaalsus, turvameetmed, alltöötlemise kord, abistamine õiguste teostamisel, abistamine artiklite 32–36 kohustuste täitmisel ning andmete saatus lepingu lõppedes. Kvalifitseerige kõigepealt rollid, kasutage alusena Euroopa Komisjoni tüüptingimusi või valmis näidist, kohandage lisad iga teenusepakkuja järgi ning auditeerige olemasolevaid lepinguid – see on üks esimesi dokumente, mida AKI järelevalves välja küsib. Täieliku allkirjastamiseks valmis teksti leiate meie volitatud töötleja lepingu näidisest.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial