Kas otsite volitatud töötleja lepingu (Data Processing Agreement, DPA) näidist, mis vastab isikuandmete kaitse üldmääruse (GDPR) artiklile 28? Siin see on – täielik ja kohandamiseks valmis. Volitatud töötleja leping on kohustuslik niipea, kui teenusepakkuja töötleb isikuandmeid vastutava töötleja nimel: majutus, tarkvara-teenus (SaaS), turundusagentuur, palgaarvestust tegev raamatupidaja. Lepingu puudumine on iseseisev rikkumine, mille eest saab karistada sõltumata intsidendist. See juhend sisaldab täielikku näidist artikkel artikli haaval, seejärel selgitab, kuidas seda oma olukorra järgi kohandada, ja loetleb levinud vead. Õigusliku raamistiku üksikasjad leiate meie artikli 28 juhendist.
Volitatud töötleja lepingu täielik näidis
ISIKUANDMETE TÖÖTLEMISE LEPING
Sõlmitud [Ettevõte X OÜ], registrikood […], aadress […], edaspidi Vastutav töötleja, ja [Ettevõte Y OÜ], registrikood […], aadress […], edaspidi Volitatud töötleja, vahel.
1. Ese. Käesolev leping reguleerib isikuandmete töötlemist, mida Volitatud töötleja teostab Vastutava töötleja nimel [kuupäev] sõlmitud põhilepingu täitmisel, kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (GDPR) artikliga 28.
2. Töötlemise kirjeldus.
- Töötlemise laad: [kogumine, majutamine, salvestamine, päringute tegemine…]
- Eesmärk: [nt personalihaldustarkvara majutamine]
- Isikuandmete liigid: [nimi, kontaktandmed, isikukood, logiandmed…]
- Andmesubjektide liigid: [töötajad, kliendid, potentsiaalsed kliendid…]
- Kestus: põhilepingu kehtivuse aeg.
3. Juhised. Volitatud töötleja töötleb isikuandmeid üksnes Vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas kolmandatesse riikidesse edastamisel, välja arvatud kui seda nõuab Euroopa Liidu või liikmesriigi õigus. Volitatud töötleja teavitab Vastutavat töötlejat viivitamata, kui juhis on tema hinnangul vastuolus GDPR-iga.
4. Konfidentsiaalsus. Volitatud töötleja tagab, et isikuandmeid töötlema volitatud isikud on võtnud konfidentsiaalsuskohustuse või on seotud asjakohase seadusest tuleneva saladuse hoidmise kohustusega.
5. Turvalisus. Volitatud töötleja rakendab GDPR artiklis 32 ette nähtud tehnilisi ja korralduslikke meetmeid, mis on kirjeldatud Lisas 2, sealhulgas: andmete krüpteerimine edastamisel ja säilitamisel, juurdepääsuõiguste haldus, logimine, testitud varukoopiad ning intsidentide käsitlemise kord.
6. Alltöötlemine. Volitatud töötleja ei kaasa teist töötlejat ilma Vastutava töötleja eelneva [üldise / konkreetse] kirjaliku loata. Üldise loa korral teavitab Volitatud töötleja Vastutavat töötlejat igast kavandatavast muudatusest (nimekiri Lisas 3), andes [30] päeva vastuväite esitamiseks. Volitatud töötleja seab alltöötlejatele samad kohustused ja jääb nende tegevuse eest täielikult vastutavaks.
7. Andmesubjektide õigused. Volitatud töötleja abistab Vastutavat töötlejat asjakohaste tehniliste ja korralduslike meetmetega andmesubjektide õiguste teostamise taotlustele vastamisel (GDPR art. 15–22). Volitatud töötleja edastab talle otse laekunud taotlused viivitamata, vastamata neile ise.
8. Rikkumised. Volitatud töötleja teavitab Vastutavat töötlejat igast isikuandmetega seotud rikkumisest põhjendamatu viivituseta ja hiljemalt [24/48] tunni jooksul pärast sellest teadasaamist, esitades GDPR artikli 33 lõikes 3 nimetatud teabe.
9. Abistamine. Volitatud töötleja abistab Vastutavat töötlejat GDPR artiklite 32–36 kohustuste (turvalisus, rikkumisest teavitamine, mõjuhinnang, eelnev konsulteerimine) täitmisel, arvestades töötlemise laadi ja tema käsutuses olevat teavet.
10. Andmete saatus. Lepingu lõppedes Volitatud töötleja Vastutava töötleja valikul kas kustutab või tagastab kõik isikuandmed ja hävitab olemasolevad koopiad, välja arvatud seadusest tulenev säilitamiskohustus. Kustutamist kinnitatakse kirjalikult.
11. Audit. Volitatud töötleja teeb kättesaadavaks kogu teabe, mis on vajalik käesoleva lepingu täitmise tõendamiseks, ning võimaldab auditeid, sealhulgas kohapealseid kontrolle, Vastutava töötleja või tema volitatud audiitori poolt [15] päevase etteteatamisega.
12. Kolmandatesse riikidesse edastamine. Iga edastamine kolmandasse riiki toimub kaitse piisavuse otsuse või GDPR artikli 46 asjakohaste kaitsemeetmete (2021/914 tüüptingimused) alusel, täiendatuna vajaduse korral edastamise mõjuhinnanguga.
Lisad: 1. Töötlemise üksikasjalik kirjeldus — 2. Turvameetmed — 3. Lubatud alltöötlejate nimekiri.
Kuidas näidist kohandada
Määratlege kõigepealt rollid. See näidis eeldab vastutava ja volitatud töötleja suhet. Kui teenusepakkuja määrab ise eesmärgid, on ta ise vastutav töötleja ja lepinguline ülesehitus on erinev. Rollide määratlemine on ka töötlemise registri alus.
Valige alltöötlemise režiim. Üldine luba (koos vastuväite õigusega) on SaaS-teenustes tavaline; konkreetne luba on põhjendatud tundlike andmete või kriitiliste töötlemiste puhul. Täitke Lisa 3 tegeliku alltöötlejate nimekirjaga – nõudke seda teenusepakkujalt.
Määrake rikkumisest teavitamise tähtaeg. Artikli 33 lõige 2 ütleb “põhjendamatu viivituseta” – fikseerige lepingus 24 või 48 tundi, muidu ei jõua te ise oma 72 tunni tähtaega AKI-le pidada.
Täitke turvalisuse lisa konkreetselt. Tühi või üldsõnaline lisa (“tehnika tasemele vastavad meetmed”) ei täida artiklit 32. Loetlege kontrollitavad meetmed: krüpteerimine, mitmeastmeline autentimine, testitud varukoopiad, juurdepääsuõiguste haldus.
Levinud vead
- Teenusepakkuja lepingu allkirjastamine seda lugemata. Suurte pakkujate mallid piiravad sageli vastutust ja auditiõigust.
- “Nähtamatute” teenusepakkujate unustamine: piletisüsteem, CRM, e-kirjade saatja, arhiivide hävitaja. Võrrelge iga leping oma registriga.
- Juhiste dokumenteerimata jätmine – säilitage juhised lisade ja tellimustena.
- Kolmandatesse riikidesse edastamise ignoreerimine, mida teenusepakkuja ise teostab (USA tugi, varumajutus).
- Lepingu jätmine ilma järelevalveta – kontrollige lisasid ja alltöötlejaid vähemalt kord aastas.
Tööriist nagu Legiscope võimaldab koondada kõik lepingud ühte kohta ja siduda need automaatselt registri töötlemistoimingutega.
Lisade täitmine: turvameetmed ja alltöötlejad
Näidise kõige olulisem, kuid sageli hooletusse jäetud osa on lisad. Just lisad muudavad üldise malli konkreetse teenusepakkuja jaoks siduvaks ja auditeeritavaks.
Lisa 1 – töötlemise üksikasjalik kirjeldus peab vastama artikli 28 lõike 3 sissejuhatuse nõudele. See kordab ja täpsustab lepingu punkti 2: milliseid andmeliike, milliste andmesubjektide kohta, mis eesmärgil ja kui kaua töödeldakse. Kirjeldus peab langema kokku teie töötlemise registriga – kui register näitab, et teenusepakkuja töötleb töötajate palgaandmeid, peab seda kajastama ka lisa.
Lisa 2 – turvameetmed on koht, kus enamik lepinguid ebaõnnestub. Üldsõnaline lause “teenusepakkuja rakendab tehnika tasemele vastavaid meetmeid” ei täida artiklit 32. Lisa peab loetlema kontrollitavad meetmed: andmete krüpteerimine edastamisel (TLS) ja säilitamisel, mitmeastmeline autentimine, juurdepääsuõiguste haldus rollipõhiselt, logimine ja logide säilitamine, testitud varukoopiad, taasteplaan, haavatavuste haldus ja intsidentide käsitlemise kord. Mida konkreetsem lisa, seda tugevam on teie positsioon nii lepinguliselt kui ka rikkumise korral.
Lisa 3 – alltöötlejate nimekiri peab olema ajakohane ja tegelik. Nõudke teenusepakkujalt täielikku nimekirja koos iga alltöötleja rolli ja asukohaga. See võimaldab tuvastada kolmandatesse riikidesse edastamise ja hinnata kogu töötlemisahelat. Üldise loa korral fikseerige, et teenusepakkuja teavitab teid muudatustest ette, andes teile vastuväite õiguse. Tühi või vananenud Lisa 3 on klassikaline järelevalves märgatav puudus.
Lepingu allkirjastamine ja haldus
Volitatud töötleja leping tuleb sõlmida kirjalikult, sealhulgas elektrooniliselt (art. 28 lg 9). Elektrooniline allkiri – näiteks eIDAS-määrusele vastav digiallkiri, mis on Eestis laialdaselt kasutusel – on täiesti piisav ja praktikas tavapärane. Leping ei pea olema paberil ega käsitsi allkirjastatud; oluline on, et selle olemasolu ja sisu oleks hiljem tõendatav.
Lepingu haldus ei lõpe allkirjastamisega. Leping on elav dokument, mille lisasid – eelkõige alltöötlejate nimekirja ja turvameetmeid – tuleb ajakohastada, kui teenusepakkuja muudab oma alltöötlejaid või taristut. Seetõttu tasub vähemalt kord aastas üle vaadata kõik kehtivad lepingud ja kontrollida, kas lisad vastavad tegelikkusele. Uue teenusepakkuja kaasamisel tuleb leping sõlmida enne andmete edastamist, mitte tagantjärele.
Kõige tõhusam viis lepinguid hallata on siduda need töötlemise registriga: iga registris nimetatud vastuvõtja, kes on volitatud töötleja, peab olema kaetud kehtiva lepinguga. Nii muutub nähtavaks, kui mõni teenusepakkuja on jäänud lepinguta – see on üks sagedasemaid järelevalves ilmnevaid puudusi.
Korduma kippuvad küsimused
Mitu volitatud töötleja lepingut tüüpiline ettevõte vajab?
Nii palju, kui on teenusepakkujaid, kes töötlevad isikuandmeid ettevõtte nimel. Tüüpiline VKE vajab tavaliselt viis kuni viisteist lepingut: majutus, e-post ja SaaS, raamatupidamis- või palgateenus, CRM, e-kirjade platvorm, maksevahendaja, kullerteenus, IT-tugi, arhiivihävitaja. Parim viis kontrollida, et ükski ei puudu, on võrrelda lepingute nimekirja töötlemise registri vastuvõtjatega.
Kas leping on kohustuslik ka väikese teenusepakkujaga?
Jah. Artikli 28 lõige 3 ei näe ette künnist – niipea kui kolmas isik töötleb teie nimel isikuandmeid, on kirjalik leping kohustuslik, sõltumata teenusepakkuja suurusest või andmemahust.
Kas võib kasutada Euroopa Komisjoni tüüptingimusi?
Jah. Rakendusotsus (EL) 2021/915 pakub artikli 28 tüüptingimusi, mida saab kasutada muudatusi tegemata. Ülaltoodud näidis järgib sama sisu operatiivsemas vormis. Tähelepanu: need ei ole samad, mis kolmandatesse riikidesse edastamise tüüptingimused (2021/914).
Kes peaks lepingu koostama – klient või teenusepakkuja?
Praktikas pakub teenusepakkuja sageli oma standardlepingut. Juriidiliselt vastutavad mõlemad pooled lepingu olemasolu ja vastavuse eest, mistõttu klient peaks pakkuja malli alati üle vaatama, mitte pimesi allkirjastama.
Kokkuvõte
Hea volitatud töötleja leping mahub kaheteistkümnesse artiklisse ja kolme lisasse: artikli 28 lõike 3 kaheksa kohustuslikku klauslit, lühike rikkumisest teavitamise tähtaeg, konkreetne turvalisuse lisa ja ajakohane alltöötlejate nimekiri. Kasutage ülaltoodud näidist alusena, kohandage lisad iga teenusepakkuja järgi ja auditeerige olemasolevaid lepinguid – see on üks esimesi dokumente, mida AKI järelevalves välja küsib. Siduge iga leping oma töötlemise registriga, et ükski teenusepakkuja ei jääks lepinguta.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial