Alltöövõtjate jagatud vastutus

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Läbivalt viidatakse kogu tekstis volitatud töötlejatele koos vastutavate töötlejatega. Artikli 4-8 kohaselt on volitatud töötleja „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel“. Ta saab tegutseda üksnes lepingu või muu Euroopa Liidu õigusakti raames, milles on kordatud tema andmekaitsekohustusi (artikkel 28-3).

2017. aasta septembris avaldas CNIL alltöövõtja juhendi, milles selgitatakse tema rolli ja olemust andmetöötlus- ja kaitseahelas.

Vaatamata täpsele definitsioonile võib alltöövõtja mõiste kehtida paljude struktuuride kohta, mis on loetletud järgmiselt:

„– IT-teenuse pakkujad (majutus, hooldus jne), tarkvaraintegraatorid, IT-turbeettevõtted, digitaalsete teenuste ettevõtted või endised IT-teenuste ja inseneriettevõtted (SSII), kellel on juurdepääs andmetele;

– turundus- või kommunikatsiooniagentuurid, mis töötlevad klientide nimel isikuandmeid;

– üldisemalt iga organisatsioon, mis pakub teenust või osutab teise organisatsiooni nimel isikuandmete töötlemist;

– sellise kvalifikatsiooni saamist võidakse nõuda ka avalik-õiguslikult asutuselt või ühingult.

Palun arvestage, et alltöövõtja vastutab andmete enda nimel töötlemisel (nt personalijuhtimine). See kehtib ka juhul, kui alltöövõtja määrab ise töötlemise eesmärgi ja vahendid.

Kahtluse korral staatuse osas – kas vastutav töötleja või volitatud töötleja – viitab CNIL Euroopa järelevalveasutuste 16. veebruari 2010. aasta arvamusele, mis pakub välja mitmeid vihjeid, mida saab kasutada:

– teenuseosutaja autonoomia oma teenuse osutamisel;

– teenuse jälgimine;

– teenusepakkuja lisaväärtus ehk asjatundlikkus;

– teenusepakkuja kasutamise läbipaistvuse aste (kas kliendi teenuseid kasutavatele asjaomastele isikutele on tema identiteet teada?).

Isikuandmete kaitse üldmääruse kohaselt vastutab volitatud töötleja ühiselt. Ta „aitab vastutaval töötlejal tagada kohustuste täitmise“ (artikli 28 lõike 3 punkt f). Ta peab „registrit kõigi vastutava töötleja nimel teostatavate töötlemistoimingute kategooriate kohta“ (artikli 30 lõike 2 punkt). Ja enamasti peab ta määrama ka andmekaitseametniku (artikkel 37), mille juurde me hiljem tagasi tuleme.

CNIL täpsustab oma juhendis, mida mõeldakse „piisavate tagatiste” all, mida alltöövõtja peab oma töö tegemiseks pakkuma:

– läbipaistvus ja jälgitavus (leping, juhised, register ja kogu teave, mis on vajalik kohustuste täitmise tõendamiseks);

– isikuandmete lõimitud ja vaikimisi kaitse (minimaalne töötlemine, eesmärgiga seotud ja ainult sellel eesmärgil piiratud kestus);

– töödeldavate andmete turvalisus (konfidentsiaalsus, teavitamine andmetega seotud rikkumise korral, andmete kustutamine või tagastamine teenuse lõppedes);

– abi, hoiatus ja nõustamine.

Kui alltöövõtja samuti alltöövõttu sõlmib, peab ta kõigepealt saama andmetöötlejalt kirjaliku loa (art. 28-2). Teisel alltöövõtjal on samad kohustused, isegi kui ta on asutatud väljaspool Euroopa Liitu. Kui ta neid kohustusi ei täida, vastutab esimene alltöövõtja. Teisisõnu, probleemi korral ei saa end vabandada teenusepakkuja asukohaga Marokos või Singapuris, et õigustada isikuandmete kaitse üldmäärusega vastuolus olevat töötlemist.

CNIL soovitab muuta kehtivaid lepinguid muudatuste kaudu, et lisada Euroopa määruses sätestatud kohustuslikud klauslid.

Kui alltöövõtja tegutseb mitmes ELi riigis, on võimalik kasutada ühtset kontaktpunkti. Artikli 56 lõike 1 kohaselt on „juhtiv asutus” see, kus asub peamine tegevuskoht. Kui alltöövõtjal ei ole ELis tegevuskohta, peab ta määrama esindaja, kes on andmesubjektide ja järelevalveasutuste kontaktisik.

Alltöövõtjale tema kohustuste täitmata jätmise korral kohaldatavad sanktsioonid võivad olla sama karmid kui andmetöötlejale.