7.6.2021   

ET

Euroopa Liidu Teataja

L 199/18


KOMISJONI RAKENDUSOTSUS (EL) 2021/915,

4. juuni 2021,

Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 28 lõike 7 ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 29 lõike 7 kohaste vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta

(EMPs kohaldatav tekst)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), (1) eriti selle artikli 28 lõiget 7,

võttes arvesse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (2) eriti selle artikli 29 lõiget 7,

ning arvestades järgmist:

(1)

Vastutava töötleja ja volitatud töötleja mõisted on määruse (EL) 2016/679 ja määruse (EL) 2018/1725 kohaldamisel määrava tähtsusega. Vastutav töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Määruse (EL) 2018/1725 kohaldamisel käsitatakse vastutava töötlejana liidu institutsiooni või organit, peadirektoraati või muud organisatsioonilist üksust, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud teatava liidu õigusaktiga, saab vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liit. Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.

(2)

Vastutavate töötlejate ja volitatud töötlejate vahelistele suhetele tuleks kohaldada samu lepingu tüüptingimusi nii siis, kui nende suhtes kohaldatakse määrust (EL) 2016/679, kui ka siis, kui nende suhtes kohaldatakse määrust (EL) 2018/1725. See tuleneb asjaolust, et ühtse lähenemisviisi tagamiseks isikuandmete kaitsele kogu liidus ja isikuandmete vabale liikumisele liidus, on liikmesriikide avaliku sektori suhtes kohaldatavad andmekaitsenormid, mis on sätestatud määruses (EL) 2016/679, ning liidu institutsioonide, organite ja asutuste suhtes kohaldatavad andmekaitsenormid, mis on sätestatud määruses (EL) 2018/1725, omavahel võimalikult suures ulatuses vastavusse viidud.

(3)

Selleks et tagada määruste (EL) 2016/679 ja (EL) 2018/1725 nõuete täitmine, peaks vastutav töötleja volitatud töötlejale töötlemistoimingute usaldamisel kasutama ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad määruse (EL) 2016/679 ja määruse (EL) 2018/1725 nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele.

(4)

Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 või määruse (EL) 2018/1725 artikli 29 lõigetes 3 ja 4 loetletud elemendid. See leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

(5)

Kooskõlas määruse (EL) 2016/679 artikli 28 lõikega 6 ja määruse (EL) 2018/1725 artikli 29 lõikega 6 võivad vastutav töötleja ja volitatud töötleja otsustada pidada läbirääkimisi individuaalse lepingu üle, mis sisaldab vastavalt määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 või määruse (EL) 2018/1725 artikli 29 lõigetes 3 ja 4 sätestatud kohustuslikke elemente, või kasutada täielikult või osaliselt lepingu tüüptingimusi, mille komisjon on vastu võtnud vastavalt määruse (EL) 2016/679 artikli 28 lõikele 7 ja määruse (EL) 2018/1725 artikli 29 lõikele 7.

(6)

Vastutaval töötlejal ja volitatud töötlejal peaks olema õigus lisada käesolevas otsuses sätestatud lepingu tüüptingimused laiemasse lepingusse ning lisada muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi või -vabadusi. Lepingu tüüptingimuste kasutamine ei piira vastutava töötleja ja/või volitatud töötleja lepingulisi kohustusi tagada kohaldatavate privileegide ja immuniteetide järgimine.

(7)

Lepingu tüüptingimused peaksid hõlmama nii materiaalõigus- kui ka menetlusnorme. Kooskõlas määruse (EL) 2016/679 artikli 28 lõikega 3 ja määruse (EL) 2018/1725 artikli 29 lõikega 3 tuleks lepingu tüüptingimustega nõuda ka seda, et vastutav töötleja ja volitatud töötleja sätestaksid töötlemise sisu ja kestuse, selle laadi ja eesmärgi, asjaomaste isikuandmete liigi, andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused.

(8)

Vastavalt määruse (EL) 2016/679 artikli 28 lõikele 3 ja määruse (EL) 2018/1725 artikli 29 lõikele 3 peab volitatud töötleja vastutavat töötlejat kohe teavitama, kui vastutava töötleja korraldus läheb tema arvates vastuollu määrusega (EL) 2016/679 või määrusega (EL) 2018/1725 või muude liidu või liikmesriigi andmekaitsealaste sätetega.

(9)

Kui volitatud töötleja kaasab konkreetseks toiminguteks teise volitatud töötleja, tuleks kohaldada määruse (EL) 2016/679 artikli 28 lõigetes 2 ja 4 või määruse (EL) 2018/1725 artikli 29 lõigetes 2 ja 4 osutatud erinõudeid. Eelkõige on nõutav eelnev eriluba või üldine kirjalik luba. Olenemata sellest, kas eelnev luba on eriluba või üldine luba, peaks esimene volitatud töötleja hoidma teiste volitatud töötlejate loetelu ajakohasena.

(10)

Komisjon võttis määruse (EL) 2016/679 artikli 46 lõike 1 nõuete täitmiseks vastavalt määruse (EL) 2016/679 artikli 46 lõike 2 punktile c vastu lepingu tüüptingimused. Need tingimused vastavad ka määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 sätestatud nõuetele, mis käsitlevad andmete edastamist vastutavatelt töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, volitatud töötlejatele, kes ei kuulu kõnealuse määruse territoriaalsesse kohaldamisalasse, või volitatud töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, alamtöötlejatele, kes ei kuulu kõnealuse määruse territoriaalsesse kohaldamisalasse. Neid lepingu tüüptingimusi ei saa kasutada lepingu tüüptingimustena määruse (EL) 2016/679 V peatüki tähenduses.

(11)

Kolmandatel isikutel peaks olema võimalik saada lepingu tüüptingimuste pooleks kogu lepingu kehtivusaja jooksul.

(12)

Lepingu tüüptingimuste toimimist tuleks hinnata määruse (EL) 2016/679 artiklis 97 osutatud kõnealuse määruse korrapärase hindamise osana.

(13)

Määruse (EL) 2018/1725 artikli 42 lõigete 1 ja 2 kohaselt konsulteeriti Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga, kes esitasid 14. jaanuaril 2021 ühisarvamuse, (3) mida on käesoleva otsuse koostamisel arvesse võetud.

(14)

Käesolevas otsuses sätestatud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 ja määruse (EL) 2018/1725 artikli 96 lõike 2 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Lisas sätestatud lepingu tüüptingimused vastavad vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute suhtes määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 ning määruse (EL) 2018/1725 artikli 29 lõigetes 3 ja 4 kehtestatud nõuetele.

Artikkel 2

Lisas sätestatud lepingu tüüptingimusi võib kasutada vastutava töötleja ja tema nimel isikuandmeid töötleva volitatud töötleja vahelistes lepingutes.

Artikkel 3

Komisjon hindab lisas sätestatud lepingu tüüptingimuste praktilist kohaldamist kogu kättesaadava teabe põhjal määruse (EL) 2016/679 artikliga 97 ette nähtud korrapärase hindamise osana.

Artikkel 4

Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Brüssel, 4. juuni 2021

Komisjoni nimel

president

Ursula VON DER LEYEN


(1)  ELT L 119, 4.5.2016, lk 1.

(2)  ELT L 295, 21.11.2018, lk 39.

(3)  Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisarvamus 1/2021, mis käsitleb komisjoni rakendusotsust vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta määruse (EL) 2016/679 artikli 28 lõikes 7 ja määruse (EL) 2018/1725 artikli 29 lõikes 7 osutatud küsimustes.


LISA

Lepingu tüüptingimused

I JAGU

1. tingimus

Eesmärk ja kohaldamisala

a)

Käesolevate lepingu tüüptingimuste (edaspidi „tingimused“) eesmärk on tagada vastavus [valida sobiv variant: 1. VARIANT: Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 (füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)) artikli 28 lõigetele 3 ja 4] / [2. VARIANT: Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ) artikli 29 lõigetele 3 ja 4].

b)

I lisas loetletud vastutavad töötlejad ja volitatud töötlejad on kokku leppinud käesolevates tingimustes, et tagada vastavus määruse (EL) 2016/679 artikli 28 lõigetele 3 ja 4 ja/või määruse (EL) 2018/1725 artikli 29 lõigetele 3 ja 4.

c)

Neid tingimusi kohaldatakse II lisas täpsustatud isikuandmete töötlemise suhtes.

d)

I–IV lisa on tingimuste lahutamatu osa.

e)

Käesolevad tingimused ei piira nende kohustuste täitmist, mis kehtivad vastutava töötleja suhtes määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 alusel.

f)

Käesolevad tingimused ei taga iseenesest isikuandmete rahvusvahelise edastamisega seotud kohustuste täitmist kooskõlas määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 V peatükiga.

2. tingimus

Tingimuste muutumatus

a)

Lepingu tüüptingimuste pooled kohustuvad tingimusi mitte muutma, välja arvatud lisadesse teabe lisamiseks või neis sisalduva teabe ajakohastamiseks.

b)

See ei takista pooli lisamast käesolevates tingimustes sätestatud lepingu tüüptingimusi laiemasse lepingusse või lisamast muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe käesolevate tingimustega otseselt ega kaudselt vastuollu ega piira andmesubjektide põhiõigusi või -vabadusi.

3. tingimus

Tõlgendamine

a)

Kui käesolevates tingimustes kasutatakse vastavalt kas määruses (EL) 2016/679 või määruses (EL) 2018/1725 määratletud mõisteid, on neil mõistetel sama tähendus kui nimetatud määruses.

b)

Käesolevaid tingimusi mõistetakse ja tõlgendatakse vastavalt kas määruse (EL) 2016/679 või määruse (EL) 2018/1725 sätteid silmas pidades.

c)

Käesolevaid tingimusi ei tõlgendata viisil, mis on vastuolus määruses (EL) 2016/679 või määruses (EL) 2018/1725 sätestatud õiguste ja kohustustega, ega viisil, mis piirab andmesubjektide põhiõigusi või -vabadusi.

4. tingimus

Hierarhia

Käesolevate tingimuste ja nende kokkuleppimise ajal poolte vahel kehtinud või hiljem sõlmitud seotud lepingute sätete vastuolu korral kohaldatakse käesolevaid tingimusi.

5. tingimus – vabatahtlik

Ühinemistingimus

a)

Üksus, kes ei ole käesolevate tingimuste pool, võib kõigi poolte nõusolekul käesolevate tingimustega igal ajal ühineda vastutava töötleja või volitatud töötlejana, selleks täidab ta lisad ja allkirjastab I lisa.

b)

Pärast punktis a nimetatud lisade täitmist ja allkirjastamist käsitatakse ühinevat üksust käesolevate tingimuste poolena ning tal on vastutava töötleja või volitatud töötleja õigused ja kohustused vastavalt tema tähistusele I lisas.

c)

Ühinevale üksusele ei tulene pooleks saamise eelsel perioodil käesolevatest tingimustest õigusi ega kohustusi.

II JAGU

POOLTE KOHUSTUSED

6. tingimus

Töötlemistoimingute kirjeldus

Töötlemistoimingute üksikasjad, eelkõige isikuandmete liigid ja töötlemise eesmärgid, milleks isikuandmeid vastutava töötleja nimel töödeldakse, on täpsustatud II lisas.

7. tingimus

Poolte kohustused

7.1.   Juhised

a)

Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, välja arvatud juhul, kui ta on kohustatud seda tegema tema suhtes kohaldatava liidu või liikmesriigi õigusega. Sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu seadusega keelatud. Vastutav töötleja võib anda edasisi juhiseid ka isikuandmete töötlemise kestel. Need juhised tuleb alati dokumenteerida.

b)

Volitatud töötleja teavitab vastutavat töötlejat kohe, kui vastutava töötleja antud juhised lähevad volitatud töötleja arvates vastuollu määruse (EL) 2016/679 või määruse (EL) 2018/1725 või kohaldatavate liidu või liikmesriigi andmekaitsealaste sätetega.

7.2.   Eesmärgikohasus

Volitatud töötleja töötleb isikuandmeid üksnes töötlemise konkreetsel eesmärgil (konkreetsetel eesmärkidel), nagu on sätestatud II lisas, välja arvatud juhul, kui ta saab vastutavalt töötlejalt täiendavaid juhiseid.

7.3.   Isikuandmete töötlemise kestus

Volitatud töötleja töötleb isikuandmeid ainult II lisas kindlaksmääratud aja jooksul.

7.4.   Töötlemise turvalisus

a)

Volitatud töötleja rakendab isikuandmete turvalisuse tagamiseks vähemalt III lisas täpsustatud tehnilisi ja korralduslikke meetmeid. See hõlmab andmete kaitsmist sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (isikuandmetega seotud rikkumine). Vajaliku turvalisuse taseme hindamisel võtavad pooled nõuetekohaselt arvesse tehnika taset, rakendamise kulusid, isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning andmesubjektidele kaasnevaid ohte.

b)

Volitatud töötleja annab oma töötajatele töödeldavatele isikuandmetele juurdepääsu üksnes ulatuses, mis on rangelt vajalik lepingu täitmiseks, haldamiseks ja selle täitmise üle tehtavaks järelevalveks. Volitatud töötleja tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

7.5.   Tundlikud andmed

Kui töödeldakse isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, geneetilisi andmeid või füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu või seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab volitatud töötleja konkreetseid piiranguid ja/või täiendavaid kaitsemeetmeid.

7.6.   Dokumendid ja nõuetele vastavus

a)

Pooled peavad suutma tõendada käesolevate tingimuste täitmist.

b)

Volitatud töötleja tegeleb viivitamata ja asjakohaselt vastutava töötleja päringutega andmete töötlemise kohta kooskõlas käesolevate tingimustega.

c)

Volitatud töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevates tingimustes sätestatud ja otseselt määrusest (EL) 2016/679 ja/või määrusest (EL) 2018/1725 tulenevate kohustuste täitmise tõendamiseks. Volitatud töötleja lubab ja aitab vastutava töötleja taotluse korral mõistlike ajavahemike järel, või kui on tõendeid tingimustele mittevastavuse kohta, teha käesolevate tingimustega hõlmatud töötlemistoimingute auditeid. Vastutav töötleja võib läbivaatamise või auditi tegemise üle otsustamisel võtta arvesse volitatud töötleja asjakohaseid sertifikaate.

d)

Vastutav töötleja võib otsustada teha auditi ise või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike volitatud töötleja tööruumidesse või füüsilistesse rajatistesse ning vajaduse korral tehakse neid mõistliku etteteatamisega.

e)

Pooled teevad selles tingimuses osutatud teabe, sealhulgas auditite tulemused taotluse korral kättesaadavaks pädeva(te)le järelevalveasutus(t)ele.

7.7.   Alamtöötlejate kasutamine

a)

1. VARIANT: EELNEV ERILUBA. Volitatud töötleja ei telli käesolevate tingimuste kohaselt vastutava töötleja nimel tehtavate töötlemistoimingute tegemist alamtöötlejalt ilma vastutava töötleja eelneva kirjaliku eriloata. Volitatud töötleja esitab eriloa taotluse vähemalt [MÄRKIDA AJAVAHEMIK] enne kõnealuse alamtöötleja kaasamist koos teabega, mis on vajalik, et vastutav töötleja saaks loa kohta otsuse teha. Vastutava töötleja loa saanud alamtöötlejate loetelu on esitatud IV lisas. Pooled hoiavad IV lisa ajakohasena.

2. VARIANT: ÜLDINE KIRJALIK LUBA. Volitatud töötlejal on vastutava töötleja üldine luba kaasata kokkulepitud loetellu kuuluvad alamtöötlejad. Volitatud töötleja teavitab vastutavat töötlejat kindlasti igast kõnealuse loetelu kavandatud muudatusest, st alamtöötlejate lisamisest või asendamisest, kirjalikult vähemalt [MÄRKIDA AJAVAHEMIK] ette, andes vastutavale töötlejale enne asjaomas(t)e alamtöötleja(te) kaasamist seega piisavalt aega sellistele muudatustele vastuväiteid esitada. Volitatud töötleja esitab vastutavale töötlejale teabe, mis on vajalik, et vastutav töötleja saaks kasutada õigust esitada vastuväiteid.

b)

Kui volitatud töötleja kaasab konkreetsete töötlemistoimingute tegemiseks (vastutava töötleja nimel) alamtöötleja, teeb ta seda lepinguga, millega kehtestatakse alamtöötlejale sisuliselt samad andmekaitsekohustused, mis on volitatud töötlejal käesolevate tingimuste kohaselt. Volitatud töötleja tagab, et alamtöötleja täidab volitatud töötleja suhtes käesolevate tingimuste ning määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 kohaselt kohaldatavaid kohustusi.

c)

Volitatud töötleja esitab vastutava töötleja taotlusel vastutavale töötlejale sellise alamtöötluslepingu koopia ja kõik hilisemad muudatused. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib volitatud töötleja asjaomase osa lepingu tekstist enne koopia edastamist välja jätta.

d)

Volitatud töötleja jääb vastutava töötleja ees täielikult vastutavaks alamtöötleja kohustuste täitmise eest vastavalt volitatud töötlejaga sõlmitud lepingule. Volitatud töötleja teavitab vastutavat töötlejat, kui alamtöötleja ei täida oma lepingulisi kohustusi.

e)

Volitatud töötleja lepib alamtöötlejaga kokku soodustatud kolmandat isikut käsitlevas tingimuses, mille kohaselt on vastutaval töötlejal juhul, kui volitatud töötleja on teadaolevalt kadunud, oma seadusjärgse tegevuse lõpetanud või maksejõuetuks muutunud, õigus alamtöötleja leping lõpetada ja anda alamtöötlejale korraldus isikuandmed kustutada või tagastada.

7.8.   Isikuandmete rahvusvaheline edastamine

a)

Volitatud töötleja edastab andmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes vastutava töötleja dokumenteeritud juhiste alusel või volitatud töötleja suhtes kohaldatavast liidu või liikmesriigi õigusest tuleneva konkreetse nõude täitmiseks ning edastamine toimub kooskõlas määruse (EL) 2016/679 või määruse (EL) 2018/1725 V peatükiga.

b)

Vastutav töötleja nõustub, et kui volitatud töötleja kaasab konkreetsete töötlemistoimingute tegemiseks (vastutava töötleja nimel) tingimuse 7.7 kohaselt alamtöötleja ja need töötlemistoimingud hõlmavad isikuandmete edastamist määruse (EL) 2016/679 V peatüki tähenduses, saavad volitatud töötleja ja alamtöötleja kasutada määruse (EL) 2016/679 V peatüki järgimise tagamiseks komisjoni poolt määruse (EL) 2016/679 artikli 46 lõike 2 kohaselt vastu võetud lepingu tüüptingimusi, kui nende lepingu tüüptingimuste kasutamise tingimused on täidetud.

8. tingimus

Vastutava töötleja abistamine

a)

Volitatud töötleja teavitab vastutavat töötlejat viivitamata igast andmesubjektilt saadud taotlusest. Ta ei vasta taotlusele ise, välja arvatud juhul, kui vastutav töötleja on andnud selleks loa.

b)

Volitatud töötleja aitab vastutaval töötlejal täita kohustust vastata andmesubjektide taotlustele kasutada oma õigusi, võttes arvesse isikuandmete töötlemise laadi. Punktide a ja b kohaste kohustuste täitmisel järgib volitatud töötleja vastutava töötleja juhiseid.

c)

Lisaks volitatud töötleja kohustusele abistada vastutavat töötlejat 8. tingimuse punkti b kohaselt aitab volitatud töötleja vastutavat töötlejat ka järgmiste kohustuste täitmise tagamisel, võttes arvesse andmetöötluse laadi ja volitatud töötlejale kättesaadavat teavet:

1)

kohustus hinnata kavandatavate töötlemistoimingute mõju isikuandmete kaitsele (edaspidi „andmekaitsealane mõjuhinnang“), kui teatava töötlemisviisiga kaasneb tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele;

2)

kohustus konsulteerida enne isikuandmete töötlemist pädeva(te) järelevalveasutus(te)ega, kui andmekaitsealasest mõjuhinnangust nähtub, et töötlemise tulemusena tekiks suur oht, kui vastutav töötleja ei võta ohu leevendamiseks meetmeid;

3)

kohustus tagada isikuandmete õigsus ja ajakohasus, teavitades vastutavat töötlejat viivitamata, kui volitatud töötleja saab teada, et tema töödeldavad isikuandmed on ebaõiged või aegunud;

4)

kohustused, mis on sätestatud [1. VARIANT: määruse (EL) 2016/679 artiklis 32] / [2. VARIANT: määruse (EL) 2018/1725 artiklites 33 ja 36–38].

d)

Lepingu tüüptingimuste pooled sätestavad III lisas asjakohased tehnilised ja korralduslikud meetmed, mille abil volitatud töötleja peab vastutavat töötlejat käesoleva tingimuse kohaldamisel aitama, ning vajaliku abi ulatuse ja määra.

9. tingimus

Isikuandmetega seotud rikkumisest teatamine

Isikuandmetega seotud rikkumise korral teeb volitatud töötleja vastutava töötlejaga koostööd ja aitab tal täita kohustusi, mis tulenevad määruse (EL) 2016/679 artiklitest 33 ja 34 või asjakohasel juhul määruse (EL) 2018/1725 artiklitest 34 ja 35, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet.

9.1.   Vastutava töötleja töödeldavate andmetega seotud rikkumine

Vastutava töötleja töödeldavate isikuandmetega seotud rikkumise korral aitab volitatud töötleja vastutaval töötlejal:

a)

teavitada pädevat järelevalveasutust / pädevaid järelevalveasutusi isikuandmetega seotud rikkumisest põhjendamatu viivituseta pärast seda, kui vastutav töötleja on rikkumisest teada saanud, kui see on asjakohane / (välja arvatud juhul, kui isikuandmetega seotud rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele);

b)

saada järgmist teavet, mis esitatakse vastavalt [1. VARIANT: määruse (EL) 2016/679 artikli 33 lõikele 3] / [2. VARIANT: määruse (EL) 2018/1725 artikli 34 lõikele 3] vastutava töötleja teates ja peab sisaldama vähemalt järgmist:

1)

isikuandmete laad, sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv;

2)

isikuandmetega seotud rikkumise tõenäolised tagajärjed;

3)

vastutava töötleja võetud või võtmiseks kavandatud meetmed isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral meetmed rikkumise võimaliku kahjuliku mõju leevendamiseks.

Juhul ja niivõrd, kui kogu seda teavet ei ole võimalik esitada korraga, peab esialgne teade sisaldama sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta;

c)

täita vastavalt [1. VARIANT: määruse (EL) 2016/679 artiklile 34] / [2. VARIANT: määruse (EL) 2018/1725 artiklile 35] kohustust teavitada andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.

9.2.   Volitatud töötleja töödeldavate andmetega seotud rikkumine

Volitatud töötleja töödeldavate isikuandmetega seotud rikkumise korral teavitab volitatud töötleja vastutavat töötlejat põhjendamatu viivituseta pärast seda, kui volitatud töötleja on rikkumisest teada saanud. Selline teade peab sisaldama vähemalt järgmist:

a)

rikkumise laadi kirjeldus (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomased andmekirjed);

b)

isikuandmetega seotud rikkumise kohta lisateavet andva kontaktpunkti andmed;

c)

rikkumise tõenäolised tagajärjed ning rikkumise lahendamiseks, sealhulgas rikkumise võimaliku kahjuliku mõju leevendamiseks võetud või võtmiseks kavandatud meetmed.

Juhul ja niivõrd, kui kogu seda teavet ei ole võimalik esitada korraga, peab esialgne teade sisaldama sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta.

Lepingu tüüptingimuste pooled määravad III lisas kindlaks kõik muud elemendid, mille volitatud töötleja peab esitama, kui ta abistab vastutavat töötlejat [1. VARIANT: määruse (EL) 2016/679 artiklites 33 ja 34] / [2. VARIANT: määruse (EL) 2018/1725 artiklites 34 ja 35] sätestatud vastutava töötleja kohustuste täitmisel.

III JAGU

LÕPPSÄTTED

10. tingimus

Mittevastavus tingimustele ja lepingu lõpetamine

a)

Ilma et see piiraks määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 sätete kohaldamist, võib vastutav töötleja juhul, kui volitatud töötleja ei täida käesolevatest tingimustest tulenevaid kohustusi, anda volitatud töötlejale korralduse peatada isikuandmete töötlemine seniks, kuni volitatud töötleja järgib käesolevaid tingimusi või leping lõpetatakse. Volitatud töötleja teavitab vastutavat töötlejat viivitamata, kui ta ei suuda käesolevaid tingimusi mis tahes põhjusel täita.

b)

Vastutaval töötlejal on õigus lõpetada leping käesolevate tingimuste kohase isikuandmete töötlemise osas, kui:

1)

vastutav töötleja on volitatud töötleja poolse isikuandmete töötlemise punkti a kohaselt peatanud ja kui käesolevaid tingimusi ei hakata järgima mõistliku aja jooksul ja igal juhul ühe kuu jooksul pärast peatamist;

2)

volitatud töötleja rikub oluliselt või jätkuvalt käesolevaid tingimusi või määrusest (EL) 2016/679 ja/või määrusest (EL) 2018/1725 tulenevaid kohustusi;

3)

volitatud töötleja ei täida pädeva kohtu või pädeva(te) järelevalveasutus(t)e siduvat otsust seoses tema kohustustega, mis tulenevad käesolevatest tingimustest või määrusest (EL) 2016/679 ja/või määrusest (EL) 2018/1725.

c)

Volitatud töötlejal on õigus lõpetada leping käesolevate tingimuste kohase isikuandmete töötlemise osas pärast seda, kui ta on vastutavat töötlejat tingimuse 7.1 punkti b kohaselt teavitatud, et tema juhised lähevad vastuollu kohaldatavate õigusnõuetega, kuid vastutav töötleja nõuab nende juhiste järgimist.

d)

Pärast lepingu lõpetamist kustutab volitatud töötleja vastutava töötleja valikul kõik vastutava töötleja nimel töödeldud isikuandmed ja kinnitab vastutavale töötlejale, et ta on seda teinud, või tagastab kõik isikuandmed vastutavale töötlejale ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist. Volitatud töötleja jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse.


I LISA

Poolte loetelu

Vastutav(ad) töötleja(d): [vastutava(te) töötleja(te) ja asjakohasel juhul vastutava töötleja andmekaitseametniku nimi ja kontaktandmed]

1.

Nimi: …

 

Aadress: …

 

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

 

Allkiri ja ühinemise kuupäev: …

2.

 

Volitatud töötleja(d): [volitatud töötleja(te) ja asjakohasel juhul volitatud töötleja andmekaitseametniku nimi ja kontaktandmed]

1.

Nimi: …

 

Aadress: …

 

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

 

Allkiri ja ühinemise kuupäev: …

2.

 


II LISA

Isikuandmete töötlemise kirjeldus

Nende andmesubjektide kategooriad, kelle isikuandmeid töödeldakse

Töödeldavate isikuandmete liigid

Töödeldavad tundlikud andmed (vajaduse korral) ja kohaldatavad piirangud või kaitsemeetmed, milles võetakse täielikult arvesse andmete laadi ja kaasnevaid ohte, näiteks range eesmärgikohasus, juurdepääsupiirangud (sealhulgas juurdepääs üksnes eriväljaõppega töötajatele), andmetele juurdepääsu registri pidamine, andmete edasisaatmise piirangud või täiendavad turvameetmed

Töötlemise laad

Eesmärk (eesmärgid), milleks isikuandmeid vastutava töötleja nimel töödeldakse

Töötlemise kestus

Volitatud töötlejate (alamtöötlejate) poolse töötlemise korral märkida ka töötlemise sisu, laad ja kestus


III LISA

Tehnilised ja korralduslikud meetmed, sealhulgas tehnilised ja korralduslikud meetmed andmete turvalisuse tagamiseks

SELGITAV MÄRKUS

Tehnilisi ja korralduslikke meetmeid tuleb kirjeldada konkreetselt, mitte üldiselt.

Volitatud töötleja(te) rakendatavate selliste tehniliste ja korralduslike turvameetmete (sealhulgas asjakohaste sertifikaatide) kirjeldus, millega tagatakse vajalik turvalisuse tase, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärki ning ohtu füüsiliste isikute õigustele ja vabadustele. Võimalike meetmete näited:

 

isikuandmete pseudonüümimise ja krüpteerimise meetmed;

 

meetmed, millega tagatakse isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

 

meetmed, millega tagatakse võime taastada õigeaegselt isikuandmete kättesaadavus ja neile juurdepääs füüsilise või tehnilise vahejuhtumi korral;

 

isikuandmete töötlemise turvalisuse tagamise tehniliste ja korralduslike meetmete toimivuse korrapärase kontrollimise ja hindamise kord;

 

kasutaja tuvastamise ja autoriseerimise meetmed;

 

meetmed andmete kaitsmiseks edastamise ajal;

 

meetmed andmete kaitsmiseks säilitamise ajal;

 

meetmed isikuandmete töötlemise kohtade füüsilise julgeoleku tagamiseks;

 

meetmed sündmuste logimise tagamiseks;

 

meetmed süsteemi konfiguratsiooni, sealhulgas vaikekonfiguratsiooni tagamiseks;

 

sisemise IT ning IT-turbe valitsemise ja haldamise meetmed;

 

protsesside ja toodete sertifitseerimise/tagamise meetmed;

 

meetmed, millega tagatakse võimalikult väheste andmete kogumine;

 

andmete kvaliteedi tagamise meetmed;

 

andmete piiratud säilitamise tagamise meetmed;

 

vastutuse tagamise meetmed;

 

meetmed andmete porditavuse võimaldamiseks ja kustutamise tagamiseks.

Volitatud töötlejatele (alamtöötlejatele) edastamise korral kirjeldada ka konkreetseid tehnilisi ja korralduslikke meetmeid, mida volitatud töötleja (alamtöötleja) võtab, et olla võimeline vastutavat töötlejat aitama.

Nende konkreetsete tehniliste ja korralduslike meetmete kirjeldus, mida volitatud töötleja peab võtma, et olla võimeline vastutavat töötlejat aitama.


IV LISA

Alamtöötlejate loetelu

SELGITAV MÄRKUS

Käesolev lisa tuleb täita alamtöötlejate kaasamiseks eriloa saamise korral (tingimuse 7.7 punkti a 1. variant).

Vastutav töötleja on andnud loa kasutada järgmisi alamtöötlejaid:

1.

Nimi: …

 

Aadress: …

 

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

 

Töötlemise kirjeldus (sealhulgas selgelt piiritletud kohustused, kui luba on antud mitmele alamtöötlejale): …

2.