Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Lp Vivian Valkma

AS Framm

[email protected]

Teie 08.04.2025 nr Meie 25.04.2025 nr 2.2-9/25/1106-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon (AKI) sai Teie selgitustaotluse, milles kirjeldasite, et olete

kasutamas tööajaarvestusprogrammi ja uus ettevõte palus, et osa üleminevatest töötajatest

jätkaksid süsteemis tööaegade registreerimist. Küsite, kas kokkuleppe alusel on vanal tööandjal

õigus hallata teise ettevõtte töötajate tööaegu.

On võimalik, et on kokku lepitud, et üks ettevõte töötleb isikuandmeid teise ettevõtte nimel

ning isikuandmete kaitse üldmääruse (IKÜM)1 artikkel 28 kohaselt on tegemist sel juhul

vastutava ja volitatud töötleja suhtega.

Vastutav töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ,

kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid2.

Volitatud töötlejaks saab olla füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu

organ, kes töötleb isikuandmeid vastutava töötleja nimel3. Volitatud töötlejaks

kvalifitseerumiseks on kaks põhitingimust: ta on vastutava töötleja suhtes eraldiseisev üksus ja

töötleb isikuandmeid vastutava töötleja nimel. Vastutav töötleja võib kasutada ainult volitatud

töötlejaid, kes pakuvad piisavaid tagatisi asjakohaste tehniliste ja korralduslike meetmete

rakendamiseks, et töötlemine vastaks isikuandmete kaitse üldmääruse nõuetele. IKÜM artikkel

24 lõige 1 näeb ette isikuandmete vastutava töötleja kohustuse rakendada asjakohaseid tehnilisi

ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas

IKÜM-ga.

Igasugune isikuandmete töötlemine volitatud töötleja poolt peab olema reguleeritud lepingu või

muu õigusaktiga, mis peab olema kirjalik, sh elektrooniline, ja siduv. Vastutava ja volitatud

töötleja vaheline leping peab olema põhjalik, vastama artikli 28 nõuetele ning kajastama täpselt

poolte rolle ja vastutust isikuandmete töötlemisel.

Leping peaks kokkuvõtlikult sisaldama:

1. Andmetöötluse laadi, ulatust, eesmärke ja kestust;

2. Töödeldavate andmete liike ja andmesubjektide kategooriaid;

3. Volitatud töötleja kohustusi seoses turvameetmetega ja konfidentsiaalsusega;

1 EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse

kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise

kohta (isikuandmete kaitse üldmäärus); 2 IKÜM art 4 p 7; 3 IKÜM art 4 p 8.

2 (2)

4. Vastutava töötleja õigusi ja kohustusi (sh jälgida volitatud töötleja tegevust andmete

töötlemisel);

5. Andmete tagastamise või kustutamise nõudeid pärast töötlemise lõppu.

Arvestama peab sellega, et volitatud töötleja ei tohi töödelda andmeid muul viisil kui vastutava

töötleja juhiste kohaselt. Vastutava töötleja juhtnöörid võivad jätta teatava kaalutlusõiguse selle

suhtes, kuidas vastutava töötleja huve kõige paremini teenida, võimaldades volitatud töötlejal

valida kõige sobivamad tehnilised ja organisatsioonilised vahendid. Volitatud töötleja rikub

isikuandmete kaitse üldmäärust kui läheb vastutava töötleja juhistest kaugemale ja hakkab

kindlaks määrama oma isikuandmete töötlemise eesmärke ja vahendeid. Sellisel juhul

käsitletakse volitatud töötlejat kõnealuse töötlemisega seoses vastutava töötlejana ja tema

suhtes võidakse kohaldada sanktsioone.

Täpsemat infot isikuandmete töötlemise ning vastutava ja volitatud töötleja kohustuste kohta

saab lugeda meie kodulehelt ning Euroopa Andmekaitse Nõukogu suunistest4. Lisaks

soovitame tutvuda isikuandmete töötleja üldjuhendiga ning AKI juhistega töötaja andmete

töötlemise kohta.

Loodan, et selgitustest on abi.

Lugupidamisega

Mari-Liis Uprus

jurist

peadirektori volitusel

4 Suunised 07/2020 vastutava töötleja ja volitatud töötleja mõistete kohta isikuandmete kaitse üldmääruses,

versioon 2.0., vastu võetud 7. juulil 2021.