Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas 24.06.2021 tehtud otsuses GDPR artikli 28 lõikega 3 ette nähtud lepingu puudumise kahe ettevõtte vahel, kelledest üks kasutas oma klientide andmete töötlemisel teise ettevõtte teenuseid.
Juhtum sai alguse soovimatute automaatkõnede („robotkõnede“) kohta esitatud kaebuste tõttu. Ettevõte Y tegi kõnesid ettevõtte X tellimusel. Kõnede tegija on antud olukorras volitatud töötleja GDPR artikli 4(8) tähenduses ning kõnede tellija on vastutav töötleja GDPR artikli 4(7) tähenduses.
GDPR artikli 28 lõige 3 sätestab, et volitatud töötleja võib töödelda andmeid kas a) volitatud töötlejat ja vastutavat töötlejat siduva lepingu alusel või b) õigusakti alusel, mis on volitatud töötleja suhtes siduv. Mõlemal juhul peavad olema kirjas töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad ning mõlema töötleja kohustused ja õigused.
Selle kohta, kuidas määrata kindlaks vastutavat ja volitatud töötlejat ning reguleerida nendevahelisi suhteid, andis Euroopa Andmekaitsenõukogu (EDPB) 7. juulil 2021 välja ka eraldi juhendi.
Vastutavaks töötlejaks võib olla mistahes juriidiline isik, sh riik. Vastutav töötleja võib olla kindlaks määratud õigusaktiga, kuid võib ka olla tuvastatav faktiliste asjaolude teel, nt lepingu analüüsiga.
Vastutav töötleja määrab kindlaks andmetöötlustoimingu eesmärgi ja meetodid ehk selle – miks ja kuidas isikuandmeid töödeldakse. See, kas vastutav töötleja töödeldavatele andmetele juurdepääsu omab, ei ole määrav.
Volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel, lähtudes vastutava töötleja juhistest, mis võivad volitatud töötlejale jätta ka osalise valikuvabaduse, nt milliseid tehnilisi või organisatsioonilisi meetmeid vastutava töötleja parimates huvides kasutada. Kui volitatud töötleja aga ületab vastutava töötleja poolt eelnevalt ette antud piirid ning hakkab ise määrama andmetöötlustoimingute eesmärke või meetodeid, muutub ta ise vastutavaks töötlejaks.
Vastutav töötleja peab kasutama ainult selliseid volitatud töötlejaid, kelle puhul ta on veendunud ja suudab tõendada (nn. accountability printsiip), et nende töötlemistoimingud on GDPR-ga kooskõlas.
GDPR artikli 28 lõige 3 loetleb vastutava ja volitatud töötleja vahelise lepingu kohustuslikud elemendid. Pelgalt nende kopeerimine lepingusse ei ole aga piisav, lepingu sätted peavad olema konkreetsed ja arvestama iga juhtumi üksikasju.
Olgugi, et lepingu puudumine tuvastati, siis volitatud töötleja trahvimist ei pidanud järelevalveasutus seekord proportsionaalseks, sest ettevõte oli otsuse tegemise ajaks töötlemistoimingud lõpetanud ning andnud sisse oma pankrotiavalduse.