Andmekaitseuudised

Kes on “vastutav töötleja”?

Postitatud

Leedu tervishoiuminister kiitis 2020.a. märtsis heaks IT süsteemi (mobiiliäpi) arendamise ja kasutuselevõtu COVID-19 viirusega kokku puutunud isikute andmete registreerimiseks. Mobiiliäpi arendamiseks valis Leedu Terviseamet välja IT ettevõtte IT sprendimai sėkmei (ITSS).

Aprilli ja mai jooksul laadis selle rakenduse alla 3802 isikut, kes esitasid sinna oma ID koodi, asukohaandmeid, koduse aadressi, nime ja telefoninumbri.

2020.a. mais algatas Leedu andmekaitse järelevalveasutus (Valstybinė duomenų apsaugos inspekcija) uurimise ning tegi kindlaks, et äpi kasutajad vastasid mh küsimustele andmesubjekti terviseseisundi ja isolatsiooninõuete järgimise kohta.

2021.a veebruaris määras järelevalveasutus Terviseametile GDPR artikli 83 alusel 12 000 euro suuruse trahvi artiklite 5, 13, 24, 32 ja 35 rikkumise eest. Ettevõttele ITSS kui kaasvastutavale töötlejale määrati 3000 euro suurune trahv.

Terviseamet ei nõustunud talle omistatud vastutava töötleja rolliga, kuna polnud enda kinnitusel mobiilirakendust omandanud ega ka selle abil ise mingeid isikuandmeid töödelnud ja pöördus kohtusse, kes omakorda pöördus eelotsustusmenetluse raames EL kohtu poole.

EL kohus kordas oma varasemat seisukohta, et iga füüsilist või juriidilist isikut, kes enda huvides mõjutab isikuandmete töötlemist ja osaleb töötlemise eesmärkide ja vahendite kindlaksmääramisel, võib pidada selle töötlemise eest vastutavaks.

Seejuures ei ole nõutav, et vastutav töötleja määraks töötlemise eesmärgid ja vahendid kindlaks kirjalikes juhistes või korraldustes või et ta oleks vormiliselt määratud vastutavaks töötlejaks.

GDPR artikli 4 punkti 7 tuleb EL kohtu arvates tõlgendada nii, et vastutavaks töötlejaks selle sätte tähenduses võib pidada mistahes üksust, kes on teinud ettevõtjale ülesandeks arendada mobiilirakendust ja kes on selles kontekstis osalenud selle rakenduse abil toimuva isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel, isegi kui see üksus ise ei ole teinud isikuandmete töötlemise toiminguid, ei ole andnud sõnaselget nõusolekut konkreetsete töötlemistoimingute tegemiseks või selle mobiilirakenduse üldsusele kättesaadavaks tegemiseks ega ole seda mobiilirakendust omandanud.

Lisaks täpsustas EL Kohus GDPR artikli 83 alusel määratava trahvi määramise tingimusi. Kohus leidis, et selle sätte alusel võib trahvi määrata ainult siis, kui on tõendatud, et vastutav töötleja pani rikkumise toime tahtlikult või hooletusest. Samas saab vastutavale töötlejale sellise trahvi määrata seoses isikuandmete töötlemise toimingutega, mida volitatud töötleja on teinud tema nimel, välja arvatud juhul, kui volitatud töötleja on neid toiminguid teinud iseenda huvides või kui volitatud töötleja on neid andmeid töödelnud viisil, mis on vastuolus vastutava töötleja poolt kindlaks määratud töötlemise korraga.

Vastutav töötleja ei vastuta mitte ainult tema enda poolse isikuandmete mis tahes töötlemise eest, vaid ka tema nimel toimuva töötlemise eest.

Artikli kirjutamisel kasutatud allikas:

https://curia.europa.eu/juris/documents.jsf?nat=or&mat=or&pcs=Oor&jur=C%2CT%2CF&num=C-683%252F21&for=&jge=&dates=&language=et&pro=&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&oqp=&td=%3BALL&avg=&lgrec=en&page=1&lg=&cid=11387796