GDPR näeb ette võimaluse, et andmetöötleja võib volitada teise isiku töötlema isikuandmeid. GDPR artikkel 28 nõuab, et sel juhul peavad vastutav ja volitatud töötleja sõlmima lepingu, mis reguleerib nende vastastikuseid õigusi ja kohustusi, mh seoses töötlemise sisu ja kestuse, laadi, eesmärgi, isikuandmete liigi ja andmesubjektide kategooriatega, kasutatavate turvameetmetega jne.

Seda lepingut nimetatakse ka andmetöötluslepinguks.

GDPR artikli 28 lõige 7 annab Euroopa Komisjonile võimaluse sätestada andmetöötluslepingu tüüptingimused.  Euroopa Komisjon ongi need sätestanud 4.06.2021 rakendusotsusega (EL) 2021/915:

https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32021D0915

Tuleb märkida, et kohustust kasutada lepingutes nüüd ainult Euroopa Komisjoni tüüptingimusi – ei ole.

Andmetöötluslepingu tüüptingimusi muuta ei või, kuid neid võib kasutada nö. “laiemas” lepingus ja lisada neile soovi korral ka muid tingimusi kui lisatu ei lähe tüüptingimustega vastuollu ega piira andmesubjektide põhiõigusi või –vabadusi.

Rakendusotsuse lisa I sisaldab poolte loetelu (kes on vastutav ja kes volitatud töötleja), lisa II sisaldab isikuandmete töötlemise kirjeldust, sh andmesubjektide kategooriaid, volitatud töötlejale usaldatud isikuandmete liiki, töötlemise laadi ning muid andmetöötluslepingu kohustuslikke punkte.

Lisas III on kirjas näidisloetelu isikuandmete turvalisuse tagamiseks kasutatavatest tehnilistest ja korralduslikest meetmetest. Igas andmetöötluslepingus tuleb turvameetmeid kirjeldada konkreetselt – antud lepingu ja andmetöötlustoimingute põhiselt.

Andmetöötlejatel puudub kohustus kasutada Euroopa Komisjoni poolt sätestatud tüüptingimusi, kuid kahtlemata annab nende kasutamine teatava kindlustunde, et leping vastab GDPR nõuetele.