Vastus
Keegi teine (füüsiline või juriidiline isik või muu organ) tohib töödelda isikuandmeid Teie ettevõtte või organisatsiooni nimel, tingimusel et see toimub lepingu või muu õigusakti alusel. Sealjuures on tähtis, et Teie määratud töötleja suudaks piisavalt tagada, et ta rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada töötlemine kooskõlas isikuandmete kaitse üldmäärusega ja üksikisikute õiguste kaitse.
Määratud volitatud töötleja ei saa kaasata teist töötlejat ilma Teie eelneva konkreetse või üldise kirjaliku loata. Teie ja volitatud töötleja vahel sõlmitav leping peaks sisaldama näiteks järgmisi sätteid:
- töötlemine toimub ainult vastutava töötleja dokumenteeritud juhiste alusel;
- volitatud töötleja tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;
- volitatud töötleja peab tagama vastutava töötleja kindlaksmääratud minimaalse turvalisuse taseme;
- volitatud töötleja aitab Teil tagada isikuandmete kaitse üldmääruse nõuete täitmise.
Näited
Ehitusettevõte kasutab konkreetsete ehitustööde jaoks alltöövõtjat, kellele ta annab selle töö asukoha jaoks kliendi kontaktandmed. Alltöövõtja kasutab omakorda neid andmeid, et saata klientidele turundusmaterjale. Käesoleval juhul ei saa alltöövõtjat isikuandmete kaitse üldmääruse alusel liigitada üksnes volitatud töötlejaks, sest lisaks ehitusettevõtte nimel isikuandmete töötlemisele töötleb ta neid ka enda eesmärkidel. Seetõttu tegutseb alltöövõtja vastutava töötlejana.
Te olete jaemüügiettevõtja ja otsustate salvestada oma kliendibaasi varukoopia pilvepõhisesse serverisse. Selleks sõlmite Te lepingu pilvandmetöötlusteenuse osutajaga, kellel on hea maine tänu ta andmekaitse turvalisusele ja kellel on ka andmete krüpteerimise sertifitseeritud süsteem. Pilvandmetöötlusteenuse osutaja on Teie volitatud töötleja, sest säilitades Teie klientide isikuandmeid oma serverites, töötleb ta isikuandmeid Teie nimel.
Viited
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.