Kolmandatele riikidele isikuandmete edastamine: lepingu tüüptingimused

 

KOKKUVÕTE:

otsus 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel

MIS ON OTSUSE EESMÄRK?

Määrusega sätestatakse lepingu tüüptingimused, mida saavad kasutada andmeeksportijad* ELis, kes edastavad isikuandmed* andmeimportijatele*, kes asub väljaspool ELi või Euroopa Majanduspiirkonda, et tagada asjakohased andmekaitsemeetmed ja järgida seeläbi ELi andmekaitseseaduste nõudeid (isikuandmete kaitse üldmäärus – määrus (EL) 2016/679 (vt kokkuvõtet).

PÕHIPUNKTID

Lepingu tüüptingimused on sätestatud otsuse lisas järgmiselt. Lepingu tüüptingimused puudutavad üksnes andmekaitset ja pooled võivad neid lisada laiemasse lepingusse või neid saab täiendada muude tingimuste või täiendavate kaitsemeetmetega, tingimusel et need ei ole otseses ega kaudses vastuolus käesoleva otsusega vastuvõetud lepingu tüüptingimustega.

1. tingimus. Mõisted

Esitatakse lepingu tüüptingimustes kasutatud põhimõisted.

2. tingimus. Edastamise üksikasjad

Pooled peaksid lepingutingimuste lisas loetlema edastamise üksikasjad, sealhulgas andmeimportija ja -eksportija asjakohased tegevused, edastatud isikuandmete kategooriad ja töötlustoimingud, mida isikuandmetega pärast edastamist teostatakse.

3. tingimus. Soodustatud kolmandat isikut käsitlev tingimus

Tingimus võimaldab andmesubjektidel jõustada mitut tingimust andmeeksportija, -importija või alamtöötleja kui soodustatud kolmanda isiku vastu. Lisaks näeb see ette, et pooled nõustuvad sellega, et andmesubjekti esindab mõni ühing või muu institutsioon, kui see on riiklike õigusaktidega lubatud.

4. tingimus. Andmeeksportija kohustused

Selles tingimuses nähakse ette andmeeksportija lepingulised kohustused, kus ta nõustub järgnevaga ja kinnitab, et:

• töötleb isikuandmeid üksnes kooskõlas andmekaitseseadusega;
• juhib andmeimportija tähelepanu sellele, et see töötleks andmeid üksnes andmeeksportija nimel ja kooskõlas andmekaitseseaduse ja käesolevate tingimustega;
• annab piisavad tagatised (ja täidab neid) seoses tehniliste ja organisatsiooniliste turvameetmetega, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise, juhusliku kaotsimineku, muutmise, ebaseadusliku avaldamise või juurdepääsu eest, eelkõige kui töötlemine hõlmab andmete edastamist võrgu kaudu;
• teavitab andmesubjekti, kui eriliiki kuuluvaid andmeid edastatakse kolmandasse riiki, milles ei kehti piisavat kaitset tagav süsteem;
• edastab andmekaitseasutusele andmeimportijalt saadud teated selle kohta, et viimane ei suuda tingimusi täita, kui ta otsustab edastamist jätkata;
• annab andmesubjektidele nende taotlusel koopia tingimustest koos turvameetmete kokkuvõtliku kirjeldusega;
• alamtöötluse korral tagab alamtöötleja isikuandmete õiguste kaitse vähemalt samal tasemel kui seda peab tagama andmeimportija.

5. tingimus. Andmeimportija kohustused

Selles tingimuses nähakse ette andmeimportija lepingulised kohustused, kus ta nõustub järgnevaga ja kinnitab, et:

• töötleb isikuandmeid üksnes andmeeksportija nimel ning kooskõlas tema juhiste ja tingimustega;
• tal ei ole põhjust uskuda, et tema suhtes kohaldatav õigus takistaks tal täita andmeeksportijalt saadud suuniseid ja andmeimportijale lepingust tulenevaid kohustusi;
• teavitab andmeeksportijat viivitamata asjaomastes õigusaktides tehtavate selliste muudatuste korral, mis mõjutavad tingimustest tulenevaid tagatisi ja kohustusi negatiivselt ning andmeeksportijal on sellisel juhul õigus andmete edastamine peatada ja/või leping lõpetada;
• on enne edastatud isikuandmete töötlemist rakendanud tehnilised ja organisatsioonilised turvameetmed;
• teatab andmeeksportijale viivitamata õiguskaitseorganite taotlustest isikuandmete avaldamiseks, juhusliku ja volitamata juurdepääsu juhtumitest ning otse andmesubjektidelt saadud taotlustest, millele ta ei vasta, välja arvatud juhul, kui talle on antud õigus sellistele taotlustele vastata;
• tegeleb kiiresti andmeeksportija kõigi päringutega ja peab kinni järelevalveasutuse nõuannetest;
• esitab andmeeksportija taotlusel oma andmetöötlusvahendid tingimustega reguleeritud töötlustoimingute auditeerimiseks;
• annab andmesubjektidele nende taotlusel koopia tingimustest, koos turvameetmete kokkuvõtliku kirjeldusega;
• võtab tööle alamtöötleja üksnes juhul, kui on andmeeksportijalt saanud eelneva kirjaliku nõusoleku.

6. tingimus. Vastutus

Pooled lepivad kokku, et kõigil andmesubjektidel, kes on kandnud kahju mis tahes rikkumise tulemusena, on õigus saada kantud kahju eest hüvitist andmeeksportijalt.

7. tingimus. Lepitamine ja jurisdiktsioon

Andmeimportija nõustub, et kui andmesubjekt kohaldab tema suhtes soodustatud kolmanda isiku õigusi ja/või nõuab käesolevate tingimuste alusel hüvitist tekitatud kahju eest, austab andmeimportija andmesubjekti otsust lahendada vaidlus lepitamise teel, mida vahendab sõltumatu isik või esitada hagi andmeeksportija asukohaks oleva ELi riigi kohtule (õigusega otsida lahendusi kooskõlas riikliku ja rahvusvahelise õiguse muude sätetega).

8. tingimus. Koostöö järelevalveasutustega

See tingimus reguleerib koostööd pädeva järelevalveasutusega, sätestades, et:

• järelevalveasutusel on õigus andmeimportijat ja kõiki alamtöötlejaid auditeerida;
• andmeimportija teatab andmeeksportijale selliste õigusaktide olemasolust, mis takistavad andmeimportija auditeerimist. Sellisel juhul on andmeeksportijal õigus andmete edastamine peatada või leping lõpetada.

9. tingimus. Kohaldatav õigus

Tingimusi reguleeritakse selle ELi riigi õigusega, kus andmeeksportija asub.

10. tingimus. Lepingu muutmine

Pooled ei muuda lepingu tingimusi ega lisa nendega vastuolus olevaid tingimusi.

11. tingimus. Alamtöötlemine

Alamtöötlemisega seotud tingimusi reguleeritakse selle ELi riigi õigusega, kus andmeeksportija asub.

12. tingimus Isikuandmete töötlusteenuste lõpetamise järgsed kohustused

See tingimus reguleerib isikuandmete töötlusteenuste lõpetamise järgseid kohustusi. Pooled lepivad kokku, et andmetöötlusteenuste pakkumise lõpetamisel tagastavad (või taotluse korral hävitavad) andmeimportija ja alamtöötleja kõik edastatud isikuandmed, välja arvatud juhul, kui õigusaktid seda takistavad.

MIS AJAST OTSUST KOHALDATAKSE?

Käesolevat otsust kohaldatakse alates 15. maist 2010.

TAUST

• Märkus: selle otsuse kohta esitati taotlus eelotsuse tegemiseks, mis viis Euroopa Kohtu 16. juuli 2020. aasta otsuseni (kohtuasi C-311/18), milles viimane kinnitas otsuse kehtivust.
• Euroopa Komisjon andis välja ka kaks komplekti lepingu tüüptingimusi andmete edastamiseks ELi vastutavatelt andmetöötlejatelt väljaspool ELi või Euroopa Majanduspiirkonda asuvatele vastutavatele andmetöötlejatele.
• Vt ka:
  • Andmekaitse (Euroopa Komisjoni veebisait).

PÕHIMÕISTED

PÕHIDOKUMENT

Komisjoni 5. veebruari 2010. aasta otsus 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (ELT L 39, 12.2.2010, lk 5–18)

Otsuse 2010/87/EL hilisemad muudatused on algteksti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

SEONDUVAD DOKUMENDID

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88)

Vt konsolideeritud versiooni.

Komisjoni 27. detsembri 2004. aasta otsus 2004/915/EÜ, millega muudetakse otsust 2001/497/EÜ kolmandatesse riikidesse isikuandmete edastamise lepingu alternatiivsete tüüptingimuste kogumi kasutuselevõtu kohta (ELT L 385, 29.12.2004, lk 74–84)

Komisjoni 15. juuni 2001. aasta otsus 2001/497/EÜ kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel (EÜT L 181, 4.7.2001, lk 19–31)

Vt konsolideeritud versiooni.

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995 lk 31–50)

Vt konsolideeritud versiooni.

Viimati muudetud: 07.10.2020