Arvamus 14/2019 Taani järelevalveasutuse esitatud lepingu tüüptingimuste eelnõu kohta (isikuandmete kaitse üldmääruse artikli 28 lõige 8)

võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 (füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi „isikuandmete kaitse üldmäärus“)) artikli 28 lõiget 8, artiklit 63 ja artikli 64 lõike 1 punkti d ning lõikeid 3–8,

võttes arvesse Euroopa Majanduspiirkonna (EMP) lepingut, eriti selle XI xxxx ja protokolli nr 37, mida on muudetud EMP ühiskomitee 6. juuli 2018. aasta otsusega nr 154/2018,1

võttes arvesse 25. mai 2018. aasta töökorra artikleid 10 ja 22, ning arvestades järgmist

1) Euroopa Andmekaitsenõukogu (edaspidi „nõukogu“) peamine ülesanne on tagada isikuandmete kaitse üldmääruse järjepidev kohaldamine kogu Euroopa Majanduspiirkonnas. Isikuandmete kaitse üldmääruse artikli 64 lõike 1 punktist d tuleneb, et kui järelevalveasutus soovib määratleda lepingu tüüptingimused vastavalt isikuandmete kaitse üldmääruse artikli 28 lõikele 8, esitab nõukogu selle kohta arvamuse. Seetõttu on käesoleva arvamuse eesmärk soodustada ühtlustatud käsitlusviisi seoses piiriülese andmetöötluse või andmetöötlusega, mis võib mõjutada isikuandmete või füüsiliste isikute vaba liikumist kogu Euroopa Majanduspiirkonnas ning isikuandmete kaitse üldmääruse erisätete järjepidevat rakendamist.

2) Xxxxxx vastutava töötleja ja volitatud töötleja või volitatud töötlejate suhtega isikuandmete töötlemisel kehtestatakse isikuandmete kaitse üldmääruse artiklis 28 sätted asjaomaste poolte vahel konkreetse lepingu sõlmimise ja lepingusse lisatavate kohustuslike sätete kohta.

3) Vastavalt isikuandmete kaitse üldmääruse artikli 28 lõikele 3 töötleb volitatud töötleja andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv seoses vastutava töötlejaga ning milles sätestatakse pooltevahelise lepingulise suhte reguleerimise konkreetsed aspektid. Need hõlmavad muu hulgas töötlemise sisu ja kestust, selle laadi ja eesmärki, isikuandmete liiki ja andmesubjektide kategooriaid.

4) Isikuandmete kaitse üldmääruse artikli 28 lõike 6 kohaselt võib isikuandmete kaitse üldmääruse artikli 28 lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt lepingu tüüptingimustel, xxxx et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut. Nimetatud lepingu tüüptingimused tuleb vastu xxxxx lõigetes 3 ja 4 osutatud küsimustes.

5) Lisaks sätestatakse isikuandmete kaitse üldmääruse artikli 28 lõikes 8, et järelevalveasutus võib vastu xxxxx lepingu tüüptingimused kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga. See tähendab, et järelevalveasutused peavad tegema järjepidevuse mehhanismi kaudu koostööd teiste nõukogu liikmetega ja asjakohasel juhul Euroopa Komisjoniga. Vastavalt artikli 64 lõike 1 punktile d peavad järelevalveasutused edastama andmekaitsenõukogule mis tahes sellise otsuse eelnõu, mille eesmärk on määrata kindlaks artikli 28 lõikes 8 osutatud lepingu tüüptingimused. Sellega seoses peab

1 Kõiki selle arvamuse viiteid liikmesriikidele tuleb mõista kui viiteid EMP liikmesriikidele.

nõukogu artikli 64 lõike 3 kohaselt esitama nimetatud küsimuse kohta arvamuse, kui ta pole xxxx xxxx teinud.

6) Vastuvõetud lepingu tüüptingimused moodustavad tagatiste kogumi, mida tuleb kasutada olemasoleval xxxxx, sest nende eesmärk on kaitsta andmesubjekte ja leevendada konkreetseid andmekaitse aluspõhimõtetega seotud xxxxx,

ON VASTU VÕTNUD ARVAMUSE

2 ASJAOLUDE KOKKUVÕTE ‌

1. Taani pädev järelevalveasutus on esitanud nõukogule siseturu infosüsteemi IMI kaudu lepingu tüüptingimuste eelnõu, et paluda nõukogult arvamust vastavalt artikli 64 lõike 1 punktile d seoses liidu tasandi sidusa käsitlusviisiga. Xxxxx toimiku täielikkuse kohta võeti vastu 4. aprillil 2019. Nõukogu sekretariaat edastas toimiku eesistuja nimel 4. aprillil kõigile liikmetele.

2. Nõukogu on saanud Taani järelevalveasutuselt lepingu tüüptingimuste eelnõu2 koos kirjaga, milles selgitatakse lepingu tüüptingimuste struktuuri. Taani järelevalveasutus esitas nimetatud kahe dokumendi ingliskeelsed versioonid. Nõukogu esitab käesolevaga oma arvamuse dokumendi ingliskeelse versiooni kohta, ent märgib, et lepingu tüüptingimused on Taani järelevalveasutuse veebilehel kättesaadaval ka taani keeles. Taani järelevalveasutus võtab andmekaitsenõukogu arvamust igati arvesse.

3. Kooskõlas nõukogu töökorra3 artikli 10 lõikega 2 otsustas eesistuja kõnealuse teema keerukuse tõttu pikendada esialgset kaheksa nädala pikkust vastuvõtmisperioodi kuue nädala võrra (kuni 9. juulini 2019).

2 Taani järelevalveasutus kasutab nõukogule esitatud dokumendis lepingu tüüptingimustele viitamiseks terminit

„andmetöötlusleping“.

3 Versioon nr 2, viimati muudetud ja vastu võetud 23. novembril 2018.

3 HINDAMINE ‌

3.1 Nõukogu xxxxxx seisukoht lepingu tüüptingimuste osas ‌

4. Kõigis nõukogule esitatud lepingu tüüptingimustes tuleb täiendavalt täpsustada isikuandmete kaitse üldmääruse artikliga 28 ette nähtud sätteid. Nõukogu eesmärk on tagada kooskõla isikuandmete kaitse üldmääruse artikliga 28 xx xxxxx nõuetekohane rakendamine seoses esitatud tingimuste eelnõuga, mida võidakse kasutada lepingu tüüptingimustena isikuandmete kaitse üldmääruse artikli 28 lõike 8 kohaselt.

5. Nõukogu märgib, et nõukogule esitatud dokument on lepingu tüüptingimuste eelnõu, mis koosneb kahest osast:

1) üldosa, mis sisaldab sellisel xxxxx kasutatavaid üldsätteid, ja

2) eriosa, mida pooled peavad täitma seoses konkreetse andmetöötlusega, mida lepinguga soovitakse reguleerida.

6. Lisaks selgitab Taani järelevalveasutus oma kirjas, et lepingu tüüptingimuste paksus kirjas sätted on kohustuslikud ja moodustavad isikuandmete kaitse üldmääruse artikli 28 kohased lepingu miinimumnõuded. Ülejäänud punktid on vabatahtlikud, ehkki nende hõlmamine tüüptingimustesse on soovitatav, xx xxxx võib lepingu tüüptingimustesse lisada poolte äranägemise järgi.

7. Nõukogu on arvamusel, et punktid, milles üksnes korratakse artikli 28 lõigete 3 ja 4 sätteid, on lepingu tüüptingimusteks ebapiisavad. Nõukogu on seetõttu otsustanud analüüsida dokumenti tervikuna, sh lisasid. Nõukogu arvates tuleks isikuandmete kaitse üldmääruse artikli 28 kohases lepingus täpsustada ja selgitada, kuidas täidetakse artikli 28 lõigete 3 ja 4 sätteid. Nõukogule arvamuse saamiseks esitatud lepingu tüüptingimusi analüüsitakse seda silmas pidades.

8. Kui käesolevas arvamuses ei puudutata üht või mitut Taani järelevalveasutuse esitatud lepingu tüüptingimuse punkti, tähendab see, et nõukogu xx xxxx Taani järelevalveasutusel xxxxx konkreetsete punktide suhtes lisameetmeid. Taani lepingu tüüptingimuste punktid 6.4, 9.3 ja 14.3 ei ole artikli 28 kohaselt nõutavad. Need on seotud kaubanduslike aspektidega ja seepärast ei käsitle nõukogu neid tingimusi lepingu tüüptingimuste osana. See, kas ja kuidas leping sõlmida, on poolte otsustada.

3.2 Lepingu tüüptingimuste eelnõu analüüs ‌

3.2.1 Xxxxxx xxxxxx lepingu tüüptingimuste kohta tervikuna ‌

9. Nõukogu on arvamusel, et kui tüüptingimused sisaldaksid ainult paksus kirjas jagusid, ei piisaks sellest lepingu tüüptingimusteks, sest mõned xxxx xxx paksus kirjas jaod on seotud isikuandmete kaitse üldmääruse artikli 28 lõike 3 kohaste kohustuslike sätetega. Seepärast soovitab nõukogu Taani järelevalveasutusel vältida kõnealust eristamist, sätestades selgelt kas tingimustes või eraldi dokumendis, milles esitatakse nimetatud tingimuste kasutamise juhised, et poolte sõlmitava lepingu tüüptingimused peaksid sisaldama kõiki lepingu tüüptingimuste punkte koos lisadega.

10. Lisaks tuletab nõukogu meelde, et järelevalveasutuse vastuvõetud lepingu tüüptingimuste kasutamise võimalus ei takista pooli lisamast muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu vastuvõetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ega -vabadusi. Xxxxx xxxxx, xxx andmekaitse tüüptingimusi muudetakse, ei xxxxx xxxx enam olukorraks, kus pooled rakendavad vastuvõetud lepingu tüüptingimusi.

11. Nõukogu märgib, et lepingu tüüptingimuste mitme punkti sõnastus ei ole kooskõlas isikuandmete kaitse üldmääruse asjaomaste sätetega. Nõukogu on viidanud sellele oma allpool esitatud arvamuses ja soovitab Taani järelevalveasutusel viia nimetatud tingimuste sõnastus vastavate isikuandmete kaitse üldmääruse sätetega kooskõlla.

3.2.2 Andmetöötlusega seotud preambul (lepingu tüüptingimuste punkt 2)‌

12. Nõukogu on seoses lepingu tüüptingimuste punktiga 2.3 arvamusel, et andmetöötluslepingu ja raamlepingu suhe peaks olema paindlikum. Võib esineda juhtumeid, mille korral lepingu tüüptingimused on raamlepingu eraldiseisev dokumendiosa, ja siis ei xxx xxxx eraldiseisvaid lepingu tüüptingimusi. Võib esineda ka olukordi, kus lepingu tüüptingimustega hõlmatud andmetöötlus ei ole raamlepingu osa. Seepärast ergutab nõukogu Taani järelevalveasutust nimetatud tingimust ümber sõnastama, et seda paindlikkust väljendada. Konkreetset muudatust tuleb rakendada iga kord, kui lepingu tüüptingimustes osutatakse raamlepingule.

13. Nõukogu on seoses lepingu tüüptingimuste punkti 2.4 esimese lausega arvamusel, et mõnes olukorras võib andmetöötluslepingu lõpetada enne nn põhilepingut. Nõukogu soovitab Taani järelevalveasutusel lisada esimese xxxxx lõppu, et lepingut „ei tohi põhimõtteliselt eraldi lõpetada, välja arvatud juhul, kui andmete töötlemine lõpeb enne raamlepingu lõppu või kui on täidetud muud tingimused lepingu tüüptingimuste eraldi lõpetamiseks, nagu on sätestatud selle lõpetamistingimustes (vt ka allpool esitatud soovitus tingimuste punkti 14.4 kohta)“.

3.2.3 Vastutava töötleja õigused ja kohustused (lepingu tüüptingimuste punkt 3)‌

14. Nõukogu on seoses lepingu tüüptingimuste punktiga 3.1 arvamusel, et sõnastus „vastutab välisosaliste ees“ on eksitav. Seda võib mõista nii, et kohustus andmesubjektide või teiste sidusrühmade suhtes pannakse üksnes vastutavale töötlejale. Nõukogu on arvamusel, et nimetatud tingimus oleks selgem, kui osutataks isikuandmete kaitse üldmääruse artiklile 24 ja üldmääruse usaldusväärsuse põhimõttele. Nõukogu soovitab sellest tulenevalt Taani järelevalveasutusel lisada sellise viite.

15. Lisaks sellele oleks seoses punktiga 3.1 parem osutada asjakohasel juhul konkreetse õigusakti asemel üldiselt kohaldatavatele andmekaitseõigusaktidele. Nõukogu soovitab Taani järelevalveasutusel muuta viidet andmekaitseseadusele. Lõpetuseks soovitab nõukogu asendada sõna „raamistikus“ sõnaga „kooskõlas“.

Nõukogu soovitab näitena järgmist sõnastust:

„1. Vastutav töötleja vastutab selle tagamise eest, et isikuandmete töötlemine toimub kooskõlas isikuandmete kaitse üldmäärusega (vt isikuandmete kaitse üldmääruse artikkel 24), XXx või liikmesriikide kohaldatavate andmekaitsesätete () ja käesolevate lepingu tüüptingimustega.“

16. Nõukogu arvamusel, et lepingu tüüptingimuste punkt 3.2 on ebaselge, sest vastutav töötleja on juba määratlenud lepingu tüüptingimuste kohase andmetöötlustegevuse eesmärgid ja vahendid. Nõukogu soovitab Taani järelevalveasutusel muuta nimetatud punkti järgmiselt:

17. „Vastutaval töötlejal on õigus ja kohustus teha otsuseid isikuandmete töötlemise eesmärkide ja vahendite kohta.“

18. Nõukogu on seoses lepingu tüüptingimuste punktiga 3.3 arvamusel, et selle tähendus on ebaselge. Nõukogu eeldab, et nimetatud punkti xxxx on veenduda, et andmetöötlustegevusel, mille vastutav

töötleja määrab volitatud töötleja ülesandeks, on õiguslik alus. Sellisel juhul soovitab nõukogu Taani järelevalveasutusel seda punkti vastavalt selgitada.

Lõpetuseks märgib nõukogu, et lepingu tüüptingimuste punktis 3.1 kasutatakse sõnastust

„isikuandmete töötlemine“. Lepingu tüüptingimuste punktis 3.3 kasutatakse sõna „andmetöötlus“.

Nõukogu soovitab Taani järelevalveasutusel kasutada segaduse vältimiseks sama terminoloogiat. Seepärast soovitab nõukogu näitena järgmist sõnastust:

„3. Vastutav töötleja vastutab muu hulgas selle tagamise eest, et isikuandmete töötlemisel, mis on määratud volitatud töötleja ülesandeks, on õiguslik alus.“

3.2.4 Volitatud töötleja tegutseb vastavalt juhistele (lepingu tüüptingimuste punkt 4)‌

19. Nõukogu on seoses lepingu tüüptingimuste punktiga 4.1 arvamusel, et osutada tuleks A ja C lisale, sest nendes täpsustatakse vastutava töötleja ülesandeid. Nõukogu on arvamusel, et vastutav töötleja võib kogu lepingu kestuse vältel anda lisajuhiseid, ent sellised juhised tuleb alati dokumenteerida.

Lisaks märgib nõukogu, et nimetatud punkti puhul juhindutakse isikuandmete kaitse üldmääruse artikli 28 lõike 3 punktist a. Seepärast ergutab nõukogu Taani järelevalveasutust kasutama sama sõnastust kui isikuandmete kaitse üldmääruses.

20. Nõukogu on seoses lepingu tüüptingimuste punktiga 4.2 arvamusel, et ebaseaduslike juhiste korral peaksid pooled nägema ette tagajärjed ja pakkuma lahendusi.

3.2.5 Konfidentsiaalsus (lepingu tüüptingimuste punkt 5)‌

21. Nõukogu arusaama kohaselt täpsustatakse lepingu tüüptingimuste punktiga 5 isikuandmete kaitse üldmääruse artikli 28 lõike 3 punkti b, milles sätestatakse, et „volitatud töötleja tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus“.

22. Seoses lepingu tüüptingimuste punktiga 5.1 mõistab nõukogu sõna „praegu“ kui vajadust volitatud isikute staatus pidevalt läbi vaadata. Lisaks on nõukogule ebaselge, kes annab nendele isikutele volituse, eelkõige kuna isikuandmetele tuleb anda juurdepääs teadmisvajaduse alusel.

23. Nõukogu on seoses lepingu tüüptingimuste punktiga 5.2 arvamusel, et nimetatud tingimus on seotud teadmisvajaduse alusel isikuandmetele juurdepääsu võimaldamise põhimõttega. Nõukogu on arvamusel, et lepingu tüüptingimuste punktid 5.1 ja 5.2 saab ühendada järgmiselt:

„Volitatud töötleja kohustus on anda oma alluvuses olevatele isikutele vastutava töötleja nimel juurdepääs töödeldavatele isikuandmetele üksnes teadmisvajaduse alusel ning isikutele, kes on sidunud end konfidentsiaalsuskohustusega või kellel lasub asjakohane põhikirjajärgne konfidentsiaalsuskohustus. Nimekiri isikutest, kellele on antud juurdepääs, tuleb perioodiliselt läbi vaadata. Nimetatud läbivaatamise alusel võib juurdepääsu isikuandmetele tühistada ning sel juhul ei tohi isikuandmed nimetatud isikutele enam kättesaadavad olla.“

24. Nõukogu on seoses lepingu tüüptingimuste punktiga 5.3 arvamusel, et see on hõlmatud eespool nimetatud soovitusliku sõnastusega ning seepärast võib punkti 5.3 välja jätta.

25. Nõukogu soovitab seoses lepingu tüüptingimuste punktiga 5.4 Taani järelevalveasutusel välja xxxxx xxxx „saab“, sest volitatud töötleja peab tõendama konfidentsiaalsusnõuetest kinnipidamist. Lisaks ergutab nõukogu Taani järelevalveasutust töötajaile viitamisel kasutama laiapõhjalisemat sõnastust,

sest isikuandmeid võivad volitatud töötleja volitusel töödelda ka muud isikud xxxxx töötajate. Asjakohasem oleks sõnastus „volitatud töötleja alluvuses xxxx xxxx“ või „otse või kaudselt tööle võetud isikud“.

3.2.6 Andmetöötluse turvalisus (lepingu tüüptingimuste punkt 6)‌

26. Nõukogu soovitab seoses lepingu tüüptingimuste punktiga 6.1 Taani järelevalveasutusel asendada xxxxx alguses sõnad „arvestades praegust taset“ sõnadega „võttes arvesse teaduse ja tehnoloogia viimast arengut“, mis on isikuandmete kaitse üldmääruse artikli 32 lõike 1 sõnastus. Seda konkreetset sõnastust kasutatakse isikuandmete kaitse üldmääruses selleks, et veenduda, et isikuandmete töötlemise suhtes kohaldatava turvalisuse tase xxxxx xxxxx kooskõlas tehnoloogia viimase arenguga. Taani järelevalveasutuse soovitatud sõnastuse puhul viidatakse praegusele tasemele, mis ei ole kahe aasta pärast teaduse ja tehnoloogia tipptase.

27. Nõukogu saab lepingu tüüptingimustest aru nii, et punkt 6.2 on seotud isikuandmete kaitse üldmääruse artikli 28 lõike 3 punktiga c ning punkt 9.2 on seotud isikuandmete kaitse üldmääruse artikli 28 lõike 3 punktiga f. Nende kahe tingimuse ja volitatud töötleja eri ülesannete eristamine ei ole siiski kuigi selge. Nõukogu tuletab meelde, et isikuandmete kaitse üldmääruse artikli 28 lõike 3 punktis f sätestatakse, et volitatud töötleja aitab vastutaval töötlejal täita isikuandmete kaitse üldmääruse artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet.

Nõukogu on arvamusel, et punkti 6.2 esimeses lauses osutatud riskihindamist tuleb kohaldada andmetöötlustegevuste suhtes, mille vastutav töötleja usaldab volitatud töötlejale. Seepärast peaks vastutav töötleja andma volitatud töötlejale kogu vajaliku teabe, et volitatud töötleja saaks järgida isikuandmete kaitse üldmääruse artikli 28 lõike 3 punkte c xx x. Nõukogu soovib rõhutada, et see ei vabasta vastutavat töötlejat kohustusest täita isikuandmete kaitse üldmääruse artiklite 25, 32 või 35– 36 nõudeid.

Lisaks tuleb punkti 6.2 esimese xxxxx xxxx ümber sõnastada, et see oleks paremini kooskõlas punktiga 9.2 ja C2 lisaga, sest nõukogule ei xxx xxxxx, kuidas punkti 6.2 sõnastus („rakendama pärast seda meetmeid kindlakstehtud riski kõrvaldamiseks“) on seotud punktiga 9.2 ja C2 lisaga. Nõukogu on märganud, et punktis 9.2.a ja C2 lisas käsitletakse riskihindamise teemat, ent mitte xxxxx viisil kui punktis 6.2. Punkti 6.2 kohaselt peab riskihindamise tegema volitatud töötleja, xxxxx xxx punkti 9.2 ja C2 xxxx kohaselt peab riskihindamise tegema vastutav töötleja. Lisaks sätestatakse C2 lisas, et volitatud töötleja rakendab meetmeid, mis on kokku lepitud vastutava töötlejaga.

Nõukogu on seoses C2 lisaga arvamusel, et sõnastuse „Turvalisuse tase kajastab“ võiks muuta sõnastuseks „Turvalisuse taseme puhul võetakse arvesse“. Seoses elementidega, mida tuleb arvesse xxxxx, nimetatakse isikuandmete kaitse üldmääruse artikli 32 lõigetes 1 ja 2 isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi. Need võiksid olla elemendid, mida nimetada, et selgitada, mida eeldatakse sõnastusega „Kirjeldada elemente, mis on turvalisuse taseme jaoks hädavajalikud“.

Seepärast soovitab nõukogu Taani järelevalveasutusel selgitada tüüptingimuste punkti 6.2, punkti 9.2 ja C2 xxxx ning need kooskõlla viia.

3.2.7 Alamtöötlejate kasutamine (lepingu tüüptingimuste punkt 7)‌

28. Nõukogu soovitab seoses lepingu tüüptingimuste punktidega 7.2 ja 7.5 Taani järelevalveasutusel asendada sõna „nõusolek“ sõnaga „luba“, sest see on isikuandmete kaitse üldmääruse artikli 28 lõikes 2 kasutatav mõiste.

Lisaks on nõukogu arvamusel, et praktilisem oleks luua nimetatud tingimuses järgmised võimalused:

„2. Seepärast xx xxxxx volitatud töötleja teist volitatud töötlejat (alamtöötleja) käesolevate lepingu tüüptingimuste täitmisse xxxx [võimalus 1] vastutava töötleja eelneva eriloata / [võimalus 2] vastutava töötleja üldise kirjaliku loata.“

29. Seoses lepingu tüüptingimuste punktidega 7.3 ja 7.4 peab nõukogu oluliseks lisada asjaolu, et nimekiri alamtöötlejaist, xxxxx vastutav töötleja on lepingu sõlmimise ajal heaks kiitnud, tuleks lisada lepingu tüüptingimustele lisana kas üldloa või eriloa alusel. Kõnealuse nimekirja eesmärk on tagada, et isegi üldloa puhul on vastutav töötleja pidevalt kursis alamtöötlejate nimekirja ja täiendavate muudatustega. Nõukogu soovitab, et lepingu tüüptingimustes selgitataks, et B2 lisas sisalduv alamtöötlejate nimekiri tuleb esitada nii eelneva üld- kui ka eriloa puhul.

Lisaks on lepingu tüüptingimuste B1 lisas näited tingimustest, mille vahel pooled saavad valida. Nõukogu on arvamusel, et oleks parem lisada sellised tingimused lepingu tüüptingimustesse kui lisadesse.

Lõpetuseks, seoses eelneva üldloaga on nõukogu arvamusel, et kõik tingimused, mille volitatud töötleja võib vastutava töötleja jaoks kehtestada, et esitada vastuväiteid alamtöötleja(te) muutmise kohta, peavad võimaldama vastutaval töötlejal rakendada praktikas oma valikuvabadust ning võimaldama volitatud töötlejal säilitada kontrolli isikuandmete üle. See tähendab xx xxxx, et vastutaval töötlejal peaks olema piisavalt aega, et muudatuse kohta vastuväiteid esitada.

Nõukogu soovitab Taani järelevalveasutusel punkt 7.3 ümber sõnastada, et kehtestada punkti raames võimalusi, mida pooled saavad lepingu tüüptingimustes valida, ning lisada punktide 7.4 ja 7.5 sisu punkti 7.3.

Punkti 7.3 võiks sõnastada järgmiselt:

„3. Üldise kirjaliku loa korral teavitab vastutav töötleja volitatud töötlejat kirjalikult mis tahes kavandatud muudatusest seoses alamtöötlejate lisamise või asendamisega vähemalt [täpsustada ajavahemik] jooksul xx xxxxx sellega vastutavale töötlejale võimaluse enne mis tahes alamtöötleja kaasamist esitada muudatuse kohta vastuväiteid. Konkreetsete alamandmetöötluse teenustega seotud pikemad etteteatamise perioodid võib sätestada B lisas. Nimekiri alamtöötlejaist, xxxxx vastutav töötleja on juba heaks kiitnud, on B lisas.

Eelneva eriloa puhul kaasab volitatud töötleja alamtöötleja üksnes vastutava töötleja eelneva loa alusel. Volitatud töötleja esitab taotluse eriloa saamiseks vähemalt [täpsustada ajavahemik] enne mis tahes alamtöötleja kaasamist. Nimekiri alamtöötlejaist, xxxxx vastutav töötleja on juba heaks kiitnud, on B lisas.“

Kuna võimalus kehtestatakse lepingu tüüptingimuste eelnõus endas, võib B1 xxxx xxxxx xxxxx. Lisaks soovitab nõukogu Taani järelevalveasutusel lisada võimaluse sätestada B lisas pikem etteteatamisaeg.

30. Lepingu tüüptingimuste punktist 7.6 saab nõukogu aru nii, et nimetatud tingimus on viide isikuandmete kaitse üldmääruse artikli 28 lõikele 4. Nagu eelnevalt mainitud, oleks mis tahes segaduse vältimiseks parem viidata isikuandmete kaitse üldmääruse teksti täpsele sõnastusele.

Nõukogu soovib seoses lepingu tüüptingimuste punktiga 7.8 rõhutada asjaolu, et selle sisu ei nõuta isikuandmete kaitse üldmääruse artiklis 28. Nõukogu leiab, et sõnastus „kolmas isik“ on ebaselge. Kui kavatsus on luua volitatud töötleja ja alamtöötleja vahelises lepingus vastutava töötleja „soodustatud kolmanda isiku õigus“, siis tuleks seda täpsustada.

Sellisel juhul mõistab nõukogu lisandväärtust, xxxx xxxxx selline punkt lepingu tüüptingimuste osana. Sellega säilitatakse vastutava töötleja õigused, sealhulgas vastutus. Seepärast ergutab nõukogu Taani järelevalveasutust selgitama, et kavatsetakse luua vastutava töötleja soodustatud kolmanda isiku õigus. See tähendaks muu hulgas, et alamtöötleja nõustuks vastutama vastutava töötleja ees juhul, kui esialgne volitatud töötleja on pankrotis, või et vastutaval töötlejal oleks võimalus anda alamtöötlejale korraldus andmed tagastada.

31. Nõukogu on seoses lepingu tüüptingimuste punktiga 7.9 arvamusel, et oluline on viidata andmesubjekti õigustele. Viidata võib järgmiselt: „See ei mõjuta andmesubjektide isikuandmete kaitse üldmääruse kohaseid õigusi – eelkõige neid, mis on ette nähtud isikuandmete kaitse üldmääruse artiklitega 79 ja 82 – vastutava töötleja ja volitatud töötaja, sealhulgas alamtöötleja suhtes.“

3.2.8 Andmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele (lepingu tüüptingimuste punkt 8)‌

32. Nõukogu on seoses nimetatud punkti pealkirjaga arvamusel, et seda tuleks selgitada, sest sõnastusega

„kolmandatele riikidele“ osutatakse riikidele väljaspool Euroopa Majanduspiirkonda, mitte riikidele väljaspool Taanit. Nõukogu ergutab Taani järelevalveasutust seda selgitama.

33. Nõukogu leiab, et 8. jaos tuleks selgitada, et vastutav töötleja peab otsustama, kas andmeedastus on lepingu raames lubatud või tuleks see keelata. Nõukogu soovitab Taani järelevalveasutusel seda lepingu tüüptingimustes selgitada ja julgustab täpsustama seda C5 lisas.

34. Nõukogu märgib seoses lepingu tüüptingimuste punktiga 8.1, et Taani järelevalveasutus on lisanud pärast sõna „edastamine“ xxxxx xxxx järgmise tekstiga: „(määramine, avalikustamine ja asutusesisene kasutamine)“. Nõukogu huvitab, kas selle eesmärk on määratleda mõiste „edastamine“. Xxx xxx, siis leiab nõukogu, et kuna isikuandmete kaitse üldmääruses puudub mõiste „edastamine“ määratlus, on parem sulgudes esitatud terminid välja jätta.

Lõpetuseks soovitab nõukogu Taani järelevalveasutusel alustada oma tingimuste punkti 8.1 sõnadega

„Kooskõlas isikuandmete kaitse üldmääruse V peatükiga ...“. Nõukogu tuletab meelde, et mis tahes EList väljapoole suunatud andmeedastuse puhul tuleb täita kõiki isikuandmete kaitse üldmääruse V peatüki sätteid. Punktis 8 tuleks selgitada, et kõnealuseid lepingu tüüptingimusi ei saa mõista kui lepingu tüüptingimusi, millega täidetakse isikuandmete kaitse üldmääruse artikli 46 nõudeid, ning seepärast ei saa neid kasutada rahvusvahelise andmeedastuse vahendina isikuandmete kaitse üldmääruse V peatüki tähenduses. Lisaks võiks seda kajastada punkti 8 pealkirjas, mis võib vastasel juhul xxxxx xxxxx, et käesolevate lepingu tüüptingimuste alusel võib teha andmeedastusi.

35. Nõukogu teeb seoses lepingu tüüptingimuste punktiga 8.2 mitu märkust.

Esiteks julgustab nõukogu Taani järelevalveasutust xxxxxx xxxxx algusesse enne sõna „juhised“ sõna

„dokumenteeritud“, et tagada õiguskindlus ja kooskõla isikuandmete kaitse üldmääruse artikli 28 lõike 3 punktiga a, ning muutma sõna „heakskiit“ sõnaks „luba“ vastavalt isikuandmete kaitse üldmääruse artiklis 28 kasutatud mõistetele. Xxxxx xxxxx peaks olema „Xxxx vastutava töötleja dokumenteeritud juhiste või loata“.

Teiseks võib seoses punktiga 8.2.a sõna „avalikustama“ tekitada segadust edastamise mõistega. Lisaks võib isikuandmeid edastada nii vastutavale töötlejale (nagu juba selles punktis mainitud) kui ka volitatud töötlejale kolmandas riigis. Nõukogu soovitab Taani järelevalveasutusel sõnastada punkt 8.2.a järgmiselt: „edastada isikuandmeid vastutavale töötlejale või volitatud töötajale, kes asub kolmandas riigis või tegutseb rahvusvahelises organisatsioonis“.

Kolmandaks: seoses punkti 8.2.b võib ka sõna „määrata“ tekitada segadust edastamise mõistega. Nõukogu soovitab Taani järelevalveasutusel asendada sõna „määrata“ sõnaga „edastada“.

Viimaks ei ole punkti 8.2.c korral nõukogule selge, mis on sõna „jaotus“ tähendus. Nõukogu soovitab Taani järelevalveasutusel asendada punkt 8.2.c järgmise lausega: „laseb andmeid töödelda volitatud töötlejal väljaspool Euroopa Majanduspiirkonda“.

36. Nõukogu saab lepingu tüüptingimuste punktist 8.3 aru nii, et selle abil dokumenteeritakse vastutava töötleja juhised C5 lisas. Nagu juba käesoleva arvamuse alguses märgitud, leiab nõukogu, et lisad on kohustuslikud. Nõukogu leiab siiski, et lisaks juhistele võiks olla kasulik nimetada andmeedastusvahendi valikut, sest see aitab tõendada, et pooled täidavad isikuandmete kaitse üldmääruse V peatüki nõudeid. Nõukogu kutsub Taani järelevalveasutust üles muutma tüüptingimuste punkti 8.3 järgmiselt:

37. „Vastutava töötleja juhised, mis käsitlevad isikuandmete edastamist kolmandatele riikidele, sh vajaduse korral edastamisvahendit, millel need põhinevad, sätestatakse lepingu tüüptingimuste C5 lisas. Sama menetlust kohaldatakse isikuandmete kolmandale riigile edastamiste heakskiitmisele.“

3.2.9 Vastutava töötleja abistamine (lepingu tüüptingimuste punkt 9)‌

38. Lepingu tüüptingimuste punkt 9.1 kajastab isikuandmete kaitse üldmääruse artikli 28 lõike 3 punkti e sisu. Volitatud töötajal on selle punkti kohaselt kohustus abistada vastutavat töötlejat taotlustele vastamisel seoses andmesubjektide õiguste teostamisega. Abistamine võib toimuda mitmel moel. Nõukogu on arvamusel, et lepingu tüüptingimustes tuleb esitada üksikasjad selle kohta, kuidas volitatud töötleja peab abi andma, mitte üksnes nimekiri võimalikest õigustest, mida tuleb teostada.

Täpsemalt tuleks lepingu tüüptingimustes sätestada meetmed, mille volitatud töötleja peab võtma juhul, kui ta saab otse andmesubjektilt taotluse seoses tema õiguste teostamisega. Näiteks peab sellisel juhul olema lepingus selgesti sätestatud, kas volitatud töötlejal on lubatud mis tahes suhtlus andmesubjektidega ja kuidas peab volitatud töötleja vastutavat töötlejat andmesubjektide õigustest teavitama (nt taotluse edastamine vastutavale töötlejale kindlaksmääratud ajavahemiku jooksul või muud asjakohased meetmed). Sel juhul antakse abi üksnes vastutava töötleja ja volitatud töötleja vahel teabe vahetamise xxxx. Teise võimaliku stsenaariumi kohaselt juhendab vastutav töötleja volitatud töötlejat andmesubjekti taotlustele vastama antud juhiste kohaselt. Xxxxx xxxxx võib volitatud töötleja juurutada tehnilisi rakendusi vastutava töötleja juhiste kohaselt seoses andmesubjekti õigustega. Nõukogu soovitab Taani järelevalveasutusel kaaluda võimalust lisada lepingu tüüptingimuste punkti 9.1 alla järgmine xxxxx:

„Xxxxxx määratlevad C lisas tehnilised ja korralduslikud meetmed, millega volitatud töötleja peab vastutavat töötlejat abistama, samuti nõutava abistamise ulatuse ja pikkuse. Seda kohaldatakse lepingu tüüptingimuste punktides 9.1 ja 9.2 ette nähtud kohustuste suhtes.“

C lisasse tuleb lisada uus punkt, et tehnilisi ja korralduslikke meetmeid täpsustada.

Lisaks soovitab nõukogu Taani järelevalveasutusel punktide 9.1.a ja 9.1.b puhul kasutada sõna

„teavitamine“ asemel sõnastust „õigus saada teavet“ järgmiselt: „Õigus teavitamisele

andmesubjektilt isikuandmete kogumisel“ – „Õigus teavitamisele, kui andmesubjektilt xx xxxxx isikuandmeid“.

Nõukogu eelistaks punkti 9.1.j puhul täpset isikuandmete kaitse üldmääruse sõnastust. Seepärast ergutab nõukogu Taani järelevalveasutust seda järgmiselt ümber sõnastama: „õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas profiilianalüüsi alusel“.

39. Lepingu tüüptingimuste punkt 9.2 kajastab isikuandmete kaitse üldmääruse artikli 28 lõike 3 punkti f

sisu. Seega soovitab nõukogu asendada sõnad „kättesaadavaks tehtud andmed“ sõnadega

„kättesaadav teave“. Volitatud töötleja selle punkti kohane kohustus on abistada vastutavat töötlejat turvalisuse, andmekaitsealase mõjuhinnangu ja järelevalveasutuste eelneva konsulteerimisega seotud õiguslike kohustuste täitmisel. Nõukogu on ka siin arvamusel, et lepingu tüüptingimustes tuleb esitada üksikasjad selle kohta, kuidas volitatud töötleja peab vastutavat töötlejat abistama.

Nagu juba märgitud käesoleva arvamuse punktis 27, peaks Taani järelevalveasutus selgitama suhet punkti 9.2 ja punkti 6 vahel, mis käsitlevad andmetöötluse turvalisust. Nõukogu leiab, et nende kahe punkti suhe seisneb viitamises isikuandmete kaitse üldmääruse artikli 28 lõike 3 punktile c seoses tüüptingimuste punktiga 6 ja artikli 28 lõike 3 punktile f seoses tüüptingimuste punktiga 9.2. Punkt 9.2.a ja teataval määral punkt 9.2.b kujutavad endast kohustusi, mida volitatud töötleja peab isikuandmete kaitse üldmääruse kohaselt kõigil juhtudel täitma. See tuleneb isikuandmete kaitse üldmääruse artikli 32 lõikest 1 ja artikli 33 lõikest 2. Punkti 9.2.a säilitamiseks xxxxx xxxx mõningast ühtlustamist isikuandmete kaitse üldmääruse artikli 32 lõikega 1. Nõukogu soovitab Taani järelevalveasutusel teha selgeks, et risk oleks risk „füüsiliste isikute õigustele ja kohustustele“. Lisaks tuleks xxxxx andmetöötluse laadi xxxxx arvesse ka teaduse ja tehnoloogia taset, andmetöötluse rakendamiskulusid, ulatust, konteksti ja eesmärke. Nõukogu on seisukohal, et pooled peaksid täpsustama C2 lisas turvalisuse minimaalse taseme ja meetmed, mida volitatud töötaja peab rakendama. Nõukogu peab oluliseks lisada C2 lisas sisalduvate juhiste hulka üksikasjad vastutava töötleja abistamise kohta seoses andmetöötluse turvalisusega.

Nõukogu on eespool esitanud soovitusliku sõnastuse punktide 9.1 ja 9.2 kohta.

Nõukogu on seoses punktiga 9.2.b arvamusel, et näidislepingus tuleks vältida mis tahes viitamist konkreetsele riiklikule järelevalveasutusele. Lisaks tuleks asendada sõnad „aru andma“ sõnadega

„teada andma“ ning „saades teada“ sõnadega „pärast ... teada saamist“, et tekst oleks kooskõlas

isikuandmete kaitse üldmääruse artikli 33 lõikega 2.

Punkti 9.2.b võiks sõnastada järgmiselt: „b) kohustus teatada rikkumisest pädevale järelevalveasutusele [MÄRKIDA pädev järelevalveasutus] põhjendamatu viivituseta ja võimaluse korral kuni 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele“.

Seoses punktiga 9.2.e on nõukogu siinkohal taas arvamusel, et tuleks kõrvaldada viide Taani järelevalveasutusele. Punkti 9.2.e võiks sõnastada järgmiselt: „e) kohustus konsulteerida enne andmetöötlust pädeva järelevalveasutusega [MÄRKIDA pädev järelevalveasutus], kui andmekaitsealane mõjuhinnang näitab, et andmetöötlus toob xxxxx suure xxxxx, xxx vastutav töötleja xx xxxx riskileevendusmeetmeid“.

Nõukogu peab oluliseks nimetatud punkti C või D lisas üksikasjalikumalt täpsustada, et tagada, et pooled teeksid korraldusi seoses kõnealuse abi andmise praktilise viisiga.

3.2.10 Isikuandmetega seotud rikkumisest teatamine (lepingu tüüptingimuste punkt 10)‌

40. Xxxxxx lepingu tüüptingimuste punktiga 10.1 eelistab nõukogu, nagu juba märgitud, mis tahes segaduse vältimiseks isikuandmete kaitse üldmääruse sõnastust. Kõnealuses punktis tuleks sõna

„avastamine“ asendada sõnadega „pärast ... teada saamist“. Lisaks ergutab nõukogu Taani järelevalveasutust lisama xxxx xxxx „isikuandmetega seotud rikkumine“ sõnad „mis tahes“, et selgitada, et volitatud töötleja ülesanne ei ole hinnata, kas pädevale järelevalveasutusele peab isikuandmetega seotud rikkumisest teatama või mitte. See on vastutava töötleja kohustus4.

Seda lauset võiks muuta järgmiselt: „1. Isikuandmete mis tahes rikkumise korral teavitab volitatud töötleja või alamtöötleja pärast rikkumisest teada saamist sellest põhjendamatu viivituseta vastutavat töötlejat.“

Nõukogu soovitab jätta välja sõnad „volitatud töötleja ruumides või alamtöötleja ruumides“, mille tõttu piirduks teavitamiskohustus juhtudega, kus rikkumine toimub nimetatud ruumides, arvestades, et selline piirang ei tulene isikuandmete kaitse üldmäärusest.

Seoses punkti 10.1 teise osaga on nõukogu arvamusel, et seda võiks täiendada järgmiselt:

„Volitatud töötleja teavitab vastutavat töötajat võimaluse korral [tundide arv] jooksul pärast xxxx, xxx volitatud töötaja on rikkumisest teada saanud, et võimaldada vastutaval töötlejal täita juba punktis 9.2.b nimetatud isikuandmetega seotud rikkumistest teavitamise kohustust.“

41. Nõukogu on seoses punktiga 10.2 arvamusel, et sõnastust „võttes arvesse andmetöötluse laadi ja kättesaadavat teavet“ võiks D lisas täpsustada, et tekst oleks konkreetsem ja sihipärasem. Uude lõiku tüüptingimuste punkti 10.2 xxxxx võiks lisada järgmise teksti:

„Xxxxxx määratlevad D lisas elemendid, mille volitatud töötaja peab esitama, et abistada vastutavat töötlejat järelevalveasutusele rikkumisest teada andmisel.“

Lisaks sätestatakse lepingu tüüptingimuste eelnõu punkti 10.2 teise xxxxx alguses, et: „Volitatud töötlejale kättesaadava teabe kohaselt võib see tähendada (...)“. Nõukogu on arvamusel, et õiguskindluse huvides oleks parem sellist sõnastust vältida. Nõukogu kutsub Taani järelevalveasutust üles muutma kõnealust sõnastust, jättes välja sõna „võib“.

3.2.11 Andmete kustutamine ja tagastamine (lepingu tüüptingimuste punkt 11)‌

42. Nõukogu on seoses lepingu tüüptingimuste punktiga 11 arvamusel, et nimetatud punktis oleks praktilisem luua tegelik valikuvõimalus. Nõukogu kutsub Taani järelevalveasutust üles muutma seda punkti, et luua vastutavale töötlejale kaks konkreetset valikuvõimalust.

Punkti võiks sõnastada järgmiselt:

„Andmetöötlusteenuste lõpetamisel on volitatud töötleja kohustatud [valikuvõimalus 1] kustutama kõik vastutava töötleja nimel töödeldud isikuandmed [valikuvõimalus 2] tagastama kõik isikuandmed vastutavale töötlejale ja kustutama kõik olemasolevad koopiad.

4 Vt suunised andmetega seotud rikkumisest teatamise kohta (lk 13). „Tuleb märkida, et volitatud töötleja ei pea enne vastutava töötleja teavitamist kõigepealt hindama rikkumisest tuleneva ohu tõenäosust; selle hinnangu peab tegema vastutav töötleja rikkumisest teada saamisel. Volitatud töötleja peab xxxx kindlaks tegema, kas rikkumine on toimunud ja seejärel teavitama sellest vastutavat töötlejat.“

[Valikuline] Isikuandmete säilitamist pärast andmetöötlusteenuste lõpetamist nõutakse järgmiste volitatud töötleja suhtes kohaldatavate XXx liikmesriikide õigusaktidega Volitatud

töötleja kohustub töötlema andmeid üksnes nimetatud seaduses sätestatud eesmärkidel ja rangelt kohaldatavatel tingimustel.“

C3 lisas võiks anda rohkem teavet, sealhulgas sätestada vastutava töötleja võimalus muuta lepingu allkirjastamisel valitud valikuvõimalust. Sellest tulenevalt mõjutab see C3 xxxx sisu. Nõukogu kutsub Taani järelevalveasutust üles pigem eristama C3 lisas säilitamisaega kustutamismenetlustest ja kajastama vastutava töötleja võimalust muuta tehtud valikut.

Lõpetuseks on nõukogu arvamusel, et sõna „andmetöötlusteenused“ on vaja täpsustada, näiteks sõnadega „pärast andmetöötlusega seotud teenuste osutamise lõpetamist“. Seda võiks teha D lisas.

3.2.12 Inspekteerimine ja audit (lepingu tüüptingimuste punkt 12)‌

43. Lepingu tüüptingimuste punkt 12.1 kajastab isikuandmete kaitse üldmääruse artikli 28 lõike 3 punkti h sisu. Nõukogu soovitab kasutada punktides 2 ja 3, milles osutatakse ainult inspekteerimisele, sama terminoloogiat kui punktis 1: „auditid, sh inspekteerimised“.

44. Nõukogu mõistab lepingu tüüptingimuste punkti 12.3 nii, et see hõlmab alamtöötleja suhtes tehtavaid auditeid ja inspekteerimisi. Kooskõlas isikuandmete kaitse üldmääruse artikli 28 lõikega 4 kehtestatakse alamtöötlejale xxxxx kohustused, mis on sätestatud vastutava töötleja ja volitatud töötleja vahel sõlmitud lepingus või xxxx õigusaktis. See hõlmab artikli 28 lõike 3 punkti h kohast kohustust võimaldada vastutaval töötlejal või mõnel teisel vastutava töötleja volitatud audiitoril auditeid teha xx xxxxx xxxxx aidata. Paistab, et punkti 12.3 sõnastusega piiratakse seda vastutava töötaja õigust alamtöötleja suhtes („vajaduse korral“ ja „tehakse volitatud töötaja kaudu“). Nõukogu soovitab Taani järelevalveasutusel punkt 12.3 ümber sõnastada, et see oleks täielikus kooskõlas isikuandmete kaitse üldmäärusega. Selle tegemiseks võib ühendada tüüptingimuste punktid 12.2 ja

12.3 järgmiselt: „Vastutava töötleja auditite, sh volitatud töötleja ja alamtöötleja inspekteerimiste suhtes kohaldatavad menetlused on esitatud lepingu tüüptingimuste C6 ja C7 lisas.“

45. Seoses C6 ja C7 lisaga soovitab nõukogu Taani järelevalveasutusel muuta lauset

„Inspekteerimisaruanne esitatakse teabe andmise eesmärgil viivitamata vastutavale töötlejale“, et selgitada, et vastutav töötleja saab inspekteerimise ulatust, meetodeid ja tulemusi vaidlustada. Vastutav töötleja peaks saama nõuda meetmete võtmist xx xxxxxx inspekteerimise tulemusi.

46. Lisaks tuleks laiendada C6 lisas viidet volitatud töötleja ruumidele ja C7 lisas viidet alamtöötleja ruumidele. Tegelikult ei tohiks vastutava töötleja õigused inspekteerimise ja/või auditi raames piirduda volitatud töötleja või alamtöötlejate ruumidega. Vastutaval töötlejal peaks olema juurdepääs kohtadele, kus toimub andmetöötlus. See hõlmab füüsilisi rajatisi ja süsteeme, mida andmetöötluseks kasutatakse või mis on sellega seotud.

3.2.13 Poolte kokkulepe muudes tingimustes (lepingu tüüptingimuste punkt 13)‌

47. Nõukogu soovitab seoses lepingu tüüptingimuste punktiga 13 Taani järelevalveasutusel pidada meeles, et kui lisatakse lõik, milles sätestatakse vastutus, kohaldatavad õigusaktid, jurisdiktsioon või muud tingimused, ei tohi see minna vastuollu asjaomaste isikuandmete kaitse üldmääruse sätetega ega kahjustada kaitse taset, mida pakub isikuandmete kaitse üldmäärus või leping.

3.2.14 Alustamine ja lõpetamine (lepingu tüüptingimuste punkt 14)‌

48. Nõukogu on seoses lepingu tüüptingimuste punktiga 14.4 arvamusel, et lepingu tüüptingimuste puhul võiks olla asjakohane ka erisäte lepingu lõpetamise kohta. Kuna nõukogu on seisukohal, et andmetöötluslepingu ja raamlepingu suhe peaks olema paindlikum, soovitab nõukogu Taani järelevalveasutusel lisada lepingu tüüptingimustesse säte lepingu lõpetamise kohta.

49. Nõukogu on seoses lepingu tüüptingimuste punktiga 14.5 arvamusel, et nimetatud tingimus võib olla vastuolus punktidega 2.4 või 14.4. Nõukogu soovitab Taani järelevalveasutusel selgitada nende kolme punkti suhet.

3.2.15 A XXXX x

50. A xxxx eesmärk on anda üksikasjalikku teavet volitatud töötleja vastutava töötleja nimel tehtava andmetöötlustegevuse kohta. Selleks soovitab nõukogu kirjeldada andmetöötluse eesmärki ja laadi, samuti töödeldavate isikuandmete liiki, asjaomaste andmesubjektide kategooriaid ja andmetöötluse kestust. Nimetatud kirjeldus tuleb esitada võimalikult üksikasjalikult xx xxxx juhul tuleb täiendavalt täpsustada isikuandmete liiki, mitte üksnes märkida „nagu on määratletud artikli 4 lõikes 1“ või millist isikuandmete kategooriat (artikkel 6, 9 või 10) töödeldakse. Nõukogu on arvamusel, et peaks xxxxx xxxxx, et mitme andmetöötlustegevuse korral tuleb nimetatud elemendid esitada neist igaühe kohta. Xxxxx xxxxx xx ole kaks esimest näidet nõukogu arvates veenvad, sest andmetöötluse eesmärki ja laadi on xxxxx eristada.

4 JÄRELDUSED ‌

51. Nõukogul tunneb heameelt Taani algatuse üle esitada oma lepingu tüüptingimuste eelnõu arvamuse saamiseks, mille eesmärk on aidata xxxxx isikuandmete kaitse üldmääruse ühtlustatud rakendamisele.

52. Nõukogu on arvamusel, et Taani järelevalveasutuse lepingu tüüptingimusi, mis on esitatud arvamuse saamiseks, on vaja kohandada, et neid saaks käsitleda lepingu tüüptingimustena. Nõukogu esitas käesolevas arvamuses eespool mitmeid soovitusi. Xxx xxxxx soovitusi rakendatakse, saab Taani järelevalveasutus kasutada kõnealust lepingu tüüptingimuste eelnõud lepingu tüüptingimustena vastavalt isikuandmete kaitse üldmääruse artikli 28 lõikele 8, xxxx et Euroopa Komisjon peaks selle edaspidi vastu võtma.

5 LÕPPMÄRKUSED ‌

53. Käesolev arvamus saadetakse Datatilsynetile (Taani järelevalveasutus) ning avalikustatakse vastavalt isikuandmete kaitse üldmääruse artikli 64 lõike 5 punktile b.

54. Vastavalt isikuandmete kaitse üldmääruse artikli 64 lõigetele 7 ja 8 annab järelevalveasutus elektroonilisel xxxx kahe nädala jooksul pärast arvamuse saamist tüüpvormi kasutades andmekaitsenõukogu eesistujale teada, kas ta muudab kavandatud lepingu tüüptingimusi või jääb nende juurde. Järelevalveasutus esitab sama ajavahemiku jooksul muudetud lepingu tüüptingimused5

5 Järelevalveasutus edastab nõukogule isikuandmete kaitse üldmääruse artikli 70 lõike 1 punkti y kohaselt lõppotsuse, et selle saaks lisada järjepidevuse mehhanismiga hõlmatud otsuste registrisse.

või, kui ta ei kavatse nõukogu arvamust järgida, asjaomase põhjenduse, xxxx xx ei kavatse järgida arvamust tervikuna või osaliselt.

Euroopa Andmekaitsenõukogu nimel eesistuja

(Xxxxxx Xxxxxxx)

Document Metadata

Arvamus 14/2019 Taani järelevalveasutuse esitatud lepingu tüüptingimuste eelnõu kohta (isikuandmete kaitse üldmääruse artikli 28 lõige 8)

Document Metadata