Investoritele
Ava MyFondia

Andmetöötlusleping: kes vastutab andmelekke korral?

Fondia
Blogi
20. jaanuar 2026

Ettevõtted koguvad ja töötlevad igapäevaselt isikuandmeid, kuid alati ei arvestata, et iga välise teenusepakkuja kaasamine toob endaga kaasa isikuandmete kaitse üldmäärusest (IKÜM, inglise keeles GDPR) tuleneva kohustuse sõlmida andmetöötlusleping. Tegemist ei ole bürokraatliku formaalsusega, vaid vahendiga, mis aitab muuhulgas paika panna poolte vastutuse ja aitab kaitsta ettevõtet hiigelsuurte trahvide eest.

Mis on andmetöötlusleping ja kas see on kohustuslik?

IKÜM näeb ette, et juhul, kui teenuse tellija (vastutav töötleja) annab isikuandmete töötlemise üle kolmandale osapoolele ehk teenuse osutajale (volitatud töötleja), peab nende vahel eksisteerima kirjalik leping isikuandmete töötlemiseks. Teisisõnu, kui üks ettevõte kasutab isikuandmete töötlemisel teise ettevõtte teenuseid, peab nende vahel olema sõlmitud kirjalik andmetöötlusleping. See kehtib iga teenuse puhul, kus puututakse kokku isikuandmetega, olenemata sellest, kas tegu on ettevõtte põhi- või kõrvaltegevusega. Näiteks liigituvad isikuandmete volitatud töötlejateks tavaliselt erinevaid IT-teenuseid, pilvepõhiseid raamatupidamisteenuseid, turundusteenuseid jms teenuseid pakkuvad ettevõtted, kellel on juurdepääs teie töötajate või klientide andmetele.

Üheks levinuimaks väärarusaamaks on see, et üldised teenuse osutamise lepingud või kasutustingimused katavad ära ka andmekaitse nõuded. Tihti see paraku nii ei ole, mistõttu tuleks sõlmida eraldi andmetöötlusleping, mis sisaldaks kõiki IKÜM-is loetletud kohustuslikke sätteid, s.h töötlemise eesmärk ja kestus, andmete liik, turvameetmed, alamtöötlejate kasutamine, andmesubjektide õigused ja intsidentide käsitlus. Veelkord, standardne teenuseleping loetletud tingimusi üldjuhul ei kata.

Andmetöötluslepingu puudumine tähendab ühelt poolt seda, et rikutakse IKÜM-is sätestatud kohustusi, kuid teiselt poolt jäävad kaitseta ka teenuse tellija õigused. Arvestades, et isikuandmete kaitsega seotud rikkumiste eest IKÜM-is ettenähtud trahvid võivad ulatuda kuni 20 miljoni euroni või kuni 4 protsendini ettevõtte globaalsest aastakäibest, sõltuvalt sellest, kumb on suurem, on ülioluline teenuse osutajaga kokku leppida andmete töötlemise tingimused ning tema vastutus kohustuste rikkumise eest. Siinkohal väärib rõhutamist, et andmesubjekti ja järelevalveasutuse (Eestis: Andmekaitse Inspektsioon) ees vastutab rikkumise korral reeglina teenuse tellija. Järelikult väärib teenuse tellija ja teenuse osutaja vaheline lepinguline suhe andmete töötlemise aspektist erilist tähelepanu, et ei toimuks isikuandmetega seonduvaid rikkumisi ja isegi kui rikkumine peaks aset leidma, ei jääks koguvastutus vaid teenuse tellija kanda.

Kuidas andmetöötlusleping ettevõtet kaitseb?

Andmetöötluslepingu põhifunktsioon on anda teenuse osutajale selged juhised andmete töötlemiseks ning jaotada omavaheline vastutus. IKÜM-i kohaselt vastutab teenuse tellija kõigi oma teenuse osutajate tegevuste eest. See tähendab, et juhul, kui teie pilveteenuse pakkuja põhjustab andmelekke, vastutate teie. Nagu eespool öeldud, siis andmetöötlusleping seda vastutust ei kõrvalda, kuid loob mehhanismid selle maandamiseks ning vajadusel kahju hüvitamiseks.

Kolm peamist kaitsemehhanismi:

  1. Turvameetmete kohustus

    Leping peaks kohustama teenuse osutajat rakendama isikuandmete töötlemisel konkreetseid tehnilisi ja organisatsioonilisi meetmeid: s.h krüpteerimine, juurdepääsukontroll, regulaarsed auditid, töötajate koolitused. Oluline on nõuda tõendeid (nt sertifikaadid ISO 27001, SOC 2), auditiraporteid, turvalisuse dokumentatsiooni jms. Leping peab andma teile õiguse neid kontrollida ja vajadusel läbi viia oma auditeid.

  2. Andmete kasutamise piirangud

    Andmetöötlusleping peab täpselt määratlema, mida teenuse osutaja tohib teie poolt talle edastatud isikuandmetega teha ja mida mitte. Keelatud peaks olema igasugune omavoliline isikuandmete töötlemine teenuse osutaja poolt, andmete edastamine kolmandatele osapooltele ilma teie loata ja andmete säilitamine pärast lepingu lõppemist. Näiteks ei tohi e-posti teenusepakkuja kasutada teie klientide aadresse oma turunduskampaaniates. Lepingu lõppedes peaks partner andmed kas kustutama või teile tagastama ning vastavad tingimused peaksid olema lepingus fikseeritud.

  3. Intsidentide haldamine

    Kuna IKÜM nõuab andmelekete korral järelevalveasutuse teavitamist 72 tunni jooksul, mis on vägagi lühike aeg, peab teil olema teenuse osutajaga kokku lepitud, et tema teavitaks teid viivitamatult igast avastatud lekkest (ideaalis 24 tunni jooksul). Vastasel juhul ei ole teil võimalik oma seadusjärgseid kohustusi nõuetekohaselt täita. Andmetöötluslepingus peaks olema kokku lepitud, millist infot teenuse osutaja kohustub andmelekke korral teile edastama (s.h intsidendi kirjeldus, selle mõju ja rakendatud meetmeid kahju leevendamiseks). Ilma selge protseduurita võib 72-tunnine tähtaeg mööduda enne, kui te üldse probleemist teada saate.

Kolm sammu andmekaitse tõhusamaks rakendamiseks

  1. Kaardistage teenuse osutajad ehk volitatud töötlejad. Koostage täielik nimekiri kõigist partneritest, kes töötlevad isikuandmeid teie nimel. Hõlmake kõik osakonnad – IT, raamatupidamine, personaliotsing, turundus, õigus. Enamik ettevõtteid avastab taolise revisjoni käigus, et nende poolt kaasatud volitatud töötlejate arv jääb vahemikku 15-30, kuigi alguses võis tunduda, et neid on ainult mõni.

  2. Vaadake üle juba olemasolevad lepingud. Kontrollige iga lepingu puhul üle, kas olete kõiges olulises kokku leppinud. Ennekõike peaksid olema kaetud: poolte rollide määratlus ja vastutus; isikuandmete töötlemise eesmärk ja ulatus; isikuandmete- ja andmesubjektide kategooriad; töötlemise kestus; poolte õigused ja kohustused, s.h teenuse osutaja poolne turvalisuse- ja konfidentsiaalsuse tagamine; alamtöötlejate kaasamise tingimused; andmesubjektide õiguste toetamine; andmete kustutamine või tagastamine; auditeerimise õigus ning kui asjakohane, siis ka rahvusvaheline andmeedastus. Kui avastate, et olemasolev leping ei kata kõiki asjakohaseid punkte, tuleks lepingut täiendada või sõlmida uus andmetöötlusleping.

  3. Tagage püsiv järelevalve. Esmalt kaardistage ja seejärel rakendage ettevõttes süsteem, kuidas toimub andmetöötluslepingute haldamise kontroll. Üheks lahenduseks on kõiki olemasolevaid lepingud ühekorraga teatud regulaarsusega kontrollida (nt kord aastas või vajadusel tihemini), teine variant on seada iga konkreetse lepingu puhul sisse eraldi ülevaatusperiood, et veenduda kas andmetöötlusleping on endiselt asjakohane; kas koostööpartner järgib turvalisuse nõudeid; on tal asjakohased ja uuendatud sertifikaadid või on läbi viidud vastavad auditid. Iga uue teenusepakkuja puhul veenduge, et teenuselepingu lisaks oleks ka andmetöötlusleping ning et kasutatav andmetöötluslepingu mall oleks aja- ja asjakohane. Lisaks sellele tuleks koolitada ettevõtte töötajaid (eriti IT-osakonda), et nad oleksid teadlikud, miks on andmetöötluslepingud olulised ja mida need reguleerima peaks.

Kaasaaegses maailmas tuleb arvestada, et teenusepakkujad muudavad oma praktikaid, tehnilised lahendused ja seadusandlus on pidevas muutumises, ärivajadused muutuvad jne, mistõttu peavad ka andmetöötluskokkulepped pidama sammu. Regulaarne andmetöötluse kaardistamine aitab riske maandada ja tagada tõhusat kaitset.

Rahvusvahelised andmeedastused: varjatud risk paljudes lepingutes

Üks kriitilisemaid aspekte, mida ettevõtted andmetöötluslepingutes sageli tähelepanuta jätavad, on rahvusvaheliste andmeedastuste reguleerimine. Arvestada tuleb, et paljud populaarsed teenusepakkujad (eriti USA päritoluga pilvetalletuse, CRM-i või e-posti teenust pakkuvad tehnoloogiaettevõtted) töötlevad või säilitavad andmeid väljaspool Euroopa Liitu/Euroopa Majanduspiirkonda. IKÜM kehtestab selliste andmeedastuste kohta ranged nõuded, kuid praktikas jääb see sageli lepingutes ebaselgeks või täiesti käsitlemata, sest pahatihti ei tea teenuse tellija isegi, kas isikuandmeid edastatakse kolmandatesse riikidesse ning kui jah, siis kuhu.

Näiteks kui kasutate USA-s servereid omavat pilveteenust, siis peate hindama, kas näiteks USA valitsuse juurdepääsuõigused võivad ohustada teie klientide andmeid. Kui risk on olemas, peate rakendama täiendavaid kaitsemeetmeid – näiteks end-to-end krüpteerimine, kus teenusepakkujal puudub juurdepääs dekrüpteerimise võtmetele. Teie andmetöötlusleping peab selgelt määratlema selle, kus andmeid töödeldakse ja säilitatakse, millised õiguslikud alused toetavad rahvusvahelisi edastusi ning millised täiendavad turvameetmed on rakendatud.

Paljud ettevõtted avastavad alles järelevalveasutuse kontrolli käigus, et nende "IKÜM-nõuetele vastav" leping ei kata tegelikult korrektselt rahvusvahelisi andmeedastusi. See võib viia mitte ainult trahvideni, vaid ka kohustuseni lõpetada andmete edastamine, mis praktikas tähendab teenuse kasutamise lõpetamist. Seega oluline on mitte lihtsalt kopeerida standardseid lepingutekste, vaid analüüsida iga teenusepakkuja andmevoogu ja tagada, et leping kajastab tegelikku olukorda.

Soovitused

Andmetöötluslepingu sõlmimine on IKÜM-ist tulenev kohustus ning selle täitmata jätmisel võib ettevõte seista silmitsi suurte trahvidega. Seepärast soovitame investeerida nii korralikku andmetöötluslepingu näidisvormi kui ka lepingute haldamise süsteemi, mis aitab ennetada vastavusriske, tagada teenusepakkujate pideva järelevalve ning reageerida õigeaegselt muutustele nii ettevõtte äriprotsessides kui ka andmekaitse regulatsioonis.

Tutvuge Fondia andmekaitseekspertidega

Elis Vija
Elis Vija
Vanem õigusnõustaja
Lee Raudsepp
Lee Raudsepp
Vanem õigusnõustaja