Euroopa Komisjon on vastu võtnud uued lepingu tüüptingimused

Tüüptingimused võeti vastu 4. juunil 2021 kaheks juhuks – ühed kasutamiseks isikuandmete edastamisel kolmandatesse riikidesse ning teised vastutavate töötlejate ja volitatud töötlejate vaheliste suhete jaoks.

Kui tüüptingimused vastutavate töötlejate ja volitatud töötlejate vaheliste suhete jaoks on täiesti uued, siis isikuandmete kolmandatesse riikidesse edastamise tüüptingimused asendavad seni kehtinuid.

Tüüptingimusi saab kasutada Isikuandmete Kaitse Üldmääruses (GDPR) defineeritud andmete edastamise alusena ning need panevad teatud kohustused nii andmete andmeeksportijatele kui andmeimportijatele, et tagada piisav andmekaitse tase.

Tüüptingimusi on uuendatud peamiselt selleks, et viia need kooskõlla nõuetega, mis tulenevad Euroopa Kohtu otsusest Schrems II. Nüüdsest peavad andmete kolmandatesse riikidesse edastajad, näiteks, hindama andmekaitse taset kolmandas riigis, hindama täiendavate meetmete kasutusele võtmise vajadust ja tagama piisava dokumentatsiooni. Komisjon avaldas uute tüüptingimuste esimese projekti eelmisel aastal ning nende lõplikud versioonid jäid esialgse projektiga väga sarnaseks.

Uued tüüptingimused keskenduvad olemasolevate tingimuste puuduste kõrvaldamisele.

Uued tingimused toovad olulisi muudatusi äriühingute kohustustesse, mh näiteks on tulevikus andmete edastuse ahelas osalevad ettevõtted isikuandmete kaitsmise eest kaasvastutavad. Lisaks võimaldavad uued tingimused isikuandmete subjektidel oma õigusi maksma panna. Uusi tingimusi saab kohaldada ka ettevõtetele, mis on loodud väljaspool Euroopa Liitu.

Üldiselt suurendavad uued tüüptingimused märkimisväärselt ettevõtete kohustusi seoses piisava andmekaitse taseme tagamisega, nõudes suuremat hoolsust andmete edastamise lepingute sõlmimisel.

Uusi tüüptingimusi võib kasutada andmete edastamisel:

• ühelt vastutavalt töötlejalt teisele,

• vastutavalt töötlejalt volitatud töötlejale,

• ühelt volitatud töötlejalt teisele või

• volitatud töötlejalt vastutavale töötlejale

Tüüptingimused kehtestavad ka rangemad kohustused andmeimportijatele. Näiteks andmeimportijad peavad teavitama andmeeksportijaid, kui tüüptingimuste nõudeid ei suudeta täita. Kui võimalik, peavad andmeimportijad teavitama nii andmeeksportijaid kui andesubjekte siseriiklike ametiasutuste nõudest saada ligipääs isikuandmetele. Nad peavad ühtlasi ka hindama sellise nõude õiguspärasust ja vajadusel esitama vastuväiteid ning tagama toimuva dokumenteerimise. Nende tingimustega püüab Euroopa Komisjon tagada, et isikuandmed saavad küllaldase kaitse ka väljaspool Euroopa Liitu.

Ettevõtted võivad alustada uute tüüptingimuste kasutamist juba 27. juunist 2021 (jõustumiskuupäev), kuid see pole kohustuslik, sest võimalik on kasutada üleminekuperioodi.

Vanu tüüptingimusi võib pärast jõustumiskuupäeva uute lepingute sõlmimisel kasutada veel kolm kuud ehk kuni 27. septembrini 2021. Selle perioodi lõppedes ei või uute lepingute sõlmimisel enam vanu tüüptingimusi kasutada.

Kõik andmete edastamise lepingud, mis veel kasutavad vanu tüüptingimusi, tuleb asendada uute tüüptingimustega lepingutega 18 kuu jooksul jõustumiskuupäevast, see tähendab hiljemalt 27. detsembriks 2022.

Riskide hindamine on kohustuslik: ettevõtted peavad hindama isikuandmete kaitse taset kolmandas riigis juba enne uute tüüptingimuste kasutamist.

Uued tüüptingimused peavad olema täielikult kasutusele võetud järgmise aasta jooksul: ettevõtted peavad ette valmistuma uute andmeedastuslepingute sõlmimiseks ja olemasolevate asendamiseks.

Tulevikus peavad ettevõtted oma äripartnereid tundma veelgi paremini: uute tüüptingimuste kohaselt vastutavad ettevõtted ühiselt isikuandmete kaitse eest, mis nõuab usaldusväärsete partnerite valimist. Andmesubjektide ees on ettevõtted ühtlasi ka otseselt vastutavad.

Täiendavat infot leiab:

Lepingu tüüptingimused rahvusvahelise andmeedastuse jaoks

Lepingu tüüptingimused vastutavatele andmetöötlejatele ja volitatud andmetöötlejatele Euroopa Liidus/Euroopa Majanduspiirkonnas