Filiaali roll isikuandmete kaitses: kas iseseisev vastutav töötleja, kaasvastutav töötleja või äriühingu käepikendus?
)
Rahvusvaheliste ettevõtete igapäevases tegevuses on tavapärane, et isikuandmete töötlemisega seotud otsuseid tehakse kohalikul tasandil, kas vastavates tütarühingutes või välismaise äriühingu filiaalis. Näiteks võib Eestis registreeritud filiaal värbamisprotsessis ise otsustada, milliseid tööle kandideerijate andmeid kogutakse, kui kaua neid säilitatakse, milliseid IT-lahendusi seejuures kasutatakse jne.
Sellises olukorras tekib paratamatult küsimus, kas filiaal tegutseb isikuandmete töötlemise eesmärke seades ja vahendeid valides iseseisva vastutava töötlejana, kaasvastutava töötlejana või jääb vastutus isikuandmete töötlemisel siiski välismaise äriühingu kanda? Kusjuures küsimus ei ole sugugi teoreetiline, kuna sellest sõltub, kuhu andmesubjektid oma päringud saadavad, kelle suhtes saab järelevalveasutus vajadusel menetluse läbi viia, kelle nimel sõlmitakse asjakohaseid lepinguid jne.
)
Kuigi esmapilgul võib tunduda, et filiaali otsustusõigus tähendab automaatselt ka filiaali vastutust, ei ole see andmekaitseõiguses sugugi nii üheselt mõistetav. Selguse saamiseks tuleb analüüsida nii isikuandmete kaitse üldmääruse (IKÜM) mõisteid, Euroopa Kohtu praktikat kui ka Eesti tsiviilõiguse sätteid.
Isikuandmete kaitse üldmääruse kohaselt on vastutav töötleja füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.
Täiendavalt eeldab vastutava töötleja roll ka võimet täita kõiki IKÜM-ist tulenevaid kohustusi, sealhulgas vastutada töötlemise õiguspärasuse eest, mistõttu lisaks otsustusõigusele peab üksusel olema ka õiguslik võimekus osaleda õigussuhetes ja kanda vastutust andmesubjektide ees.
Euroopa Kohus on selgitanud, et üksus, kellel puudub õigusvõime, ei saa üldjuhul olla vastutav töötleja, kuid erandina on see võimalik vaid juhul, kui liikmesriigi õigus annab talle selgesõnaliselt nii töötlemise eesmärkide ja vahendite määramise pädevuse kui ka vastutuse. Seega teatud juhtudel saab mitte juriidilisest isikust üksus olla vastutav töötleja, kuid sellisel juhul peab siseriiklikust õigusest tulenema ka taolisele üksusele pandud vastutus. Kui üksus on kõrgema tasandi üksuse abiorgan ilma iseseisva õigusvõime ja vastutuseta, ei saa teda käsitada eraldiseisva vastutava töötlejana, sõltumata faktilisest otsustuspädevusest. Euroopa Andmekaitsenõukogu (EDPB) on oma suunistes täpsustanud, et isegi kui organisatsiooni teatud osakond või üksus vastutab operatiivselt teatud töötlemistoimingute vastavuse tagamise eest, ei tähenda see, et sellest osakonnast või üksusest saab vastutav töötleja (selleks on organisatsioon tervikuna). [1]
Kas Eesti õiguses eksisteerib norme, mis panevad andmekaitsealase vastutuse välismaise äriühingu filiaalile või mitte?
Filiaali staatust reguleerib Eestis teadupoolest äriseadustik, mille kohaselt ei ole filiaal iseseisev juriidiline isik, vaid välismaise äriühingu organisatsiooniline üksus. Filiaal tegutseb äriühingu nimel ning kõik filiaali tegevusest tulenevad õigused ja kohustused omistatakse välismaisele äriühingule. Järelikult filiaalil endal puudub õigusvõime, mis tähendab, et ta ei saa olla iseseisev õiguste ja kohustuste kandja ega esineda õigussuhetes enda, vaid üksnes välismaise äriühingu nimel. Sama loogika kohaldub ka andmekaitseõiguses ehk võimalik vastutus andmesubjektide ees realiseerub alati välismaise äriühingu kaudu sõltumata sellest, et filiaal võib praktiliselt osaleda andmetöötluse eesmärkide ja vahendite kujundamises. Taoliselt tegutsedes on filiaal sarnane pigem ühingu mõnele osakonnale (nt IT-osakond või personaliosakond), mis otsustab konkreetses valdkonnas isikuandmete töötlemise üle, kuid teeb seda siiski äriühingu kui vastutava töötleja nimel.
Ka kaasvastutava töötleja roll on filiaali puhul eeltoodu valguses välistatud. IKÜM näeb ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Kaasvastutus eeldab pooltevahelise kokkuleppe olemasolu vastutuse jaotamise kohta, kuid nagu eespool märgitud, siis lepinguid saavad sõlmida vaid õigusvõimet omavad isikud, mida filiaalil Eesti õiguse kohaselt ei ole.
Kokkuvõttes ei saa Eestis registreeritud filiaali käsitada iseseisva ega kaasvastutava isikuandmete töötlejana, kuna filiaali õiguslik staatus välistab andmekaitsealase vastutuse. Kõik andmekaitsealased kohustused, sealhulgas vastutus andmesubjektide ees, lasuvad välismaisel äriühingul, kelle nimel filiaal tegutseb. Sellest tulenevalt on oluline, et ühingud mõistaksid filiaali ja välismaise äriühingu vastutuse piire ning tagaksid, et andmekaitse küsimustes ei tekiks segadust vastutuse jaotumises ning kõik vajalikud lepingud oleksid sõlmitud korrektselt äriühingu tasandil.
[1] edpb_guidelines_202007_controllerprocessor_final_et.pdf p 18
)
)