Kui teadustöösse soovitakse kaasata ülikooliväliseid partnereid, tuleb uuritavate isikuandmete kaitseks kokku leppida ka õiguspärase ja turvalise töötlemise tingimused. Tähtis on teada, et inimuuringu või muu eetikakomitee kontrollile alluva uuringu puhul ei vabasta eetikakomitee kooskõlastus uurijaid andmetöötluslepingu sõlmimise nõudest.

Andmetöötlusleping tuleb sõlmida kõigi partneritega, kes töötlevad teadustöö eesmärgil uuritavate isikuandmeid (vt alaptk 1.4). See leping sõlmitakse üldjuhul juriidilise isikuga (nt partnerülikool, teadusasutus või teenuseosutaja), aga sõltuvalt olukorrast võidakse seda teha ka füüsilise isikuga (nt üliõpilane, füüsilisest isikust ettevõtja või erialaekspert). Andmetöötlusrollide kindlaksmääramise ja lepinguprojektide koostamise või ülevaatamisega aitavad ülikooli andmekaitsespetsialistid. Teadustöö intellektuaalse omandiga seotud küsimustes saab abi ülikooli intellektuaalomandi valdkonna juristilt.

2.3.1. Andmetöötluslepingu sõlmimine juriidilise isikuga

Kui ülikool on teadustöö vastutav töötleja (vt alaptk 1.4), tuleb esmalt kindlaks määrata partneri roll isikuandmete töötlemisel, kuna sellest sõltuvad ka andmetöötluslepingu tingimused. Isikuandmete töötlemise tingimused võivad olla kirjas teadustöö konsortsiumi, koostöö, teenuse osutamise vm põhilepingus, põhilepingu lisas või põhilepingu puudumisel eraldiseisvalt.

• Volitatud töötleja (nt teadustöö andmebaasi pakkuja, arendaja, analüütiku) kaasamisel tuleb sõlmida kirjalik ja siduv andmetöötlusleping, mis vastab üldmääruse artiklis 28 toodud nõuetele. Kuna volitatud töötleja tegevuse eest vastutab täies ulatuses vastutav töötleja, on ülioluline, et andmetöötluslepingus oleks pooltele arusaadavad juhised ja tingimused isikuandmete töötlemiseks.
• Kaasvastutava töötleja kaasamisel (nt partnerülikoolid konsortsiumis) tuleb sõlmida kirjalik ja siduv andmetöötlusleping, mis vastab üldmääruse artiklis 26 toodud nõuetele. Lepingu pooled peavad lepingus selgelt sätestama, kes vastutab teadusuuringus millise töötlustoimingu eest (nt osalejate kutsumine uuringusse, andmete kogumine, uuringuserveri ülesseadmine ja haldus, andmete puhastamine, andmeanalüüs, publitseerimine).
• Iseseisvate vastutavate töötlejate vahelisele lepingule (nt riikliku andmekogu vastutav töötleja, kes väljastab ülikoolile andmed) ei ole üldmääruses kohustuslikke nõudeid seatud, aga hea tava on kokku leppida isikuandmete edastamisega seonduvad küsimused ja turvameetmed – nt milliste vahenditega isikuandmed edastatakse või kelle nimel andmed krüptitakse.

Kui ülikool on teadustöö volitatud töötleja (vt alaptk 1.4), peab andmetöötluslepingu sõlmimise ja tingimused tagama vastutav töötleja, kes koostab üldjuhul ise lepinguprojekti.

2.3.2. Andmetöötluslepingu sõlmimine füüsilise isikuga

Kui andmetöötlusleping plaanitakse sõlmida füüsilise isikuga (nt analüütik, erialaspetsialist), tuleb esmalt kindlaks teha, kas ta tegutseb mõne asutuse esindajana oma tööülesannete raames või eraisikuna teenust osutades. Kui füüsilisel isikul on oma tööülesannete täitmisel juurdepääs asutuse isikuandmetele ja/või töötlemise vahenditele, ei tohi ta eesmärgi piirangu põhimõtte alusel neid isikuandmeid ja/või vahendeid kasutada eraisikuna teenuse osutamiseks.

Füüsilise isikuga sõlmitakse andmetöötlusleping sarnaselt punktis 2.3.1 kirjeldatuga ja seal määratakse kindlaks ka tema roll andmetöötlemisel. Kui füüsiline isik esindab asutust või juriidilist isikut, tuleb andmetöötlusleping sõlmida vastava asutuse või juriidilise isikuga.

Üliõpilaste kaasamisel teadustöösse sõltub andmetöötluslepingu sõlmimise vajadus üliõpilase rollist ja ülesannetest teadustöös. Kui üliõpilane on kaasatud ülikooli uurimisrühma (nt andmeanalüütikuna), on isikuandmete töötlemise eesmärk ülikooli teadustöö, vastutav töötleja on ülikool ja üliõpilane on volitatud töötleja ülikooli poolt määratud ülesannete (nt teenuse osutamise) täitmiseks. Sellisel juhul tuleb üliõpilasega sõlmida konfidentsiaalsus- ja andmetöötlusleping, mille projekti ja täitmise juhised leiab ülikooli siseveebist.

Andmetöötluslepingut ei ole üliõpilasega vaja sõlmida, kui:

• ta töötleb isikuandmeid õpiväljundite saavutamiseks, nt õppeaine läbimisel või praktikal. Sel juhul on töötlemise eesmärk õppetöö ja vastutav töötleja on ülikool. Isikuandmete töötlemine toimub kõrghariduse omandamise käigus, ülikooli määratud eesmärkidel ja vahenditega ning õppekavas või juhendmaterjalides sätestatud nõuete kohaselt.

NB! Kui üliõpilane neid nõudeid ei järgi ja otsustab isikuandmeid töödelda õppetöövälisel eesmärgil, on ta iseseisev vastutav töötleja ja peab vajaduse korral tagama üldmääruse nõuete järgimise;

• ta töötleb isikuandmeid bakalaureuse- või magistriastme lõputöö koostamiseks. Siinkohal on vastutav töötleja üliõpilane, kes määrab iseseisvalt, kas ja milliseid isikuandmeid lõputöös töödeldakse, milliste vahenditega seda tehakse ja milline on õiguslik alus isikuandmete kogumisel või taaskasutamisel. Inimuuringu või eriliiki isikuandmete töötlemisel peab üliõpilane küsima eetikakomiteelt kooskõlastuse. Lisaks peab ta järgima ülikooli kehtestatud nõudeid õppekorralduse, infosüsteemide kasutamise ja isikuandmete kaitse kohta. Ülikool on oma infosüsteemide kasutamise võimaldamisel, lõputöö hindamisel, kaitsmisel ja avaldamisel üliõpilasest eraldiseisev vastutav töötleja, kuna lõputööde nõuded on kindlaks määratud ülikooli kehtestatud ja ülikoolile kohalduvates õigusaktides ja juhendites. Seega üliõpilasega andmetöötluslepingut sõlmida vajalik ei ole.

NB! Kui üliõpilane soovib oma lõputöös kasutada ülikoolis töödeldavaid isikuandmeid, tuleb tal sõlmida andmetöötlusleping sarnaselt olukorraga, kus ülikool väljastab isikuandmeid ülikoolivälisele teadusasutusele, üliõpilasele või teadlasele.

• nooremteadurist doktorant töötleb andmeid oma doktoritöö koostamiseks. Kuna nooremteadur on ülikooli töötaja, on eesmärk ülikooli teadustöö ja vastutav töötleja on ülikool. Isikuandmete kaitse nõuded tulenevad ülikooliga sõlmitud töölepingust ja sisekordadest ning andmetöötluslepingu sõlmimine ei ole vajalik.

2.3.3. Lepingud ebapiisava isikuandmete kaitse tasemega riikides asuvate partneritega

Kui uuringuandmeid jagatakse partneritega väljastpoolt Euroopa Majanduspiirkonda (EMP) – näiteks EL-i rahastusega programmides („Euroopa horisont“ vm), rahvusvahelistes konsortsiumides või mitmepoolses koostöös, – tuleb juba planeerimisetapis arvestada rahvusvaheliste andmeedastusnõuetega ning hinnata, millised õiguslikud ja tehnilised meetmed nende täitmiseks on vajalikud ning kas andmeedastus toimub vastutava või volitatud töötlejana. Sellest sõltub,

• millised lepingud on vajalikud;
• milline on vajalik lisategevus (eriti andmekaitsealase mõjuhinnangu koostamine) enne andmete jagamist;
• kes vastutab andmesubjektide teavitamise ja õiguste tagamise eest;
• kellele langeb peamine vastutus võimalike rikkumiste korral.

Kui ülikool edastab teadustööga seotud isikuandmeid väljaspool Euroopa Majanduspiirkonda asuvasse riiki, mille kohta ei ole tehtud kaitse piisavuse otsust, ei piisa üksnes teaduskoostöö lepingust ega andmetöötluslepingust. Need reguleerivad partnerite omavahelisi õigusi ja kohustusi, kuid ei ole üldmääruse mõttes rahvusvahelise andmeedastuse asjakohased kaitsemeetmed. Üldmääruse kohaselt tuleb rakendada lisakaitsemeedet, milleks on praktikas peamiselt Euroopa Komisjonis kehtestatud lepingu tüüptingimuste (inglise keeles Standard Contractual Clauses ehk SCC) rakendamine. Need kohustavad andmete saajat rakendama EL-i tasemega võrreldavaid kaitsemeetmeid ning annavad ülikoolile lepingulised õigused kontrolliks, auditiks ja rikkumistele reageerimiseks.

Lepingu tüüptingimusi tuleb rakendada, kui teadustöö käigus:

• saadetakse isikuandmeid partnerile ebapiisava isikuandmete kaitse tasemega riigis;
• kasutatakse pilveteenuseid või IT-teenuseid (nt analüüsirakendused), mille pakkuja asub ebapiisava isikuandmete kaitse tasemega riigis;
• analüüsitakse andmeid väljaspool EMP-d (nt edastatakse andmesubjektidest tehtud salvestised USA ekspertidele analüüsimiseks).

Tüüptingimustega leping tuleb sõlmida alati USA, India, Hiina, Brasiilia, Ukraina, Lõuna‑Aafrika ja Türgiga.Ametlik nimekiri riikidest, mille kohta on tehtud kaitse piisavuse otsus, asub aadressil https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en. Nendes riikides asuvatele partneritele võib andmeid edastada samadel tingimustel nagu EMP riikides asuvatele partneritele. NB! Kuna kaitse piisavuse otsused on tähtajalised, tuleb viidatud veebilehelt alati üle kontrollida, kas see otsus on kehtiv.

Kui tüüptingimustega lepingut ei sõlmita või muud üldmäärusele vastavat asjakohast kaitsemeedet ei kohaldata, ei vasta andmeedastus üldmäärusele ja võib kaasa tuua andmeedastuse peatamise ning järelevalvemenetluse ülikoolile (nt Tartu Ülikool edastab isikuandmeid mõnele India ülikoolile ning selle kohta ei ole tüüptingimustega lepingut sõlmitud).

Isikuandmete kaitse seadus, mis täpsustab üldmääruse rakendamist Eestis muu hulgas teadusuuringute kontekstis, annab võimaluse töödelda teadusuuringu eesmärgil isikuandmeid ka andmesubjekti nõusolekuta. Kuid see ei vabasta otse üldmäärusest tulenevatest rahvusvahelise edastuse nõuetest. Seega tuleb ka andmesubjekti nõusolekuta tehtud teadusuuringute jaoks sõlmida ebapiisava kaitsega riikides tüüptingimustega leping.

Ainult tüüptingimustega lepingu sõlmimisest ei pruugi alati piisata. Kui uuringus kaasneb isikuandmete töötlemise või edastamisega suur risk andmesubjekti õigustele, tuleb koostada ka andmekaitsealane mõjuhinnang (p 2.15.3), mis aitab enne andmeedastust kindlaks teha:

• mis andmeid edastatakse;
• kui tundlikud need on;
• mis on andmete töötlemise eesmärk;
• kas andmed on krüpteeritud või pseudonüümitud;
• milliseis ulatuses vastavad vastuvõtja riigi isikuandmete kaitse nõuded EL-i omadele. Nt USA-s on julgeolekuasutustel väga ulatuslik juurdepääs isikuandmetele ja seetõttu ei ole Euroopa Komisjon väljastanud USA kohta piisava kaitse otsust.

Andmekaitsealane mõjuhinnang on tavaliselt vajalik, kui uuringus töödeldakse

• tervise-, geneetilisi või muid eriliiki andmeid;
• haavatavaid rühmi (nt patsiendid, lapsed);
• uusi tehnoloogiaid (nt tehisaru, suurandmed);
• andmeid, mida süsteemselt või pika aega jälgitakse.

Mõjuhinnangu kohta  saab täpsemalt lugeda peatükist 2.15.3 ning vajaduse korral küsida nõu andmekaitsespetsialistilt.