Webware OÜ veebilehe andmekaitse
1. Andmekaitsetingimused
Klientide, töötajate ja külaliste privaatsuse hoidmine on meile väga oluline. Seepärast oleme koostanud andmekaitsetingimused, milles anname teada, kuidas me kogume, kasutame, avaldame, edastame ja säilitame isikuandmeid. Isikuandmeid töödeldes järgime Eestis kehtivaid seaduseid, sealhulgas Euroopa Liidu isikuandmete kaitse üldmäärust (IKÜM).
Käesolevad andmekaitsetingimused selgitavad, kuidas Webware OÜ (edaspidi meie) kogub ja töötleb Teie andmeid, kui kasutate meie veebilehte või edastate meie veebilehe kaudu meile teate.
Veebilehte kasutades ja selle kaudu meiega suheldes kinnitate, et olete tutvunud meie andmekaitsetingimustega, saate neist aru ja nõustute nendega.
Isikuandmed on teave inimese ehk füüsilise isiku (andmesubjekti) kohta, millega teda saab otse või kaude tuvastada.
2. Isikuandmete töötlemise eesmärgid ja alused
Meie eesmärk on Teie, meie klientide, meie tulevaste klientide ja nendega seotud füüsiliste isikute andmete turvalisus ja õiguspärane töötlemine selleks, et pakkuda Teile parimat teenust ja täita oma kutsealaseid kohustusi ning organisatsiooni eesmärke.
2.1. Teilt saadud teavet kasutame Teile uudiste ja sündmuste edastamiseks üksnes juhul, kui olete andnud selleks nõusoleku (nt olete liitunud sotsiaalmeediakanalitega ning avaldanud soovi jälgida meie edastatud teavet, veebis kajastatavat informatsiooni jms). Antud nõusoleku saate soovi korral igal ajal tagasi võtta, kasutades selleks sotsiaalmeedias loodud võimalusi või võttes ühendust meiega e-posti aadressil info@webware.ee.
2.2. Meie veebilehel kasutatakse küpsiseid, et saada teavet selle kohta, kuidas meie veebilehte kasutatakse. Küpsised võimaldavad veebilehe kiiremat ja parema juurdepääsuvõimalusega külastamist. Küpsised on väikesed tekstifailid, mida veebileht salvestab Teie arvutisse, et võimaldada Teile parem külastuskogemus. Küpsiseid kasutatakse selleks, et Teid juba külastanud kasutajana ära tunda, samuti veebilehe kasutusstatistika kogumiseks. Üldjuhul ei võimalda küpsised Teie tuvastamist konkreetse füüsilise isikuna. Teil on võimalik oma veebilehitseja sätetes küpsised keelata ja kustutada meie küpsised.
2.3. Töötleme teavet, mida edastate meile meie veebilehe teate jätmise vormi kaudu teenuse osutamiseks ja Teie pöördumisele vastamiseks. Kogume ja töötleme Teie esitatud teavet selleks, et täita oma kohustusi klientide ees, nõustada olemasolevaid või tulevasi kliente ja täita oma kutsealaseid kohustusi. Teenuste osutamisel ja oma kohustuste täitmiseks võime Teilt saadud isikuandmeid täiendada iseseisvalt muudest allikatest saadud isikuandmetega.
Isikuandmete kogumisel piirdume minimaalse vajalikuga.
Töötleme Teie isikuandmeid Teie nõusoleku alusel, meievahelise lepingu alusel, seaduse alusel või meie õigustatud huvi alusel, selleks, et tagada oma klientidele ja tulevastele klientidele kvaliteetne teenus.
3. Kogutud isikuandmete kasutamine ja töötlemine
Kogutud isikuandmeid kasutame ja töötleme:
3.1. Isikusamasuse tuvastamiseks (nt nimi, isikukood, sünniaeg, isikut tõendava dokumendi andmed, sh dokumendi number ja kehtivusaeg);
3.2. Teenuste osutamiseks, teabe edastamiseks, arvete koostamiseks ja väljastamiseks (nt kontaktandmed, sh telefoninumber, aadress, e-posti aadress, suhtluskeel);
3.3. Lepingute ja õigusaktidest tulenevate kohustuste täitmiseks, sh huvide konfliktide tuvastamiseks;
3.4. Kogutud isikuandmeid töötleme üksnes eesmärgil, milleks need koguti ning säilitame ainult seni, kui see on vajalik eesmärgi või seadusest tulenevate nõuete täitmiseks.
Kogutud andmed hävitame kohe, kui eesmärk on täidetud ja seadus ei nõua andmete säilitamist või Teie palve korral, juhul kui seadus seda võimaldab.
4. Teie õigused isikuandmete töötlemisel
Meie töödeldavaid Teie isikuandmeid on Teil alati võimalik muuta. Meile tuleb esitada teatis vähemalt e-posti aadressil info@webware.ee.
Teil on võimalik igal ajal seoses oma isikuandmete töötlemisega kasutada oma õiguseid:
4.1. Õigus tutvuda oma andmetega ja paluda andmete parandamist;
4.2. Õigus esitada vastuväiteid oma andmete töötlemisele, sh näiteks isikuandmete töötlemisele turunduslikul eesmärgil;
4.3. Õigus paluda oma andmete kustutamist, kui neid ei ole enam tarvis sel eesmärgil, milleks neid koguti või kui isikuandmete töötlemine on Teie arvates ebaseaduslik ;
4.4. Õigus paluda oma andmete ülekandmist, kui Teie andmeid töödeldakse Teie nõusoleku alusel või vastastikuse lepingu alusel;
4.5. Õigus oma nõusolek tagasi võtta, kui andmeid töödeldakse Teie nõusoleku alusel. Oma õiguste kasutamiseks palume pöörduda meie poole e-posti aadressil info@webware.ee.
Juhime Teie tähelepanu, et klientidele teenuste pakkumisel võivad esineda piirangud andmete avalikustamisele ja kustutamisele, mistõttu ei pruugi meil olla võimalik säilitatavaid ja töödeldavaid andmeid avalikustada, kustutada ega üle kanda tulenevalt seaduse nõuetest. Need seadused ja normid võivad piirata Teil oma andmesubjekti õiguste kasutamist.
5. Kogutud isikuandmete jagamine
Jagame kogutud isikuandmeid ametiasutuste nõudel või juhtudel, kui see on vajalik Teile teenuse osutamiseks.
6. Isikuandmete kaitse
Rakendame kõiki ettevaatusabinõusid isikuandmete kaitsmiseks. Juurdepääs andmete töötlemiseks on ainult selleks volitatud isikutel.
Palume meile kiiresti teada anda e-posti aadressil info@webware.ee, kui Teile tundub, et meie töötaja ei ole toiminud kooskõlas andmekaitsetingimustega.
Juhul, kui leiate, et töötleme Teie isikuandmeid ilma õigusliku aluseta või rikume Teie õiguseid, on Teil õigus esitada kaebus andmekaitseasutusele: https://www.aki.ee/et.
7. Andmekaitsetingimused ja muudatused
Meil on õigus vajaduse korral ja oma äranägemisel muuta oma andmekaitsetingimusi. Andmekaitsetingimuste uusim versioon avaldatakse meie veebilehel.
Isikuandmete vastutav töötleja on Webware OÜ (registrikood: 10839212, aadress Tallinn, Nõmme linnaosa, Vääna tn 11/3, 11612). Kõikide küsimuste ja ettepanekute korral võtke ühendust e-posti aadressil info@webware.ee.
Webware OÜ tarkvara Webdesktop andmetöötlusleping
Käesolev Webware andmetöötlusleping (“Leping”) kuulub lahutamatu osana Webware OÜ (registrikood 10839212, aadress Vääna tn 11/3, 11612 Tallinn, Harjumaa, Eesti Vabariik, e-posti aadress support@webware.ee; „Volitatud Töötleja“) ja tema kliendi („Vastutav Töötleja“) vahel sõlmitava Webware tarkvarateenuse lepingu („Põhileping“) juurde. Edaspidi Volitatud Töötleja ja Vastutav Töötleja koos kui „Pooled“ ja eraldi kui „Pool“.
Pooled on kokku leppinud järgnevas:
1. Eesmärk ja kohaldamisala
1.1 Käesoleva Lepingu eesmärk on tagada vastavus Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 (füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta; isikuandmete kaitse üldmäärus; „Määrus“) artikli 28 lõigetele 3 ja 4 ning kohalduvatele Määruse alusel kehtestatud siseriiklikele õigusaktidele („Andmekaitsealased Õigusaktid“)
1.2 Lepingu esemeks on kõik Põhilepingust tulenevate kohustuste täitmisel Volitatud Töötlejale teatavaks saadavad isikuandmed ning nende töötlemine, sealhulgas: (i) isikuandmed, mida töödeldakse Volitatud Töötleja poolt tarkvarateenuse (sh serveriteenuse, tugiteenuste ja lisateenuste) osutamisel, kui Põhilepingu alusel osutab Volitatud Töötleja Vastutavale Töötlejale tarkvarateenuseid; (ii) isikuandmed, mida töödeldakse Volitatud Töötleja poolt Vastutavale Töötleja mistahes muu teenuse osutamisel.
1.3 Leping ei piira Vastutava Töötleja suhtes kehtivatest Andmekaitsealastest Õigusaktidest tulenevaid kohustusi.
1.4 Vastutav Töötleja on kohustatud tagama Andmekaitsealaste Õigusaktide alusel nõutavate nõusolekute olemasolu ja andmesubjektide teavitamise, võimaldamaks Vastutava Töötleja Isikuandmete seaduslikku töötlemist vastavalt Põhilepingule.
2. Tõlgendamine, hierarhia
2.1 Kui Lepingus kasutatakse Määruses defineeritud mõisteid, on neil mõistetel sama tähendus kui Määruses.
2.2 Lepingut mõistetakse ja tõlgendatakse Määruse sätteid silmas pidades.
2.3 Lepingut ei tõlgendata viisil, mis on vastuolus Määruses sätestatud õiguste ja kohustustega, ega viisil, mis piirab andmesubjektide põhiõigusi või -vabadusi.
2.4 Käesoleva Lepingu ja Põhilepingu või mistahes muu Poolte vahelise kokkuleppe sätete vastuolu korral kohaldatakse Lepingu tingimusi.
3. Poolte kohustused
3.1 Vastutava Töötleja Isikuandmete töötlemine toimub üksnes Põhilepingu kehtivuse jooksul. Andmetöötlustoimingutega seonduvad üksikasjad on sätestatud Põhilepingus.
3.2 Volitatud Töötleja töötleb isikuandmeid üksnes Vastutava Töötleja dokumenteeritud juhiste alusel (seejuures sellisteks dokumenteeritud juhisteks loetakse ka Põhilepingus sätestatud tingimusi), välja arvatud, kui ta on kohustatud seda tegema tema suhtes kohalduva õiguse alusel. Sellisel juhul teavitab Volitatud Töötleja vastavast õiguslikust nõudest Vastutavat Töötlejat enne isikuandmete töötlemist, kui selline teatamine ei ole olulise avaliku huvi tõttu seadusega keelatud. Vastutav Töötleja võib anda edasisi juhiseid ka isikuandmete töötlemise kestel. Kõik juhised tuleb alati dokumenteerida. Volitatud Töötlejale antavad juhised peavad järgima Põhilepingus sätestatud põhimõtteid ning Poolte õigusi ja kohustusi ning juhiseid ei või anda viisil, mille järgimine eeldaks Põhilepingu esemest kõrvalekaldumist.
3.3 Volitatud Töötleja teavitab Vastutavat Töötlejat kohe, kui Vastutava Töötleja antud juhised lähevad Volitatud Töötleja arvates vastuollu mõne Andmekaitsealase Õigusaktiga.
3.4 Volitatud Töötleja rakendab isikuandmete turvalisuse tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, võttes vajaliku turvalisuse taseme hindamisel arvesse tehnika taset, rakendamise kulusid, isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning andmesubjektidele kaasnevaid ohte. See hõlmab andmete kaitsmist sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (isikuandmetega seotud rikkumine). Täpsemate meetmete loetelu serveriteenuse osutamisel on loetletud andmetöötluslepingu lisas (Lisa 1).
3.5 Volitatud Töötleja annab oma töötajatele töödeldavatele isikuandmetele juurdepääsu üksnes ulatuses, mis on rangelt vajalik Põhilepingu täitmiseks, haldamiseks ja selle täitmise üle tehtavaks järelevalveks. Volitatud Töötleja tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.
4. Dokumendid ja nõuetele vastavus
4.1 Pooled peavad suutma tõendada Lepingus sätestatud kohustuste täitmist. Volitatud Töötleja tegeleb viivitamata ja asjakohaselt Vastutava Töötleja päringutega andmete töötlemise kohta kooskõlas käesoleva Lepinguga.
4.2 Volitatud Töötleja teeb Vastutavale Töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevates tingimustes sätestatud ja otseselt Andmekaitsealastest Õigusaktidest tulenevate kohustuste täitmise tõendamiseks. Volitatud Töötleja lubab ja aitab Vastutava Töötleja 15 tööpäeva ette esitatud taotluse korral mõistlike ajavahemike järel (s.o. mitte sagedamini kui üks kord 12 kuu jooksul), või kui on tõendeid Lepinguga mittevastavuse kohta, teha käesoleva Lepinguga hõlmatud töötlemistoimingute auditeid.
4.3 Vastutav Töötleja võib otsustada teha auditi ise või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike Volitatud Töötleja tööruumidesse või füüsilistesse rajatistesse, millest Vastutav Töötleja on kohustatud ette teatama vähemalt 15 tööpäeva.
4.4 Pooled teevad punktis 4 osutatud teabe, sealhulgas auditite tulemused vastavate taotluse korral kättesaadavaks pädeva(te)le järelevalveasutus(t)ele.
5. Alamtöötlejate kasutamine
5.1 Volitatud Töötlejal on Vastutava Töötleja üldine luba kasutada alamtöötlejaid järgnevate teenuste osutamiseks: [majutus, monitooring, analüütika, pilveteenused, versioonihaldussüsteem, allkirjastamine, autentimine, raamatupidamistarkvara (e-arveldaja), projektihaldustarkvara, klienditoe tarkvara, kliendihaldustarkvara.]. Volitatud Töötleja kasutab alamtöötlejaid, kes on üldtuntud. Volitatud Töötleja teavitab Vastutavat Töötlejat igast kõnealuse loetelu kavandatud muudatusest, st alamtöötlejate lisamisest või asendamisest, Volitatud Töötleja veebilehe (https://www.webware.ee) vahendusel vähemalt 1 nädal ette, andes Vastutavale Töötlejale enne asjaomas(t)e alamtöötleja(te) kaasamist seeläbi piisavalt aega sellistele muudatustele vastuväidete esitamiseks. Volitatud Töötleja esitab Vastutavale Töötlejale kõnealuses loetelus teabe, mis on vajalik, et Vastutav Töötleja saaks kasutada õigust esitada vastuväiteid.
5.2 Kui Volitatud Töötleja kaasab konkreetsete töötlemistoimingute tegemiseks (Vastutava Töötleja nimel) alamtöötleja, teeb ta seda lepinguga, millega kehtestatakse alamtöötlejale sisuliselt samad andmekaitsekohustused, mis on Volitatud Töötlejal käesolevate tingimuste kohaselt.
5.3 Volitatud Töötleja jääb Vastutava Töötleja ees täielikult vastutavaks alamtöötleja kohustuste täitmise eest vastavalt Volitatud Töötlejaga sõlmitud lepingule. Volitatud Töötleja teavitab Vastutavat Töötlejat, kui alamtöötleja ei täida oma lepingulisi kohustusi.
6. Rahvusvaheline edastamine
6.1 Volitatud Töötleja edastab andmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes Vastutava Töötleja dokumenteeritud juhiste alusel või Volitatud Töötleja suhtes Andmekaitsealasest Õigusaktist tuleneva konkreetse kohustuste täitmiseks ning edastamine toimub kooskõlas Määruse V peatükiga.
6.2 Vastutav Töötleja nõustub, et kui Volitatud Töötleja kaasab konkreetsete töötlemistoimingute tegemiseks (Vastutava Töötleja nimel) Lepingu kohaselt alamtöötleja ja need töötlemistoimingud hõlmavad isikuandmete edastamist Määruse V peatüki tähenduses, saavad Volitatud Töötleja ja alamtöötleja kasutada Määruse V peatüki järgimise tagamiseks Euroopa Komisjoni poolt Määruse artikli 46 lõike 2 kohaselt vastu võetud lepingu tüüptingimusi, kui nende lepingu tüüptingimuste kasutamise tingimused on täidetud.
7. Vastutava töötleja abistamine
7.1 Volitatud Töötleja teavitab Vastutavat Töötlejat viivitamata igast andmesubjektilt saadud taotlusest. Volitatud Töötleja ei vasta taotlusele ise, välja arvatud juhul, kui Vastutav Töötleja on andnud selleks loa.
72. Volitatud Töötleja aitab Vastutaval Töötlejal täita kohustust vastata andmesubjektide taotlustele kasutada oma õigusi, võttes arvesse isikuandmete töötlemise laadi.
7.3 Täiendavalt aitab Volitatud Töötleja Vastutavat Töötlejat ka järgmiste kohustuste täitmise tagamisel, võttes arvesse andmetöötluse laadi ja Volitatud Töötlejale kättesaadavat teavet:
7.3.1 kohustus hinnata kavandatavate töötlemistoimingute mõju isikuandmete kaitsele (andmekaitsealane mõjuhinnang), kui teatava töötlemisviisiga kaasneb tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele;
7.3.2 kohustus konsulteerida enne isikuandmete töötlemist pädeva(te) järelevalveasutus(te)ega, kui andmekaitsealasest mõjuhinnangust nähtub, et töötlemise tulemusena tekiks suur oht, kui Vastutav Töötleja ei võta ohu leevendamiseks meetmeid;
7.3.3 kohustus tagada isikuandmete õigsus ja ajakohasus, teavitades Vastutavat Töötlejat viivitamata, kui Volitatud Töötleja saab teada, et tema töödeldavad isikuandmed on ebaõiged või aegunud;
7.3.4 kohustused, mis on sätestatud Määruse artiklis 32.
8. Isikuandmetega seotud rikkumisest teatamine
8.1 Isikuandmetega seotud rikkumise korral teeb Volitatud Töötleja Vastutava Töötlejaga koostööd ja aitab tal täita kohustusi, mis tulenevad Määruse artiklitest 33 ja 34, võttes arvesse isikuandmete töötlemise laadi ja Volitatud Töötlejale kättesaadavat teavet.
8.2 Vastutava Töötleja töödeldavate isikuandmetega seotud rikkumise korral aitab Volitatud Töötleja Vastutaval Töötlejal mõistlikus ulatuses, võttes arvesse Volitatud Töötlejale kättesaadavat teavet ja isikuandmete töötlemise laadi:
8.2.1 teavitada pädevat järelevalveasutust / pädevaid järelevalveasutusi isikuandmetega seotud rikkumisest põhjendamatu viivituseta pärast seda, kui Vastutav Töötleja on rikkumisest teada saanud, kui see on asjakohane, välja arvatud juhul, kui isikuandmetega seotud rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele;
8.2.2 saada järgmist teavet, mis esitatakse vastavalt Määruse artikli 33 lõikele 3 Vastutava Töötleja teates ja peab sisaldama vähemalt järgmist, seejuures juhul ja niivõrd, kui kogu seda teavet ei ole võimalik esitada korraga, peab esialgne teade sisaldama sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta:
i. isikuandmete laad, sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv;
ii. isikuandmetega seotud rikkumise tõenäolised tagajärjed;
iii. Vastutava Töötleja võetud või võtmiseks kavandatud meetmed isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral meetmed rikkumise võimaliku kahjuliku mõju leevendamiseks.
8.2.3 täita vastavalt Määruse artiklile 34 kohustust teavitada andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.
8.3 Volitatud Töötleja töödeldavate isikuandmetega seotud rikkumise korral teavitab Volitatud Töötleja Vastutavat Töötlejat põhjendamatu viivituseta pärast seda, kui Volitatud Töötleja on rikkumisest teada saanud. Selline teade peab sisaldama vähemalt järgmist, seejuures juhul ja niivõrd, kui kogu seda teavet ei ole võimalik esitada korraga, peab esialgne teade sisaldama sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta.
8.3.1 rikkumise laadi kirjeldus (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomased andmekirjed);
8.3.2 isikuandmetega seotud rikkumise kohta lisateavet andva kontaktpunkti andmed;
8.3.3 rikkumise tõenäolised tagajärjed ning rikkumise lahendamiseks, sealhulgas rikkumise võimaliku kahjuliku mõju leevendamiseks võetud või võtmiseks kavandatud meetmed.
9. Turvaintsidentide haldamine
9.1 Volitatud Töötleja teavitab Vastutavat Töötlejat esimesel võimalusel igast sündmusest, mis põhjustab, on põhjustanud või võib põhjustada edastavate, salvestatud või muul viisil töödeldavate andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või nendele juurdepääsu saamise, ning millega kaasneb andmete konfidentsiaalsuse kadu või tekib oluline oht andmete konfidentsiaalsuse kao tekkeks; edaspidi „Turvaintsident“) viivitamatult peale Turvaitsidendist teadasaamist.
9.2 Volitatud Töötleja tagab, et kõik Volitatud Töötleja töötajad on teadlikud Turvaintsidentidest teavitamise korrast ning Vastutava Töötleja kontaktisikust, kellele tuleb nende esinemisest teavitada.
9.3 Volitatud Töötleja kohustub teavitama Vastutavat Töötlejat ja küberturvalisuse seaduse kohaselt Riigi Infosüsteemi Ameti infoturbeintsidentide käsitlemise osakonda (edaspidi „CERT-EE“) (cert@cert.ee) viivitamatult, kuid mitte hiljem kui 24 tundi pärast sellest teada saamisest toimunud Turvaintsidendist või selle toimumise ohust. Vastutav Töötleja avaldab, et tal on õigus saada CERT-EE-lt täielikku teavet käesolevas punktis viidatud Turvaintsidentide kohta.
10. Lõppsätted
10.1 Ilma et see piiraks Andmekaitsealaste Õigusaktide sätete kohaldamist, võib Vastutav Töötleja juhul, kui Volitatud Töötleja ei täida käesolevast Lepingust tulenevaid kohustusi, anda Volitatud Töötlejale korralduse peatada isikuandmete töötlemine seniks, kuni Volitatud Töötleja järgib käesoleva Lepingu tingimusi. Volitatud Töötleja teavitab Vastutavat Töötlejat viivitamata, kui ta ei suuda käesolevat Lepingut mistahes põhjusel täita.
10.2 Vastutaval töötlejal on õigus lõpetada Põhileping, kui:
10.2.1 Vastutav Töötleja on Volitatud Töötleja poolse isikuandmete töötlemise punkti 1 kohaselt peatanud ja kui käesolevat Lepingut ei hakata järgima mõistliku aja jooksul ja igal juhul ühe kuu jooksul pärast peatamist;
10.2.2 Volitatud Töötleja rikub oluliselt või jätkuvalt käesolevast Lepingust või mõnest Andmekaitsealasest Õigusaktist tulenevat kohustust;
10.2.3 Volitatud Töötleja ei täida pädeva kohtu või pädeva(te) järelevalveasutus(t)e siduvat otsust seoses tema kohustustega, mis tulenevad käesolevast Lepingust või Andmekaitsealasest Õigusaktist.
10.3 Volitatud töötlejal on õigus lõpetada Leping, kui ta on Vastutavat Töötlejat vastavalt Lepingule teavitanud, et tema juhised lähevad vastuollu mõne Andmekaitsealase Õigusaktiga, kuid Vastutav Töötleja nõuab nende juhiste järgimist.
10.4 Pärast Lepingu lõppemist kustutab Volitatud Töötleja Vastutava Töötleja valikul kõik Vastutava Töötleja nimel töödeldud isikuandmed ja kinnitab Vastutavale Töötlejale, et ta on seda teinud, või tagastab kõik isikuandmed Vastutavale Töötlejale ja kustutab olemasolevad koopiad, välja arvatud juhul, kui Andmekaitsealaste Õigusaktide kohaselt nõutakse isikuandmete säilitamist. Volitatud Töötleja jätkab Lepingu tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse.
10.5 Volitatud Töötleja võib säilitada isikuandmeid ulatuses, millises kohalduvad õigusaktid nõuavad või mida ta peab vajalikuks mistahes õigusliku nõude esitamiseks või kaitsmiseks, tingimusel, et selliseid isikuandmeid säilitatakse turvaliselt ning üksnes ulatuses ja sellise aja jooksul, mida kohalduvad õigusaktid nõuavad või kuni mistahes nõuete või muude vaidluste lahendamiseni.
10.6 Leping jõustub Põhilepingu allkirjastamisel Poolte poolt. Käesolevas Lepingus reguleerimata küsimustes kohaldatakse Põhilepingu sätteid. Põhilepingu lõppemisel loetakse käesolev Leping samaaegselt lõppenuks.
LISAD:
- Tehnilised ja organisatsioonilised kaitsemeetmed serveriteenuse osutamise korral.
- Alamtöötlejate loetelu
- Volitatud töötleja töödeldavad isikuandmed
Lisa 1. Tehnilised ja organisatsioonilised kaitsemeetmed serveriteenuse osutamise korral
1. Kohaldatavad meetmed
1.1. Volitatud Töötleja kasutab Telia ja CITIC Telecom CPC andmekeskuseid serverite majutamiseks. Serverid on avalikust internetist eraldatud tulemüüriga, kasutusel on viirusetõrjetarkvara. Testkeskkondades on kliendil võimalik andmeid anonümiseerida. Serveritele ligipääs on piiratud arvul Volitatud Töötleja töötajatel.
1.2. Volitatud Töötleja annab Isikuandmeid sisaldavale süsteemile ligipääsuõigusi üksnes ulatuses, mis on vajalik Vastutavale Töötlejale teenuse osutamiseks. Volitatud Töötleja kinnitab, et isikuandmetele on ligipääs üksnes neil töötajatel, kes vajavad ligipääsu seoses Vastutava Töötleja poolt antud ülesannetega.
1.3. Volitatud Töötleja tühistab viivitamata ligipääsuõigused Isikuandmete töötlemiseks kasutatavale süsteemile, kui ligipääsu omav töötaja vahetub.
1.4. Kui Volitatud Töötleja loob isikuandmeid sisaldavale süsteemile ligipääsemiseks eraldi kasutajaid, loob ta igale isikuandmetega kokkupuutuvale Volitatud Töötleja töötajale eraldi kasutaja ning Volitatud Töötleja töötajad ei tohi omavahel kasutajaid jagada.
1.5. Volitatud Töötlejale usaldatud isikuandmed on ligipääsetavad Volitatud Töötleja tarkvara kaudu, milles olevate Volitatud Töötleja töötajate kasutajakontosid on võimalik administreerida ja kontrollida Vastutaval Töötlejal ning Volitatud Töötleja serverite administraatoritel. Serverite administraatoritele on Volitatud Töötleja poolt rakendatud kahetasemeline autentimine. Kahetasandilise autentimise rakendamise võimalus on ka Vastutaval Töötlejal.
1.6. Volitatud Töötleja süsteemid, mis sisaldavad isikuandmeid, on stabiilse Debin/Linux operatsioonisüsteemiga, Volitatud Töötleja kasutajatoe poolt monitooritavad ning automaatsete turvauuenduste paigaldamisega. Serveritele ligipääsud on piiratud ja kõiki tegevusi serverites logitakse.
2. Pahavara juurdepääsu ennetamine
2.1. Volitatud Töötleja on isikuandmete kaitsmiseks paigaldanud kõigile oma serveritele tulemüüri, mis hoiab ära võimalikud rünnakud pahavara poolt, ja tagab kõrge kaitsetaseme läbi automaatsete uuenduste teostamise.
2.2. Volitatud Töötleja töötajad, kes vastutavad süsteemide turvalisuse eest, jälgivad pidevalt kõikide seadmete logisid ja teavitusi, et tuvastada ja ennetada võimalikke ohte.
3. Infoturbeintsidentide haldamine
3.1. Volitatud Töötleja teavitab Vastutavat Töötlejat infoturbeintsidentidest esimesel võimalusel.
3.2. Kõik Volitatud Töötleja töötajad on teadlikud infoturbeintsidentidest teavitamise korrast ning isikust, kellele tuleb nende esinemisest teavitada.
Lisa 2. Alamtöötlejate loetelu
Telia AS | Majutus, majutuse meiliserver | Eesti |
Atlassian Pty Ltd | Projektihaldus ja kasutajatoe portaal | Austraalia |
Microsoft Ireland Operations Limited | Dokumendihaldus ja meiliserver | Iirimaa |
GitHub B.V. | Tarkvarakoodi analüüs | Holland |
Pipedrive OÜ | Kliendihaldus | Eesti |
Survicate S.A. | Kliendiküsitlused | Poola |
PostHog Inc. | Tarkvara analüütika | Ameerika Ühendriigid |
Dokobit UAB | Autentimine ja allkirjastamine | Leedu |
Lisa 3. Volitatud töötleja töödeldavad isikuandmed
1. Andmesubjektid
Volitatud töötleja võib töödelda andmesubjektide andmeid, mis kuuluvad järgmistesse kategooriatesse:
1.1. Vastutava töötleja töötajad ja mistahes lepingu alusel vastutava töötlejaga töösuhtes olevad isikud.
1.2. Vastutava töötleja koostööpartnerite füüsilisest isikust esindajad.
1.3. Vastutava töötleja füüsilisest isikust kliendid ja potentsiaalsed kliendid.
1.4. muud andmesubjektide kategooriad, kelle andmeid Vastutav töötleja Volitatud töötlejale edastab või Volitatud töötleja infosüsteemidesse sisestab.
1.5. samad andmesubjektide kategooriad, mis on seotud Vastutava töötlejaga samasse kontserni kuuluvate äriühingutega.
1.6. muud andmesubjektide kategooriad, kelle andmed sisestatakse Volitatud töötleja infosüsteemidesse.
1.7. Pooled kinnitavad, et kuigi Volitatud töötleja võimaldab Vastutaval töötlejal kasutada Volitatud töötleja taristut andmete säilitamiseks ja käitamiseks, ei ole Volitatud töötlejal täielikku ülevaadet seal töödeldavatest isikuandmetest või nende isikuandmete liikidest.
2. Isikuandmete kategooriad
Volitatud töötleja võib töödelda järgmiseid isikuandmeid:
2.1. tuvastus- ja kontaktandmed (nt nimi, isikukood, sünniaeg, aadress, e-posti aadress, telefoninumber, IP-aadress).
2.2. muu teave, mille Vastutav töötleja on Volitatud töötlejale edastanud või Volitatud töötleja infosüsteemidesse, sh Volitatud töötleja taristusse, sisestanud.
2.3. muu andmed, mis on vajalikud Vastutava töötlejaga sõlmitud Põhilepingu täitmiseks.
3. Eesmärgid
Volitatud töötleja võib töödelda isikuandmeid järgmistel eesmärkidel:
3.1. Põhilepingu ja andmetöötluslepingu alusel teenuste osutamine.
3.2. seadusest tulenevate kohustuste täitmine.
3.3. Vastutava töötleja antud juhiste täitmine.
3.4. muud õiguspärased eesmärgid, kui järgitakse isikuandmete kaitse üldmääruses sätestatud kohaldatavaid nõudeid.
4. Töötlemise laad
Volitatud töötleja töötleb isikuandmeid Volitatud töötlejana üksnes Põhilepingu ja andmetöötluslepingu alusel ning nendes sätestatud eesmärkidel ja võib muu hulgas teha järgmisi töötlemistoiminguid: kogumine.dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, avalikustamine kättesaadavaks tegemise teel, vastavusse viimine või ühendamine, piiramine, kustutamine või hävitamine.
5. Isikuandmete säilitamisaeg
5.1. Volitatud töötleja töötleb isikuandmeid seni, kuni see on andmetöötluslepingus määratud eesmärkidel vajalik.
5.2. Isikuandmed kustutatakse Vastutava töötleja juhiste kohaselt või lepingu lõppemisel.
5.3. Volitatud töötleja kehtestab asjakohased tehnilised või korralduslikud meetmed isikuandmete ja kõigi varukoopiate kustutamiseks või anonümiseerimiseks säilitamisaja lõpus, mis on vajalik säilitamise piirangute täitmiseks.
Andmetöötluslepingu uuendamise kuupäev: 28.11.2024