Andmetöötlusleping
Kehtib alates 29. september 2023 | Vaadake andmetöötluslepingu eelmist versiooni | Võrdle muudatusi
Vastavalt Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 nõuetele füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (edaspidi „GDPR”), sõlmivad pakkuja (edaspidi „volitatud töötleja”) ja teie (edaspidi „vastutav töötleja”) andmetöötluse lepingulise suhte isikuandmete töötlemise tingimuste ja kaitse viisi kindlaksmääramiseks, lisaks ka mõlema poole muude õiguste ja kohustuste määratlemiseks andmesubjektide isikuandmete töötlemisel vastutava töötleja nimel käesolevate tingimuste kui põhilepingu sisu täitmise käigus.
1. Isikuandmete töötlemine. Vastavalt käesolevatele tingimustele pakutavad teenused hõlmavad privaatsuspoliitikas loetletud tuvastatud või tuvastatava füüsilise isikuga seotud teabe (edaspidi „isikuandmed”) töötlemist.
2. Autoriseerimine. Vastutav töötleja volitab volitatud töötlejat isikuandmeid töötlema, sealhulgas järgmiste juhiste järgi.
(i) Töötlemise eesmärk on teenuste osutamine kooskõlas käesolevate tingimustega. Volitatud töötlejal on lubatud isikuandmeid töödelda ainult vastutava töötleja nimel seoses vastutava töötleja taotletud teenuste osutamisega. Kogu täiendavatel eesmärkidel kogutud teavet töödeldakse väljaspool vastutava töötleja ja volitatud töötleja lepingulist suhet.
(ii) Töötlemisperiood on ajavahemik käesolevate tingimuste alusel koostöö alustamisest kuni teenuste lõpetamiseni.
(iii) Isikuandmete ulatus ja liigid. Teenused on mõeldud ainult üldiste isikuandmete töötlemiseks. Isikuandmete ulatuse kindlaksmääramise eest vastutab aga ainuisikuliselt vastutav töötleja.
(iv) Andmesubjekt on füüsiline isik kui vastutava töötleja seadmete volitatud kasutaja.
(v) Töötlemistegevusteks on kõik töötlemiseks vajalikud toimingud.
(vi) Dokumenteeritud juhised on käesolevates tingimustes, nende lisades, privaatsuspoliitikas ja teenuse dokumentatsioonis kirjeldatud juhised. Vastutav töötleja vastutab volitatud töötleja poolse isikuandmete töötlemise õigusliku vastuvõetavuse eest vastavalt andmekaitseseaduse kohaldatavatele sätetele.
3. Volitatud töötleja kohustused. Volitatud töötleja on kohustatud:
(i) töötlema isikuandmeid üksnes dokumenteeritud juhiste alusel ja tingimustes, selle lisades, privaatsuspoliitikas ja teenuse dokumentatsioonis määratletud eesmärgil;
(ii) informeerima isikuandmeid töötlema volitatud isikuid (edaspidi „volitatud isikud”) nende õigustest ja kohustustest vastavalt GDPR-ile, nende vastutusest seaduserikkumise korral ning tagama, et volitatud isikud peavad kinni konfidentsiaalsusnõudest ja järgivad dokumenteeritud juhiseid;
(iii) rakendama ja järgima tingimustes, selle lisades, privaatsuspoliitikas ja teenuse dokumentatsioonis kirjeldatud meetmeid;
(iv) abistama vastutavat töötlejat, kui on vaja vastata andmesubjektide taotlustele, mis on seotud nende õigustega. Volitatud töötleja ei tohi parandada, kustutada isikuandmeid ega piirata nende töötlemist ilma vastutava töötleja käsuta. Kõik andmesubjekti taotlused, mis on seotud vastutava töötleja nimel töödeldud isikuandmetega, edastatakse viivitamatult vastutavale töötlejale.
(v) abistama vastutavat töötlejat, kui on vaja teatada isikuandmetega seotud rikkumisest järelevalveasutusele ja andmesubjektile. Volitatud töötleja teavitab vastutavat töötlejat isikuandmete töötlemise või isikuandmete turvalisusega seotud rikkumisest kohe pärast selle avastamist. Volitatud töötleja teeb sellise rikkumise uurimise ja kahjutustamise juures mõistlikul määral koostööd ning võtab mõistlikke meetmeid edasiste negatiivsete mõjude piiramiseks.
(vi) vastutava töötleja valikul kustutama kõik isikuandmed või tagastama need vastutavale töötlejale pärast töötlemisperioodi lõppu. Vastutav töötleja kohustub teavitama volitatud töötlejat oma otsusest kümne (10) päeva jooksul pärast töötlemisperioodi lõppu. Käesolev säte ei mõjuta volitatud töötleja õigust säilitada isikuandmeid avalikes huvides arhiveerimise eesmärgil vajalikus ulatuses, teadusuuringute eesmärgil, statistilistel eesmärkidel või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.
(vii) pidama ajakohast registrit kõikide vastutava töötleja nimel tehtavate töötlemistoimingute liikide kohta;
(viii) tegema vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik tingimuste, selle lisade, privaatsuspoliitika ja teenuse dokumentatsiooni osana seaduse järgimise tõendamiseks. Vastutava töötleja poolse isikuandmete töötlemise auditeerimise või kontrollimise korral on vastutav töötleja kohustatud sellest volitatud töötlejat kirjalikult teavitama vähemalt kolmkümmend (30) päeva enne kavandatavat auditit või kontrolli.
4. Teise volitatud töötleja kaasamine. Volitatud töötlejal on õigus kaasata teine volitatud töötleja konkreetsete töötlemistoimingute tegemiseks, näiteks teenuse jaoks pilvepõhise salvestusruumi ja taristu pakkumiseks vastavalt tingimustele, selle lisadele, privaatsuspoliitikale ja teenuse dokumentatsioonile. Praegu pakub Microsoft pilvepõhist salvestusruumi ja taristut Azure'i pilveteenuse osana. Sellisel juhul jääb volitatud töötleja ainsaks kontaktisikuks ja eeskirjade järgimise eest vastutavaks pooleks. Käesolevaga kohustub volitatud töötleja teavitama vastutavat töötlejat mõne muu volitatud töötleja lisamisest või asendamisest, et sellisele muudatusele oleks võimalik vastuväiteid esitada.
5. Töötlemise territoorium. Volitatud töötleja tagab, et töötlemine leiab aset Euroopa Majanduspiirkonnas või Euroopa Komisjoni otsusega turvaliseks määratud riigis vastutava töötleja otsusel. Lepingu tüüptingimusi kohaldatakse isikuandmete edastamise ja töötlemise korral, mis leiab aset väljaspool Euroopa Majanduspiirkonda või Euroopa Komisjoni otsusega turvaliseks määratud riiki vastutava töötleja taotlusel.
6. Turve. Volitatud töötleja on ISO 27001:2013 sertifitseeritud ja kasutab ISO 27001 raamistikku mitmekihilise kaitseturbestrateegia rakendamiseks, kui turbemeetmeid kasutatakse võrgu, operatsioonisüsteemide, andmebaaside, rakenduste, personali ja tööprotsesside kihis. Regulatiivsete ja lepinguliste nõuete täitmist hinnatakse regulaarselt ning vaadatakse läbi sarnaselt volitatud töötleja muu taristu ja toimingutega ning võetakse vajalikke meetmeid, et tagada järjepidev nõuete täitmine. Volitatud töötleja on korraldanud andmeturbe, kasutades ISO 27001-põhist ISMS-i. Turbedokumentatsioon sisaldab peamiselt infoturbe, füüsilise turvalisuse, seadmete turvalisuse, juhtumite haldamise, andmeleketele ja turbejuhtumitele reageerimise jms poliitikadokumente.
7. Tehnilised ja korralduslikud meetmed. Volitatud töötleja kaitseb isikuandmeid juhusliku ja ebaseadusliku kahjustamise ning hävitamise, juhusliku kadumise, muutmise, volitamata juurdepääsu ja avalikustamise eest. Selleks rakendab volitatud töötleja piisavaid tehnilisi ja korralduslikke meetmeid, mis vastavad töötlemisviisile ja töötlemisest andmesubjektide õigustele tulenevale ohule vastavalt GDPR-i nõuetele. Tehniliste ja korralduslike meetmete üksikasjalik kirjeldus on esitatud turbepoliitikas.
8. Volitatud töötleja kontaktandmed. Kõik isikuandmete kaitset puudutavad teatised, taotlused, nõuded ja muu suhtlus tuleks suunata ettevõttele ESET, spol. s.r.o., täpsemalt: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.