| Dokumendiregister | Kultuuriministeerium |
| Viit | 6-9.1/1289-1 |
| Registreeritud | 18.05.2026 |
| Sünkroonitud | 21.05.2026 |
| Liik | Leping |
| Funktsioon | 6 Finantstegevus ja raamatupidamine. Riigihanked |
| Sari | 6-9.1 Teenuste osutamise lepingud |
| Toimik | 6-9.1 Teenuste osutamise lepingud |
| Juurdepääsupiirang | Avalik |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Norman Põder |
| Originaal | Ava uues aknas |
1
Lepingu nr 7.7-2/25/2 lisa
ANDMETÖÖTLUSE LEPING
Käesolev isikuandmete töötlemist puudutav lepingu lisa (edaspidi lisa) on lahutamatu osa
Haridus- ja Teadusministeeriumi, mida esindab põhimääruse alusel kantsler Triin Laasi-Õige,
Kultuuriministeeriumi, mida esindab põhimääruse alusel kantsler Merilin Piipuu, ning SA Eesti
Teadusagentuur, mida esindab volikirja alusel tegevjuht Karin Jaanson, (edaspidi koos vastutav
töötleja)
ja
konsortsiumi liikmete Tartu Ülikooli, Tallinna Ülikooli ja Ljubljana Ülikooli, mida esindab
konsortsiumilepingu alusel juhtivpartner Tartu Ülikool, mida esindab volikirja alusel
grandikeskuse juhataja Siret Rutiku, (edaspidi kõik volitatud töötleja)
vahel sõlmitud teenuse osutamise lepingust nr 7.7-2/25/2, mille alusel viib volitatud töötleja
läbi uuringu „Teise kooliastme õpilaste liikumisaktiivsust ja -agentsust toetav tõenduspõhine
sekkumisprogramm“ (edaspidi leping).
1. Lisa eesmärk
1.1. Käesoleva lisa eesmärk on kokku leppida isikuandmete töötlemise sisu ja kestus, töötlemise
laad ja eesmärk, isikuandmete liik ning andmesubjektide kategooriad, volitatud töötleja õigused
ja kohustused isikuandmete töötlemisel, millest pooled lepingu täitmisel juhinduvad. Käesolev
lisa kujutab endast isikuandmete töötlemist puudutavat andmetöötluse lepingut vastavalt
Euroopa Liidu isikuandmete kaitse üldmääruse (2016/679) (edaspidi üldmäärus) artikli 28
lõikele 3.
1.2. Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse
(edaspidi: isikuandmed), isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava
töötleja antud juhised on välja toodud lepingus, sh selle juurde kuuluvates dokumentides ja
käesoleva lisa lisas 1 “Teenuse osutamise lepingu täitmisel töödeldavad isikuandmed”.
Vajadusel võib vastutav töötleja anda isikuandmete töötlemiseks täiendavaid dokumenteeritud
juhiseid.
1.3. Volitatud töötlejal on õigus töödelda isikuandmeid lepingus nimetatud uuringu läbiviimisel
ja uuringu eesmärgi saavutamiseks.
1.4. Volitatud töötlejal on õigus töödelda isikuandmeid lepingu täitmiseks vajaliku aja jooksul,
kuid mitte kauem kui lisa punktis 7.1 toodud tähtpäevani.
1.5. Pooled kohustuvad järgima kõiki kohalduvaid andmekaitsealaseid õigusakte, sh juhendeid
ja tegevusjuhiseid, mis on väljastatud isikuandmete kaitse eest vastutava kohaliku ja/või
Euroopa Liidu reguleeriva asutuse poolt ja seoses kõikide isikuandmetega, mida lepingu alusel
töödeldakse.
1.6. Käesoleva lepingu tähenduses täidavad Sihtasutus Eesti Teadusagentuur, Haridus- ja
Teadusministeeriumi ning Kultuuriministeeriumi igaüks eraldiseisvalt vastutava töötleja rolli
ning iga konsortsiumi liige volitatud töötleja rolli.
2
2. Mõisted
2.1. Käesolevas lisas olevate mõistete sisustamisel lähtutakse üldmääruses sätestatust,
sealhulgas:
2.1.1. Isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (andmesubjekti)
kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise
identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või
selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku,
kultuurilise või sotsiaalse tunnuse põhjal;
2.1.2. Isikuandmete töötlemine – isikuandmete või nende kogumitega tehtav automatiseeritud
või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine,
korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine,
lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel
avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
2.1.3. Isikuandmetega seotud rikkumine – turvanõuete rikkumine, mis põhjustab edastatavate,
salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise,
kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
3. Isikuandmete töötlemine
3.1. Volitatud töötleja kohustub töötlema isikuandmeid vastavalt käesolevas lisas nimetatud
õigusaktidele, juhenditele ja lepingule (sh vastutava töötleja antud dokumenteeritud juhistele)
ning ainult sellisel määral, mis on vajalik lepingu täitmiseks. Kui see on lepingu täitmisega
seonduvalt vajalik, võib volitatud töötleja andmesubjektide isikuandmeid töödelda ka
asjakohaste info- ja sidesüsteemide hooldamiseks, tagades sellise töötlemise vastavuse
õigusaktidele.
3.2. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja
jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust võtma.
Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest dokumenteeritud
juhiste ja käesolevas lisas nimetatud õigusaktide või juhendite vahel.
3.3. Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi, käesoleva lisa poolteks
mitte olevaid volitatud töötlejaid (edaspidi alltöötlejad) üksnes vastutava töötleja eelneval
nõusolekul, mis on antud vähemalt kirjalikku taasesitamist võimaldavas vormis. Ilma vastutava
töötleja kirjalikku taasesitamist võimaldava nõusolekuta võib volitatud töötleja kasutada
isikuandmete töötlemiseks alltöötlejaid üksnes juhul, kui see on vajalik volitatud töötleja info-
ja sidesüsteemide hoolduseks.
3.3.1. Volitatud töötleja vastutab alltöötlejate tegevuse eest nagu enda tegevuse eest
ning sõlmib alltöötlejatega isikuandmete töötlemiseks kirjalikud lepingud vastavalt
üldmääruse artikli 28 lõikele 4, mis on käesolevas lisas sätestatuga vähemalt
samaväärsed.
3.3.2. Kui vastutav töötleja on andnud volitatud töötlejale loa kasutada lepingust
tulenevate kohustuste täitmiseks alltöötlejaid, on lepingust tulenevatele küsimustele
3
vastamisel kontaktisikuks vastutavale töötlejale üksnes volitatud töötleja ning volitatud
töötleja tagab selle, et alltöötlejad täidavad lepingu ja lisa nõudeid ning on nendega
seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja võib igal ajahetkel võtta
tagasi volitatud töötlejale antud loa alltöötlejate kasutamiseks.
3.4. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid
konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud eesmärgil,
samuti tagama, et isikuandmeid töötlema volitatud isikud (sh alltöötlejad, volitatud töötleja
töötajad jt, kellel on ligipääs lepingu täitmise käigus töödeldavatele isikuandmetele) järgivad
konfidentsiaalsusnõuet.
3.5. Volitatud töötleja kohustub rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid
viisil, et isikuandmete töötlemine vastaks üldmääruse artikli 32 nõuetele, sealhulgas:
3.5.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
andmetöötlusseadmetele;
3.5.2. ära hoidma andmekandjate omavolilist teisaldamist;
3.5.3. ära hoidma isikuandmete omavolilist töötlemist;
3.5.4. tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid
isikuandmeid töödeldi;
3.5.5. tagama, et igal isikuandmete töötlejal oleks juurdepääs ainult temale
töötlemiseks lubatud andmetele ja temale lubatud andmetöötluseks.
3.6. Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste ja
korralduslike meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses
kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades kõik
andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise,
andmetöötluse keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende
saamisest alates.
3.7. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud
kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat
teavet.
3.8. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku
taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud töötleja
käesolevast lisast tulenevate kohustuste täitmist. Pooled on kokku leppinud, et:
3.8.1. vastutava töötleja auditeid võib läbi viia kas vastutav töötleja ja/või kolmas isik,
keda vastutav töötleja on selleks volitanud;
3.8.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja
dokumente, mida on vaja selleks, et tõendada käesoleva lisa nõuetekohast täitmist;
3.8.3. vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud
teavet konfidentsiaalsena;
3.8.4. vastutav töötleja annab volitatud töötlejale taotletud teabe esitamiseks mõistliku
tähtaja, mis reeglina ei ole lühem kui 14 kalendripäeva.
4
3.9. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale,
kuna suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat
esindada ega tema nimel tegutseda.
4. Isikuandmete edastamine kolmandale riigile ja rahvusvahelisele organisatsioonile
4.1. Pooled lepivad eelnevalt kirjalikult kokku igas väljaspool Euroopa Liitu ja Euroopa
Majanduspiirkonda toimuvas isikuandmete edastamises või töötlemises, välja arvatud juhud,
kus volitatud töötleja on kohustatud isikuandmeid kolmandale riigile või rahvusvahelisele
organisatsioonile edastama volitatud töötleja suhtes kohaldatava Euroopa Liidu või liikmesriigi
õiguse alusel. Sellisel juhul teatab volitatud töötleja sellise õigusliku aluse olemasolust enne
isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi
tõttu kõnealuse õigusega keelatud.
5. Isikuandmete töötlemisega seotud rikkumistest teavitamine
5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega seotud
rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma
põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine
volitatud töötleja saab teada isikuandmete töötlemisega seotud rikkumisest või on alust
kahelda, et selline rikkumine on aset leidnud.
5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 48 tundi pärast rikkumisest teada
saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava
asjakohase informatsiooni, lisades juurde asjakohase dokumentatsiooni.
5.3. Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja
täita tegevusplaan isikuandmetega seotud rikkumiste kõrvaldamiseks.
5.4. Vastutav töötleja vastutab järelevalveasutuse teavitamise eest.
6. Vastutus
6.1. Lisaks lepingus sätestatud vastutusele:
6.1.1. vastutab volitatud töötleja kahju eest, mida ta on tekitanud vastutavale töötlejale,
andmesubjektidele või muudele kolmandatele isikutele käesoleva lisa alusel üle antud
isikuandmete töötlemise tagajärjel, mida on tehtud käesolevas lisas, mh kõiki selles mainitud
õigusnorme ja dokumenteeritud juhiseid rikkudes.
6.1.2. kohustub volitatud töötleja, kui ta on käesolevas lisas sätestatud isikuandmete
töötlemise nõudeid rikkunud ja selle tagajärjel on vastutav töötleja kohustatud maksma hüvitist
või trahvi, hüvitama vastutavale töötlejale sellega seoses kantud kulud.
6.1.3. kui volitatud töötleja rikub oluliselt käesolevas lisas sätestatud isikuandmete töötlemise
nõudeid, muuhulgas isikuandmete kaitse üldmääruse või muude kohaldatavate õigusnormide
sätteid isikuandmete kaitse valdkonnas, on vastutaval töötlejal õigus leping ette teatamata üles
öelda. Oluline lepingurikkumine on eelkõige, kui:
5
6.1.3.1 isikuandmete töötlemise põhimõtete täitmist kontrolliv järelevalveasutus või
kohtu lõppotsus näitab, et volitatud töötleja või teine volitatud töötleja ei täida
isikuandmete töötlemise põhimõtteid;
6.1.3.2 vastutav töötleja leiab käesoleva lisa kohaselt läbiviidud auditis, et volitatud
töötleja või teine volitatud töötleja ei täida isikuandmete töötlemise põhimõtteid, mis
tulenevad käesolevast lisast või kohaldatavatest õigusnormidest.
6.1.4. Konsortsiumi liikmetest volitatud töötlejad vastutavad volitatud töötleja kohustuste
täitmise eest solidaarselt.
7. Muud sätted
7.1. Volitatud töötleja kohustub lepingu lõppemisel kustutama või hävitama isikuandmed. Kui
pole antud teistsuguseid juhiseid, tuleb isikuandmed hävitada või kustutada mitte hiljem kui
kahe kuu jooksul pärast lepingu lõppemist, välja arvatud juhul, kui andmete pikemalt säilitamise
kohustus tuleneb õigusaktidest või isikuandmete töötlemise eesmärgist. Isikuandmete
kustutamise või hävitamise kulud kannab volitatud töötleja.
7.2. Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku
kirjaliku kinnituse, et tema ja kõik teised lepingu täitmisel kasutatud volitatud töötlejad on
teinud eelnevas punktis nimetatud toimingud. Kinnitus peab sisaldama kustutatud või
hävitatud isikuandmete kategooriatest ja liikidest.
7.3. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad
mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava
töötleja dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates
täiendustes ja muudatustes kokku kirjalikult.
7.4. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa
kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast käesoleva lisa
kehtivuse lõppemist ning nendele rakendatakse lepingus sätestatut, kui käesolevas lisas ei ole
kokku lepitud teisiti.
7.5. Vastutava töötleja kohustusi täidab käesoleva lisa raames SA Eesti Teadusagentuur.
7.6. Käesolevat lisa kohaldatakse tagasiulatuvalt alates 01.06.2025.
Vastutavad töötlejad Volitatud töötleja
Sihtasutus Eesti Teadusagentuur Tartu Ülikool
Haridus- ja Teadusministeerium
Kultuuriministeerium
/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/
6
Lisa 1
Teenuse osutamise lepingu täitmisel töödeldavad isikuandmed
1.Andmesubjektid Uuringus osalevad isikud: õpetajad ja õpilased, lapsevanemad.
2.Töödeldavate isikuandmete kategooriad
Intervjuudes osalevate isikute nimed ning hääl, helisalvestatud fookusgrupi intervjuudes. Uuringus osaleva kooli nimi. Uuringus osalev klass (kas 4., 5. või 6. klass).
3.Töötlemistoimingud Andmete töötlemine sisaldab andmete kogumist, salvestamist, korrastamist, säilitamist, analüüsimist ning hävitamist sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.
4.Turvameetmed Volitatud töötleja rakendab isikuandmete töötlemise turvalisuse tagamiseks järgmisi turvameetmeid: 1. Tartu Ülikool ja Tallinna Ülikool vastutavad andmete kogumise eest vastavalt
uuringu läbiviimise korrale. Ljubljana Ülikool ei osale isikuandmete kogumises, töötlemises ega oma ligipääsu uuringu käigus kogutud andmetele ning ei ole seotud andmete käsitlemisega üheski uuringu etapis.
2. Andmeid ei kasutata paberkandjal välja arvatud fookusgrupi intervjuudes osalevate laste ja lapsevanemate nõusolekulehed. Paberkandjal kogutud lapse ja lapsevanema/eestkostja nõusolekud hoitakse projektijuhi kabinetis lukustatavas raudkapis ning seetõttu puudub kõrvalistel isikutel neile füüsiline ligipääs. Nõusolekud hävitatakse peale intervjuude transkribeerimist ning anonüümseks muutmist.
3. Fookusgrupi intervjuud audiosalvestatakse. Fookusgrupi intervjuud viivad läbi volitatud töötlejad (Tartu Ülikool ja Tallinna Ülikool). Peale intervjuu tegemist toimub intervjuu transkribeerivad ning võimalike isikuandmete anonüümseks muutmine (transkribeeritud failis on vastaja nähtav ainult kujul vastaja 1, vastaja 2 jne, nimi ja vastaja sugu ei tule transkribeeritud failist välja).
4. Helisalvestised ja muud tuvastamist võimaldavad andmed hoitakse eraldi transkriptsioonidest ja analüüsiandmetest.
5. On teada sekkumises osalevate koolide nimed ning sekkumises osalevad klassid, kuid need ei ole hiljem seotud kogutud andmetega analüüsi etapis.
6. Õpilaste kehalise aktiivsuse mõõtmine toimub anonüümsel kujul. Andurid valmistatakse ette Tartu Ülikooli poolt (ka Tallinna Ülikoolile) ning edastatakse koolidesse. Andurid antakse osalejatele üle uuringupäeva alguses ning kogutakse tagasi vahetult pärast mõõtmisperioodi lõppu viisil, mis tagab anonüümsuse (nt märgistamata ümbrike või mappide kaudu). Andurite tagastamine toimub tsentraliseeritult selleks ettenähtud kogumiskasti, välistades seose konkreetse osaleja ja seadme vahel. Anduritega kogutud andmed ei sisalda isikuandmeid ega võimalda osalejate tuvastamist.
7. Kehalise aktiivsuse andmed laetakse seadmetelt maha ning neid analüüsib Tartu Ülikooli uurimismeeskonna liige, kes teostab ka andmeanalüüsi. Aktiivsusmonitorides salvestunud andmed on täielikult anonüümsed ning neid ei ole võimalik seostada konkreetse isikuga. Andmeid analüüsitakse üksnes üldistatud kujul.
7
8. Liikumisõpetuse tunnis mõõdetud kehaliste võimete andmed saadetakse volitatud töötlejale (Tartu Ülikoolile) anonüümsel kujul Exceli failina. Excli faili on sisestatud ainult kehaliste võimete näitajad, muid tunnuseid, mis võimaldaks isikut tuvastata lisatud ei ole (nimi, sünniaeg vms). Andmeid analüüsitakse ainult üldistatud kujul.
9. Andmeid töödeldakse infosüsteemis ning ligipääs andmetele on seotud töökoha arvuti ja infosüsteemidega, mida kaitstakse mitmete turvameetmetega (sh kasutaja personaalne kasutajanimi ja parool). Töökoha arvutid asuvad lukustatavates ruumides, kui töötaja väljub, siis lukustatakse uks.
10. Andmete kogumise ja analüüsi funktsioonid on selgelt eraldatud, et välistada isikute tuvastamise võimalus analüüsi etapis.
11. Volitatud töötleja serverid on kaitstud nii välis- kui ka sisekasutajate ebasihipärase tegevuse eest kolmetasemelise kaitsega: Laivõrk→tulemüür→Sisevõrk
12. Infosüsteemide kasutajaid on instrueeritud vajalikest tegevustest nuhk- ja viirus(t)ega nakatumise/nakatumikahtluse korral. Nad on teadlikud, et riskigrupiks on igasugune tarkvara allalaadimine (Download) ning postitusprogrammidest manuste (Attachments) avamine, samuti võõraste teisaldatavate andmekandjate kasutamine.
13. Andmetest tehakse regulaarselt turvalised varukoopiad, mis on kaitstud samaväärsete turvameetmetega nagu põhifailid.
14. Uuringu tulemused avaldatakse üksnes anonümiseeritud ja üldistatud kujul. 15. Kõik andmetega töötavad isikud on seotud konfidentsiaalsuskohustusega ning on
teadlikud andmekaitsenõuetest. 16. Isikuandmete rikkumise korral teavitatakse vastutavat töötlejat viivitamata ning
rakendatakse meetmeid rikkumise mõju piiramiseks vastavalt kehtivatele õigusaktidele.
17. Andmeid ei edastata kolmandatele osapooltele.