Andmetöötlusleping

1

ANDMETÖÖTLUSE LEPING

Käesolev andmetöötlusleping (edaspidi: andmetöötlusleping) on sõlmitud Riigikantselei, mida

esindab riigisekretäri 5. jaanuari 2010. a käskkirja nr 1 „Strateegiabüroo põhimäärus" alusel

strateegiadirektor Kristi Klaas (edaspidi nimetatud vastutav töötleja) ning Tartu Ülikooli

(registrikood 74001073), mida esindab rektori 3. septembri 2015. a käskkirja nr 35 alusel

arvutiteaduste instituudi juhataja Jaak Vilo, STACC OÜ (registrikood 11672027), mida esindab

juhatuse liige Kalev Koppel, ja TEXTA OÜ (registrikood 14029970), mida esindab juhatuse liige

Silver Traat, vahel (Tartu Ülikool, STACC OÜ ja TEXTA OÜ on edaspidi ühiselt nimetatud

volitatud töötleja), võttes arvesse, et

A. Projekti meeskond on esitanud 6.04.2026 täiendavad põhjendused Andmekaitse

Inspektsioonile seoses Riigikantselei 19.02.2026 taotlusega nr 26-00330-1 isikuandmete

töötlemiseks teadusuuringus „Viipekeelse tõlkeroboti loomine“ ja

B. 13.04.2026 toimus kohtumine Riigikantselei, Tartu Ülikooli, Eesti Keele Instituudi ja

Andmekaitse Inspektsiooni esindajate vahel, kus lepiti kokku, et Riigikantselei tulenevalt

teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse § 9 lg 7 p 2 viib ellu oma

ülesannete täitmiseks vajalikku teadus- ja arendustegevust ning innovatsiooni ja kooskõlas

isikuandmete kaitse seaduse § 6 lg 3 on Riigikantseleil on õigus isikuandmeid töödelda.

1. Andmetöötluslepingu eesmärk

1.1. Käesoleva andmetöötluslepingu eesmärk on kokku leppida vastastikustes õigustes ja

kohustuses, mida pooled järgivad Riigikantselei ja Eesti Keele Instituudi vahel sõlmitud

koostööleppest nr L2489 ja Riigikantselei poolt läbiviidud teadus-arendusteenuse konkursi

„Viiplemisrobot“ tulemusena sõlmitud töövõtulepingust nr L25124 tuleneval isikuandmete

töötlemisel. Käesolev andmetöötlusleping kujutab endast pooli omavahel siduvat

andmetöötluslepingut Euroopa Liidu isikuandmete kaitse üldmääruse (2016/679) (edaspidi:

üldmäärus) artikli 28 lõike 3 tähenduses.

1.2. Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse

(edaspidi isikuandmed), isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava

töötleja antud juhised on välja toodud lepingus, sh selle juurde kuuluvates dokumentides (Lisa

1 ja Lisa 2.). Vajadusel võib vastutav töötleja anda isikuandmete töötlemiseks täiendavaid

dokumenteeritud juhiseid.

1.3. Pooled kohustuvad järgima kõiki kohalduvaid andmekaitsealaseid õigusakte, sh juhendeid ja

tegevusjuhiseid, mis on väljastatud isikuandmete kaitse eest vastutava kohaliku ja/või

Euroopa Liidu asutuse poolt ning seoses kõikide isikuandmetega, mida lepingu alusel

töödeldakse.

1.4. Vastuolude korral lepingu ja käesoleva lisa sätete vahel isikuandmete töötlemist puudutavas

osas tuleb juhinduda käesoleva lisa sätetest.

2. Mõisted

Käesolevas lisas olevate mõistete sisustamisel lähtutakse üldmääruses sätestatust, sealhulgas:

2.1. isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (andmesubjekti)

kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige

sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave,

võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise,

vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2.2. isikuandmete töötlemine – isikuandmete või nende kogumitega tehtav automatiseeritud või

automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine,

korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine,

lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel

avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

2

2.3. isikuandmetega seotud rikkumine – turvanõuete rikkumine, mis põhjustab edastatavate,

salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise,

kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

2.4. andmesubjekti nõusolek – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus,

millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega

nõustub tema kohta käivate isikuandmete töötlemisega.

3. Isikuandmete töötlemine

3.1. Volitatud töötleja kohustub töötlema isikuandmeid vastavalt käesolevas lisas nimetatud ja

teistele asjakohastele õigusaktidele, juhenditele ja lepingule (sh vastutava töötleja antud

dokumenteeritud juhistele) ning ainult sellisel määral, mis on vajalik lepingu täitmiseks.

3.2. Volitatud töötleja vastutab vastutavale töötlejale edastatud isikuandmete õigsuse eest.

3.3. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja

jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust võtma.

Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest dokumenteeritud

juhiste ja käesolevas lisas nimetatud õigusaktide või juhendite vahel.

3.4. Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid (edaspidi

teine volitatud töötleja) üksnes vastutava töötleja eelneval nõusolekul, mis on antud vähemalt

kirjalikku taasesitamist võimaldavas vormis. Ilma vastutava töötleja kirjalikku taasesitamist

võimaldava nõusolekuta võib volitatud töötleja kasutada isikuandmete töötlemiseks teisi

volitatud töötlejaid üksnes juhul, kui see on vajalik volitatud töötleja info- ja sidesüsteemide

hoolduseks, kui hoolduse läbiviimine ilma isikuandmeid töötlemata pole võimalik.

3.5. Volitatud töötleja vastutab kõigi teiste volitatud töötlejate tegevuse eest nagu enda tegevuse

eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks kirjalikud lepingud

vastavalt üldmääruse artikli 28 lõikele 4, mis on käesolevas lepingus sätestatuga vähemalt

samaväärsed.

3.6. Kui vastutav töötleja on andnud volitatud töötlejale loa kasutada lepingust tulenevate

kohustuste täitmiseks teisi volitatud töötlejaid, on lepingust tulenevatele küsimustele

vastamisel kontaktisikuks vastutavale töötlejale üksnes volitatud töötleja ning volitatud

töötleja tagab selle, et kõnealune teine volitatud töötleja täidab lepingu nõudeid ja on sellega

seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja võib igal ajahetkel võtta tagasi

volitatud töötlejale antud loa kasutada teisi volitatud töötlejaid.

3.7. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid

konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud eesmärgil.

Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised volitatud töötlejad,

volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus töödeldavatele

isikuandmetele) järgivad konfidentsiaalsusnõuet.

3.8. Volitatud töötleja kohustub rakendama asjakohaseid turvalisuse tagamise meetmeid, muu

hulgas tehnilisi ja korralduslikke, viisil, et isikuandmete töötlemine vastaks üldmääruse

artikli 32 nõuetele, sealhulgas:

3.8.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele

andmetöötlusseadmetele;

3.8.2. ära hoidma andmekandjate omavolilist teisaldamist;

3.8.3. tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid

isikuandmeid töödeldi (sh kui andmeid töödeldi omavoliliselt vms).

3.9. Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste ja

korralduslike meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses

kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades kõik

andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse

keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.

3

3.10. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud

kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat

teavet.

3.11. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku taasesitamist

võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud töötleja käesolevast

lisast tulenevate kohustuste täitmist. Pooled on kokku leppinud, et:

3.11.1. vastutava töötleja auditeid võib läbi viia kas vastutav töötleja ja/või kolmas isik, keda

vastutav töötleja on selleks volitanud;

3.11.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja

dokumente, mida on vaja selleks, et tõendada käesoleva lisa nõuetekohast täitmist;

3.11.3. vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud teavet

konfidentsiaalsena.

3.12. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale, kuna

suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat esindada ega

tema nimel tegutseda. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud töötlejat

puudutavates küsimustes või toimingutes järelevalveasutusele vastamisel.

4. Isikuandmete töötlemine väljaspool Euroopa Liitu ja Euroopa Majanduspiirkonda

4.1. Käesoleva lepingu esemeks olevaid isikuandmeid ei tohi töödelda väljaspool Euroopa Liitu

ega Euroopa Majanduspiirkonda, sealhulgas ei tohi nimetatud isikuandmeid edastada

kolmandale riigile või rahvusvahelisele organisatsioonile.

4.2. Juhul, kui käesoleva lepingu esemeks olevate isikuandmete töötlemine väljaspool Euroopa

Liitu ja Euroopa Majanduspiirkonda, sealhulgas nende edastamine kolmandale riigile või

rahvusvahelisele organisatsioonile, on vajalik lepingu täitmiseks, lepivad pooled sellises

andmetöötluses eelevalt kirjalikult kokku. Kirjalikku kokkulepet ei ole vaja sõlmida, kui

volitatud töötleja on kohustatud isikuandmeid kolmandale riigile või rahvusvahelisele

organisatsioonile edastama volitatud töötleja suhtes kohaldatava Euroopa Liidu või

liikmesriigi õiguse alusel. Sellisel juhul teatab volitatud töötleja sellise õigusliku aluse

olemasolust enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole

olulise avaliku huvi tõttu kõnealuse õigusega keelatud.

5. Pilvepõhise AI keelamine

5.1. Isikuandmeid ei tohi sisestada või edastada avalikesse või kommertslikesse tehisintellekti

süsteemidesse (nt Deepseek, ChatGPT, Google Bard; Microsoft Copilot jt), välja arvatud

juhul, kui on tagatud:

5.1.1. andmete anonüümseks muutmine enne töötlemist;

5.1.2. et töötlemine toimub EL piires asuvates serverites;

5.1.3. et andmete säilitamine ja kasutamine AI-teenusepakkuja poolt on täielikult piiratud

või välistatud.

6. Isikuandmete töötlemisega seotud rikkumistest teavitamine

6.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega seotud

rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma

põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine

volitatud töötleja saab teada isikuandmete töötlemisega seotud rikkumisest või on alust

kahelda, et selline rikkumine on aset leidnud.

6.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada

saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava

asjakohase informatsiooni, täites käesolevas lisas toodud isikuandmete töötlemise rikkumisest

teavitamise vormi (edaspidi vorm) ja lisades juurde asjakohase muu dokumentatsiooni. Juhul,

kui kõiki asjaolusid ei ole võimalik selleks ajaks välja selgitada, esitab volitatud töötleja

4

vastutavale töötlejale vormi esialgsete andmetega. Täiendatud vorm lõpliku informatsiooniga

rikkumise asjaolude kohta tuleb esitada vastutavale töötlejale esimesel võimalusel pärast

esialgsete andmetega vormi esitamist.

6.3. Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja

täita tegevusplaan isikuandmetega seotud rikkumiste kõrvaldamiseks. Volitatud töötleja peab

tegema kõik võimaliku, et edasist rikkumist ära hoida ning kahju vähendada.

6.4. Vastutav töötleja vastutab järelevalveasutuse teavitamise eest.

7. Vastutus

7.1. Lisaks lepingus sätestatud vastutusele:

7.1.1. vastutab volitatud töötleja kahju eest, mida ta on tekitanud vastutavale töötlejale,

andmesubjektidele või muudele kolmandatele isikutele isikuandmete töötlemise

tagajärjel, mis on tekitatud käesoleva lisa nõudeid, mh kõiki selles mainitud

õigusnorme ja dokumenteeritud juhiseid, rikkudes;

7.1.2. kohustub volitatud töötleja, kui ta on isikuandmete töötlemise nõudeid rikkunud ja

selle tagajärjel on vastutav töötleja kohustatud maksma hüvitist või trahvi, hüvitama

vastutavale töötlejale sellega seoses kantud kulud;

7.1.3. kui volitatud töötleja rikub oluliselt käesolevas lisas sätestatud isikuandmete

töötlemise nõudeid, muuhulgas üldmääruse või muude kohaldatavate õigusnormide

sätteid isikuandmete kaitse valdkonnas, on vastutaval töötlejal õigus leping ette

teatamata üles öelda. Oluline lepingurikkumine on eelkõige, kui:

7.1.3.1. isikuandmete töötlemise põhimõtete täitmist kontrolliva järelevalveasutuse

või kohtu menetluses selgub, et volitatud töötleja või teine volitatud töötleja ei täida

isikuandmete töötlemise põhimõtteid;

7.1.3.2. vastutav töötleja leiab käesoleva lisa kohaselt läbiviidud auditis, et volitatud

töötleja või teine volitatud töötleja ei täida isikuandmete töötlemise põhimõtteid, mis

tulenevad käesolevast lisast või kohaldatavatest õigusnormidest.

8. Muud sätted

8.1. Volitatud töötleja kohustub lepingu lõppemisel tagastama vastutavale töötlejale kõik

andmesubjektide isikuandmed või kustutama või hävitama isikuandmed ja nende koopiad

vastavalt vastutava töötleja antud juhistele. Kui pole antud teistsuguseid juhiseid, siis tuleb

isikuandmed tagastada või hävitada või kustutada mitte hiljem kui 10 tööpäeva jooksul peale

lepingu lõppemist, välja arvatud juhul, kui Euroopa Liidu või selle liikmesriigi õiguse kohaselt

nõutakse andmete säilitamist. Isikuandmete kustutamise või hävitamise kulud kannab

volitatud töötleja.

8.2. Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku

kirjaliku kinnituse, et tema ja kõik tema kasutatud teised volitatud töötlejad on teinud eelnevas

punktis nimetatud toimingud.

8.3. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad

mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava

töötleja dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates

täiendustes ja muudatustes kokku kirjalikult.

8.4. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa kehtivuse

lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast käesoleva lisa kehtivuse

lõppemist ning nendele rakendatakse lepingus sätestatut, kui käesolevas lisas ei ole kokku

lepitud teisiti.

Vastutav töötleja Volitatud töötleja

/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/

5

Lisa 1

Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse

1. Isikuandmete töötlemise eesmärk

1.1. Isikuandmete töötlemise eesmärk on teadus-arendusteenuse konkursi „Viiplemisrobot“

tulemusena sõlmitud töövõtulepingu nr L25124 täitmine ja selles sätestatud eesmärgi

saavutamine. Selleks annab Eesti Rahvusringhääling Tartu Ülikoolile viipekeelsed

videomaterjalid, mida Tartu Ülikool volitatud töötlejana töötleb.

2. Andmesubjektide kategooriad

2.1. Lepingu täitmisel töödeldakse järgmiste andmesubjektide isikuandmeid:

2.1.1. isikud, kelle kujutis, miimika, viiplemine, kõne või hääl on videomaterjalis

jäädvustatud;

2.1.2. isikud või muud isikute rühmad, kelle kujutis sisaldub videomaterjalis kasutatud

illustratiivsetel piltidel (sh avalikest allikatest pärinevatel).

3. Töödeldavate isikuandmete liigid

3.1. Lepingu täitmisel töödeldakse viipekeelses videomaterjalis ja sellega seotud heliandmetes

sisalduvaid järgmisi isikuandmeid:

3.1.1. videos nähtava isiku kujutis ja/või pilt;

3.1.2. isiku nägu, näoilmed ja miimika;

3.1.3. viiplemisega seotud käte, keha ja näo liikumine;

3.1.4. videomaterjalis sisalduval heliribal olev isiku kõne ja hääl;

3.1.5. videomaterjalis sisalduval illustratiivsel pildil olev isiku kujutis;

3.1.6. muud videomaterjalis või heliribal juhuslikult kajastuvad isikut tuvastada

võimaldavad tunnused, kui need esinevad.

4. Isikuandmete töötlemise iseloom

4.1. Töötlemine võib hõlmata eelkõige järgmisi tegevusi:

4.1.1. Eesti Rahvusringhäälingu poolt edastatud videomaterjalide (sh heliriba)

salvestamine ja hoiustamine Tartu Ülikooli poolt hallatavates Nextcloudi teenuse

serverites või HPC arvutusklastris;

4.1.2. videomaterjalides olevate isikuandmete märgendamine uute anonümiseeritud

andmete saamiseks;

4.1.3. heliriba transkribeerimine subtiitrifaili kujul tekstiks, mille käigus kaob info isikute

hääle kohta ja teksti lauseteks jagamine;

4.1.4. märgendamine: videomaterjalide lõikamine viipelause pikkusteks lõikudeks, lõikude

vastavusse viimine eestikeelsete lausetega transkribeeritud tekstis;

4.1.5. viipekeeles tähthaaval sõrmendatud sõnade tähistamine eestikeelses tekstis;

4.1.6. igas videolõigus näoilmete, miimika, keha-, käte- ja näoliikumise kirjeldamine

kehapunktide asukohtade liikumisena, eemaldades seeläbi info videos sisalduva inimese

välimuse kohta ja saavutades anonüümimise;

4.1.7. kehapunktide liikumise andmete kasutamine prototüübi arendamisel ja testimisel;

4.1.8. anonümiseeritud andmetest kõnekorpuse loomine.

5. Isikuandmete töötlemise kestus

5.1. isikuandmeid töödeldakse lepingu nr L25124 kehtivuse ajal ja kuni lepingust tulenevate

kohustuste täitmiseni;

6

5.2. Tartu Ülikool kui volitatud töötleja kohustub kustutama Eesti Rahvusringhäälingult saadud

algandmed, mis sisaldavad isikuandmeid hiljemalt 1 (ühe) aasta möödumisel lepingu nr L25124

lõppemisest.

7

Lisa 2.

ISIKUANDMETE TÖÖTLEMISE RIKKUMISEST TEAVITAMISE VORM

1. Kontaktandmed

Isik, kellelt saab rikkumise asjaolude kohta täiendavat informatsiooni ja tema kontaktandmed:

_______________________________________________________________________________

2. Teavituse tüüp (märgi kast, üks või mitu valikut)

☐ Lõplik teavitus

☐ Varasema teavituse täiendamine

3. Aeg (sisesta kuupäev ja märgi kast)

Millal sain rikkumisest teada (kuupäev/kuu/aasta):_______________________________________

Rikkumine toimus pikemal perioodil (algus- ja lõppkuupäev/kuu/aasta):______________________

☐ Toimus ühekordne rikkumine

☐ Rikkumine jätkuvalt toimub

4. Rikkumise andmed

Kirjelda, mis juhtus ning kuidas rikkumise avastasite:

_______________________________________________________________________________

_______________________________________________________________________________

Rikkumise asjaolud (märgi kast, üks või mitu valikut)

☐ Seade isikuandmetega on kaotatud või varastatud

☐ Paberdokument on varastatud, kaotatud või jäetud mitteturvalisse keskkonda

☐ Isikuandmete loata avaldamine

☐ Isikuandmeid nägi vale isik

☐ Isikuandmed edastati valele isikule

☐ Infosüsteemidesse loata või ebaseaduslik sisenemine (nt häkkimine, pahavara, lunavara või

õngitsusrünne)

☐ Isikuandmed olid kättesaadavad seoses andmekandjate ebapiisava hävitamisega

☐ Muud (palun täpsusta):

_______________________________________________________________________________

_______________________________________________________________________________

Miks rikkumine juhtus (märgi kast, üks või mitu valikut)

☐ Organisatsiooni töökorralduse reeglite, sisekorra rikkumine

☐ Töötajate vähene teadlikkus (nt puudulikud sisekorrad ja töökorralduse reeglid, töötajate

mittepiisav koolitus)

☐ Inimlik viga

☐ Tehniline viga

Muu (nimetage siin ka koostööpartner(id) nt volitatud töötleja, kui rikkumine toimus tema

juures):_________________________________________________________________________

_______________________________________________________________________________

☐ Asjaolud pole veel teada

5. Rikkumisest puudutatud isikuandmed

8

Rikkumisest puudutatud kaustade, dokumentide, failide, e-kirjade, andmebaaside arv, mis

sisaldavad isikuandmeid. (nt mitu dokumenti edastati valele inimesele; märgi kast, valides vahemik

või sisesta täpne arv või märgi „pole teada“)

☐ 1-9

☐ 10-49

☐ 50-99

☐ 100-499

☐ 500-999

☐ 1000-4999

☐ 5000 – 9999

☐ 10000 ja rohkem

Kui on teada, sisesta täpne arv:______

☐ Pole veel teada

Tee järgnevalt valik, millised isikuandmeid rikkumine puudutab (märgi kast, üks või mitu valikut)

☐ Ees-, perenimi

☐ Sünniaeg

☐ Isikukood

☐ E-post

☐ Telefoni nr

☐ Postiandmed või elukoha aadress

☐ Kasutajanimed, salasõnad

☐ Maksevahendite andmed (andmed, mis võimaldavad võtta üle isiku maksevahendi)

☐ Majandus või finantsandmed (tehingu ajalugu, majanduslikku seisundit näitavad andmed,

maksevõime hindamine)

☐ AK teavet sisaldavad dokumendid (sh ameti- ja kutsesaladusega kaitstud teave)

☐ Geolokatsiooni andmed

☐ Suhtlusandmed (nt kes kellega ja millal rääkis, kirjutas)

☐ Andmed süüteoasjades süüdimõistvate kohtuotsuste ja süütegude kohta

☐ Lapsendamissaladuse andmed

☐ Andmed sotsiaalkaitsevajaduse või eestkoste kohta

☐ Rassiline või etniline päritolu

☐ Poliitilised vaated

☐ Usulised või filosoofilised (maailmavaatelised) veendumused

☐ Ametiühingusse kuulumine

☐ Geneetilised andmed

☐ Biomeetrilised andmed

☐ Terviseandmed

☐ Seksuaalelu ja seksuaalne sättumus

Muu (palun täpsusta): _____________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

Kas isikuandmed olid asjakohaselt krüpteeritud? (sh krüptovõtmeid ei ole kompromiteeritud ja need

on andmetöötleja kontrolli all. Märgi kast, üks valik)

☐ Jah

☐ Ei

9

6. Rikkumisest puudutatud isikud

Rikkumisest puudutatud isikute arv (märgi kast, valides vahemik või sisesta täpne arv või märgi

„pole teada“)

☐ 1-9

☐ 10-49

☐ 50-99

☐ 100-499

☐ 500-999

☐ 1000-4999

☐ 5000-9999

☐ 10000 ja rohkem

Kui on teada, sisesta täpne arv:_______

☐ Pole veel teada

Tee järgnevalt valik, milliseid isikute kategooriaid rikkumine puudutab (märgi kast, üks või mitu

valikut)

☐ Töötajad

☐ Kliendid

☐ Alaealised (nt õpilased, lapsed).

☐ Patsiendid

☐ Sotsiaalset kaitset vajavad inimesed

Muu (palun selgita): ______________________________________________________________

_______________________________________________________________________________

7. Võimalikud tagajärjed rikkumisest puudutatud isikutele

Konfidentsiaalsuskadu (andmetele said juurepääsu selleks mittevolitatud isikud. Märgi kast, üks või

mitu valikut)

☐ Oht isikuandmete ulatuslikumaks töötlemiseks kui näeb ette esialgne eesmärk või isiku nõusolek

☐ Oht isikuandmete kokku viimiseks muu isikuid puudutava infoga

☐ Oht, et isikuandmeid kasutatakse teistel eesmärkidel ja/või ebaõiglasel viisil

Muu (palun täpsusta):_____________________________________________________________

_______________________________________________________________________________

Tervikluse kadu (andmeid on volitamata muudetud. Märgi kast, üks või mitu valikut)

☐ Oht, et isikuandmeid on muudetud ja kasutatud, kuigi need ei pruugi olla enam kehtivad

☐ Oht, et isikuandmeid on muudetud muul moel kehtivateks andmeteks ja neid on hiljem kasutatud

teistel eesmärkidel

Muu (palun täpsusta):_____________________________________________________________

_______________________________________________________________________________

Käideldavuse kadu (puudub õigeaegne ja hõlbus juurdepääs andmetele. Märgi kast)

☐ Puudub võime osutada rikkumisest puudutatud isikutele kriitilist (elutähtsat) teenust

Muu (palun täpsusta):_____________________________________________________________

_______________________________________________________________________________

Füüsiline, varaline või mittevaraline kahju või muu samaväärne tagajärg (märgi kast, üks või mitu

valikut)

☐ Isik jääb ilma kontrollist oma isikuandmete üle

☐ Isiku õiguste piiramine (nt ei saa kasutada teenust või lepingust tulenevaid õigusi)

☐ Õiguslik tagajärg (nt isik ei saa hüvitist, toetust, luba mõneks tegevuseks)

☐ Diskrimineerimine

10

☐ Identiteedivargus

☐ Pettus

☐ Rahaline kahju

☐ Kahju tervisele

☐ Risk elule

☐ Pseudonümiseerimise loata tühistamine

☐ Mainekahju

☐ Usalduse kadu

☐ AK teabe või ameti- ja kutsesaladusega kaitstud teabe kadu

Muu (palun

täpsusta):________________________________________________________________

8. Rikkumisega seotud järeltegevused

Isikute teavitamine

Juba teavitatud (kuupäev/kuu/aasta):_____________

Kuidas teavitus toimus (märgi kast, üks või mitu valikut):

☐ E-kirjaga

☐ Lühisõnumiga (SMS)

☐ Helistamisega

☐ Meedias sh sotsiaalmeedias

☐ Asutuse/ettevõtte võrgulehel

Muu (palun täpsusta):_____________________________________________________________

Mis oli teavituse sisu:______________________________________________________________

_______________________________________________________________________________

Veel pole teavitanud, kuid teavitame: (kuupäev/kuu/aasta):_____________

☐ Pole selge kas on vaja teavitada

☐ Ei ole vajalik teavitada

Kui pidasite vajalikuks isikuid mitte teavitada, siis selgitage, kuidas jõudsite järeldusele, et

rikkumisega ei kaasne isikute õigustele ja vabadustele suurt riski:

_______________________________________________________________________________

Kirjeldage kavandatud ja rakendatud meetmeid rikkumise lahendamiseks, kahjulike mõjude

leevendamiseks ja ennetamiseks tulevikus:

_______________________________________________________________________________

9. Rikkumise piiriülene mõju

Millises riigis on teie peamine tegevuskoht? (palun kirjuta riigi

nimi):___________________________

Rikkumisest on puudutatud ka teiste EL riikide isikud:

☐ Ei

☐ Jah (palun täpsusta, milliste riikide ning tooge välja isikute arv riikide lõikes. Kui puudutatud

isikuandmete koosseis on riigiti erinev, tooge ka see välja):

_______________________________________________________________________________