| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-9/24/9-1 |
| Registreeritud | 23.04.2024 |
| Sünkroonitud | 29.04.2024 |
| Liik | Leping |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-9 Haldus- ja majanduslepingud |
| Toimik | 1.1-9/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Personaliosakond |
| Originaal | Ava uues aknas |
1
LEPING nr 1.1-9/24/9-1
Riigi Infosüsteemi Amet (edaspidi kindlustusvõtja), registrikood 70006317, asukoht Pärnu mnt
139a, 15169 Tallinn, mida esindab seaduse ja põhimääruse alusel peadirektor Joonas Heiter
ja
Ühispakkujad Tervisekindlustusagent OÜ, registrikood 16572262, asukoht Veerenni 51, 10138,
Tallinn, mida esindab seaduse ja põhikirja alusel juhatuse liige Mihkel Luigas,
ja
AS LHV Kindlustus, registrikood 14973611, asukoht Tartu mnt 2, 10145, Tallinn, mida esindab
volikirja alusel Mihkel Luigas, (edaspidi kindlustusandja),
edaspidi ka pool või pooled, sõlmisid käesoleva hankelepingu (edaspidi leping) alljärgnevas:
1. Lepingu ese
1.1. Lepingu esemeks on kindlustusandja poolt kindlustusvõtjale tööandja tervisekindlustuse
(edaspidi teenus) osutamine, mida kindlustusandja kohustub osutama vastavalt lepingus ja lepingu
lisades toodud tingimustele. Teenusena käsitletakse kõiki tegevusi, sh lepingus nimetamata
tegevusi, mis on vajalikud lepingus ettenähtud tulemuse saavutamiseks, samuti teenuse
osutamiseks vajaliku dokumentatsiooni vormistamisega seotud toiminguid.
1.2. Kindlustusandja kinnitab, et ta omab õigust kindlustustegevuseks Eestis (st ta tegutseb
Eestis tegevusloa alusel, on asutanud Eestis filiaali või teavitanud Finantsinspektsiooni piiriülese
kindlustusteenuse pakkumisest) ning nimetatud õiguse olemasolu on kontrollitav
Finantsinspektsiooni turuosaliste registrist.
2. Poolte õigused ja kohustused
2.1. Kindlustusvõtjal on õigus:
2.1.1. igal ajal teha järelpärimisi teenuse osutamise hetke olukorra kohta ning kontrollida
teenuse osutamise kulgu;
2.1.2. kasutada õiguskaitsevahendeid (sh öelda leping üles), samuti nõuda lepingus
sätestatud juhtudel leppetrahvi, kui kindlustusandja ei pea kinni lepingus, selle lisades
või muudes lepingu juurde kuuluvates dokumentides sätestatud tähtaegadest,
kvaliteedinõuetest, maksumusest, samuti kui kindlustusandja ei täida või täidab
mittevastavalt muid endale lepinguga võetud kohustusi.
2.2. Kindlustusvõtjal on kohustus:
2.2.1. tasuda kindlustusandjale osutatud teenuse eest vastavalt lepingule.
2.3. Kindlustusandjal on õigus:
2.3.1. saada kindlustusvõtjalt teenuse osutamiseks vajalikku informatsiooni ja juhiseid;
2.3.2. saada teenuse osutamise eest lepingus kokkulepitud tasu.
2.4. Kindlustusandjal on kohustus:
2.4.1. osutada teenust vastavalt lepingule ja kindlustusvõtja juhistele;
2.4.2. tegutseda teenuse osutamisel kindlustusvõtjale lojaalselt ja vajaliku hoolsusega;
2
2.4.3. vastutada selle eest, et teenust osutatakse korrektselt ja kvaliteetselt;
2.4.4. informeerida viivitamatult kindlustusvõtjat teenuse osutamise käigus tekkinud
probleemidest;
2.4.5. edastada kindlustusvõtjale 1 kord kvartalis kindlustusvõtja nõudmisel aruandlus,
milles esitatavad andmed sisaldavad vähemalt järgmist teavet: kasutatud teenuste
mahtu teenuse liikide kaupa ja summaarne makstud hüvitise suurus. Kindlustusvõtja
võib täpsustada aruande sisu detailsust ja esitamise sagedust1 enne aruande esitamise
tähtpäeva.
2.5. Pooltel on õigus lepingust tulenevaid ja sellega seotud nõudeid ja kohustusi kolmandatele
isikutele üle anda ainult teise poole eelneval nõusolekul, mis on lepinguga samas vormis.
Mittekohaselt üle antud nõuete ja kohustuste osas jääb teise poole ees vastutavaks nõuded ja/või
kohustused üle andnud pool.
3. Lepingu hind ja maksmise kord
3.1. Kindlustusmakse ühes aastas ühe teenistuja kohta on 300 eurot ilma käibemaksuta.
Lepingu lõplik hind selgub lepingu lõppedes, vastavalt kindlustusvõtja tegelikule teenistujate
arvule lepingu perioodil.
3.2. Lepingu maksumus on kindlustusvõtja jaoks lõplik, sisaldades kõiki kindlustusandja
kulutusi, mis tekivad seoses lepingu täitmisega.
3.3. Kindlustusandja esitab arve kindlustusvõtjale e-arvena kord kvartalis.
3.4. Vastavalt raamatupidamise seaduse §-le 71 on e-arve operaatoriks masintöödeldava
algdokumendi käitlemise teenuse pakkuja, kelle kohta on tehtud märge kindlustusvõtja andmetes
juriidiliste isikute kohta peetavas riiklikus registris.
3.5. Kindlustusandja poolt esitatav arve peab selgelt ja üheselt viitama lepingule, sisaldama
makse teostamiseks vajalikke andmeid, riigihanke viitenumbrit 277039, kindlustusvõtja
kontaktisiku nime ning vastama käibemaksuseaduse nõuetele. Käesolevas punktis esitatud
tingimustele mittevastav arve ei kuulu tasumisele.
3.6. Arve maksetähtaeg on 21 kalendripäeva arve esitamisest.
4. Poolte vastutus
4.1. Pool kohustub hüvitama teisele poolele lepingus avaldatu ja kinnitatu tõele mittevastavuse
ning lepingu täitmata jätmisega või mittenõuetekohase täitmisega tekitatud kahju.
4.2. Arve või hüvitise tasumisega viivitamisel on lepingupoolel õigus nõuda teiselt
lepingupoolelt viivist 0,1% tähtajaks tasumata summalt iga tasumisega viivitatud kalendripäeva
eest.
5. Konfidentsiaalsus ja isikuandmete töötlemine
5.1. Konfidentsiaalne informatsioon“ on igasugune informatsioon, mis avaldamise hetkel on
määratletud kui konfidentsiaalne või mille olemusest võib järeldada, et see on konfidentsiaalne,
sealhulgas isikuandmed, turvaandmed, kirjeldus infosüsteemide turvameetmete, turvaintsidendi
või selle ohu kohta, arvutiprogrammid, koodid, algoritmid, oskusteave, formularid, protsessid,
1 Uue hanke ettevalmistamiseks vajab kindlustusvõtja aruandlust ka enne lepingu lõppemist.
3
ideed, strateegiad ja muu teave, mille avalikuks tulek võiks kahjustada kindlustusvõtja huve või
mille suhtes kehtivad avaliku teabe seaduse või muu õigusakti kohaselt juurdepääsupiirangud või
mille suhtes juurdepääsupiirangud ei kehti, kuid mida kindlustusvõtja ei ole avalikkusele teatavaks
teinud.
5.2. Konfidentsiaalne informatsioon ei hõlma endas informatsiooni, mis on avalikult teadaolev
või mille avalikustamise kohustus tuleneb õigusaktidest tingimusel, et selline avaldamine viiakse
läbi võimalikest variantidest kõige piiratumal viisil.
5.3. Kindlustusandja peab käesoleva lepingu täitmisel, samuti lepingujärgsete kohustuste
täitmisel saadud informatsiooni kindlustusvõtja ja tema tegevuse kohta ning isikuandmeid
sisaldavat teavet hoidma konfidentsiaalsena ja mitte avaldama seda kolmandatele isikutele ilma
kindlustusvõtja eelneva kirjaliku selgesõnalise nõusolekuta.
5.4. Kindlustusandjal on õigus töödelda isikuandmeid üksnes Eesti Vabariigi territooriumil, kui
pooled ei ole kokku leppinud teisiti.
5.5. Kindlustusandjal on õigus töödelda käesoleva lepingu täitmisel teatavaks saanud
konfidentsiaalset informatsiooni, sealhulgas isikuandmeid üksnes lepingu kehtivuse ajal ning
lepingu eesmärkide täitmiseks vajalikus ulatuses.
5.6. Isikuandmete töötlemisel kohustub kindlustusandja juhinduma kehtivatest õigusaktidest,
sealhulgas Euroopa Parlamendi ja nõukogu 27. aprill 2016. a määrusest (EL) 2016/679 füüsiliste
isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi
95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).
5.7. Kindlustusandja rakendab konfidentsiaalse informatsiooni, sealhulgas isikuandmete
kaitseks asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks isikuandmete
konfidentsiaalsuse, tervikluse ja käideldavuse. Kui pooled ei ole kokku leppinud teisiti, on
kindlustusandja isikuandmete töötlemisel kohustatud:
5.7.1. eesmärkide saavutamiseks mittevajalikud isikuandmed viivitamatult kustutama;
5.7.2. ebaõigete isikuandmete parandamiseks võtma viivitamatult kasutusele vajalikud
abinõud;
5.7.3. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
seadmetele;
5.7.4. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist
andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
5.7.5. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning
tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid
isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele
isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
5.7.6. tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale
töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
5.7.7. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja millised
isikuandmed edastati, samuti selliste andmete muutusteta säilimise;
5.7.8. tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate
transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist
või kustutamist;
4
5.7.9. dokumenteerima isikuandmete töötlemise toimingud ja säilitama kantud andmeid
kogu lepingu kehtivuse aja andmetöötlustoimingute registris. Juhul, kui lepingu
poolel puudub kasutusel olev andmetöötlustoimingute register, siis peab lepingu pool
isikuandmete töötlemise toimingud dokumenteerima vastavalt käesoleva lepingu
lisale 3 „Isikuandmete töötlemise ülevaade“. Kindlustusvõtjal on õigus igal ajal
kontrollida andmetöötlustoimingute registri pidamist ja täitmist kindlustusandja
poolt.
5.8. Lepingu punktis 5.3 sätestatud konfidentsiaalsuskohustuse rikkumisest ja punktis 5.7
sätestatud turvameetmete rikkumisest, mis põhjustab, on põhjustanud või võib põhjustada
edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku
hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu on
kindlustusandja kohustatud kindlustusvõtjat teavitama esimesel võimalusel, kuid mitte hiljem kui
24 tundi pärast selle teada saamisest. Kindlustusvõtjal on õigus saada CERT-EElt täielikku infot
käesolevas punktis viidatu turvaintsidentide kohta.
5.9. Konfidentsiaalse informatsiooni, sealhulgas isikuandmete kaitseks rakendatavate
meetmete valikul lähtub kindlustusandja kindlustusvõtja juhistest. Kindlustusvõtjal on õigus anda
kindlustusandjale soovituslikke juhiseid isikuandmete töötlemise nõuete paremaks rakendamiseks.
5.10. Kindlustusandja võib avaldada konfidentsiaalset informatsiooni, sealhulgas isikuandmeid
üksnes nendele isikutele, kes seda teavet vajavad lepinguliste kohustuste täitmiseks ja keda on
teavitatud, et selline informatsioon on konfidentsiaalne ja nad on seotud
konfidentsiaalsuskohustusega. Kui isikule avaldatakse lepinguliste kohustuste täitmiseks
isikuandmeid, on kindlustusandja kohustatud tagama, et isik, kellele isikuandmeid avaldatakse,
järgib käesolevas lepingus ja õigusaktides sätestatud isikuandmete töötlemise nõudeid ning omab
baasteadmisi isikuandmete töötlemise nõuetest.
5.11. Kindlustusandja on kohustatud teavitama kindlustusvõtjat konfidentsiaalsuskohustuse
täitmisega seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida.
5.12. Konfidentsiaalsuskohustuse, sealhulgas isikuandmete töötlemise nõuete rikkumise korral
on kindlustusandja kohustatud viivitamatult võtma kasutusele meetmed rikkumise leevendamiseks
ning teavitama rikkumisest kindlustusvõtjat mitte hiljem kui 24 tunni möödudes rikkumisest
teadasaamisest arvates. Isikuandmete töötlemise nõuete rikkumiseks loetakse mis tahes sündmus,
mis põhjustab isikuandmete hävimise, kaotsimineku või kolmandatele isikutele, sealhulgas
avalikkusele juurdepääsu võimaldamise või avalikustamise. Teade konfidentsiaalsuskohustuse
rikkumisest tuleb kindlustusvõtjale esitada kirjalikku taasesitamist võimaldavas vormis ning see
peab sisaldama vähemalt järgmist informatsiooni:
5.12.1. konkreetse rikkumise kirjeldus;
5.12.2. juhtunust puudutatud andmesubjektide arv ning isikuandmete liik;
5.12.3. juhtunuga tegeleva kontaktisiku andmed;
5.12.4. meetmete kirjeldus, mida kindlustusandja on rakendanud või rakendab rikkumise
mõju leevendamiseks;
5.12.5. rikkumise mõju ja tagajärg andmesubjektidele ja nende isikuandmetele;
5.12.6. muu teave, mis on kindlustusvõtjale vajalik andmesubjekti ja pädeva
järelevalveasutuse teavitamiseks.
5
5.13. Kohustus tagada konfidentsiaalse informatsiooni kaitse, sealhulgas isikuandmete
konfidentsiaalsus on tähtajatu ning kehtib nii lepingu täitmise ajal kui ka pärast lepingu lõppemist.
5.14. Lepingu lõppemisel on kindlustusandja kohustatud lepingu täitmisel kogutud isikuandmed
kustutama, kui pooled ei ole kokku leppinud teisiti. Punktis 5.7.9. nimetatud isikuandmete
töötlemise ülevaate annab kindlustusandja lepingu lõppemisel üle kindlustusvõtjale.
5.15. Kindlustusandja on kohustatud tagama käesolevas lepingus ja Eesti Vabariigis kehtivates
õigusaktides sätestatud isikuandmete töötlemise nõuete täitmise iga isiku poolt, keda
kindlustusandja on kaasanud lepingust tulenevate kohustuste täitmisele. Kindlustusandja vastutab
kindlustusvõtja ees, kui ta on rikkunud käesolevas lepingus või õigusaktides isikuandmete
volitatud töötlejale sätestatud isikuandmete töötlemise tingimusi.
5.16. Konfidentsiaalsuskohustuse või isikuandmete töötlemise nõuete rikkumist käsitletakse kui
lepingu olulist rikkumist.
5.17. Kindlustusandja on kohustatud avaldama kindlustusvõtjale teavet, mis on vajalik
konfidentsiaalsuskohustuse, sealhulgas isikuandmete töötlemise nõuete täitmise kontrollimiseks
5.18. Kindlustusandja teeb kindlustusvõtjaga koostööd võimaluse piires asjakohaste tehniliste ja
korralduslike meetmete abil andmesubjekti taotlusel tema kohta käivate andmete väljastamisel,
andmete parandamisel ja kustutamisel.
5.19. Kindlustusvõtja ja kindlustusandja vahelist isikuandmete töötlemist reguleerib lisaks
eelnevale andmetöötlusleping, mis on leitav lepingu lisast 2. Vastuolude korral lähtutakse
käesolevas lepingus sätestatust.
6. Lepingu muutmine ja lõpetamine
6.1. Leping jõustub selle allkirjastamisel poolte poolt ning kehtib kuni 30.04.2025.
6.2. Lepingu muutmine toimub lepingupoolte kirjalikul kokkuleppel ning kooskõlas
riigihangete seadusega.
6.3. Lepingupool võib lepingu üles öelda, kui teine lepingupool on olulisel määral rikkunud
oma lepingujärgseid kohustusi või on need jätnud olulisel määral täitmata ning ei ole asunud
lepingut täitma 7 tööpäeva jooksul alates lepingu ülesütlemise hoiatusteate saamisest.
6.4. Kindlustusvõtjal on õigus leping üles öelda, kui:
6.4.1. teenus kas täielikult või osaliselt ei täida lepingu eesmärki või osutatava teenuse
omadused muutuvad lepingu täitmise kestel.
6.5. Lepingupoole poolt lepingu ülesütlemise korral lepingu p-des 6.3. või 6.4. kirjeldatud
juhtumitel teeb kindlustusandja kindlustusvõtjale kasutamata kindlustusperioodi eest
kindlustusmakse tagasimakse päevapõhiselt. Tagastatav kindlustusmakse kantakse
kindlustusvõtja kontole 14 kalendripäeva jooksul.
7. Poolte kontaktisikud
7.1. Kindlustusvõtja kontaktisik: : Helen Paliale, tel: +372 5386 2808, e-post:
7.2. Kindlustusandja kontaktisik: Taavo Velt, tel: (+372) 504 5502, e-post:
6
7.3. Kontaktisikute muutumisel tuleb sellest viivitamatult teist poolt teavitada kirjalikku
taasesitamist võimaldavas vormis. Nimetatud teade lisatakse hankelepingu juurde ning ei käsitleta
hankelepingu muutmisena.
8. Teated
8.1. Pooltevahelised lepinguga seotud teated peavad olema esitatud kirjalikus vormis, välja
arvatud juhtudel, kui sellised teated on informatsioonilise iseloomuga, mille edastamisel teisele
poolele ei ole õiguslikke tagajärgi.
8.2. Informatsioonilist teadet võib edastada telefoni teel.
8.3. Kirjalikud teated saadetakse lepingu pooltele e-posti teel digitaalselt allkirjastatuna. Kui
ühe poole teade on teisele poolele saadetud lepingus märgitud e-posti aadressil loetakse see
kättesaaduks järgmisel tööpäeval.
8.4. Lepingu üks pool on kohustatud kätte saadud ning vastust eeldavale teatele vastama kolme
tööpäeva jooksul selle kättesaamisele järgnevast päevast lugedes, kui teates ei ole ette nähtud
vastamiseks pikemat tähtaega.
9. Lõppsätted
9.1. Pooled juhinduvad lepingu täitmisel Eesti Vabariigis kehtivatest õigusaktidest, eelkõige
kohaldatakse lepingus reguleerimata küsimustes võlaõigusseaduses vastava lepinguliigi kohta
sätestatut.
9.2. Juhul kui lepingu mõni säte osutub vastuolus olevaks Eestis kehtivate õigusaktidega, ei
mõjuta see ülejäänud sätete kehtivust.
9.3. Käesoleva lepingu täitmisel tekkivad vaidlused ja lahkarvamused lahendavad pooled
läbirääkimiste teel. Kokkuleppe mittesaavutamisel lahendatakse vaidlused Harju Maakohtus.
9.4. Leping on allkirjastatud digitaalselt.
10. Lisad
10.1. Käesoleva lepingu lahutamatuteks lisadeks (riigihangete registris) on:
10.1.1. riigihanke alusdokumendid;
10.1.2. kindlustuspoliis;
10.1.3. kindlustusandja kindlustustingimused. Kindlustusandja kindlustustingimuste
vastuolu korral ülejäänute lepingu dokumentidega kehtib järgnev prioriteetsuse
järjekord tingimuse kehtivuse kindlakstegemisel: 1) riigihanke alusdokumentides
(välja arvatud leping) olev tingimus, 2) lepingus olev tingimus, 3) kindlustuspoliisis
olev tingimus ning 4) kindlustusandja kindlustustingimustes olev tingimus.
10.2. Lisa 2 – Andmetöötlusleping
10.3. Lisa 3 – Isikuandmete töötlemise ülevaade
VOLIKIRI
03.04.2024
AS LHV Kindlustus (registrikood 14973611) (edaspidi „Selts“) asukohaga Tartu mnt 2, Tallinn 10145,
mida esindavad juhatuse liikmed Martti-Sten Merilai ja Taavi Lehemaa (esinduse alus: seadus), volitab
käesolevaga Tervisekindlustusagent OÜ (registrikood 16572262) (edaspidi „Agent“) asukohaga
Veerenni tn 51, Tallinn 10138, mida esindab juhatuse liige Mihkel Luigas (esinduse alus: seadus) (Selts ja
Agent edaspidi koos „Ühispakkujad“), olema Riigi Infosüsteemi Ameti poolt välja kuulutatud hankel
nimetusega „Tööandja tervisekindlustus“ (viitenumber 277039) (edaspidi „Hange“) Ühispakkujate
esindaja Hankel ühispakkumuse esitamisel, kõikide Hankega seotud toimingute tegemisel ning Hanke
hankelepingu sõlmimisega seotud toimingute tegemisel (sh selle allkirjastamisel).
Käesolev volikiri on antud edasivolitamise õiguseta.
Käesolevaga kinnitavad ühispakkuja AS LHV Kindlustus ja ühispakkuja Tervisekindlustusagent OÜ, et
nad vastutavad hankelepingu täitmise eest solidaarselt.
Käesolev volikiri kehtib kuni 03.06.2024.a.
/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/
Martti-Sten Merilai Mihkel Luigas
juhatuse esimees juhatuse liige
/allkirjastatud digitaalselt/
Taavi Lehemaa
juhatuse liige
Andmetöötlusleping
1. Üldsätted
1.1 Andmetöötluslepingu eesmärk on kokku leppida volitatud töötleja õigustes ja
kohustuses isikuandmete töötlemisel, millest pooled raamlepingu ja/või
hankelepingu (edaspidi leping) täitmisel juhinduvad. Andmetöötlusleping
reguleerib isikuandmete töötlemist vastavalt Euroopa Liidu isikuandmete kaitse
üldmäärusele (2016/679) (edaspidi üldmäärus) riigihanke esemeks oleva teenuse
osutamise käigus.
1.2 Andmetöötluslepingus sätestatud tingimused kehtivad juhul, kui teenuse osutaja
(edaspidi volitatud töötleja) töötleb tellija (edaspidi vastutav töötleja) nimel
isikuandmeid üldmääruse mõistes.
1.3 Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel
töödeldakse (edaspidi isikuandmed), isikuandmete töötlemise kestus, iseloom ja
eesmärgid on välja toodud alljärgnevalt:
Töödeldavat
e
isikuandmet
e
kategooriad
Töötlemise laad Töötlemise
eesmärk
Töötlemis
e kestus
Andmesubjekti
de kategooriad
Isikunimi ja
isikukood
Isikuandmed
töödeldakse
elektrooniliselt MS
Exceli formaadis
või kindlustusandja
andmetöötlusregist
ris
Kindlustus-
poliiside
lisamine ja
kindlustuskahju
de töötlemine
Lepingu
kestel
RIA teenistujad
2. Isikuandmete töötlemine
2.1 Volitatud töötleja töötleb isikuandmeid ainult vastutavalt töötlejalt saadud
dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega
kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui
volitatud töötleja on kohustatud seda tegema talle kohalduva liidu või liikmesriigi
õigusega.
2.2 Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud
isikuandmeid konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui
lepingus sätestatud eesmärgil. Samuti tagama, et isikuandmeid töötlema volitatud
isikud (sh teised volitatud töötlejad, volitatud töötleja töötajad jt, kellel on ligipääs
lepingu täitmise käigus töödeldavatele isikuandmetele) järgivad
konfidentsiaalsusnõuet.
2.3 Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid
üksnes vastutava töötleja eelneval nõusolekul, mis on antud vähemalt kirjalikku
taasesitamist võimaldavas vormis. Ilma vastutava töötleja kirjalikku taasesitamist
võimaldava nõusolekuta võib volitatud töötleja kasutada isikuandmete töötlemiseks
teisi volitatud töötlejaid üksnes juhul, kui see on vajalik tema info- ja sidesüsteemide
hoolduseks, kui hoolduse läbiviimine ilma isikuandmeid töötlemata pole võimalik.
2.4 Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste
ja korralduslike meetmete abil täita vastutava töötleja kohustusi, vastata üldmääruse
tähenduses kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas
edastades kõik andmesubjektidelt saadud andmete kontrollimise, parandamise ja
kustutamise, andmetöötluse keelamise ja muud taotlused vastutavale töötlejale
viivitamatult nende saamisest alates.
2.5 Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36
sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud
töötlejale kättesaadavat teavet.
2.6 Volitatud töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mida on
vaja üldmääruse artiklis 28 kehtestatud kohustuste täitmise tõendamiseks ning mis
võimaldab vastutaval töötlejal või vastutava töötleja poolt valitud audiitoril teha
auditeid, sealhulgas kontrolle.
3. Isikuandmete töötlemisega seotud rikkumistest teavitamine
3.1 Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega
seotud rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset
leidnud, ilma põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema
poolt kasutatav teine volitatud töötleja saab teada isikuandmete töötlemisega seotud
rikkumisest või on alust kahelda, et selline rikkumine on aset leidnud.
3.2 Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast
rikkumisest teada saamist edastama vastutavale töötlejale kogu isikuandmetega
seotud rikkumist puudutava asjakohase informatsiooni. Juhul, kui kõiki asjaolusid
ei ole võimalik selleks ajaks välja selgitada, esitab volitatud töötleja vastutavale
töötlejale esialgsed andmed ning kogu info esimesel võimalusel.
3.3 Vastutav töötleja vastutab järelevalveasutuse teavitamise eest.
4. Vastutus
4.1 Vastutav töötleja vastutab, et volitatud töötlejale lepingu täitmise käigus edastatud
isikuandmed on õiged ja, et tal on õiguslik alus neid isikuandmeid töödelda, k.a.
kolmandale isikule edasi anda.
4.2 Volitatud töötleja ei vastuta kahju eest, mis on tekkinud talle vastutava töötleja süül,
ilma õigusliku aluseta edastatud andmete töötlemise tõttu.
4.3 Volitatud töötleja vastutab kahju eest, mida ta on tekitanud vastutavale töötlejale,
andmesubjektidele või muudele kolmandatele isikutele isikuandmete töötlemise
tagajärjel, mis on tekitatud andmetöötluslepingu nõudeid rikkudes.
5. Muud sätted
5.1 Volitatud töötleja kohustub lepingu lõppemisel tagastama vastutavale töötlejale
kõik andmesubjektide isikuandmed või kustutama või hävitama isikuandmed ja
nende koopiad vastavalt vastutava töötleja antud juhistele. Kui pole antud
teistsuguseid juhiseid, siis tuleb isikuandmed tagastada või hävitada või kustutada
mitte hiljem kui 10 tööpäeva jooksul peale lepingu lõppemist, välja arvatud juhul,
kui Euroopa Liidu või selle liikmesriigi õiguse kohaselt nõutakse andmete
säilitamist.
5.2 Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis
võivad mõjutada tema võimet või väljavaateid pidada kinni andmetöötluslepingust
ja vastutava töötleja dokumenteeritud juhistest. Pooled lepivad kõigis
andmetöötluslepingut puudutavates täiendustes ja muudatustes kokku kirjalikult.
5.3 Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata
andmetöötluslepingu kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus,
jäävad jõusse ka pärast andmetöötluslepingu kehtivuse lõppemist ning nendele
rakendatakse lepingus ja selle lisades sätestatut, kui andmetöötluslepingus ei ole
kokku lepitud teisiti.