Hankeleping

Annex 1 to the Data Processing Agreement (DPA)

Description of Personal data processing

Purpose Platform (Stebby) for mediating wellness services to Controller’s

employees.

Categories of data subjects Employee data

Types of personal data

processed of behalf of the

Controller

Empoyees’ personal data: name, surname, e-mail address, date of

birth, gender, personal ID code (in Estonia), mobile phone

number, transactional data generated on or

uploaded to the platform.

The nature of the

processing and duration

The personal data processing nature is to collect, organize, structure, amend, store, delete the data for offering Controller’s employees a platform, which is used for mediating wellness services.

Processor stores and keeps available to the Controller,

transactional data made on the platform for minimum of 7 years

(according to Accounting act in Estonia) or in accordance with

the law, if longer storage time is required. User data, which is not

mandatory to store by the law, is deleted when User deletes its

account on the Platform.

Processor shall provide that information is kept safe, is available

and is not destroyed for period of time while it is necessary.

Afterwards, the Processor is obliged to delete/return such

information in a secure way, complying with GDPR requirements

and the Agreement.

Signatures of the Parties:

On behalf of Controller

Riigi Kaitseinvesteeringute Keskus

Ivar Janson

/signed digitally/

On behalf of Processor

Stebby OÜ

Karl-Eduard Möldre

/signed digitally/

Annex 2 to the Data Processing Agreement (DPA)

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND

ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational measures implemented by the Data Processor to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

1. Technical and Organization Measures

General principles

1.1. According to the nature of personal data stored by the Data Processor and the risk posed by its processing, the Data Processor ensures the following below indicated technical and organizational measures of data protection. These measures shall be regularly revised and, if needed, updated.

1.2. Technical and organizational data protection measures applied by the Data Processor shall at all time ensure the safety level corresponding to the nature of stored personal data and the risk posed by its processing.

1.3. the Data Processor ensures the security level which corresponds to the level of threat:

1.3.1. the pseudonymisation and encryption of personal data;

1.3.2. the ability to ensure continuous confidentiality, integrity, availability and resilience of data processing systems and services;

1.3.3. the ability to timely restore the availability and access to personal data in the event of a physical or technical incident;

1.3.4. a process for regular verification, assessment and effectiveness evaluation of technical and organizational measures which ensure security of data processing.

1.4. The Data Processor undertakes measures to ensure that no natural person subordinate to the Data Processor, who has access to personal data, processes personal data, except on instructions from the Data Processor.

Organizational and Technical Measures

1.5. Management and control of access to data:

1.5.1. the Data Processor ensures protection, management and control of access to personal data;

1.5.2. access to personal data may be provided only to a person who needs the personal data for execution of his/her functions;

1.5.3. a user can use the personal data to perform only those actions which she/he is authorized to perform;

1.5.4. Requirements for passwords:

- All accounts must have a password expiration. - Passwords must be changed every 90 days. - Passwords must be a minimum length of 10 characters. - Passwords must contain at least the combination of letters, numbers and special

characters (!,@,£$§ etc). - Passwords should not contain employee personal information, which is easily

guessed, such as birthdays or names.

- Employees should not set recurring passwords for a minimum of 1 year. - The same password must not be used for different environments /logins, including

employee’s personal accounts. - If the employee needs to store the passwords, encryption must be set. Using a

secure password manager is first handedly recommended. - In the event of leaked passwords, the following steps must be taken:

report the team leader of compromised passwords set new passwords with immediate effect

- Developers must ensure that they always meet the security precautions and industry standards.

- files on computers containing personal data are not accessible to users of other computers;

- data stored on internal servers is divided into separate folders according to the functional purpose and is accessible only to authorized employees;

1.5.5. Access to personal data is controlled with such organizational and technical personal data protection measures which record and control attempts to register and receive rights, i.e. the following logins to personal data are recorded: logins to the computer, computer network or the database (login identifier, date, time, duration, login result (successful or failed), files which have been accessed, actions performed with personal data (entering, previewing, changing, destroying and other actions).

1.5.6. Records are stored for 3 months.

2. Physical safety

2.1. Physical safety measures:

2.1.1. the security of premises, where personal data is stored, is protected:

2.1.1.1. entrance to premises of the Data Processor (except for open premises intended for client servicing) is possible only with a code, an identification card or by fingerprints;

2.1.1.2. access to premises, where servers are stored, is prohibited for unauthorized persons, whereas restricted, strictly monitored and recorded for authorized persons;

2.1.1.3. premises have a security system installed (alarm);

2.1.1.4. non-employees can access premises only through the reception desk, admitted by authorized persons.

2.2. Copying, recovering and destroying data:

2.2.1. actions of copying or recovering of personal data in case of emergency (when and who has performed the actions) are recorded both automatically (inside the system) and manually (in the Journal of Incidents of the Data Processor). Records are stored for 1 year;

2.2.2. destruction of personal data is recorded (on what basis, when, who and how has destroyed the data by compiling a Personal Data Destruction Act).

2.3. Data reception (provision) security measures:

2.3.1. usage of safe protocols and/or passwords is ensured when personal data is transferred via external data transfer networks;

2.3.2. security control of personal data stored on external data carriers and e-mail is ensures along with deletion of data after usage by transferring it to databases, etc.;

2.3.3. data is received and provided via the Internet (network):

2.3.3.1. data transfer channels are encrypted;

2.3.3.2. login is allowed only from the IP addresses agreed with, set and confirmed by the Data Processor;

2.3.3.3. users are identified by a unique name and password;

2.3.3.4. data is encrypted with a password;

2.3.4. When data is transferred via e-mail, employees shall ensure that:

2.3.4.1. they provide only as much data, as needed for appropriate implementation of work or contractual obligations;

2.3.4.2. the recipient shall process data according to the requirements of the EU;

2.3.5. if the Data Processor must provide personal data under a request from a state institution, the unit of the Data Processor, which has received the request, shall check whether the relevant country institution has the right to require such data. The unit, which has received the request and prepares a response, informs the head of the Data Processor or the authorized person who enters the request for personal data to the registrar of transfer of personal data. The response is registered in the Registrar of Sent Letters;

2.4. Usage and maintenance of computer hardware and software:

2.4.1. protection from malicious software is ensured: all computerized workplaces have antivirus programs installed, working and regularly updated;

2.4.2. it is ensured that system testing is not executed with real personal data, except when it is necessary and when organizational and technical personal data security measures ensuring real security of personal data are used;

2.4.3. computers of the Data Processor are monitored electronically.

2.5. Other (additional) safety measures:

2.5.1. personal data stored on active databases is encrypted;

2.5.2. security measures helping to control actions of persons administering the database, server or the computer network are used;

2.5.3. remote units log in to the internal computer network which is protected using the following safety measures: the unit logs in via the VPN tunnel;

2.5.4. data protection is ensured by responsible persons and units which do not perform administrative functions;

2.5.5. internal audits on procedures related to provision of access rights are executed;

2.5.6. personal data stored on paper media is processed only in premises of the Data Processor during official working hours of the Data Processor and in compliance with procedures set forth for each position and function, except for transferring data according to signed agreements or legal acts. Employees ensure that all obsolete personal data prints are destroyed in a way that prevents third persons from receiving such personal data.

2.6. Organizational data security measures:

2.6.1. the Data Processor has confirmed written documents regulating data security;

2.6.2. employees are acquainted with documents regulating data security;

2.6.3. documents regulating data security are regularly revised, updated, if needed, and controlled for execution;

2.6.4. responsible employees are trained to process data;

2.6.5. employees are prohibited from collecting information about data subjects for their own interests or other purposes which are incompatible with direct orders related to data processing;

2.6.6. employees sign non-disclosure agreements which oblige the employee to refrain from using information received from the employer or in relation to performed work functions, which is defined as confidential in the non-disclosure agreement, for personal or commercial purposes during execution and after expiration of the employment agreement;

2.6.7. employees confirm that they are acknowledged with the present measures with signatures;

2.6.8. when it turns out that the employment agreement is terminated or the employee is transferred to another work position or a unit or a department, or the employee leaves the Data Processor for a long period of time, responsible persons remove or limit or change or suspend access rights of the employee to systems, resources, tools, email and/or work instruments used in the Data Processor and/or perform other actions.

Signatures of the Parties:

On behalf of Controller Riigi Kaitseinvesteeringute Keskus Ivar Janson /signed digitally/

On behalf of Processor Stebby OÜ Karl-Eduard Möldre /signed digitally/

Annex 3 to the Data Processing Agreement (DPA)

List of Sub-Processors

Title, registration

number, contact

information of

sub-processor/

Personal data processing

carried out by

subprocessor (including,

activity, role, information

whether all Personal data

processed or part of them)

Place of

processing

(including, access

and storage of

Personal data)

If Personal data processed outside of EU or EEA, what legal ground for transfer is applied and what safeguards applied (e.g., adequacy decision of EU, EU standard contractual clauses, Privacy Shield etc.)

Security measures applied for

processing and protection of

Personal data (encryption etc.)

Google Cloud Google Cloud EMEA Limited, 70 Sir

John

Rogerson’s Quay, Dublin 2 , Ireland

-Cloud services -

storage and processing

for core business. - All personal data

Physical:

Finland https://cloud.google.com/se

curity

Sendgrid/ Twilio Inc.

Twilio Inc., a Delaware

corporation,

with a place of business at 101

Spear Street, 1st Floor, San Francisco, California, 94105, United States of America www.sendgrid.

com

-Email delivery

platform that enables

to send and manage email communications.

Creation of email campaigns. Also

bounce handling, unsubscribe

management, and IP

warmup. -E-mail address -E-

mail content incl.

First/Last name most

often -Received / Opened /

Clicked data

US (Contract

made before

03.08.2021)

Revised DPA https://www.twilio.co

m/en-us/gdpr

SOC 2 Type 2 (Trust Service Principles: Security & Availability) PCI DSS Level 4 TLS v1.1 or higher for

emails in transit between

Customer’s software

application and the

recipient’s email server. Security overview:

https://www.twilio.com/leg

al/security-overview

Directo

Directo OÜ

Local business

registry code

10652749; address Mõisa

4, Tallinn, 13522 Estonia

www.directo.e e

Used for automating

financial processes,

such as invoicing,

expenses, and

bookkeeping.

Estonia and

EU

ISO 27001:2013

Everypay Everypay AS Local business

registry code

12280690,

Payment services and

solutions. It allows to

accept payments from

customers through

various channels, such

Estonia and

EU EveryPay payment

platform is PCI DSS level

1 certified.

address:

VäikeKarja 12, 10148 Tallinn, Estonia www.everypay.com

as credit cards, debit

cards, bank transfers

LHV Banking service

provider Estonia and

EU Licensed bank

Vero Vero Holdings Australia Pty Ltd. 251 Riley

Street Sydney, New South

Wales2010

Customer relationship

management (CRM)

tool.

• First name,

Last name • Email • Customer ID • Received /

Opened / Clicked data

• Optional data

Australia, US DPA SCC Revised 15.02.2023

SOC 2 All databases are encrypted

at rest, applications encrypt in transit with TLS/SSL

only. https://www.getvero.com/secu rity/

Google Ireland Ltd (Ads, Analytics, Tag Manager)

• Data gathered

from Google

login • First name

(from exports

for exclusions purposes)

• Last name (from

exports for exclusions purposes)

• Email (from exports for

exclusions

purposes

Customer Communications

Branding Marketing ad

campaigns

Parent: US EU body: Ireland

https://business.safety

.google/adsprocessort

erms /

https://business.safety.goog

le/data-

safety/marketersand-

publishers/

Meta Platforms

Ireland Ltd • First name • Last name • Email

Exclusion purposes

for our marketing

campaigns if

needed

Parent: US EU body: Ireland

Stadard terms (DPA

SCC)

https://www.facebook.com/

business/gdpr

Helpscout Platform is used to

communicate with

Users.

US DPA SCC https://www.helpscout.com

/company/legal/security/

User data, which is

provided by User

itself. E-mail, name, phone number, PIN, transaction data

(ticket number)

Freshdesk

Freshworks Inc.

(US). Contact: Tower B, 5th floor c/o

CoWrks New Indiranagar Swamy Vivekananda Road, Sadanandanaga r, Bennigana Halli, Bengaluru - 560

016

User communication (mostly chat). Will be

closed 27th of July 2023. User data, which is

provided by User

itself. E-mail, name,

phone number, PIN,

transaction data

(ticket number).

India US

DPA SCC Freshworks encrypts personal data at rest and in

transit protecting it from

interception from US government surveillance

agencies. We use AES 256 bit encryption for data at rest and HTTPS with TLS

1.2 encryption for data in

transit, meaning that it will be intelligible to third

parties. We are also certified with ISO 27001

and undergo SOC 2 type 2

audit by independent third party firms.

Signatures of the Parties:

On behalf of Controller

Riigi Kaitseinvesteeringute Keskus

Ivar Janson

/signed digitally/

On behalf of Processor

Stebby OÜ

Karl-Eduard Möldre

/signed digitally/

ANNEX 1 to Contract no 70009764, concluded between the Parties on the 01.07.2024.

Data Processing Agreement

This Data Processing Agreement ("Agreement") forms part of the Client contract ("Contract")

between

Riigi Kaitseinvesteeringute Keskus, local business registry number 70009764, with registered office at Järve 34a, 11314 Tallinn , represented by Ivar Janson

(the „Company“ or “Controller”)

and Stebby OÜ, Estonian business registry number 12231911, with registered office at Raatuse 20, Tartu, Estonia, 51009, represented by authorized employee (the “Processor”)

(together as the “Parties”)

WHEREAS

. The Company acts as a personal data Controller. . The Company is importing its employees (hereinafter also as „Users“) personal data to the

Processor’s platform Stebby (hereinafter also as „Stebby platform“), available at www.stebby.eu and as mobile application, for giving its employees access to health and wellness marketplace services, provided by the Processor.

. The Parties have established that personal data are intended to be processed within the framework of the Contract. In this regard the Parties agree to comply with the General Data

Protection Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC and any other regulatory enactments

applicable for personal data processing and protection (hereinafter referred to as the GDPR) and hereby agree on personal data processing conditions pursuant to the requirements of the GDPR.

1. Obligations of the Parties

1.1.The Processor warrants that it has legal capacity and all necessary rights to provide the

service and the processing of the personal data during the period of validity of the Contract and Agreement.

1.2.The Processor shall process the personal data on behalf of the Controller and under

documented instructions of the Controller for the purpose of fulfilment of liabilities under the Contract and this Agreement, in the amount and scope specified therein (and annexes

to this DPA), in accordance with the specified processing nature and defined time period, as well as in compliance with the applicable regulatory enactments.

1.3.The Processor shall comply with all applicable Data Protection Laws in the Processing of

personal data. The Processor warrants that it does not have any obstacles or restrictions

(including lawful, contractual or any other type of restrictions) for the Personal data processing and fulfilment of liabilities set by the Agreement and the Contract. If any

obstacle or restriction occurs or may occur during the period of validity of the Contract and the Agreement, the Processor shall immediately notify the Controller in writing.

1.4.The Processor shall only be entitled to make derivatives from the Personal data (including electronic or hard copies) to the extent that it is necessary for the fulfilment of liabilities arising from the Contract and the Agreement, as well as the Processor undertakes to delete

and destroy such derivatives (if any) as soon as it is no longer necessary for the fulfilment of the mentioned liabilities.

1.5.The Processor has appointed a data protection officer. The Processor shall inform the Controller regarding the data protection officer, specifying the given name, surname, contact phone number and e-mail address thereof. The general data protection officer

contact is [email protected] . 1.6.The Processor shall have an obligation to document the activities with Personal data, and

to present upon request the above-mentioned documentation to the Controller and/or supervisory authority.

1.7.The Controller shall be entitled to determine the Personal data processing security

requirements binding for the Processor. 1.8.The Controller shall be responsible for ensuring, inter alia, that the personal data processing

entrusted to the Processor has legal ground.

2. Processing of personal data

2.1.When adding a User to the Stebby platform, the Controller ensures that they have a legal

basis for processing and transferring the personal data to Stebby and that the processing of personal data complies with the requirements set out in the legislation governing the protection of personal data, as well as that due notice has been given to the User, informing

the User of which data and for which purpose are made available to Stebby and that Stebby may send to the e-mail address of the User a notice on how they can use their account and

identify their right to the account, informing the User of the fact that they also have the right to read Stebby’s terms and conditions for the processing of personal data that are available on the website of Stebby platform.

2.2.If Stebby receives a complaint from a User imported by the Controller that there is no basis for processing any of the personal data of the User, then Stebby will delete the relevant

User account as soon as reasonably possible after confirmation of the Controller. 2.3.The User may create an account on Stebby platform and notify the Company on the Stebby

platform of their wish to use the health and sport compensation, after which the Company

can accept the application for membership. In such a case, this Agreement does not apply and for such data Stebby shall be held as a Controller.

2.4.The Controller shall notify the Processor within a reasonable time of the basis for ending the processing of the personal data of the User, as well as when the User withdraws their consent for the processing of personal data.

2.5.The personal data of the User is retained by the Processor for as long as the User has a Stebby account. After deleting the Stebby account, the data of the User on participation in

sports clubs, trainings, health services, and participation will be anonymised and this data will be used for analytical purposes by the Processor. The data of deleted users will be

permanently lost from backups and logs within 90 days after its deletion at the latest. When the Contract ends, Stebby shall delete or return all the personal data for which Company is

the Controller.

3. The Processor Personnel

3.1. The Processor shall take reasonable steps to ensure the reliability of any authorised person

who may have access to personal data, ensuring in each case that access is strictly limited to those individuals who need to know / access the relevant Personal Data, as strictly

necessary for the purposes of the Contract, and to comply with Applicable Laws, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

3.2.The Processor shall provide the access to the Personal data only to those employees, authorized persons or sub-processors who are involved in the fulfilment of the Contract

and/or the Agreement, and only to the extent it is necessary for fulfilment of direct duties under the Contract and/or Agreement. The Processor shall ensure that any sub-processors or person authorized (including Stebby employees) to process the Personal data complie s

with and have undertaken in writing to comply with confidentiality obligation and other Personal data processing requirements to an extent that is equal to the requirements set in

the Agreement and the Contract.

4. Security and Confidentiality

4.1.Taking into account the state of the art, the costs of implementation and the nature, scope,

context and purposes of Processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the Processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to that risk,

including, as appropriate, the measures referred to in Article 32(1) of the GDPR. 4.2.In assessing the appropriate level of security, the Processor shall take account in particular

of the risks that are presented by the processing, in particular from a Personal Data Breach. 4.3. The Processor shall not be entitled to disclose (including, to transfer), without receiving

prior written consent of the Controller, the Personal data to any other person, except if the

applicable regulatory enactments of European Union or European Union’s member state impose an obligation to the Processor to disclose the above mentioned information to the

state and/or local government authorities, however subject to GDPR. 4.4.The Processor is obliged to keep information confidential for an indefinite period of time,

including, during the period of validity of the Contract and afterwards. The Processor shall

have an obligation to ensure that its employees and/or authorized persons, and/or sub- contractors, and/or other processors comply with the confidentiality requirement referred

to in this Agreement. 4.5.Subject to clause 4.3, in case the applicable regulatory enactments of European Union or

European Union’s Member State impose an obligation of disclosure (incl., transfer) for the

Processor, including if Personal data shall be transferred to a third country or an international organization, the Processor shall notify the Controller immediately, before

processing, of such obligation (notification shall at least contain the following: Article of law that obliges disclosure, content of request, reasoning) as far as the law does not forbid

that on important grounds of public interest. If due to specific circumstances the Processor is not able to notify the Controller prior to disclosure, then the Processor is obliged to notify

the Controller as soon as possible after disclosure, providing reasoning for the delay.

5. Sub-Processors

5.1.The Processor is given general authorisation to engage third-parties to process the Personal

Data (“Sub-Processors”) without obtaining any further written, specific authorization from the Data Controller. The Processor notifies the Data Controller of new Sub-Processors 30

days prior to their implementation. 5.2.Where the the Processor engages Sub-Processors, the Processor imposes data protection

terms on the Sub-Processors that provide at least the same level of protection for Personal Data as those in this DPA (including, where appropriate, the Standard Contractual Clauses), to the extent applicable to the nature of the services provided by such Sub-

Processors. The Processor shall remain responsible for each Sub-Processor’s compliance with the obligations of this DPA and for any acts or omissions of such Sub-Processor that

cause us to breach any of its obligations under this DPA.

6. Data Subject Rights

6.1.Taking into account the nature of the Processing, the Processor shall assist the Controller

by implementing appropriate technical and organizational measures, insofar as this is possible, for the fulfillment of the Controller obligations, as reasonably understood by Controller, to respond to requests to exercise Data Subject rights under the Data Protection

Laws.

7. Personal Data Breach

7.1.The Processor shall have an obligation to notify the Controller immediately, but no later

than within 24 hours, when a breach of the Personal data processing has occurred or suspicions have arisen that it might have occurred which surpassed identification phase of incident handling process. The notification shall include description of particular

circumstances, data type, data subjects that may be influenced, its volume, as well as measures that are applied or are planned to be applied in order to reduce the risk. The

Processor shall immediately provide to the Controller any other information requested by the Controller, as well as proactively provides any significant information related to the occurred or possible personal data breach and its investigation.

8. Audit rights

8.1. The Processor shall make available to the Controller, on request, all information necessary

to demonstrate compliance with this Agreement, and shall allow for and contribute to

audits, including inspections, by the Controller or an auditor mandated by the Controller in relation to the Processing of the personal data.

8.2.Information and audit rights of the Controller only arise under this section 8, to the extent that the Agreement does not otherwise give them information and audit rights meeting the

relevant requirements of Data Protection Law.

9. Data Transfer

9.1.If the personal data processed under this Agreement is transferred from a country within

the European Economic Area to a country outside the European Economic Area, the Parties shall ensure that the personal data is adequately protected. To achieve this, the Parties shall,

unless agreed otherwise, rely on EU approved standard contractual clauses for the transfer of personal data.

10. Notices. 10.1. All notices and communications given under this Agreement must be in writing and

will be delivered personally, sent by email to the email address set out in the Contract or in this Agreement.

11. Governing Law and Jurisdiction

11.1. This Agreement is governed by the laws of the Republic of Estonia. 11.2. Any dispute arising in connection with this Agreement, which the Parties will not

be able to resolve amicably, will be submitted to the exclusive jurisdiction of the courts of

Estonia.

ANNEXES:

Annex 1. Description of Personal data processing

Annex 2. Technical and organisational measures. Annex 3. List of Sub-Processors

IN WITNESS WHEREOF, this Agreement is entered into with effect from the date set out below.

Signatures of the Parties:

On behalf of Controller Riigi Kaitseinvesteeringute Keskus Ivar Janson

/signed digitally/

On behalf of Processor Stebby OÜ Karl-Eduard Möldre

/signed digitally/

1/8

KLIENDILEPING NR EE-70009764

<reg_kpv> nr 2-2/24/<regist_nr>-<jrk_nr>

Stebby Klient Nimi Stebby OÜ Nimi Riigi Kaitseinvesteeringute Keskus

Registrikood 12231911 Registrikood 70009764

Aadress Tartu maakond, Tartu linn,

Raatuse 20, 51009

Aadress Järve 34a, 11314 Tallinn Kontakt

Lepingulistes küsimustes: [email protected]

Klienditugi: [email protected] Arveldus: [email protected]

KMKR nr EE101779010

Kontakt

SEB Pank EE891010220034796011 (BIC/S

WIFT: EEUHEE2X)

Swedbank EE932200221023778606 (BIC/S

WIFT: HABAEE2X)

Arvelduskonto EE907700771001824666

LHV

edaspidi Stebby ja Klient, koos nimetatud kui Pooled või eraldi nimetatud kui Pool. Pooled sõlmivad käesoleva kliendilepingu (Leping) alljärgnevatel tingimustel:

1. KLIENDID NING KONTAKTANDMED

1.1. Klient

Nimi: Kaitseressursside Amet

Registrikood: 70007647

Aadress: Aiandi tn 15, 12918 Tallinn

Kontakt: Lepingulistes küsimustes:

Küllike Kõrge-Elb

e-post: [email protected]

Lepingu täitmisega seotud küsimustes:

Küllike Kõrge-Elb

e-post: [email protected]

1.2. Klient

Nimi: Kaitsevägi

Registrikood: 70008641

Aadress: Juhkentali 58, 15007 Tallinn

Kontakt: Lepingu täitmisega seotud küsimustes:

2/8

Mikk Sarik

e-post: [email protected]

1. MÕISTED

1.1. Arveldusperiood – ajavahemik, so üks kalendrikuu, mille jooksul osutatud Stebby Teenuste kohta esitatakse Kliendile arve;

1.2. Deposiit – Kliendi poolt Lepingu sõlmimisel makstav tasu, mille ulatuses saab Klient kasutada Teenuseid Veebikeskkonnas.

1.3. Ettemaks – Kliendi või Kasutaja poolt Veebikeskkonda kantud rahalised vahendid, millega saab soetada Teenuseid;

1.4. Grupikonto – Kliendile ning tema poolt määratud isikutele Kasutajatunnuse ja Parooli kasutamisega Veebikeskkonna kaudu juurdepääsetav internetikeskkond, mille kaudu saab Teenuseid kasutada. Grupikonto koondab Veebikeskkonnas loodud Kasutajakontosid;

1.5. Hinnakiri – Lepingu lahutamatu osa, mis sätestab Stebby poolt Kliendile pakutavate Stebby Teenuse hinnad (Lisa 1 ja 2)

1.6. Isiklik konto – Kasutajakontoga seotud konto, millele Kasutaja kannab üle rahalised vahendid Veebikeskkonna kaudu pakutavate Teenuste ostmiseks;

1.7. Kasutaja – füüsiline isik, kes on liitunud Veebikeskkonnaga Stebby Teenuste kasutamise eesmärgil või Kliendi poolt liidetav Kompensatsioonikonto Kasutaja;

1.8. Kasutajakonto – füüsilise isiku konto Veebikeskkonnas; 1.9. Kasutajatunnus – Kliendi poolt Veebikeskkonda autentimiseks ja sisselogimiseks registreeritud e-

posti aadress; 1.10. Klient – Stebby OÜ-ga lepingulises suhtes olev juriidiline isik, kelle töötajatele

võimaldatakse Teenuse kasutamist Veebikeskkonna kaudu; 1.11. Kompensatsioon - Kasutajakonto ja Grupikontoga seotud rahalised vahendid, millega

Kasutajal võimaldatakse Kliendi Ettemaksu kasutamist; 1.12. Kompensatsioonikonto – Kasutajakontoga seotud konto, millele Grupikonto

administraator võib eraldada õiguse kasutada Grupikontol olevaid rahalisi vahendeid Teenuste eest tasumiseks;

1.13. Leping – käesolev kokkulepe, milles sätestatakse Stebby poolt kliendile osutatava Stebby Teenuse Tingimused;

1.14. Parool – Kasutaja poolt valitud ning Veebikeskkonnas registreeritud salasõna numbri- ja/või tähekombinatsioonina, mida Kasutaja kasutab koos Kasutajatunnusega Veebikeskkonda sisselogimiseks.

1.15. Pilet – Kasutaja õigus Teenusele Teenusepakkuja juures ostu hetkel näidatud tingimustel; 1.16. Stebby Teenus – Stebby poolt Kliendile osutatav Teenus, mis seisneb Stebby

Veebikeskkonna kaudu erinevate teenusepakkujate poolt osutatavate teenuste vahendamises Kliendile ja Kasutajatele;

1.17. Teenused – Stebby Veebikeskkonna kaudu erinevate teenusepakkujate poolt pakutavad tooted ja osutatavad teenused (eelkõige nt tervise- ja sporditeenused);

1.18. Teenusepakkuja – Stebbyga lepingulises suhtes olev juriidiline või füüsiline isik, kes pakub Stebby vahendusel Teenust Klientidele ja Kasutajatele;

1.19. Teenustasu – Lepingus ja Hinnakirjas sisalduvad Kliendile pakutavate Stebby Teenuste hinnad;

1.20. Veebikeskkond – Stebby veebileht, mis on kättesaadav domeenil www.stebby.eu, või lokaalselt rahvuslikult domeenilt (nt www.stebby.lv vms);

3/8

1.21. Veebikeskkonna kasutamise Tingimused – Veebikeskkonna https://stebby.eu/terms sätestatud kasutamistingimused, mis sätestavad Veebikeskkonnas Kasutajakontode registreerimise, haldamise nõudeid ja Veebikeskkonnas Teenuste kasutamise võimalusi.

2. STEBBY TEENUSE OLEMUS JA TEENUSTE KASUTAMINE 2.1. Stebby vahendab Kliendile ja Kliendi poolt määratud Kasutajatele Veebikeskkonna kaudu

Teenusepakkujate poolt pakutavaid Teenuseid. 2.2. Kasutaja- ja Grupikonto loomise, haldamise ja kustutamise protseduur, samuti Kasutajate ja

administraatorite juhised Veebikeskkonna kasutamisel on toodud Veebikeskkonna sektsioonis https://stebby-kkk.helpscoutdocs.com ning on Lepingu lahutamatuks lisaks.

2.3. Teenuste kasutamine toimub kas Teenusepakkujate Piletite ostu või Teenusepakkuja ja Kasutaja vahel sõlmitud lepingu alusel tasumisele kuuluva tasu hüvitamise teel Isikliku või Kompensatsioonikonto kaudu. Vajadusel on Kasutajal võimalik Teenuse eest tasuda ka kaardi- või sularahamaksega Teenusepakkuja juures kohapeal.

2.4. Kasutaja poolt Veebikeskkonnas pakutavate Teenuste eest tasumiseks ja Stebbyga arveldamiseks on kahte tüüpi kontosid: Isiklik konto ja Kompensatsioonikonto.

2.5. Rahaliste vahendite kandmine Isiklikule kontole toimub Ettemaksu põhimõttel pärast raha ülekandmist Kasutaja poolt Stebby arvelduskontole.

2.6. Grupikonto administraator seab Veebikeskkonnas reeglid, mille alusel Grupikontoga seotud Kasutajad Kompensatsioonikontol olevaid rahalisi vahendeid kasutada saavad.

2.7. Teenuste eest tasumisel eelistatakse võimalusel Kompensatsioonikontol olevaid rahalisi vahendeid, seejärel Kasutaja Isiklikul kontol olevaid rahalisi vahendeid. Juhul, kui Kasutaja soovib kasutada Stebby kaudu Teenuseid summa eest, mis ületab Kompensatsioonikontol olevat summat, tasub Kasutaja puuduoleva summa oma Isiklikule kontole või kohapeal Teenusepakkuja juures.

2.8. Isiklikule kontole kantud raha saab Kliendi või Kasutaja pangakontole tagasi üle kanda vaid Kasutajakonto sulgemisel.

2.9. Teenuste hinna, Piletite ostu ja tagastamise tingimused sätestab Teenusepakkuja.

3. ARVELDAMISE KORD 3.1. Teenuse eest tasumine toimub kliendi valikul Deposiidina või Ettemaksuna. Deposiidi

suurendamise protsess väljatoodud Lepingu Lisas 3. 3.2. Klient kohustub maksma Stebbyle Teenustasu vastavalt hinnakirjadele ning kliendile rakenduvad

käesoleva lepingu punktis 8.3 toodud õigused. Hinnakirjad on välja toodud vastavalt lisades 1 ja 2. 3.2.1. Lisa 1 – Kaitsevägi 3.2.2. Lisa 2 – Kaitseressursside Amet

3.3. Teenustasu suurus sõltub Grupikontoga seotud Kasutajakontode arvust, kellele on aktiivne kompensatsiooniplaan.

3.4. Kasutajakonto omamise eest Veebikeskkonnas tasu ei võeta. 3.5. Arveldusperioodil ostetud Teenusepakkujate Teenuste eest genereerib Stebby kliendile arve,

vastavalt Teenusepakkujate poolt esitatud andmetele. Arve maksetähtaeg on 14 päeva. 3.6. Deposiidi valinud Kliendile koondatakse Lepingu alusel tasumisele kuuluvad tasud ühele arvele,

mis esitatakse Kliendile elektrooniliselt hiljemalt viie (5) tööpäeva jooksul pärast arveldusperioodi lõppemist. Deposiidi valinud Kliendile saadetud arve loetakse tasutuks päeval, millal see laekub Stebby arvelduskontole.

3.7. Ettemaksu valinud Kliendile edastatakse elektrooniliselt hiljemalt viie (5) tööpäeva jooksul pärast arveldusperioodi lõppemist alusdokumendina arve, mis ei kuulu Kliendi poolt tasumisele. Ettemaksu valinud Kliendi arveldusperioodist tulenevad nõuded, sealhulgas Teenustasu, tasaarvestatakse arve väljastamisel automaatselt Grupikontole tehtud Ettemaksust..

4/8

3.8. Kui Klient ei nõustu Stebby poolt esitatud arvega, siis kohustub Klient sellest Stebbyt kirjalikult taasesitatavas vormis viivitamatult pärast arve kättesaamist teavitama, põhjendades oma seisukohti. Stebby vastab Kliendi avaldusele kolme (3) tööpäeva jooksul pärast selle kättesaamisest. Hilisemaid pretensioone arvesse ei võeta.

3.9. Juhul kui Klient tasub Stebbyle arves märgitust suurema summa, arvestatakse tekkinud Ettemaks järgmiste arvete katteks. Kliendil ei ole õigust nõuda Ettemaksult või enam tasutud summadelt intresside tasumist.

3.10. Stebbyl on õigus edastada Kliendi andmeid ja andmeid võlgnevuste kohta võlgade sissenõudmise eesmärgil kohtutele, kohtutäituritele ja võlgade sissenõudmise teenust osutavatele isikutele juhul, kui Kliendi võlgnevus Stebby ees on pikem kui kolmkümmend (30) päeva .

4. TURVALISUS JA KONFIDENTSIAALSUS 4.1. Stebbyle kuuluvad autoriõigused Veebikeskkonnale, sealhulgas tarkvarale, andmebaasidele ja

graafilisele kujundusele. 4.2. Kõik intellektuaalomandi õigused, mis on seotud tarkvara, dokumentide või informatsiooniga, mida

kasutatakse või arendatakse Stebby poolt või nimel infoühiskonna teenuste osutamise ajal, kuuluvad Stebbyle (või teatud juhtudel piiratud ulatuses Stebby Partnerile). Kasutaja ega Klient ei tohi kopeerida, muuta, kohandada, pöördkonstrueerida või muul viisil tuvastada Stebby Veebikeskkonna või mis tahes Stebby poolt kasutatava tarkvara lähtekoodi või kasutada Stebby Veebikeskkonna andmeid iseseisvatel ärilistel eesmärkidel või mis tahes muul eesmärgil kui teenuste tellimine. Sealjuures võib Kasutaja Stebby Veebikeskkonda kasutada ainult oma isiklikel mitteärilistel eesmärkidel.

4.3. Pool peab kasutusele võtma kõik vajalikud abinõud, et tagada talle Lepingu täitmise käigus teatavaks saanud teise poole konfidentsiaalsete andmete ja ärisaladuste turvaline säilimine ja tõkestada ligipääs kolmandatele isikutele.

4.4. Kumbki lepingupool ei tohi teise lepingupoole eelneva kirjaliku nõusolekuta avaldada käesoleva lepingu täitmise raames teatavaks saanud konfidentsiaalset (ärilist) informatsiooni, mis sai talle teatavaks lepingu täitmise käigus ning 3 aasta jooksul pärast lepingu lõppemist. Isikuandmete töötlemise lähtutakse Stebby Pivaatsuspoliitkas toodust konfidentsiaalsuskohustusest .

4.5. Stebby Veebikeskkonna kasutamiseks vajalikud rakendused ja seadmed peavad olema turvalised. Kliendil ja Kasutajal on kohustus hoida teiste isikute eest saladuses Stebby Veebikeskkonnaga seotud Kasutajatunnuseid ja Paroole või muud enda identifitseerimiseks kasutatavat teavet. Kasutajal või Kliendil on keelatud anda Kasutaja- või Grupikontot kasutamiseks teistele isikutele. Kasutajakonto on personaalne ning selle kasutamise õigus on ainuisikuliselt vaid Kasutajal.

4.6. Juhul kui identifitseerimiseks vajalik teave või Parool on saanud teatavaks kolmandatele isikutele, on Klient või Kasutaja kohustatud edasiste tehingute vältimiseks teavitama Stebbyt viivitamatult e- posti teel [email protected]. Stebby ei vastuta kahjude eest, mis on tingitud Kliendi või Kasutaja poolsest viivitusest Stebby teavitamisel, sh juhul, kui Stebbyt ei teavitata autentimiseks vajalike paroolide või toimingute kadumisest või puudumisest. Klient või Kasutaja vastutab kogu ulatuses oma Grupi- või Kasutajakontol tehtud toimingute ja tehingute eest juhul, kui Stebby Veebikeskkonnas väljastatud elektroonilised piletid või kinkekaardid on antud Kliendi või Kasutaja poolt üle kolmandatele isikutele või kui need on teatavaks saanud kolmandatele isikutele Kliendi või Kasutaja hooletuse tõttu.

5. ISIKUANDMETE KAITSE 5.1. Stebby veebiteenuse osutamise käigus kogutud isikuandmetele kohaldatakse Stebby isikuandmete

töötlemise reegleid, mis on välja toodud Privaatsuspoliitikas (https://stebby.eu/et/privacy-notice/).

5/8

5.2. Stebby töötleb Kliendi nimel Kliendi poolt Stebby Veebikeskkonda lisatud või Kliendi poolt edastatud isikuandmeid üksnes Stebby teenuste pakkumiseks ja tegutseb selliste isikuandmete puhul volitatud andmetöötlejana (edaspidi ka „Volitatud töötleja”), samas kui Klient tegutseb vastutava töötlejana (edaspidi ka “Vastutav töötleja”). Töödeldavaks isikuandmete kategooriaks on Kliendi töötajate andmed.

5.3. Kui Kliendil ei ole Kasutaja nõusolekut tema Stebby süsteemi lisamiseks või Klient ei soovi seda nõusolekut küsida, saab Kasutaja teha endale iseseisvalt Kasutajakonto ja edastada Stebby Veebikeskkonnas Kliendile Grupikontoga liitumise soovi. Sellisel juhul on Klient ja Stebby eraldiseisvad vastutavad töötlejad.

5.4. Kasutaja lisamisel Stebby keskkonda kinnitab Klient, et tal on olemas õiguslik alus Kasutaja isikuandmete töötlemiseks ja Stebbyle edastamiseks ning isikuandmete töötlemine tema poolt vastab isikuandmete kaitset reguleerivates õigusaktides sätestatud nõuetele, sealhulgas, on Kasutajat nõuetekohaselt teavitatud andmetöötluse eesmärkidest.

5.5. Kui Klient lisab Kasutaja Veebikeskkonda, tagab Klient vastavate andmete täpsuse, õigsuse, täielikkuse, asjakohasuse ja vastavuse käesolevale lepingule, heale tavale ja õigusaktidele.

5.6. Kui Stebbyle tuleb Kliendi poolt lisatud Kasutajalt kaebus, et Kasutaja mistahes isikuandmete töötlemiseks puudub alus, siis Stebby kustutab sellise Kasutajakonto vastavalt Privaatsuspoliitikas sätestatule. Kliendi kasutajatega seotud isikuandmete intsidentidest tuleb teavitada Klienti ( [email protected])

5.7. Stebby kasutab andmete töötlemisel asjakohaseid tehnilisi ja organisatsioonilisi turvameetmeid, võttes arvesse (i) tehnika taset, (ii) rakendamiskulusid, (iii) töötlemise olemust, ulatuse konteksti ja eesmärke ning (iv) andmesubjektidele tulenevaid riske. Sellised turvameetmed hõlmavad, kuid ei ole nendega piiratud, krüpteeritud säilitamist ja juurdepääsukontrolle. Nende meetmete üle otsustamisel eeldab Stebby, et Stebby teenuseid kasutatakse ettenähtud otstarbel, mis on kirjeldatud käesoleva lepingu peatükis 2.

5.8. Vastutav töötleja volitab Volitatud töötlejat kaasama isikuandmete töötlemiseks kolmandaid isikuid (edaspidi „alltöötlejad”) tingimusel, et Stebby teavitab kliente uute alltöötlejate kaasamisest minimaalselt 14 päeva enne uue alltöötleja kaasamist. Kliendil on õigus lepingu lõpetamiseks, kui Klient muudatustega ei nõustu.

5.9. Alltöötlejate kaasamisel, kehtestab Volitatud töötleja alltöötlejatele andmekaitsetingimused, mis tagavad isikuandmetele vähemalt sama kaitsetaseme kui käesolevas lepingus, ulatuses, mis on kohaldatav selliste alltöötlejate pakutavate teenuste olemuse suhtes. Volitatud töötleja jääb vastutavaks mis tahes tegevuse või tegevusetuse eest, mille tõttu rikutakse andmetöötlemisele seatud kohustusi.

5.10. Stebby ja tema alltöötlejad võivad edastada isikuandmeid väljapoole EL-i ainult siis, kui neil on selleks seaduslik alus, sealhulgas vastuvõtjale, kes on: (i) riigis, mis tagab isikuandmete piisava kaitse taseme; või (ii) võttes arvesse ELi nõudeid isikuandmete edastamiseks väljaspool ELi asuvatele andmetöötlejatele.

5.11. Klient on kohustatud mõistliku aja jooksul teavitama Stebbyt, kui Kasutaja isikuandmete töötlemise alus lõpeb, sh kui Kasutaja võtab tagasi nõusoleku isikuandmete töötlemiseks.

5.12. Stebby annab Kliendi lepingus märgitud kontaktidele esimesel võimalusel, kuid mitte hiljem kui 48 tunni jooksul teada, kui ilmneb, et Kliendi poolt Stebbyle edastatud andmed on lekkinud kolmandatele isikutele või on tuvastatud mõni muu isikuandmetega seotud rikkumine. Kliendi kasutajatega seotud isikuandmete intsidentidest tuleb teavitada Klienti ( [email protected]).

5.13. Klient vastutab selle eest, et Kasutaja eemaldatakse Grupikontost pärast töö- või muu suhte lõppemist Kliendi ja Kasutaja vahel.

6/8

5.14. Pooled vastutavad enda poolt teisele poolele tekitatud kahju eest, mis on tekkinud käesoleva Lepingu peatükis 5 ja Privaatsuspoliitikas sätestatud kohustuste rikkumisega, sh sellisest rikkumisest tuleneva riigiasutuse poolt määratud rahatrahvi hüvitamise eest. Samuti vastutavad Pooled kohustuste rikkumisega enda poolt Kasutajale tekitatud kahju eest.

6. VASTUTUS 6.1. Teenusepakkuja Tingimused Stebby konto kasutamiseks on toodud Teenusepakkuja Stebby

Veebilehel. Stebby Kasutajad peavad järgima Stebby kaudu teenuseid pakkuvate isikute kehtestatud teenuse osutamise tingimusi ja sisekorrareegleid. Toodete ja Teenuste Tingimused määravad toodete ja Teenuste müüjad. Teenusepakkujate poolt kehtestatud reeglite rikkumise eest vastutab rikkumise toime pannud Kasutaja.

6.2. Teenusepakkuja kohustus müüa kaupu või osutada Teenust Kasutajatele tekib hetkest, kui Kasutaja valib Stebby konto abil maksmise võimaluse. Ostu tegemisel Stebby veebiteenuses on tehingu poolteks Kasutaja ja toote või Teenuse pakkuja. Stebby ei vastuta Teenusepakkujaga sõlmitud lepingust tulenevate kohustuste täitmise eest. Samuti ei vastuta Stebby Teenuse kasutamise käigus Kasutajatele tekkinud isikukahjude (nt vigastused, meditsiinikulu) ega varaliste kahjude (nt isiklike asjade kaotamine või vargus) eest.

6.3. Stebby ei vastuta olukorra eest, kus Kasutajakonto omanikele lubatud Kompensatsiooni ei ole võimalik kasutada rahaliste vahendite puudumise tõttu Grupikontol.

6.4. Juhul, kui ülekande sooritamisel Grupikontole rahaliste vahendite kandmiseks on sisestatud puudulikud andmed, ei vastuta Stebby Ettemaksu hilinenud laekumise eest või kui kus Kasutajakonto omanikele lubatud Kompensatsiooni ei ole võimalik kasutada rahaliste vahendite puudumise tõttu Grupikontol. Pool hüvitab teisele poolele lepingus sätestatud kohustuste täitmata jätmisega või mittekohase täitmisega põhjustatud otsese varalise kahju. Stebby ei vastuta muude Kliendil tekkida võivate kahjude eest ega ole kohustatud hüvitama saamata jäänud tulu, katkenud äritegevusega seotud kulu või kasumi vähenemist, või muid sarnaseid kahjusid.

6.5. Pool peab tekkinud kahjust teadasaamisel mõistliku aja jooksul teatama teisele poolele kirjalikult kahju suuruse ja kahju hüvitamise aluse.

6.6. Poolel on õigus nõuda teiselt poolelt kahju olemasolu ja suurust tõendavate dokumentide ning muu vajaliku teabe esitamist. Pool vabaneb vastutusest, kui ta tõendab, et tema ei olnud kahju tekitamises süüdi..

6.7. Kui Klient viivitab Lepingust tulenevate rahaliste kohustuste täitmisega, siis kohustub ta Stebbyle maksma viivist arvestusega null koma null viis protsenti (0,05%) tähtaegselt tasumata summast iga viivituses oldud päeva eest. Viivist hakatakse arvestama maksetähtpäevale järgnevast päevast ja lõpetatakse tasude laekumise päeval. Kui Klient peab tasuma lisaks rahalisele põhikohustusele viivist, kustutatakse võlgnevusest kõigepealt viivis ning seejärel rahaline põhikohustus. Varem sissenõutavaks muutunud rahaline kohustus kustutatakse enne hiljem sissenõutavat rahalist kohustust.

6.8. Stebby ei vastuta Teenusepakkujate poolt osutatavate Teenuste katkemise, peatamise või lõppemisega seotud mistahes kahju eest.

6.9. Juhul, kui Teenuste kasutamine ei ole võimalik Stebbyst tulenevatel asjaoludel, vastutab Stebby sellest tuleneva kahju eest teenustasu ulatuses. Kahju tõendamise kohustus lasub Kliendil.

6.10. Stebby ei vastuta olukorra eest, kui Kliendil tekib pärast Stebby arve esitamist täiendav maksukohustus põhjusel, et Teenusepakkuja on esitanud valeandmed. Sellisel juhul abistab Stebby Klienti vaidluses Teenusepakkujaga, esitades vajadusel asjakohased ja seadusega lubatud tõendid.

7. MAKSUD

7/8

7.1. Kui Kasutajate poolt kasutatavad heaolu- ja sporditeenused on maksustatavad erisoodustusega, või kui Stebby Teenuse või Teenuste tarbimise eest on vaja tasuda täiendavaid makse (nt tulumaks või sotsiaalmaks vms), kannab kõik sellega seotud maksukohustused Klient. Kliendil on võimalik saada Veebikeskkonnast aruanne Kasutajate poolt kasutatud Teenuste ja nende Teenusepakkujate kohta maksuraporti täitmiseks. Stebby Veebikeskkonnas rubriigi „Maksuvabad Teenused“ all on Teenused, mille Teenusepakkuja on märkinud Teenuseks, mis Teenusepakkuja hinnangul erisoodustusmaksuga maksustamisele ei kuulu. Stebby ei anna garantiid ega vastuta selle eest, kui Maksu- ja Tolliamet tõlgendab seadust teisiti kui Teenusepakkuja. Juhul, kui „Maksuvabad Teenused“ rubriigis olev Teenus kuulub siiski Maksu- ja Tolliameti hinnangul maksustamisele ning nõutakse vastava maksu tasumist, ei ole Stebby kohustatud maksude tasumist Kliendile hüvitama.

7.2. Veebikeskkonnas müüdavatele Teenustele rakenduvad maksud sõltuvad Teenusepakkujast. 7.3. Stebby toob enda poolt esitatavatel arvetel välja kõik Stebby Teenuse osutamisega seonduvad

maksud (nt käibemaks), muud maksud peab deklareerima arve saaja. Stebby ei vastuta nende maksude ebaõige deklareerimise või deklareerimata jätmise eest.

8. LEPINGU MUUTMINE JA LÕPETAMINE 8.1. Leping on sõlmitud tähtajaliselt (24 kuud) alates 01.07.2024 kuni 30.06.2026. 8.2. Stebbyl on õigus ühepoolselt muuta Lepingut, Hinnakirja ja Veebikeskkonna kasutamise

reegleid edastades Kliendile vastava kirjalikult taasesitatavas vormis avalduse vähemalt kuuskümmend (60) päeva ette või avalikustades muudatused Veebikeskkonnas vähemalt kuuskümmend (60) päeva enne muudatuste jõustumist. Pooled lepivad kokku, et Stebby ei ole kohustatud Klienti teavitama muudatustest, mis muudavad Kliendi Veebikeskkonna kasutamise paremaks, alandavad hinda või ei oma olulist mõju Lepingu täitmisele. Lepingu muudatused toimuvad poolte kokkuleppel ja vormistatakse kirjalikult lepingu lisana.

8.3. Kui Klient ei nõustu lepingu punkti 8.2. alusel tehtud muudatustega, on Kliendil õigus Leping üles öelda, teatades sellest Stebbyle ülesütlemise avaldusega enne vastavate muudatuste jõustumist.. Juhul kui Klient ei ole nimetatud tähtaja jooksul Lepingut üles öelnud, siis loetakse, et Klient on muudatustega nõustunud ning need kehtivad täies ulatuses.

8.4. Pooltel on õigus sõlmitud Leping ühepoolselt korraliselt üles öelda, teatades sellest teisele Poolele ülesütlemise avaldusega vähemalt kuuskümmend (60) päeva ette.

8.5. Pooled kohustuvad teatama koheselt oma rekvisiitide või esindajate muutumisest. Kui muutumisest ei ole teisele poolele teatatud, loetakse poolte jaoks kehtivaks Lepingus näidatud rekvisiidid ja esindajad. Rekvisiitide või esindajate muutmisest teavitatakse teist Poolt e-posti teel ning see ei too endaga kaasa Lepingu muudatuse vormistamist.

8.6. Lepingu lõpetamise korral lõpetatakse kõikide Grupikontoga seotud Kasutajate õigused, millest teavitab Kasutajaid Klient. Stebby ei vastuta Kasutajate ja Teenusepakkujate vahel sõlmitud lepingute täitmise eest pärast Teenuse osutamise lepingu lõpetamist.

9. LÕPPSÄTTED

9.1. Leping jõustub Poolte allkirjastamisel 01.07.2024. 9.2. Kõik pooltevahelised avaldused, mis omavad õiguslikke tagajärgi, edastatakse kirjalikult

taasesitatavas vormis, kui ei ole kokkulepitud teisiti. 9.3. Lepingust tulenevad või sellega seotud vaidlused proovitakse lahendada läbirääkimiste teel.

Läbirääkimiste ebaõnnestumise korral lahendatakse vaidlused Harju Maakohtus Eesti Vabariigis kehtivate õigusaktide alusel.

9.4. Lepingu lahutamatuks lisaks on Stebby Veebikeskkonnas olevad Üldtingimused (https://stebby.eu/terms) ning Privaatsuspoliitika (https://stebby.eu/et/privacy-notice/) mis kehtivad kõikidele Klientidele, Kasutajatele ja Teenusepakkujatele. Mistahes ajal kehtivad Stebby

8/8

Hinnakirjad (lisa 1 ja 2), samuti Veebikeskkonna kasutamise reeglid on Lepingu, sh kõigi selle olemasolevate ja tulevaste lisade, muudatuste ja täienduste lahutamatu osa sõltumata sellest, kas need on Lepingule otseselt lisatud.

Stebby Klient

/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/ _____________________ _____________________ Karl-Eduard Möldre Ivar Janson riigiettevõtete kliendihaldur hangete osakonna juhataja Stebby OÜ Riigi Kaitseinvesteeringute Keskus

Kaitsevägi

„Stebby“

LISA 1

HINNAKOKKULEPE

Kaitsevägi

Nr Nimetus Kommentaar Ühik Maksumus EUR,

km-ta

1 Teenustasu kuni 800 töötajat kuu 3

2 Teenustasu 801-1000 töötajat kuu 1.5

3 Teenustasu 1001 - 1999 töötajat kuu 1.25

4 Teenustasu alates 2000 kuu 1

Klient kohustub maksma Stebbyle Teenustasu vastavalt ülatoodud hinnakirjale Kliendi ühe töötaja kohta ühes kuus, kes on seotud Kliendi Grupikontoga ja kellel on aktiivne kompensatsiooniplaan

Pakkuja nimi ja registrikood

Pakkuja esindaja nimi ja ametinimetus

Stebby OÜ 12231911

Karl-Eduard Möldre Kliendihaldur

/allkirjastatud digitaalselt/

Kaitseressrusside

Amet

„Stebby“

LISA 2

HINNAKOKKULEPE

Kaitseressursside Amet

Nr Nimetus Kommentaar Ühik Maksumus EUR,

km-ta

1 Teenustasu kuni 800 töötajat kuu 3

Klient kohustub maksma Stebbyle Teenustasu vastavalt ülatoodud hinnakirjale Kliendi ühe töötaja kohta ühes kuus, kes on seotud Kliendi Grupikontoga ja kellel on aktiivne kompensatsiooniplaan

Pakkuja nimi ja registrikood

Pakkuja esindaja nimi ja ametinimetus

Stebby OÜ 12231911

Karl-Eduard Möldre Kliendihaldur

/allkirjastatud digitaalselt/

LISA 3 – DEPOSIIT

Tehes deposiit Stebby ettevõtte kontole on töötajatele Stebby platvormil tagatud võimalus kompensatsiooni kasutada kuni järgmise teenusarve tasumiseni või kuni deposiidist piisab. Kui töötajate kulud ületavad deposiiti, ei saa töötajad Stebby kompensatsiooni enam kasutada. Deposiiti saab ettevõtte alati suurendada või vähendada. Kuidas deposiidi suurendamine toimub?

- Ettevõtte avaldab kliendihaldurile soovi deposiiti suurendada. - Deposiidi suuruse saab määrata ise või arvutada valemiga maksimaalne võimalik kulu (töötajate arv x kompensatsiooni summa perioodi kohta) - Kliendihaldur saadab ettevõttele deposiitarve. - Ettevõtte tasub deposiitarve. - Deposiitarve tasumisel tuleks kindlasti kasutada arvel olevat deposiitkonto viitenumbrit. - Raha laekub ettevõtte deposiitkontole. - Deposiidi ulatuses saavad töötajad kasutada Stebby kompensatsiooni. - Teenusearveid tuleb tasuda igakuiselt. - Lepingu lõppemisel ja konto sulgemisel tagastatakse tagatisraha täies ulatuses või kokkuleppel tasutakse teenusarvega

Stebby Klient

/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/ _____________________ _____________________ Karl-Eduard Möldre Ivar Janson Riigiettevõtete kliendihaldur hangete osakonna juhataja Stebby OÜ Riigi Kaitseinvesteeringute Keskus