Pakkumuskutse Lisa 3/
Raamlepingu LISA 5
ANDMETÖÖTLUSE LEPING
Käesolev isikuandmete töötlemist puudutav lepingu lisa (edaspidi: lisa) on lahutamatu osa riigihankes „Seksuaalvägivalda kogenud ohvrile standardiseeritud seksuaalvägivalla kriisiabi teenuse osutamine“ sõlmitud raamlepingule (edaspidi: leping), mis on sõlmitud
Sotsiaalkindlustusameti (edaspidi: vastutav töötleja)
ja
_______ (edaspidi: volitatud töötleja) vahel,
teostamaks lepingus nimetatud tegevusi sihtgrupi seas (edaspidi: klient).
1. Lepingu eesmärk
1.1. Käesoleva lisa eesmärk on kokku leppida volitatud töötleja õigustes ja kohustuses isikuandmete töötlemisel, millest pooled juhinduvad lepingu täitmisel (edaspidi: teenused). Lisa jõustub pärast selle allkirjastamist mõlema poole poolt. Lisa rakendatakse, kui volitatud töötleja töötleb vastutava töötleja nimel vastavalt lepingule kliendi isikuandmeid. Käesolev lisa kujutab endast isikuandmete töötlemist puudutavat andmetöötluslepingut vastavalt Euroopa Liidu isikuandmete kaitse üldmäärusele (679/2016) (edaspidi: GDPR).
1.2. Andmesubjektide kategooriad ja isikuandmete liigid, mida teenuse osutamisel töödeldakse, isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava töötleja poolt antud juhised on välja toodud lepingus ja selle lisades.
1.3. Pooled kohustuvad järgima kõiki kohalduvaid andmekaitsealaseid õigusakte seoses mis tahes isikuandmetega, mida on lepingu alusel jagatud. Vastutav töötleja edastab volitatud töötlejale ja volitab volitatud töötlejat isikuandmeid töötlema ainult juhul, kui nende isikuandmete töötlemine on lepingust tulenevalt vajalik.
1.4. Vastuolude korral lepingu ja käesoleva lisa sätete vahel tuleb juhinduda käesoleva lisa sätetest.
2. Definitsioonid
2.1. Lähtuvalt käesoleva lisa eesmärkidest ja kooskõlas GDPR-iga on kasutusel järgmised mõisted:
2.1.1. „Asjakohased tehnilised ja organisatsioonilised meetmed“ tähendavad selliseid protsesse ja protseduure, mis tehnoloogilist arengut ning rakendamise maksumust ja isikuandmeid arvesse võttes tagavad turvalisuse taseme vastavalt isikuandmete võimalikust volitusteta või ebaseaduslikust töötlemisest või juhuslikust kaotsiminekust või hävitamisest või kahjustamisest tulenevale kahju suurusele;
2.1.2. „Andmekaitseseadused“ on GDPR ja Eesti Vabariigis kehtivad muud isikuandmete töötlemist reguleerivad õigusaktid ning nende rakendusaktid või täiendavad aktid koos nende paranduste, muudatuste või asendustega, mis tahes täitmisele kuuluvad juhendid ja tegevusjuhised, mis on väljastatud isikuandmete kaitse eest vastutava mis tahes kohaliku või EL reguleeriva asutuse poolt;
2.1.3. „töötlemine” – igasugune toiming või toimingute jada, mida teostatakse isikuandmete või isikuandmete hulkadega kas automatiseeritud või automatiseerimata kujul, nagu näiteks kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringute teostamine, kasutamine, avalikustamine edastamise, avaldamise või mis tahes muul viisil kättesaadavaks tegemise teel, liitmine või ühendamine, piiramine, kustutamine või hävitamine;
2.1.4. „isikuandmed” – ükskõik milline informatsioon, mis on seotud tuvastatud või tuvastatava füüsilise isikuga (edaspidi: andmesubjekt). Tuvastatav füüsiline isik on isik, keda on võimalik kaudselt või otseselt tuvastada, viidates väärtustele nagu nimi, isikukood, asukoha andmed; internetipõhistele väärtustele või ühele või enamale väärtusele, mis on seotud antud isiku füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteediga. Lepingu alusel töödeldavad isikuandmed ja nende liigid ning andmesubjektide kategooriad on kirjeldatud riigihanke alusdokumentides;
2.1.5. „isikuandmetega seotud rikkumine” – turvarikkumine, mis põhjustab edastatavate, säilitatavate või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävimise, kadumise, muutmise, loata avalikustamise või kättesaadavuse.
3. Andmekaitse ja isikuandmete töötlemine
3.1. Volitatud töötleja kohustused:
3.1.1. Volitatud töötleja kohustub töötlema kliendi isikuandmeid vastavalt andmekaitseseadustele ja lepingule (edaspidi: kliendiandmed) ning ainult sellisel määral, mis on vajalik teenuse osutamiseks. Kui see on lepingu täitmisega seonduvalt vajalik, võib volitatud töötleja kliendiandmeid töödelda ka järgmistel eesmärkidel: i) asjakohaste IT-süsteemide hooldamine ja kasutamine; ii) kvaliteedi-, riski- ja kliendihaldusega seotud tegevused; ja iii) juriidiliste nõuete või kutseorganisatsioonide, mille liikmeks on volitatud töötleja või tema personal, nõuete järgimine.
3.1.2. Volitatud töötleja peab tagama, et tal on vajalikud õigused ja ta on omandanud asjassepuutuvad nõusolekud teenuse osutamiseks vajalike isikuandmete töötlemiseks. Lisaks andmesubjektide teavitamisele nende andmete töötlemise kohta vastutab volitatud töötleja kirjete koostamise ja nende kättesaadavuse eest vastutavale töötlejale. Klient vastutab volitatud töötlejale edastatud isikuandmete õigsuse eest.
3.1.3. Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud tegema seda volitatud töötleja suhtes kohalduva õigusega. Sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud.
3.1.4. Volitatud töötleja kohustub võtma mõistliku aja jooksul ühendust vastutava töötlejaga selgituste või täiendavate juhiste saamiseks, kui volitatud töötleja ei ole vastutava töötleja juhistes kindel. Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest juhendi ja Euroopa Liidu või pädeva jurisdiktsiooni andmekaitseseaduste või määruste vahel ja sellisel juhul võib volitatud töötleja koheselt keelduda vastutava töötleja juhendit täitmast
3.1.5. Volitatud töötleja võib kliendi andmete töötlemiseks kasutada teisi volitatud töötlejaid (edaspidi: teine volitatud töötleja). Volitatud töötleja vastutab teise volitatud töötleja tegevuse eest samuti nagu enda tegevuse eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks kirjalikud lepingud vastavalt GDPR artiklile 28 lõikele 4, mis on lepingus sätestatuga samaväärsed (ja mitte vähem ranged). Vastutav töötleja nõustub kõigi volitatud töötleja poolt kasutatavate teiste volitatud töötlejatega, keda volitatud töötleja kasutab ja kelle kasutamine on volitatud töötlejale oma tegevuses vajalik lepingu sõlmimise hetkel, sh volitatud töötlejaga samasse võrgustikku kuuluvad ühingud (st juriidilised isikud või seltsingud), volitatud töötleja või samasse võrgustikku kuuluvate ühingute IT-teenuse osutajad ning alltöövõtjad. Volitatud töötleja esitab vastutava töötleja nõudmisel talle kasutatavate teiste volitatud töötlejate nimekirja. Kui volitatud töötleja soovib lepingu kestel kaasata isikuandmete töötlemisse teisi, eespool nimetamata, volitatud töötlejaid, teavitab volitatud töötleja sellest vastutavat töötlejat kirjalikult. Vastutaval töötlejal on õigus esitada vastuväiteid uute volitatud töötlejate kaasamiseks, kui selleks on mõistlik põhjendus. Pooled lepivad kokku, et kui teise volitatud töötleja kaasamine on volitatud töötleja tegevuse toimimise jaoks oluline ning vastutaval töötlejal pole etteheiteid teise volitatud töötleja usaldusväärsusele, nõustub vastutav töötleja teise volitatud töötleja kaasamisega isikuandmete töötlemisse. Vastutav töötleja kinnitab oma nõustumist teise volitatud töötleja kaasamiseks kirjalikult. Kui vastutav töötleja on andud volitatud töötlejale loa kasutada käesolevast lepingust tulenevate kohustuste täitmiseks teisi volitatud töötlejaid, on käesolevast lepingust tulenevate küsimuste vastamisel kontaktisikuks Vastutavale töötlejale üksnes volitatud töötleja ning volitatud töötleja tagab selle, et kõnealune teine volitatud töötleja täidab käesoleva lepingu nõudeid ja on sellega seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja võib igal ajahetkel võtta tagasi volitatud töötlejale antud loa kasutada teisi volitatud töötlejaid.
3.1.6. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid rangelt konfidentsiaalsena ning mitte kasutama ega avaldama andmeid, mis tahes muu kui käesolevas lepingus sätestatud eesmärgil. Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised volitatud töötlejad, volitatud töötleja tööajad vm, kellel on ligipääs lepingu täitmise käigus saadud isikuandmetele) järgivad konfidentsiaalsusnõuet või nende suhtes kehtib põhikirjajärgne konfidentsiaalsuskohustus.
3.1.7. Volitatud töötleja võtab kasutusele kõik GDPR artiklis 32 nõutud meetmed isikuandmete töötlemisel.
3.1.8. Volitatud töötleja on kohustatud rakendama asjakohaseid tehnilisi ja korralduslike meetmeid sellisel viisil, et töötlemine vastaks GDPRis toodud nõuetele.
3.1.9. Volitatud töötleja kohustub tarvitusele võtma asjakohased tehnilised ja organisatsioonilised meetmed lepingu alusel toimuva isikuandmete töötlemise loata või ebaseadusliku töötlemise, juhusliku kaotamise või hävitamise või kahjustumise vältimiseks.
3.1.10. Volitatud töötleja aitab võimaluste piires vastutaval töötleja asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustusi vastata GDPR tähenduses kõigile andmesubjekti taotlustele oma õiguste teostamisel, muuhulgas edastades kõik andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.
3.1.11. Volitatud töötleja aitab vastutaval töötlejal täita GDPR artiklites 32-36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet.
3.1.12. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikult asjakohast teavet eesmärgiga kontrollida volitatud töötleja lisast tulenevate kohustuste täitmist. Vastutava töötleja auditeid võib läbi viia kas (i) vastutav töötleja, või (ii) volitatud töötlejaga eelnevalt kokku lepitud kolmas isik, keda vastutav töötleja on selleks volitanud. Kui vastutav töötleja ja volitatud töötleja ei jõua kokkuleppele kolmanda isiku osas, kes peaks auditi läbi viima, võib auditi läbi viia ainult vastutav töötleja. Teabenõudes volitatud töötlejale peab täpsustama, millist teavet, andmeid ja dokumente volitatud töötlejalt auditi osana nõutakse. Pooled on kokku leppinud, et: 1) volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja dokumente, mida on mõistlikult vaja selleks, et tõendada volitatud töötleja lepingust tulenevate kohustuste täitmist, mis võib hõlmata olemasolevaid kolmandate osapoolte poolt teostatud turvalisusauditite aruandeid; 2) volitatud töötleja ei avalda mis tahes teavet, andmeid või muid dokumente, mille avaldamisega rikuks volitatud töötleja asjakohastest õigusaktidest või kutse-eeskirjadest tulenevat konfidentsiaalsuskohustust; 3) volitatud töötleja ei avalda mis tahes teavet, andmeid või muid dokumente, mis on seotud käimasoleva, võimaliku või ähvardava kohtuasja või muu vastutava ja volitatud töötleja vahelise vaidluse lahendamisega. Vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud teavet konfidentsiaalsena. Auditit ei või teostada sagedamini kui kord kalendriaasta jooksul ning vastav õigus lõpeb igal juhul 2 kuu jooksul pärast seda, kui volitatud töötleja lõpetab vastutava töötleja nimel isikuandmete töötlemise.
3.1.13. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale, kuna suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat esindada ega tema nimel tegutseda.
4. Töötlemine väljaspool Euroopa Liitu / Euroopa Majanduspiirkonda
4.1. Vastutav töötleja lubab volitatud töötlejal ja teistel volitatud töötlejatel edastada isikuandmeid riikidesse väljaspool Euroopa Majanduspiirkonda, aga ainult siis, kui neil on selleks seaduslik alus, sh (i) vastuvõtjale, kes asub riigis, kus on tagatud piisav isikuandmete kaitse tase, või (ii) lepingu alusel, mis vastab Euroopa Liidu nõutele isikuandmete edastamiseks väljaspool Euroopa Liitu asuvatele isikuandmete töötlejatele.
4.2. Pooled lepivad eelnevalt kirjalikult kokku igas väljaspool Euroopa Liitu / Euroopa Majanduspiirkonda toimuvas kliendiandmete edastamises või töötlemises.
5. Isikuandmetega seotud rikkumisest teavitamine
5.1. Volitatud töötleja teavitab vastutavat töötlejat kõigist isikuandmetega seotud rikkumistest või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma põhjendamatu viivituseta, kuid mitte hiljem kui 24 h jooksul alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine volitatud töötleja saab teada isikuandmetega seotud rikkumisest või on alust kahelda, et selline rikkumine on aset leidnud.
5.2. Vastutava töötleja nõudmisel peab volitatud töötleja ilma põhjendamatu viivituseta edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava asjakohase informatsiooni. Määral, mil volitatud töötlejale on vastav informatsioon kättesaadav, peab teade kirjeldama vähemalt järgmist:
5.2.1. toimunud isikuandmetega seotud rikkumise laad, eeldatav kuupäev ja kellaaeg;
5.2.2. volitatud töötleja andmekaitseametniku või teise asjakohase kontaktisiku nimi ja kontaktandmed, kellelt saab täiendavat informatsiooni;
5.2.3. asjaomaste andmesubjektide kategooriaid ja ligikaudset arv ning isikuandmete asjaomaste kirjete liik ja ligikaudne arv;
5.2.4. isikuandmetega seotud rikkumise tõenäolised tagajärjed, ja
5.2.5. meetmeid, mida volitatud töötleja rikkumise lahendamiseks on tarvitusele võtnud või võtab, et vältida isikuandmetega seotud rikkumisi tulevikus, ja vajaduse korral ka meetmeid, mille abil leevendada rikkumise võimalikke negatiivseid mõjusid.
5.3. Volitatud töötleja peab vastutava töötleja jaoks viivitamatult dokumenteerima uurimise tulemused ja tarvitusele võetud meetmed.
5.4. Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja täita tegevusplaani isikuandmetega seotud rikkumiste kõrvaldamiseks.
5.5. Vastutav töötleja vastutab järelevalveasutustele vajaliku teavitustöö eest.
6. Muud sätted
6.1. Volitatud töötleja kohustub lepingu lõppemisel tagastama vastutavale töötlejale kõik kliendi andmed või kustutama andmed ja nende koopiad vastavalt vastutava töötleja antud juhistele, juhul kui kehtiv seadusandlus ei nõua isikuandmete säilitamist või kui volitatud töötlejal ei ole õiguslikku alust isikuandmete töötlemiseks iseseisva vastutava töötlejana.
6.2. Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku poolt allkirjastatud tõendi kinnitades, et lisa punktis 6.1 nimetatud toimingud on teostatud tema ja kõigi tema poolt kasutatud teiste volitatud töötlejate poolt.
6.3. Ulatuses, milles see ei ole andmekaitseseadustes sätestatud imperatiivsete normidega vastuolus, vastutab volitatud töötleja käesolevas lisas või volitatud töötleja GDPR-is sätestatud kohustuste rikkumisest vastutavale töötlejale tekitatud kahju eest üksnes ulatuses, milles volitatud töötleja on kahju tekkimises süüdi. Ulatuses, milles see ei ole andmekaitseseadustes sätestatud imperatiivsete normidega vastuolus, on volitatud töötleja koguvastutus (sealhulgas intress) kõigi nõuete eest, mis on seotud käesoleva lisa mis tahes rikkumisega ning samuti kõigi lepingust tulenevate nõuete eest (sealhulgas, kuid mitte ainult, hooletus) piiratud lepingu alusel maksmisele kuuluvate tasude kahekordse summaga või tegeliku otsese kahjuga, sõltuvalt sellest, kumb on väiksem. Volitatud töötleja ei vastuta (i) saamata jäänud tulu, ettevõtte väärtuse kahanemise, ärivõimaluse kaotuse, eeldatud kokkuhoiu või kasu mitterealiseerumise eest, (ii) kaudse kahju eest.
6.4. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava töötleja kirjalikest juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates täiendustes ja muudatustes kokku kirjalikult.
6.5. Käesolev lisa jõustub selle allkirjastamisel mõlema poole poolt. Lisa kehtib, kuni (i) kehtib pooltevaheline leping või (ii) pooltel on omavahelisi kohustusi, mis on seotud isikuandmete töötlemisega.
6.6. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa kehtivuse lõppemisest, jäävad pärast käesoleva lisa kehtivuse lõppemist jõusse.
(allkirjastatud digitaalselt) (allkirjastatud digitaalselt)
Tellija Täitja