| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-9/24/8-1 |
| Registreeritud | 22.04.2024 |
| Sünkroonitud | 19.12.2024 |
| Liik | Leping |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-9 Haldus- ja majanduslepingud |
| Toimik | 1.1-9/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Personaliosakond |
| Originaal | Ava uues aknas |
1
LEPING nr 1.1-9/24/8-1
(vastavalt digitaalallkirjastamise kuupäevale)
Riigi Infosüsteemi Amet (edaspidi RIA), registrikood 70006317, asukoht Pärnu mnt 139a, 15169
Tallinn, mida esindab seaduse ja põhimääruse alusel peadirektor Joonas Heiter
ja
Clarified Security OÜ (edaspidi täitja), registrikood 12164540, asukoht Lõõtsa 12, 11415
Tallinn, keda esindab seaduse ja põhikirja alusel juhataja Mehis Hakkaja, edaspidi ka pool või
pooled, sõlmisid käesoleva lepingu (edaspidi leping) alljärgnevas:
1. Lepingu sõlmimise alus ja ese
1.1. Leping sõlmitakse vastavalt väikeostu „Küberturvalisuse alased koolitused“ pakkumuse
kutsele ja täitja poolt esitatud pakkumusele.
1.2. Tööde täpsem kirjeldus on järgmine:
1.2.1. koolitus „Hands-on Hacking Essentials (HOHE)“ – koolitus 3 grupile, kuni 36 osalejat; 2-
päevane praktiline koolitus, milles tutvustatakse ründaja tegevusi küberturvalisuse
valdkonnas. Täpsem kirjeldus: https://www.clarifiedsecurity.com/handson-hacking-
training/
1.2.2. koolitus „Hands-on Hacking Advanced (HOHA)“ koolitus 2 grupile, kuni 20 osalejat; 3-
päevane praktiline jätkukoolitus HOHE-le, milles tutvustatakse ründaja võimalikke
tegevusi kasutades selleks Cobalt Strike tööriista. Täpsem kirjeldus:
https://www.clarifiedsecurity.com/handson-hacking-advanced-training/
1.2.3. koolitus „Hunt the Hacker (HtH)“ – koolitus 1 grupile, kuni 12 osalejat; 2-päevane
praktiline koolitus, milles tuvastatakse ründaja tegevusi küberturvalisuse valdkonnas.
Täpsem kirjeldus: https://www.clarifiedsecurity.com/hunt-the-hacker-course/
1.2.4. koolitus „Web Application Security (WAS)“ – koolitus 1 grupile, kuni 12 osalejat; 4-
päevane praktiline koolitus koosneb kahest erinevast moodulist: 2-päevane Client-Side
rünnete moodul ja 2-päevane Server-Side rünnete moodul. Täpsem info:
https://www.clarifiedsecurity.com/web-application-security-training/
1.2.5. koolitus „Service Hardening (SH)“ koolitus 1 grupile, kuni 12 osalejat; 2-päevane koolitus
teenuste tugevdamiseks ja rünnakuvõimaluste vähendamiseks. Täpsem info:
https://www.clarifiedsecurity.com/service-hardening-course/
1.3. Lepingu sõlmimise aluseks ja lahutamatuteks osadeks on tellija pakkumuse esitamise kutse,
tööde kirjeldus ja täitja poolt esitatud pakkumus.
2. Lepingu eeldatav maksumus ja maksmise kord
2.1. Lepingujärgne eeldatav maksumus on 102 000 (sada kaks tuhat) eurot, millele lisandub
käibemaks;
2.1.1. punktides 1.2.1. kuni 1.2.5. nimetatud koolituste ühe koolituspäeva hind on 4250 (neli tuhat
kakssada viiskümmend) eurot, millele lisandub käibemaks, koolituspäeva hind on lõplik ja
sisaldab kõiki täitja kulusid, mis tekivad seoses lepingu täitmisega;
2.2. Juhul kui tellija poolt ei registreeru koolitusgruppi piisavalt osalejaid, on tellijal õigus
koolituse tellimisest loobuda;
2.3 tellijal on õigus tellida lisaks kuni 4 koolituspäeva, tellimus tehakse kirjalikku taasesitamist
2
võimaldavas vormis;
2.4 Täitja esitab arve tellijale e-arvena pärast iga koolituse toimumist.
2.5 Vastavalt raamatupidamise seaduse §-le 71 on e-arve operaatoriks masintöödeldava
algdokumendi käitlemise tööde pakkuja, kelle kohta on tehtud märge tellija andmetes
juriidiliste isikute kohta peetavas riiklikus registris.
2.6 E-arve saatmise võimalused on:
2.6.1 kui täitja on e-arvete operaatori klient, tuleb e-arve edastada oma e-arvete operaatorile,
kelle kaudu see jõuab tellijani;
2.6.2 e-arvet on võimalik saata tasuta tellijale, kasutades e-arveldaja infosüsteemi
(http://www.rik.ee/et/e-arveldaja). Selleks on vaja avada e-arveldaja infosüsteemis
kasutaja konto ja sisestada konkreetne tellijale suunatud müügiarve sellesse
infosüsteemi tellija e-arvete operaatorile edastamiseks;
2.6.3 kuni viis (5) e-arvet kuus võib saata tasuta ka arved.ee infosüsteemi kaudu
(https://www.arved.ee). Selleks on vaja avada arved.ee infosüsteemis kasutaja konto
ja sisestada konkreetne tellijale suunatud müügiarve sellesse infosüsteemi tellija e-
arvete operaatorile edastamiseks.
2.7 Täitja poolt esitatav arve peab selgelt ja üheselt viitama lepingule, sisaldama makse
teostamiseks vajalikke andmeid, tellija kontaktisiku nime ning vastama käibemaksuseaduse
nõuetele. Käesolevas punktis esitatud tingimustele mittevastav arve ei kuulu tasumisele.
2.8 Arve maksetähtaeg on 14 (neliteist) kalendripäeva arve esitamisest.
3. Poolte vastutus ja vääramatu jõud 3.1. Pooled vastutavad sõlmitava lepingu tingimuste rikkumise eest maksimaalselt lepingu
kogumaksumuse ulatuses.
3.2. Lepinguliste kohustuste rikkumise eest võib tellija täitjalt sisse nõuda leppetrahvi või pidada
leppetrahv kinni täitjale makstavast summast, mis aga ei välista muude õiguskaitsevahendite
kasutamist, mh nõuda kahju hüvitamist.
3.3. Tööde teostamise kokkulepitud ajast kõrvalekaldumise korral pole täitjal õigust nõuda
kahjude korvamist, kui see on täitja nõuetekohase tegevusega välditav ja kahjud ei ole
tekkinud tellija otsesel süül.
3.4. Kui täitja viivituse põhjustab tellija, on täitjal õigus nõuda mõistlikku ajapikendust ja
põhjendatud lisakulude hüvitamist. Täitja peab tellijat viivitusest ning sellest tulenevatest
tagajärgedest koheselt kirjalikku taasesitamist võimaldavas vormis informeerima.
3.5. Tellija peatab täitjale lepingujärgsete summade maksmise kas osaliselt või täielikult, kui:
3.5.1. täitja ei täida lepingut;
3.5.2. tööde teostamise käigus avastatakse puudusi või muid täitja poolseid kohustuste
rikkumisi;
3.5.3. täitja lepingujärgsete kohustuste õigeaegset ja korrektset täitmist segab asjaolu,
mille eest vastutab täitja.
3.6. Täitja võib peatada tööde teostamise kas osaliselt või täielikult, kui:
3.6.1. tellija ei täida lepingut;
3.6.2. tellija ei tasu lepingujärgset maksumust õigeaegselt;
3.6.3. täitja lepingujärgsete kohustuste õigeaegset ja korrektset täitmist segab asjaolu,
mille eest vastutab tellija.
3.7. Kui täitja ei teosta töid on tellijal õigus nõuda leppetrahvi 0,2% (null koma kaks protsenti)
päevas teostamata tööde maksumusest, kuid kokku mitte rohkem kui 20% (kakskümmend
protsenti) teostamata tööde hinnast. Tellijal on õigus tööde eest tasumisel vähendada täitjale
makstava tasu suurust leppetrahvi summa võrra.
3.8. Tööde kokkulepitud ajal tegemata jätmisel täitja poolt on tellijal õigus nõuda lepingust
tulenevate kohustuste täitmata jätmisega tekitatud kahju hüvitamist.
3
3.9. Kui täitja ei täida lepingu punktides 4 ja/või 5 sätestatud kohustust, on tellijal õigus nõuda
täitjalt leppetrahvi kuni 20% (kakskümmend protsenti) lepingu maksumusest iga vastava
juhtumi korral.
3.10. Pooled peavad esitama lepingust tuleneva leppetrahvi nõude kohustusi rikkunud poolele
mõistliku aja jooksul kuid mitte hiljem kui 3 (kolme) kuu jooksul arvates päevast, mil poolel
tekkis leppetrahvi nõude esitamise õigus.
3.11 Lepingust tulenevate kohustuste mittetäitmist või mittenõuetekohast täitmist ei loeta lepingu
rikkumiseks, kui selle põhjuseks oli vääramatu jõud. Vääramatuks jõuks loevad pooled
võlaõigusseaduse § 103 lg 2 kirjeldatud ettenägematuid olukordi ja sündmusi, mis ei olene
nende tahtest või muid sündmuseid, mida Eestis kehtiv õigus- ja kohtupraktika tunnistavad
vääramatu jõuna.
4. Konfidentsiaalsus ja isikuandmete töötlemine 4.1. „Konfidentsiaalne informatsioon“ on igasugune informatsioon, mis avaldamise hetkel on
määratletud kui konfidentsiaalne või mille olemusest võib järeldada, et see on
konfidentsiaalne, sealhulgas isikuandmed, turvaandmed, kirjeldus infosüsteemide
turvameetmete, turvaintsidendi või selle ohu kohta, arvutiprogrammid, koodid, algoritmid,
oskusteave, formularid, protsessid, ideed, strateegiad ja muu teave, mille avalikuks tulek
võiks kahjustada tellija huve või mille suhtes kehtivad avaliku teabe seaduse või muu
õigusakti kohaselt juurdepääsupiirangud või mille suhtes juurdepääsupiirangud ei kehti, kuid
mida tellija ei ole avalikkusele teatavaks teinud.
4.2 Konfidentsiaalne informatsioon ei hõlma endas informatsiooni, mis on avalikult teadaolev
või mille avalikustamise kohustus tuleneb õigusaktidest tingimusel, et selline avaldamine
viiakse läbi võimalikest variantidest kõige piiratumal viisil.
4.3 Täitja peab käesoleva lepingu täitmisel, samuti lepingujärgsete kohustuste täitmisel saadud
informatsiooni tellija ja tema tegevuse kohta ning isikuandmeid sisaldavat teavet hoidma
konfidentsiaalsena ja mitte avaldama seda kolmandatele isikutele ilma tellija eelneva
kirjaliku selgesõnalise nõusolekuta.
4.4 Täitjal on õigus töödelda isikuandmeid üksnes Eesti Vabariigi territooriumil, kui pooled ei
ole kokku leppinud teisiti.
4.5 Täitjal on õigus töödelda käesoleva lepingu täitmisel teatavaks saanud konfidentsiaalset
informatsiooni, sealhulgas isikuandmeid üksnes lepingu kehtivuse ajal ning lepingu
eesmärkide täitmiseks vajalikus ulatuses.
4.6 Isikuandmete töötlemisel kohustub täitja juhinduma kehtivatest õigusaktidest, sealhulgas
Euroopa Parlamendi ja nõukogu 27. aprill 2016. a määrusest (EL) 2016/679 füüsiliste isikute
kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi
95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).
4.7 Täitja rakendab konfidentsiaalse informatsiooni, sealhulgas isikuandmete kaitseks
asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks isikuandmete
konfidentsiaalsuse, tervikluse ja käideldavuse. Kui pooled ei ole kokku leppinud teisiti, on
täitja isikuandmete töötlemisel kohustatud:
4.7.1 eesmärkide saavutamiseks mittevajalikud isikuandmed viivitamatult kustutama;
4.7.2 ebaõigete isikuandmete parandamiseks võtma viivitamatult kasutusele vajalikud
abinõud;
4.7.3 vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
seadmetele;
4.7.4 ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist
andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
4.7.5 ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning
tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid
4
isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele
isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
4.7.6 tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale
töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
4.7.7 tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja
millised isikuandmed edastati, samuti selliste andmete muutusteta säilimise;
4.7.8 tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate
transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist,
muutmist või kustutamist;
4.7.9 dokumenteerima isikuandmete töötlemise toimingud vastavalt käesoleva lepingu
lisale 1 „Isikuandmete töötlemise ülevaade“ ja säilitama eelnimetatud vormile
kantud andmeid kogu lepingu kehtivuse aja. Tellijal on õigus igal ajal kontrollida
andmetöötlustoimingute registri pidamist ja täitmist täitja poolt.
4.8 Lepingu punktis 4.3 sätestatud konfidentsiaalsuskohustuse rikkumisest ja punktis 4.7
sätestatud turvameetmete rikkumisest, mis põhjustab, on põhjustanud või võib põhjustada
edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või
ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile
juurdepääsu on täitja kohustatud tellijat teavitama esimesel võimalusel, kuid mitte hiljem
kui 24 tundi pärast selle teada saamisest. Tellijal on õigus saada CERT-EElt täielikku infot
käesolevas punktis viidatu turvaintsidentide kohta.
4.9 Konfidentsiaalse informatsiooni, sealhulgas isikuandmete kaitseks rakendatavate meetmete
valikul lähtub täitja tellija juhistest. Tellijal on õigus anda täitjale soovituslikke juhiseid
isikuandmete töötlemise nõuete paremaks rakendamiseks.
4.10 Täitja võib avaldada konfidentsiaalset informatsiooni, sealhulgas isikuandmeid üksnes
nendele isikutele, kes seda teavet vajavad lepinguliste kohustuste täitmiseks ja keda on
teavitatud, et selline informatsioon on konfidentsiaalne ja nad on seotud
konfidentsiaalsuskohustusega. Kui isikule avaldatakse lepinguliste kohustuste täitmiseks
isikuandmeid, on täitja kohustatud tagama, et isik, kellele isikuandmeid avaldatakse, järgib
käesolevas lepingus ja õigusaktides sätestatud isikuandmete töötlemise nõudeid ning omab
baasteadmisi isikuandmete töötlemise nõuetest.
4.11 Täitja on kohustatud teavitama tellijat konfidentsiaalsuskohustuse täitmisega seonduvatest
takistustest, mis on tekkinud või tõenäoliselt võivad tekkida.
4.12 Konfidentsiaalsuskohustuse, sealhulgas isikuandmete töötlemise nõuete rikkumise korral on
täitja kohustatud viivitamatult võtma kasutusele meetmed rikkumise leevendamiseks ning
teavitama rikkumisest tellijat mitte hiljem kui 24 tunni möödudes rikkumisest
teadasaamisest arvates. Isikuandmete töötlemise nõuete rikkumiseks loetakse mis tahes
sündmus, mis põhjustab isikuandmete hävimise, kaotsimineku või kolmandatele isikutele,
sealhulgas avalikkusele juurdepääsu võimaldamise või avalikustamise. Teade
konfidentsiaalsuskohustuse rikkumisest tuleb tellijale esitada kirjalikku taasesitamist
võimaldavas vormis ning see peab sisaldama vähemalt järgmist informatsiooni:
4.12.1 konkreetse rikkumise kirjeldus;
4.12.2 juhtunust puudutatud andmesubjektide arv ning isikuandmete liik;
4.12.3 juhtunuga tegeleva kontaktisiku andmed;
4.12.4 meetmete kirjeldus, mida täitja on rakendanud või rakendab rikkumise mõju
leevendamiseks;
4.12.5 rikkumise mõju ja tagajärg andmesubjektidele ja nende isikuandmetele;
4.12.6 muu teave, mis on tellijale vajalik andmesubjekti ja pädeva järelevalveasutuse
teavitamiseks.
4.13 Kohustus tagada konfidentsiaalse informatsiooni kaitse, sealhulgas isikuandmete
konfidentsiaalsus on tähtajatu ning kehtib nii lepingu täitmise ajal kui ka pärast lepingu
lõppemist.
5
4.14 Lepingu lõppemisel on täitja kohustatud lepingu täitmisel kogutud isikuandmed kustutama,
kui pooled ei ole kokku leppinud teisiti. Punktis 4.7.9. nimetatud isikuandmete töötlemise
ülevaate annab täitja lepingu lõppemisel üle tellijale.
4.15 Täitja on kohustatud tagama käesolevas lepingus ja Eesti Vabariigis kehtivates õigusaktides
sätestatud isikuandmete töötlemise nõuete täitmise iga isiku poolt, keda täitja on kaasanud
lepingust tulenevate kohustuste täitmisele. Täitja vastutab tellija ees, kui ta on rikkunud
käesolevas lepingus või õigusaktides isikuandmete volitatud töötlejale sätestatud
isikuandmete töötlemise tingimusi.
4.16 Konfidentsiaalsuskohustuse või isikuandmete töötlemise nõuete rikkumist käsitletakse kui
lepingu olulist rikkumist.
4.17 Täitja on kohustatud avaldama tellijale teavet, mis on vajalik konfidentsiaalsuskohustuse,
sealhulgas isikuandmete töötlemise nõuete täitmise kontrollimiseks.
4.18 Täitja teeb tellijaga koostööd võimaluse piires asjakohaste tehniliste ja korralduslike
meetmete abil andmesubjekti taotlusel tema kohta käivate andmete väljastamisel, andmete
parandamisel ja kustutamisel.
4.19. Täitja ja tellija vahelist isikuandmete töötlemist reguleerib lisaks eelnevale
andmetöötlusleping, mis on leitav lepingu lisast 2. Vastuolude korral lähtutakse
käesolevas lepingus sätestatust.
5. Avalikud suhted 5.1. Täitjal puudub volitus tegeleda lepingu raames avalike suhetega ning anda teateid pressile,
elektroonilisele meediale, üldsusele või teistele auditooriumidele, välja arvatud tellija
eelneval kirjalikku taasesitamist võimaldavas vormis nõusolekul.
5.2. Täitja paneb käesolevas punktis sätestatu kohustuseks kõikidele kolmandatele isikutele, keda
ta kasutab oma lepingujärgsete kohustuste täitmisel.
6. Lepingu kehtivus, muutmine ja lõpetamine
6.1 Leping jõustub allkirjastamise hetkest ning kehtib kuni lepinguliste kohustuste täitmiseni,
kuid mitte kauem kui 31.12.2024.
6.2 Poolte kokkuleppel on võimalik lepingut ühekordselt pikendada kuni 6 (kuus) kuud.
6.3 Tellija võib lepingu igal ajal olenemata põhjusest etteteatamistähtajata üles öelda ning
sellisel juhul on täitjal õigus nõuda tasu vaid lepingu ülesütlemise hetkeks faktiliselt tehtud
tööde eest.
6.4 Täitjal on õigus lõpetada leping ennetähtaegselt, teatades sellest tellijale kirjalikult ette
vähemalt 30 (kolmkümmend) kalendripäeva, kui tellija keeldub nõuetekohaselt läbiviidud
tööde eest tasu maksmisest ning sellisel juhul on täitjal õigus nõuda tasu vaid lepingu
ülesütlemise hetkeks faktiliselt tehtud tööde eest.
6.5 Täitja ei tohi lepingust tulenevaid õigusi ega kohustusi üle anda ega muul viisil loovutada
kolmandale isikule ilma tellija eelneva kirjaliku nõusolekuta.
6.6 Lepingu muutmises võib kokku leppida juhul, kui muutmise tingivad objektiivsed asjaolud,
mida ei olnud tellijal võimalik lepingu sõlmimise ajal ette näha ja lepingu muutmata jätmise
korral satuks täielikult või olulises osas ohtu lepinguga taotletud eesmärgi saavutamine.
6.7 Lepingu tingimusi võib muuta ainult mõlemapoolselt allkirjastatud lepingu lisana.
6
7. Personal 7.1. Pooltevahelise koostöö korraldamise eest vastutavad poolte kontaktisikud:
7.1.1. tellija kontaktisikud on Astrid-Helena Teär, tel 5344 2251, e-post: astrid-
[email protected] ja Mari-Liis Suurpalu, tel 5561 7135, e-post [email protected]
7.1.2. täitja kontaktisik on Mari Seemer-Puf, tel +372 53326364, e-post:
7.2. Kõik teated, millel ei ole õiguslikku tagajärge, võivad olla esitatud kirjalikku taasesitamist
võimaldavas vormis ning peavad olema adresseeritud kontaktisikutele. Kõik lepinguga ja
lepingu täitmisega seotud pretensioonid peavad olema esitatud kirjalikus vormis.
7.3. Kontaktisikute muutumisel tuleb sellest viivitamatult teist poolt teavitada kirjalikku
taasesitamist võimaldavas vormis. Nimetatud teade lisatakse lepingu juurde ning ei käsitleta
lepingu muutmisena.
8. Lõppsätted 8.1. Pooled juhinduvad lepingu täitmisel Eesti Vabariigis kehtivatest õigusaktidest, eelkõige
kohaldatakse lepingus reguleerimata küsimustes võlaõigusseaduses vastava lepinguliigi
kohta sätestatut.
8.2. Juhul kui lepingu mõni säte osutub vastuolus olevaks Eestis kehtivate õigusaktidega, ei mõjuta
see ülejäänud sätete kehtivust.
8.3. Täitja on teadlik, et leping on avaliku teabe seaduses sätestatud ulatuses avalik.
8.4. Käesoleva lepingu täitmisel tekkivad vaidlused ja lahkarvamused lahendavad pooled
läbirääkimiste teel. Kokkuleppe mittesaavutamisel lahendatakse vaidlused Harju
Maakohtus.
8.5. Leping on allkirjastatud digitaalselt.
9. Lisad 9.1. Käesoleva lepingu lahutamatuteks lisadeks on :
9.1.1. Lisa 1 „Isikuandmete töötlemise ülevaade“
9.1.2. Lisa 2 „Andmetöötlus leping“
Riigi Infosüsteemi Amet
(allkirjastatud digitaalselt)
Joonas Heiter
Clarified Security OÜ
(allkirjastatud digitaalselt)
Mehis Hakkaja
1 / 3
ANDMETÖÖTLUSLEPING
1. Üldsätted- eesmärk
1.1. Käesolev isikuandmete töötlemist puudutav leping (andmetöötlusleping või ATL) on
hankelepingu lisa, mis sõlmitakse vastutava töötleja (RIA) ja volitatud töötleja (täitja)
vahel, teostamaks lepingus nimetatud tegevusi andmesubjektide osas.
1.2. ATL eesmärk on kokku leppida vastutava ja volitatud töötleja õigustes ja kohustustes
isikuandmete töötlemisel, millest pooled koostöökokkuleppe (edaspidi leping) täitmisel
juhinduvad. Käesolev lisa kujutab endast isikuandmete töötlemist puudutavat
andmetöötluse lepingut vastavalt Euroopa Liidu isikuandmete kaitse üldmäärusele
(2016/679) (edaspidi üldmäärus või IKÜM).
1.3. Pooled kohustuvad järgima kõiki isikuandmete töötlemisalaseid nõudeid, andmete
turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi
õigusakte ja muid eeskirju.
1.4. Vastutav töötleja kinnitab ja vastutab vastutava töötlejana selle eest, et isikuandmete
töötlemine toimub kehtival õiguslikul alusel õiguspäraste eesmärkide saavutamiseks,
andmesubjektid on isikuandmete töötlemisest teadlikud ja/või sellega nõus ning vastutaval
töötlejal on õigus isikuandmeid volitatud töötlejale edastada. Lisas sätestatud tingimused
kehtivad juhul, kui volitatud töötleja töötleb vastutava töötleja nimel isikuandmeid
üldmääruse mõistes.
1.5. Volitatud töötleja kasutab teenuse osutamise käigus saadud isikuandmeid üksnes leppes
sätestatud eesmärkide täitmiseks. Andmesubjektide kategooriad ja isikuandmete liigid,
mida lepingu täitmisel töödeldakse, isikuandmete töötlemise kestus, iseloom ja eesmärgid
on välja toodud alljärgnevalt:
Töötlemise
kestus
Töötlemise
laad
Töötlemise
eesmärk
Töödeldavate
isikuandmete
kategooriad
Andmesubjektide
kategooriad
lepingu
lõppemiseni
elektrooniliselt
ja/või
paberkandjal
lepingu
täitmiseks
kontakt- ja
registreerimisandmed
koolitusel osalejad
lepingu
lõppemiseni
elektrooniliselt
ja/või
paberkandjal
lepingu
täitmiseks
osalejate tagasiside koolitusel
osalejate
subjektiivne
arvamus
Vajadusel täiendatakse/täpsustatakse tabelis toodud andmeid enne lepingu sõlmimist.
1.6. Vastutava töötleja antud juhised on välja toodud lepingus, sh selle juurde kuuluvates
dokumentides. Vajadusel võib vastutav töötleja anda isikuandmete töötlemiseks
täiendavaid dokumenteeritud juhiseid.
2. Isikuandmete töötlemine
2.1. Volitatud töötleja kohustub töötlema isikuandmeid vastavalt käesolevas lisas nimetatud
juhistele ja teistele asjakohastele õigusaktidele, juhenditele ja lepingule (sh vastutava
töötleja antud dokumenteeritud juhistele) ning ainult sellisel määral, mis on vajalik lepingu
täitmiseks. Käesoleva lisa esemeks olevaid isikuandmeid ei tohi töödelda väljaspool
Euroopa Liitu ega Euroopa Majanduspiirkonda, sh ei tohi nimetatud isikuandmeid
edastada kolmandale riigile või rahvusvahelisele organisatsioonile.
2 / 3
2.2. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid
konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud
eesmärgil. Samuti tagama, et isikuandmeid töötlevad ainult volitatud isikud, kes (sh teised
volitatud töötlejad, volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus
töödeldavatele isikuandmetele) järgivad konfidentsiaalsusnõuet. Vastav
konfidentsiaalsuskohustus jääb kehtima ka pärast leppe lõppemist.
2.3. Volitatud töötlejal on õigus kasutada teisi volitatud töötlejaid, volitatud töötleja poolt
pakutavate teenuste tagamiseks. Volitatud töötleja ei edasta isikuandmeid kolmandatele
isikutele, ilma vastutava töötleja eelneva nõusolekuta.
2.4. Volitatud töötleja vastutab kõigi teiste volitatud töötlejate tegevuse eest nagu enda tegevuse
eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks kirjalikud lepingud
vastavalt üldmääruse artikli 28 lõikele 4, mis on käesolevas lepingus sätestatuga vähemalt
samaväärsed.
2.5. Volitatud töötleja rakendab isikuandmete töötlemisel asjakohaseid tehnilisi ja
korralduslikke meetmeid sellisel viisil, et isikuandmete töötlemine vastaks üldmääruses
sätestatud nõuetele.
2.6. Volitatud töötleja aitab vastutaval töötlejal täita üldmäärusest tulenevaid kohustusi
(rakendada tehnilisi meetmeid, teavitada rikkumisest, teavitada järelevalveasutust) võttes
arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet.
2.7. Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste ja
korralduslike meetmete abil täita vastutava töötleja kohustusi, vastata üldmääruse
tähenduses kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas
edastades kõik andmesubjektidelt saadud andmete kontrollimise, parandamise ja
kustutamise, andmetöötluse keelamise ja muud taotlused vastutavale töötlejale
põhjendamatu viivituseta pärast seda, kui ta on nendest teada saanud.
2.8. Volitatud töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mida on vaja
üldmääruses kehtestatud volitatud töötleja kohustuste täitmise tõendamiseks ning mis
võimaldab vastutaval töötlejal või vastutava töötleja poolt valitud audiitoril teha auditeid,
sealhulgas kontrolle.
3. Töötlemise kestus
3.1. Andmete säilitamine:
Kestus Süsteem/kategooriad
lepingu lõppemiseni kontakt- ja registreerimisandmed
lepingu lõppemiseni võimalikud e-kirjad
lepingu lõppemiseni osalejate tagasiside
4. Rikkumisest teavitamine
4.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega seotud
rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma
põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema poolt kasutatav
teine volitatud töötleja saab teada isikuandmete töötlemisega seotud rikkumisest või on
alust kahelda, et selline rikkumine on aset leidnud.
4.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada
saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava
asjakohase informatsiooni. Juhul, kui kõiki asjaolusid ei ole võimalik selleks ajaks välja
3 / 3
selgitada, esitab volitatud töötleja vastutavale töötlejale esialgsed andmed ning kogu
täiendava info esimesel võimalusel.
4.3. Volitatud töötleja teeb vastutava töötlejaga koostööd selleks, et isikuandmetega seotud
rikkumist kõrvaldada ja kaasab vastutava töötleja intsidendi haldamise protsessi. Volitatud
töötleja peab tegema kõik võimaliku, et edasist rikkumist ära hoida ning kahju vähendada.
4.4. Vastutav töötleja vastutab järelevalveasutuse teavitamise eest, kui pole kokkulepitud
teisiti. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud töötlejat
puudutavates küsimustes või toimingutes järelevalveasutusele vastamisel.
5. Vastutus
5.1. Vastutav töötleja vastutab, et volitatud töötlejale lepingu täitmise käigus edastatud
isikuandmed on õiged ja, et tal on õiguslik alus neid isikuandmeid töödelda, k.a kolmandale
isikule edastada.
5.2. Volitatud töötleja ei vastuta kahju eest, mis on tekkinud talle vastutava töötleja süül, ilma
õigusliku aluseta edastatud andmete töötlemise tõttu.
5.3. Volitatud töötleja vastutab kahju eest, mida ta on tekitanud vastutavale töötlejale,
andmesubjektidele või muudele kolmandatele isikutele isikuandmete töötlemise tagajärjel,
mis on tekitatud käesoleva lisa nõudeid rikkudes, mh kõiki selles mainitud õigusnorme ja
dokumenteeritud juhiseid, rikkudes.
6. Muud sätted / erisätted
6.1. Volitatud töötleja kohustub lepingu lõppemisel tagastama vastutavale töötlejale kõik
andmesubjektide isikuandmed või kustutama või hävitama isikuandmed ja nende koopiad
vastavalt vastutava töötleja antud juhistele. Kui pole antud teistsuguseid juhiseid, siis tuleb
isikuandmed tagastada või hävitada või kustutada mitte hiljem kui 10 tööpäeva jooksul
peale lepingu lõppemist, välja arvatud juhul, kui Euroopa Liidu või selle liikmesriigi õiguse
kohaselt nõutakse andmete säilitamist.
6.2. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad
mõjutada tema võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava töötleja
dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates täiendustes
ja muudatustes kokku kirjalikult.
6.3. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa
kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast käesoleva
lisa kehtivuse lõppemist ning nendele rakendatakse lepingus sätestatut, kui käesolevas lisas
ei ole kokku lepitud teisiti.
Tellija Täitja
Vastutav töötleja Volitatud töötleja
(allkirjastatud digitaalselt) (allkirjastatud digitaalselt)
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Lepingu lisa | 18.12.2024 | 1 | 1.1-9/24/8-2 | Leping | ria |