Andmetöötluse leping

1

Andmetöötluse leping

1. Lepingupooled

Kaitseministeerium, registrikood 70004502, asukohaga Sakala 1, Tallinn 15094 (edaspidi

vastutav töötleja), mida esindab volituse alusel strateegilise kommunikatsiooni osakonna

juhataja Thomas Mell,

ja

aktsiaselts Emor, registrikood 10076576, asukohaga Maakri 21, Tallinn 10145 (edaspidi

volitatud töötleja), mida esindab juhatuse liige Karin Niinas,

edaspidi nimetatud ka eraldi pool ja koos pooled,

sõlmisid heas usus käesoleva lepingu, edaspidi nimetatud leping, alljärgnevas

2. Lepingu eesmärk ja objekt

2.1 Käesoleva lepingu eesmärk on kokku leppida volitatud töötleja õigustes ja kohustuses

isikuandmete töötlemisel, millest pooled juhinduvad riigihanke „Avaliku arvamuse

monitooringuteenus 2025–2028“ (viitenumber 285501) lepingu täitmisel seoses uuringutega

„Elanikkonna avaliku arvamuse küsitlused 2025–2028“, „Avaliku arvamuse küsitlused

riigipiiri äärsetes maakondades 2025–2028“, fookusgrupi intervjuud (sh asendusena süva- ja

ekspertintervjuud) ja ettenägematud lisatööd (lisauuringud) (edaspidi teenus). Lepingut

rakendatakse, kui volitatud töötleja töötleb vastutava töötleja nimel vastavalt lepingule

andmesubjektide isikuandmeid. Käesolev leping kujutab endast isikuandmete töötlemist

puudutavat andmetöötluse lepingut vastavalt Euroopa Liidu isikuandmete kaitse üldmäärusele

(2016/679) (edaspidi üldmäärus).

2.2 Teenuse osutamisel töödeldavad isikuandmed, andmesubjektide kategooriad, isikuandmete

liigid, isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava töötleja poolt antud

juhised on välja toodud riigihankehanke „Avaliku arvamuse monitooringuteenus 2025–2028“

(viitenumber 285501) alusdokumentides, käesolevas lepingus ja selle lisades.

2.3 Pooled kohustuvad järgima kõiki kohalduvaid andmekaitsealaseid õigusakte seoses mis

tahes isikuandmetega, mida on lepingu alusel jagatud.

2.4 Vastuolude korral riigihanke raamlepingu ja käesoleva lepingu sätete vahel tuleb juhinduda

käesoleva lepingu sätetest.

3. Definitsioonid

3.1 Lähtuvalt käesoleva lepingu eesmärkidest kasutatakse käesolevas lepingus üldmääruse

mõisteid, sh järgmiseid mõisteid:

3.1.1 Asjakohased tehnilised, organisatsioonilised ja korralduslikud meetmed tähendavad

selliseid protsesse ja protseduure, mis võttes arvesse teaduse ja tehnoloogia viimast arengut

ning rakendamise maksumust, arvestades isikuandmete töötlemise üksikasju ja konteksti,

samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, tagavad

turvalisuse taseme vastavalt isikuandmete võimalikust volitusteta või ebaseaduslikust

töötlemisest, juhuslikust kaotsiminekust, hävitamisest või kahjustamisest tulenevale kahju

suurusele.

3.1.2 Andmekaitseseadused on üldmäärus ja Eesti Vabariigis kehtivad muud isikuandmete

töötlemist reguleerivad õigusaktid ning nende rakendusaktid või täiendavad aktid koos nende

paranduste, muudatuste või asendustega, mis tahes täitmisele kuuluvad juhendid ja

tegevusjuhised, mis on väljastatud isikuandmete kaitse eest vastutava mis tahes kohaliku või

EL-i reguleeriva asutuse poolt.

2

3.1.3 Isikuandmete töötlemine – isikuandmete või nende kogumitega tehtav automatiseeritud

või automatiseerimata toiming või toimingute kogum, nagu näiteks kogumine,

dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine,

päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel

kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine,

kustutamine või hävitamine.

3.1.4 Isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta.

Tuvastatav füüsiline isik on isik, keda on võimalik kaudselt või otseselt tuvastada, eelkõige

sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator

või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse,

majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

3.1.5 Isikuandmetega seotud rikkumine – turvanõuete rikkumine, mis põhjustab

edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku

hävimise, kaotsimineku, muutmise või loata avalikustamise või neile juurepääsu;

3.1.6 Andmesubjekt – füüsiline isik ehk inimene, kelle andmeid töödeldakse. Käesoleva

lepingu mõistes on andmesubjektideks Eesti Vabariigi alalised elanikud, kelle isikuandmeid

kasutatakse teenuse osutamisel, sh uuringute ettevalmistamisel (nt valimi moodustamine).

4. Andmekaitse ja isikuandmete töötlemine

4.1 Volitatud töötleja kohustused:

4.1.1 Volitatud töötleja kohustub töötlema isikuandmeid vastavalt andmekaitseseadustele ja

lepingule ning ainult sellisel määral, mis on vajalik teenuse osutamiseks. Kui see on lepingu

täitmisega seonduvalt vajalik, võib volitatud töötleja isikuandmeid töödelda ka järgmistel

eesmärkidel: (i) asjakohaste IT-süsteemide hooldamine ja kasutamine; (ii) kvaliteedi-, riski- ja

kliendihaldusega seotud tegevused.

4.1.2 Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste

alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele

organisatsioonile, välja arvatud juhul, kui ta on kohustatud tegema seda volitatud töötleja suhtes

kohalduva õigusega. Sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne

isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi

tõttu kõnealuse õigusega keelatud.

4.1.3 Volitatud töötleja teavitab andmesubjekte nende isikuandmete töötlemistingimustest.

4.1.4 Volitatud töötleja vastutab vastutavale töötlejale edastatud isikuandmete õigsuse eest.

4.1.5 Volitatud töötleja kohustub võtma mõistliku aja jooksul ühendust vastutava töötlejaga

selgituste või täiendavate juhiste saamiseks, kui volitatud töötleja ei ole vastutava töötleja

juhistes kindel. Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest

juhendi ja Euroopa Liidu või pädeva jurisdiktsiooni andmekaitseseaduste või määruste vahel ja

sellisel juhul võib volitatud töötleja koheselt keelduda vastutava töötleja juhendit täitmast.

4.1.6 Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid

(edaspidi teine volitatud töötleja) üksnes vastutava töötleja kirjalikul eelneval nõusolekul. Ilma

vastutava töötleja eelneva kirjaliku nõusolekuta võib volitatud töötleja kasutada isikuandmete

töötlemiseks teisi volitatud töötlejaid üksnes juhul, kui see on vajalik volitatud töötleja IT-

teenuse osutajatele info- ja sidesüsteemide ekspluatatsiooniks ning hoolduse korraldamiseks ja

teostamiseks. Volitatud töötleja vastutab kõigi teiste volitatud töötlejate tegevuse eest samuti

nagu enda tegevuse eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks

kirjalikud lepingud vastavalt üldmääruse artiklile 28 lõikele 4, mis on lepingus sätestatuga

samaväärsed (ja mitte vähem ranged). Kui volitatud töötleja soovib lepingu kestel kaasata

isikuandmete töötlemisse teisi volitatud töötlejaid, teavitab volitatud töötleja sellest vastutavat

töötlejat eelnevalt kirjalikult. Pooled lepivad kokku, et kui teise volitatud töötleja kaasamine on

volitatud töötleja tegevuse toimimise jaoks oluline ning vastutaval töötlejal pole etteheiteid

3

teise volitatud töötleja usaldusväärsusele, nõustub vastutav töötleja teise volitatud töötleja

kaasamisega isikuandmete töötlemisse. Vastutava töötleja kontaktisik kinnitab nõustumist teise

volitatud töötleja kaasamiseks kirjalikult hiljemalt 7 tööpäeva pärast teavituse saamist. Kui

vastutav töötleja on andnud volitatud töötlejale loa kasutada käesolevast lepingust tulenevate

kohustuste täitmiseks teisi volitatud töötlejaid, on käesolevast lepingust tulenevate küsimuste

vastamisel kontaktisikuks vastutavale töötlejale üksnes volitatud töötleja ning volitatud töötleja

tagab selle, et kõnealune teine volitatud töötleja täidab käesoleva lepingu nõudeid ja on sellega

seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja võib igal ajahetkel võtta tagasi

volitatud töötlejale antud loa kasutada teisi volitatud töötlejaid. Sel juhul edastab teine volitatud

töötleja kogu enda käsutuses oleva teenusega seotud andmed (sh isikuandmed) digitaalselt

volitatud töötlejale ja hävitab enda kasutuses olevad teenusega seotud andmed (sh isikuandmed)

esimesel võimalusel, hiljemalt 2 päeva pärast teenuse osutamise lõpetamist.

4.1.7 Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud

isikuandmeid rangelt konfidentsiaalsena ning mitte kasutama ega avaldama isikuandmeid muul

kui lepingus sätestatud eesmärgil nii lepingu täitmise ajal kui ka pärast lepingu lõppemist.

Samuti kohustub volitatud töötleja tagama, et isikuandmeid töötlema volitatud isikud (sh teised

volitatud töötlejad, volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus

töödeldavatele isikuandmetele) järgivad konfidentsiaalsusnõuet (st nendega peab olema

sõlmitud konfidentsiaalsusleping ning nad kohustuvad säilitama mis tahes isikuandmete

konfidentsiaalsuse ka pärast käesoleva lepingu või töösuhte lõppemist).

4.1.8 Volitatud töötleja kasutab andmesubjektide isikuandmeid üksnes ulatuses, milles neid on

teenuse osutamiseks tarvis, misjärel kuuluvad isikuandmed hävitamisele hiljemalt 1 kuu pärast

uuringu tulemuste (nt uuringu aruande) üleandmist. Näiteks, andmekogumise käigus vajalikke

andmeid (kontaktandmed ja nimi) ei liideta vastamise andmetega.

4.1.9 Volitatud töötleja võtab kasutusele kõik üldmääruse artiklis 32 nõutud meetmed

isikuandmete töötlemisel ning rakendama asjakohaseid tehnilisi, organisatsioonilisi ja

korralduslikke meetmeid sellisel viisil, et töötlemine vastaks üldmääruses toodud nõuetele ja

tagatakse andmesubjektide õiguste kaitse.

4.1.10 Volitatud töötleja kohustub rakendama asjakohaseid tehnilisi, organisatsioonilisi ja

korralduslikke turvameetmeid isikuandmete kaitseks juhusliku või tahtliku volitamata

muutmise, juhusliku hävitamise, tahtliku hävitamise, kaotsimineku, loata avalikustamise, neile

juurdepääsu saamise jms eest, sealhulgas

• vältima kõrvaliste isikute ligipääsu andmete töötlemiseks kasutatavatele seadmetele;

• ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist, samuti

andmekandjate omavolilist teisaldamist;

• ära hoidma andmesubjektide isikuandmete omavolilist salvestamist, muutmist ja

kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt

ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja

millistele andmetele juurdepääs saadi;

• tagama, et igal andmesubjektide isikuandmete kasutajal (volitatud töötleja töötajad)

oleks juurdepääs ainult temale töötlemiseks lubatud andmetele ja temale lubatud

andmetöötluseks;

• tagama andmete olemasolu andmete edastamise kohta: millal, kellele ja millised

isikuandmed edastati, samuti selliste andmete muutusteta säilimise;

• tagama, et andmete edastamisel andmesidevahenditega ja andmekandjate

transportimisel ei toimuks andmete omavolilist lugemist, kopeerimist, muutmist või

kustutamist.

4.1.11 Volitatud töötleja aitab vastutaval töötleja asjakohaste tehniliste ja korralduslike

meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses kõigile

andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades kõik

4

andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse

keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.

4.1.12 Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud

kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat

teavet.

4.1.13 Vastutav töötleja võib igal ajal viia läbi auditeid, taotledes volitatud töötlejalt kirjalikult

asjakohast teavet, eesmärgiga kontrollida volitatud töötleja isikuandmete töötlemise

õiguspärasust ja käesolevast lepingust tulenevate kohustuste täitmist. Vastutava töötleja

auditeid võib läbi viia kas vastutav töötleja või volitatud töötlejaga eelnevalt kokku lepitud

kolmas isik, keda vastutav töötleja on selleks volitanud. Kui vastutav töötleja ja volitatud

töötleja ei jõua kokkuleppele kolmanda isiku osas, kes peaks auditi läbi viima, võib auditi läbi

viia ainult vastutav töötleja. Teabenõudes volitatud töötlejale peab täpsustama, millist teavet,

andmeid ja dokumente volitatud töötlejalt auditi osana nõutakse.

Pooled on kokku leppinud, et:

1) volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja dokumente,

mida on mõistlikult vaja selleks, et tõendada volitatud töötleja lepingust tulenevate kohustuste

täitmist, mis võib hõlmata olemasolevaid kolmandate osapoolte poolt teostatud

turvalisusauditite aruandeid;

2) volitatud töötleja ei avalda mis tahes teavet, andmeid või muid dokumente, mille

avaldamisega rikuks volitatud töötleja asjakohastest õigusaktidest või kutse-eeskirjadest

tulenevat konfidentsiaalsuskohustust;

3) volitatud töötleja ei avalda mis tahes teavet, andmeid või muid dokumente, mis on seotud

käimasoleva, võimaliku või ähvardava kohtuasja või muu vastutava ja volitatud töötleja

vahelise vaidluse lahendamisega. Vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi

raames saadud teavet konfidentsiaalsena.

Auditit võib teostada üldjuhul üks kord kalendriaasta jooksul ning vastav õigus lõpeb igal juhul

2 kuu jooksul pärast seda, kui volitatud töötleja lõpetab vastutava töötleja nimel isikuandmete

töötlemise.

4.1.14 Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale,

kuna suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat esindada

ega tema nimel tegutseda.

5. Töötlemine väljaspool Euroopa Liitu / Euroopa Majanduspiirkonda

5.1 Vastutav töötleja lubab volitatud töötlejal ja teistel volitatud töötlejatel edastada

isikuandmeid riikidesse väljaspool Euroopa Majanduspiirkonda, aga ainult siis, kui neil on

selleks seaduslik alus, sh (i) vastuvõtjale, kes asub riigis, kus on tagatud piisav isikuandmete

kaitse tase, või (ii) lepingu alusel, mis vastab Euroopa Liidu nõutele isikuandmete edastamiseks

väljaspool Euroopa Liitu asuvatele isikuandmete töötlejatele.

5.2 Pooled lepivad eelnevalt kirjalikult kokku igas väljaspool Euroopa Liitu / Euroopa

Majanduspiirkonda toimuvas isikuandmete edastamises või töötlemises.

6. Isikuandmetega seotud rikkumisest teavitamine

6.1 Volitatud töötleja teavitab vastutavat töötlejat kõigist isikuandmetega seotud rikkumistest

või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma põhjendamatu viivituseta

alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine volitatud töötleja saab teada

isikuandmetega seotud rikkumisest või on alust kahelda, et selline rikkumine on aset leidnud.

6.2 Volitatud töötleja peab ilma põhjendamatu viivituseta, kuid mitte hiljem kui nelikümmend

kaheksa (48) tundi pärast rikkumisest teada saamist, edastama vastutavale töötlejale kirjalikult

kogu isikuandmetega seotud rikkumist puudutava asjakohase informatsiooni. Määral, mil

5

volitatud töötlejale on vastav informatsioon kättesaadav, peab teade kirjeldama vähemalt

järgmist:

6.2.1 toimunud isikuandmetega seotud rikkumise laad, eeldatav kuupäev ja kellaaeg;

6.2.2 volitatud töötleja andmekaitseametniku või teise asjakohase kontaktisiku nimi ja

kontaktandmed, kellelt saab täiendavat informatsiooni;

6.2.3 asjaomaste andmesubjektide kategooriaid ja ligikaudne arv, isikuandmete asjaomaste

kirjete liik ja ligikaudne arv;

6.2.4 isikuandmetega seotud rikkumise tõenäolised tagajärjed ja potentsiaalsed ohud;

6.2.5 meetmed, mida volitatud töötleja rikkumise lahendamiseks on tarvitusele võtnud või

võtab, et vältida isikuandmetega seotud rikkumisi tulevikus, ja vajaduse korral ka meetmeid,

mille abil leevendada rikkumise võimalikke negatiivseid mõjusid;

6.2.6 muu teave, mis oleks mõistlikult nõutav, et vastutav töötleja saaks täita

andmekaitseseadusi, sealhulgas järelevalveasutustega seotud teavitamise ja avaldamise

kohustusi.

6.3 Volitatud töötleja edastab rikkumisega seotud teavet üksnes vastutavale töötlejale ega

kommenteeri seda meedias.

6.4 Volitatud töötleja peab vastutava töötleja jaoks viivitamatult dokumenteerima uurimise

tulemused ja tarvitusele võetud meetmed.

6.5 Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja

täita tegevusplaani isikuandmetega seotud rikkumiste kõrvaldamiseks.

6.6 Vastutav töötleja vastutab järelevalveasutuse isikuandmetega seotud rikkumisest

teavitamise eest.

7. Muud sätted

7.1 Volitatud töötleja kohustub lepingu lõppemisel tagastama vastutavale töötlejale kõik

isikuandmed või kustutama andmed ja nende koopiad vastavalt vastutava töötleja antud

juhistele, juhul kui kehtivad õigusaktid ei nõua isikuandmete säilitamist või kui volitatud

töötlejal ei ole õiguslikku alust isikuandmete töötlemiseks iseseisva vastutava töötlejana.

7.2 Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku

poolt allkirjastatud tõendi kinnitades, et lepingu punktis 7.1 nimetatud toimingud on teostatud

tema ja kõigi tema poolt kasutatud teiste volitatud töötlejate poolt.

7.3 Volitatud töötleja vastutab kahju eest, mida volitatud töötleja on tekitanud vastutavale

töötlejale, andmesubjektidele või muudele kolmandatele isikutele Käesoleva lepingu alusel üle

antud isikuandmete töötlemise tagajärjel, mida on tehtud käesolevat lepingut või õigusnorme

rikkudes ning eelkõige isikuandmete volitamata isikutele avaldamise tagajärjel. Kui

kohaldatavaid õigusnorme või lepingut rikutakse volitatud töötlejale omistatavatel põhjustel ja

selle tagajärjel on vastutav töötleja kohustatud maksma hüvitist või trahvi, on volitatud töötleja

kohustatud hüvitama vastutavale töötlejale sellega seoses kantud kulud. Kui volitatud töötleja

ei täida lepingut või täidab seda mittenõuetekohaselt, on volitatud töötleja kohustatud maksma

leppetrahvi 1000 eurot iga rikkumise eest, kuid kokku mitte rohkem kui vastava uuringu,

milleks nimetatud andmed olid mõeldud, maksumus võlateate alusel, mis tuleb tasuda 14 päeva

jooksul pärast seda, kui vastutav töötleja on vastava nõude väljastanud. Lepingu

mittenõuetekohane täitmine tähendab eelkõige olukorda, mil isikuandmete töötlemise

põhimõtete täitmist kontrolliv järelevalveasutus leiab, et volitatud töötleja ei ole talle üle antud

andmeid töödelnud kooskõlas nende põhimõtetega. Vastutav töötleja jätab endale õiguse nõuda

lisaks leppetrahvile lepingu rikkumisega tekitatud kahju hüvitamist.

7.4 Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad

mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lepingust ja

vastutava töötleja kirjalikest juhistest. Pooled lepivad kõigis käesolevat lepingut puudutavates

täiendustes ja muudatustes kokku kirjalikult.

6

8. Lõppsätted

8.1 Tellija kontaktisik lepingu ja selle täitmisega seotud küsimustes on Rika Margat,

strateegilise kommunikatsiooni osakonna strateegilise kommunikatsiooni planeerija,

[email protected], telefon 717 0027.

8.2 Täitja kontaktisik on Jaanika Hämmal, juhtekspert, [email protected], telefon

5666 8595.

8.3 Leping jõustub mõlema poole allkirjastamisest.

8.4 Leping kehtib kuni kehtib riigihanke „Avaliku arvamuse monitooringuteenus 2025–2028“

(viitenumber 285501) alusel sõlmitud leping ning pooltel on omavahelisi kohustusi, mis on

seotud isikuandmete töötlemisega.

8.5 Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lepingu

kehtivuse lõppemisest, jäävad pärast käesoleva lepingu kehtivuse lõppemist jõusse.

9. Lepingupoolte andmed

Kaitseministeerium aktsiaselts Emor

Sakala 1, Tallinn 15094 Maakri 21, Tallinn 10145

Reg nr 70004502 Reg nr 10076576

(digitaalselt allkirjastatud) (digitaalselt allkirjastatud)

Thomas Mell Karin Niinas

Strateegilise kommunikatsiooni Juhatuse liige

osakonna juhataja