Leping

1

Tugiteenuste osutamise kokkulepe (personali- ja palgaarvestus, riigihangete

korraldamine, finantsarvestus, dokumendihaldus- ja arhiiviteenus) Lisa 3

JUSTIITSMINISTEERIUMI DOKUMENDIHALDUS- JA ARHIIVITEENUSE

ANDMETÖÖTLUSLEPING

Käesolev lisa (edaspidi: lisa) on lahutamatu osa sõlmitud tugiteenuste osutamise kokkuleppest

(edaspidi: leping), mis sõlmitakse Justiitsministeeriumi (edaspidi: vastutav töötleja) ja Riigi

Tugiteenuste Keskuse (edaspidi: volitatud töötleja) vahel, teostamaks kokkuleppes nimetatud

tegevustega seotud andmesubjektide (edaspidi: andmesubjektid) isikuandmete töötlemist.

1. Lepingu eesmärk

1.1. Käesoleva lisa eesmärk on kokku leppida volitatud töötleja õigustes ja kohustustes

isikuandmete töötlemisel, millest pooled lepingu täitmisel juhinduvad. Käesolev lisa hõlmab

endas isikuandmete töötlemist puudutavat andmetöötluse lepingut vastavalt Euroopa Liidu

isikuandmete kaitse üldmäärusele (2016/679) (edaspidi: üldmäärus).

1.2. Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse

(edaspidi: isikuandmed), isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava

töötleja antud juhised on välja toodud lepingus ja selle juurde kuuluvates lisades 2-4. Vajadusel

võib vastutav töötleja anda isikuandmete töötlemiseks täiendavaid dokumenteeritud juhiseid.

1.3. Pooled kohustuvad järgima andmekaitsealaseid õigusakte, sh juhendeid ja tegevusjuhiseid,

mis on väljastatud isikuandmete kaitse eest vastutava kohaliku ja/või Euroopa Liidu asutuse

poolt ning seoses kõikide isikuandmetega, mida lepingu alusel töödeldakse.

2. Mõisted

2.1. Käesolevas lisas olevate mõistete sisustamisel lähtutakse üldmääruses sätestatust,

sealhulgas:

2.1.1. „Isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku

(„andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt

tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave,

võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise,

vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2.1.2. „Isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav

automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine,

dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine,

päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel

kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine,

kustutamine või hävitamine;

2.1.3. „Isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab

edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku

hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

3. Isikuandmete töötlemine 3.1. Volitatud töötleja kohustub töötlema isikuandmeid vastavalt käesolevas lisas nimetatud ja

teistele asjakohastele õigusaktidele, juhenditele ja lepingutele (sh vastutava töötleja antud

dokumenteeritud juhistele) ning ainult sellisel määral, mis on vajalik Lepingu täitmiseks. Kui

see on Lepingu täitmisega seonduvalt vajalik, võib volitatud töötleja andmesubjektide

isikuandmeid töödelda ka järgmistel eesmärkidel:

2

3.1.1. asjakohaste info- ja sidesüsteemide hooldamine, tagades sellise töötlemise

vastavuse käesolevas lisas nimetatud õigusaktidele ja juhenditele.

3.2. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja

jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust võtma.

Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest dokumenteeritud

juhiste ja käesolevas lisas nimetatud õigusaktide või juhendite vahel.

3.3. Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid

(edaspidi: teine volitatud töötleja) üksnes vastutava töötleja eelneval nõusolekul, mis on antud

vähemalt kirjalikku taasesitamist võimaldavas vormis. Ilma vastutava töötleja kirjalikku

taasesitamist võimaldava nõusolekuta võib volitatud töötleja kasutada isikuandmete

töötlemiseks teisi volitatud töötlejaid üksnes juhul, kui see on vajalik volitatud töötleja info- ja

sidesüsteemide hoolduseks, kui hoolduse läbiviimine ilma isikuandmeid töötlemata pole

võimalik.

3.3.1. Volitatud töötleja vastutab kõigi teiste volitatud töötlejate tegevuse eest nagu enda

tegevuse eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks kirjalikud

lepingud vastavalt üldmääruse artikli 28 lõikele 4, mis on käesolevas lepingus

sätestatuga vähemalt samaväärsed.

3.3.2. Kui vastutav töötleja on andnud volitatud töötlejale loa kasutada lepingust

tulenevate kohustuste täitmiseks teisi volitatud töötlejaid, on lepingust tulenevatele

küsimustele vastamisel kontaktisikuks vastutavale töötlejale üksnes volitatud töötleja

ning volitatud töötleja tagab selle, et kõnealune teine volitatud töötleja täidab lepingu

nõudeid ja on sellega seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja

võib igal ajahetkel võtta tagasi volitatud töötlejale antud loa kasutada teisi volitatud

töötlejaid.

3.4. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid

konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud eesmärgil.

Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised volitatud töötlejad,

volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus töödeldavatele

isikuandmetele) järgivad konfidentsiaalsusnõuet.

3.5. Volitatud töötleja kohustub rakendama asjakohaseid turvalisuse tagamise meetmeid, muu

hulgas tehnilisi ja korralduslikke, viisil, et isikuandmete töötlemine vastaks üldmääruse artikli

32 nõuetele, sealhulgas:

3.5.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele

andmetöötlusseadmetele;

3.5.2. ära hoidma andmekandjate omavolilist teisaldamist;

3.5.3. tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid

isikuandmeid töödeldi (sh kui andmeid töödeldi omavoliliselt vms).

3.6. Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste ja

korralduslike meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses

kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades kõik

andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse

keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.

3.7. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud

kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat

teavet.

3.8. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku

taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud töötleja

käesolevast lisast tulenevate kohustuste täitmist. Pooled on kokku leppinud, et:

3

3.8.1. vastutava töötleja auditeid võib läbi viia kas vastutav töötleja ja/või kolmas isik,

keda vastutav töötleja on selleks volitanud;

3.8.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja

dokumente, mida on vaja selleks, et tõendada käesoleva lisa nõuetekohast täitmist;

3.8.3. vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud teavet

konfidentsiaalsena.

3.9. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale,

kuna suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat esindada

ega tema nimel tegutseda. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud

töötlejat puudutavates küsimustes või toimingutes järelevalveasutusele vastamisel.

4. Isikuandmete töötlemine väljaspool Euroopa Liitu ja Euroopa Majanduspiirkonda

4.1. Käesoleva lepingu esemeks olevaid isikuandmeid ei tohi töödelda väljaspool Euroopa Liitu

ega Euroopa Majanduspiirkonda, sh ei tohi nimetatud isikuandmeid edastada kolmandale riigile

või rahvusvahelisele organisatsioonile.

4.2. Juhul, kui käesoleva lepingu esemeks olevate isikuandmete töötlemine väljaspool Euroopa

Liitu ja Euroopa Majanduspiirkonda, sh nende edastamine kolmandale riigile või

rahvusvahelisele organisatsioonile, on vajalik lepingu täitmiseks, lepivad pooled sellises

andmetöötluses eelevalt kirjalikult kokku. Kirjalikku kokkulepet ei ole vaja sõlmida, kui

volitatud töötleja on kohustatud isikuandmeid kolmandale riigile või rahvusvahelisele

organisatsioonile edastama volitatud töötleja suhtes kohaldatava Euroopa Liidu või liikmesriigi

õiguse alusel. Sellisel juhul teatab volitatud töötleja sellise õigusliku aluse olemasolust enne

isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi

tõttu kõnealuse õigusega keelatud.

5. Isikuandmete töötlemisega seotud rikkumistest teavitamine

5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega seotud

rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma

põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine

volitatud töötleja saab teada isikuandmete töötlemisega seotud rikkumisest või on alust kahelda,

et selline rikkumine on aset leidnud.

5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada

saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava

asjakohase informatsiooni, täites käesolevas lisas toodud isikuandmete töötlemise rikkumisest

teavitamise vormi (edaspidi: vorm) ja lisades juurde asjakohase muu dokumentatsiooni. Juhul,

kui kõiki asjaolusid ei ole võimalik selleks ajaks välja selgitada, esitab volitatud töötleja

vastutavale töötlejale vormi esialgsete andmetega. Täiendatud vorm lõpliku informatsiooniga

rikkumise asjaolude kohta tuleb esitada vastutavale töötlejale esimesel võimalusel pärast

esialgsete andmetega vormi esitamist.

5.3. Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja

täita tegevusplaan isikuandmetega seotud rikkumiste kõrvaldamiseks. Volitatud töötleja peab

tegema kõik võimaliku, et edasist rikkumist ära hoida ning kahju vähendada.

5.4. Vastutav töötleja vastutab järelevalveasutuse teavitamise eest.

6. Vastutus

6.1. Lisaks Lepingus sätestatud vastutusele:

6.1.1. vastutab volitatud töötleja kahju eest, mida ta on tekitanud vastutavale töötlejale,

andmesubjektidele või muudele kolmandatele isikutele isikuandmete töötlemise tagajärjel, mis

on tekitatud käesoleva lisa nõudeid, mh kõiki selles mainitud õigusnorme ja dokumenteeritud

juhiseid, rikkudes.

4

6.1.2. kohustub volitatud töötleja, kui ta on isikuandmete töötlemise nõudeid rikkunud ja selle

tagajärjel on vastutav töötleja kohustatud maksma hüvitist või trahvi, hüvitama vastutavale

töötlejale sellega seoses kantud kulud.

6.1.3. kui volitatud töötleja rikub oluliselt käesolevas lisas sätestatud isikuandmete töötlemise

nõudeid, muuhulgas isikuandmete kaitse üldmääruse või muude kohaldatavate õigusnormide

sätteid isikuandmete kaitse valdkonnas, on vastutaval töötlejal õigus leping ette teatamata üles

öelda. Oluline Lepingu rikkumine on eelkõige, kui:

6.1.3.1 isikuandmete töötlemise põhimõtete täitmist kontrolliva järelevalveasutuse või

kohtu menetluses selgub, et volitatud töötleja või teine volitatud töötleja ei täida

isikuandmete töötlemise põhimõtteid;

6.1.3.2 vastutav töötleja leiab käesoleva lisa raames läbiviidud auditis, et volitatud

töötleja ei täida isikuandmete töötlemise põhimõtteid, mis tulenevad käesolevast lisast

või kohaldatavatest õigusnormidest.

7. Muud sätted

7.1. Volitatud töötleja kohustub Lepingu lõppemisel tagastama vastutava töötlejale kõik

andmesubjektide isikuandmed või kustutama või hävitama isikuandmed ja nende koopiad

vastavalt vastutava töötleja antud juhistele.

7.2. Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku

kirjaliku kinnituse, et tema ja kõik tema kasutatud teised volitatud töötlejad on teinud eelnevas

punktis nimetatud toimingud.

7.3. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad

mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava

töötleja dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates

täiendustes ja muudatustes kokku kirjalikult.

7.4. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa

kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast lisa kehtivuse

lõppemist kui Pooled ei ole kirjalikult kokku leppinud teisiti.

Vastutav töötleja Volitatud töötleja

/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/

5

Lisa

ISIKUANDMETE TÖÖTLEMISE RIKKUMISEST TEAVITAMISE VORM

1. Kontaktandmed

Isik, kellelt saab rikkumise asjaolude kohta täiendavat informatsiooni ja tema kontaktandmed:

___________________________________________________________________________

______

2. Teavituse tüüp (märgi kast, üks või mitu valikut)

☐ Lõplik teavitus

☐ Varasema teavituse täiendamine

3. Aeg (sisesta kuupäev ja märgi kast)

Millal sain rikkumisest teada

(kuupäev/kuu/aasta):_________________________________________

Rikkumine toimus pikemal perioodil (algus- ja

lõppkuupäev/kuu/aasta):_________________________

☐ Toimus ühekordne rikkumine

☐ Rikkumine jätkuvalt toimub

4. Rikkumise andmed

Kirjelda, mis juhtus ning kuidas rikkumise avastasite:

___________________________________________________________________________

______

___________________________________________________________________________

______

Rikkumise asjaolud (märgi kast, üks või mitu valikut)

☐ Seade isikuandmetega on kaotatud või varastatud

☐ Paberdokument on varastatud, kaotatud või jäetud mitteturvalisse keskkonda

☐ Isikuandmete loata avaldamine

☐ Isikuandmeid nägi vale isik

☐ Isikuandmed edastati valele isikule

☐ Infosüsteemidesse loata või ebaseaduslik sisenemine (nt häkkimine, pahavara, lunavara või

õngitsusrünne)

☐ Isikuandmed olid kättesaadavad seoses andmekandjate ebapiisava hävitamisega

☐ Muud (palun täpsusta):

___________________________________________________________________________

______

___________________________________________________________________________

______

Miks rikkumine juhtus (märgi kast, üks või mitu valikut)

☐ Organisatsiooni töökorralduse reeglite, sisekorra rikkumine

☐ Töötajate vähene teadlikkus (nt puudulikud sisekorrad ja töökorralduse reeglid, töötajate

mittepiisav koolitus)

☐ Inimlik viga

☐ Tehniline viga

6

Muu (nimetage siin ka koostööpartner(id) nt volitatud töötleja, kui rikkumine toimus tema

juures):_____________________________________________________________________

______

___________________________________________________________________________

______

___________________________________________________________________________

______

☐ Asjaolud pole veel teada

5. Rikkumisest puudutatud isikuandmed

Rikkumisest puudutatud kaustade, dokumentide, failide, e-kirjade, andmebaaside arv, mis

sisaldavad isikuandmeid. (nt mitu dokumenti edastati valele inimesele; märgi kast, valides

vahemik või sisesta täpne arv või märgi „pole teada“)

☐ 1-9

☐ 10-49

☐ 50-99

☐ 100-499

☐ 500-999

☐ 1000-4999

☐ 5000 – 9999

☐ 10000 ja rohkem

Kui on teada, sisesta täpne arv:______

☐ Pole veel teada

Tee järgnevalt valik, millised isikuandmeid rikkumine puudutab (märgi kast, üks või mitu

valikut)

☐ Ees-, perenimi

☐ Sünniaeg

☐ Isikukood

☐ E-post

☐ Telefoni nr

☐ Postiandmed või elukoha aadress

☐ Kasutajanimed, salasõnad

☐ Maksevahendite andmed (andmed, mis võimaldavad võtta üle isiku maksevahendi)

☐ Majandus või finantsandmed (tehingu ajalugu, majanduslikku seisundit näitavad andmed,

maksevõime hindamine)

☐ AK teavet sisaldavad dokumendid (sh ameti- ja kutsesaladusega kaitstud teave)

☐ Geolokatsiooni andmed

☐ Suhtlusandmed (nt kes kellega ja millal rääkis, kirjutas)

☐ Andmed süüteoasjades süüdimõistvate kohtuotsuste ja süütegude kohta

☐ Lapsendamissaladuse andmed

☐ Andmed sotsiaalkaitsevajaduse või eestkoste kohta

☐ Rassiline või etniline päritolu

☐ Poliitilised vaated

☐ Usulised või filosoofilised (maailmavaatelised) veendumused

☐ Ametiühingusse kuulumine

☐ Geneetilised andmed

7

☐ Biomeetrilised andmed

☐ Terviseandmed

☐ Seksuaalelu ja seksuaalne sättumus

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

Kas isikuandmed olid asjakohaselt krüpteeritud? (sh krüptovõtmeid ei ole kompromiteeritud ja

need on andmetöötleja kontrolli all. Märgi kast, üks valik)

☐ Jah

☐ Ei

6. Rikkumisest puudutatud isikud

Rikkumisest puudutatud isikute arv (märgi kast, valides vahemik või sisesta täpne arv või märgi

„pole teada“)

☐ 1-9

☐ 10-49

☐ 50-99

☐ 100-499

☐ 500-999

☐ 1000-4999

☐ 5000-9999

☐ 10000 ja rohkem

Kui on teada, sisesta täpne arv:_______

☐ Pole veel teada

Tee järgnevalt valik, milliseid isikute kategooriaid rikkumine puudutab (märgi kast, üks või

mitu valikut)

☐ Töötajad

☐ Kliendid

☐ Alaealised (nt õpilased, lapsed).

☐ Patsiendid

☐ Sotsiaalset kaitset vajavad inimesed

Muu (palun

selgita):_________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

7. Võimalikud tagajärjed rikkumisest puudutatud isikutele

Konfidentsiaalsuskadu (andmetele said juurepääsu selleks mittevolitatud isikud. Märgi kast,

üks või mitu valikut)

☐ Oht isikuandmete ulatuslikumaks töötlemiseks kui näeb ette esialgne eesmärk või isiku

nõusolek

☐ Oht isikuandmete kokku viimiseks muu isikuid puudutava infoga

☐ Oht, et isikuandmeid kasutatakse teistel eesmärkidel ja/või ebaõiglasel viisil

8

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Tervikluse kadu (andmeid on volitamata muudetud. Märgi kast, üks või mitu valikut)

☐ Oht, et isikuandmeid on muudetud ja kasutatud, kuigi need ei pruugi olla enam kehtivad

☐ Oht, et isikuandmeid on muudetud muul moel kehtivateks andmeteks ja neid on hiljem

kasutatud teistel eesmärkidel

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Käideldavuse kadu (puudub õigeaegne ja hõlbus juurdepääs andmetele. Märgi kast)

☐ Puudub võime osutada rikkumisest puudutatud isikutele kriitilist (elutähtsat) teenust

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Füüsiline, varaline või mittevaraline kahju või muu samaväärne tagajärg (märgi kast, üks või

mitu valikut)

☐ Isik jääb ilma kontrollist oma isikuandmete üle

☐ Isiku õiguste piiramine (nt ei saa kasutada teenust või lepingust tulenevaid õigusi)

☐ Õiguslik tagajärg (nt isik ei saa hüvitist, toetust, luba mõneks tegevuseks)

☐ Diskrimineerimine

☐ Identiteedivargus

☐ Pettus

☐ Rahaline kahju

☐ Kahju tervisele

☐ Risk elule

☐ Pseudonümiseerimise loata tühistamine

☐ Mainekahju

☐ Usalduse kadu

☐ AK teabe või ameti- ja kutsesaladusega kaitstud teabe kadu

Muu (palun

täpsusta):________________________________________________________________

8. Rikkumisega seotud järeltegevused

Isikute teavitamine

Juba teavitatud (kuupäev/kuu/aasta):_____________

Kuidas teavitus toimus (märgi kast, üks või mitu valikut):

☐ E-kirjaga

9

☐ Lühisõnumiga (SMS)

☐ Helistamisega

☐ Meedias sh sotsiaalmeedias

☐ Asutuse/ettevõtte võrgulehel

Muu (palun

täpsusta):________________________________________________________________

Mis oli teavituse

sisu:________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Veel pole teavitanud, kuid teavitame: (kuupäev/kuu/aasta):_____________

☐ Pole selge kas on vaja teavitada

☐ Ei ole vajalik teavitada

Kui pidasite vajalikuks isikuid mitte teavitada, siis selgitage, kuidas jõudsite järeldusele, et

rikkumisega ei kaasne isikute õigustele ja vabadustele suurt riski:

___________________________________________________________________________

______

___________________________________________________________________________

______

Kirjeldage kavandatud ja rakendatud meetmeid rikkumise lahendamiseks, kahjulike mõjude

leevendamiseks ja ennetamiseks tulevikus:

___________________________________________________________________________

______

___________________________________________________________________________

______

9. Rikkumise piiriülene mõju

Millises riigis on teie peamine tegevuskoht? (palun kirjuta riigi

nimi):___________________________

Rikkumisest on puudutatud ka teiste EL riikide isikud:

☐ Ei

☐ Jah (palun täpsusta, milliste riikide ning tooge välja isikute arv riikide lõikes. Kui puudutatud

isikuandmete koosseis on riigiti erinev, tooge ka see välja):

___________________________________________________________________________

______

Tugiteenuste osutamise kokkulepe nr 4-7/24-17-1

Justiitsministeerium, registrikood 70000898, asukoht Suur-Ameerika tn 1, 10122 Tallinn,

keda esindab kantsler Tõnis Saar, (edaspidi nimetatud Tellija või Pool või koos

Teenuseosutajaga Pooled)

ja

Riigi Tugiteenuste Keskus, registrikood 70007340, asukoht Lõkke 4, 10142 Tallinn, keda

esindab põhimääruse alusel peadirektor Pärt-Eo Rannap (edaspidi nimetatud Teenuseosutaja

või Pool või koos Tellijaga Pooled)

sõlmivad 21.02.2013 sõlmitud tugiteenuste osutamise kokkuleppe uues redaktsioonis

(edaspidi Kokkulepe) alljärgnevalt:

1. Üldsätted

1.1. Kokkuleppe eesmärgiks on reguleerida Tellija, Teenuseosutaja ning Teenuse saaja

õiguseid ja kohustusi tugiteenuste osutamisel ja saamisel ning teenuse tingimusi ja

kvaliteeti.

1.2. Poolte õiguste ja kohustuste aluseks on Eestis kehtivad õigusaktid ja Kokkulepe koos

lisadega. Kui konkreetsest sättest ei tulene teisiti, tähendab mõiste Kokkulepe

Kokkuleppe põhiteksti koos kõikide lisadega.

1.3. Kokkuleppe lahutamatu osa on Riigi Tugiteenuste Keskuse (edaspidi RTK) nõukoja

otsusega heaks kiidetud ja RTK peadirektori käskkirjaga kinnitatud järgmised

(standard)toimemudelid ja teenuse osutamise tingimused:

1.3.1. Personali- ja palgaarvestuse standardtoimemudel;

1.3.2. Riigihangete korraldamise standardtoimemudel;

1.3.3. Majandustarkvara SAP ERP administreerimise teenuse osutamise tingimused;

1.3.4. SAP aruandluskeskkonna Business Objects administreerimise teenuse osutamise

tingimused;

1.3.5. E-arvekeskuse administreerimise teenuse osutamise tingimused;

1.3.6. Riigitöötaja Iseteenindusportaali administreerimise teenuse osutamise tingimused.

1.4. Kokkuleppel on selle sõlmimise hetkel järgmised lisad:

1.4.1. Lisa 1. Justiitsministeeriumi valitsemisala finantsarvestuse toimemudel;

1.4.2. Lisa 2. Teenusega liitunud Justiitsministeeriumi valitsemisala dokumendihaldus- ja

arhiiviteenuse toimemudelid;

1.4.3. Lisa 3. Justiitsministeeriumi dokumendihaldus- ja arhiiviteenuse andmetöötlusleping;

1.4.4. Lisa 4. Justiitsministeeriumi dokumendihaldus- ja arhiiviteenuse isikuandmete

töötlemistoimingute register.

2. Tugiteenused

2.1 Tugiteenust (edaspidi Teenus) osutatakse Tellijale ja tema valitsemisala asutustele

(edaspidi ühiselt nimetatuna Teenuse saaja) ja selle all peetakse Kokkuleppes silmas:

2.1.1 finantsarvestuse teenuse osutamist koos vastava aruandlusega Teenuse saajale.

Teenuse osutamise tulemuseks on Teenuse saaja finantsarvestuse teostamine ning

aruandluse koostamine;

2.1.2 personali- ja palgaarvestuse teenuse osutamist koos vastava aruandlusega Teenuse

saajale. Teenuse osutamise tulemuseks on Teenuse saaja personaliandmete sisestuse

ja palgaarvestuse teostamine ning aruandluse koostamine;

2.1.3 majandustarkvara SAP administreerimist;

2.1.4 SAP aruandluskeskkonna Business Objects (edaspidi SAP BO) administreerimist;

2.1.5 E-arvekeskuse administreerimist;

2.1.6 Riigitöötaja Iseteenindusportaali administreerimist;

2.1.7 riigihangete korraldamise teenust vastavalt iga-aastasele hankeplaanile, mille raames

Teenuseosutaja korraldab Teenuse saaja vajadustele vastavaid riigihankeid, mis

nõuavad riigihangete seaduse kohaselt toiminguid riigihangete registris või mille

korraldamises riigihangete registris on Teenuse saaja ja teenuseosutaja kokku

leppinud. Teenuseosutaja ei korralda hankeid, mille korraldamiseks on Vabariigi

Valitsus määranud kohustusliku keskse hankija;

2.1.8 dokumendihaldus- ja arhiiviteenuse osutamist.

2.1.8.1 Käesoleva Kokkuleppe alusel osutatakse dokumendihaldus- ja arhiiviteenust Tellijale

(Justiitsministeerium) ja tema valitsemisalas paiknevatele Andmekaitse

Inspektsioonile, Konkurentsiametile ja Patendiametile. Kooskõlas 04.09.2017

sõlmitud Tugifunktsioonide koostöökokkuleppega loevad Pooled Tellijaks

ka Rahandusministeeriumi ühisosakonna dokumendihaldustalituse, välja arvatud kui

funktsioon ei ole õigusaktidest tulenevalt või oma olemuselt üleantav (nt korra või

liigitusskeemi kinnitamine).

2.2 Teenuse osutamise tingimused, ulatus, toimingud ning tööjaotus Teenuseosutaja ja

Teenuse saaja vahel, mida ei ole käesolevas Kokkuleppe punktides reguleeritud,

kirjeldatakse (standard)toimemudelites või infosüsteemide administreerimise puhul

teenuse osutamise tingimustes. 2.3 Teenuse osutamise kohustus laieneb ka nendele toimingutele, mis ei ole Kokkuleppes

otseselt sätestatud, kuid mis oma olemusest lähtuvalt kuuluvad Kokkuleppes nimetatud

Teenuse hulka.

3. Dokumendihaldus- ja arhiiviteenuse osutamise eritingimused

3.1. Käesoleva Kokkuleppe alusel volitab kokkuleppe punktis 2.1.8.1. nimetatud Teenuse

saaja Teenuseosutajat dokumendihaldus- ja arhiiviteenuse osutamiseks töötlema

Teenuse saaja ametialaseid dokumente ja andmeid, mis on osaks Teenuse saaja

dokumendihaldus- ja arhiiviteenuse korraldusest. Käesoleva Kokkuleppe tähenduses

käsitletakse Teenuse saaja dokumendihaldus- ja arhiiviteenuse osutamisel andmete

vastutava töötlejana ning Teenuseosutajat andmete volitatud töötlejana.

3.2. Dokumendihaldus- ja arhiiviteenuse osutamiseks vajalikud täpsustatud tingimused,

isikuandmete liigid ning andmesubjektide kategooriad lepitakse eraldi kokku RTK ja

Teenuse saaja vahelises andmetöötluslepingus.

3.3. Teenuseosutaja ei kaasa dokumendihaldus- ja arhiiviteenuse osutamiseks teisi andmete

volitatud töötlejaid ilma Teenuse saaja eelneva nõusolekuta.

4. Poolte kohustused ja õigused

4.1. Teenuseosutaja kohustub:

4.1.1. osutama Teenust hoolikalt ning professionaalselt kooskõlas oma tegevus- või kutsealal

kehtivate standardite ja heade kommetega;

4.1.2. lähtuma Teenuse osutamisel vastavat valdkonda reguleerivatest õigusaktidest,

Teenuse saaja kehtestatud juhenditest ja kordadest, kui Teenuse saaja on need

Teenuseosutajale edastanud, Teenuse saaja esitatud dokumentidest ning

Kokkuleppest;

4.1.3. läbi rääkima kõik olulised töökorralduslikud muudatused Teenuse saajaga, kui see

võib mõjutada Teenuse osutamist;

4.1.4. tegutsema Teenuse osutamisel Teenuse saajale lojaalselt arvestades Teenuse saaja

huvidega ning neid huve kaitsma;

4.1.5. teavitama Teenuse saajat oma parimaid teadmisi rakendades juhul, kui Teenuse saaja

poolt Teenuse osutamiseks vajalik edastatud dokument on vastuolus õigusaktidega,

sisaldab olulisi puudusi, ei ole Teenuse osutamiseks piisavalt selge või üheselt

mõistetav, samuti juhul, kui Teenuse osutajale teadaolevalt Teenuse osutamiseks

vajalik dokument puudub või esineb muu puudus, esitades ühtlasi omapoolsed

ettepanekud puuduste kõrvaldamiseks;

4.1.6. andma Teenuse saajale asjakohast teavet kõikvõimalikes Teenuse osutamisega seotud

küsimustes (sh nõustama Teenuse osutamisega seotud küsimustes) ning võimaldama

Teenuse saaja esindajate ligipääsu Teenuse osutamisega seotud andmetele;

4.1.7. võimaldama Teenuse saajale ligipääsu juhtimisinfole ja aruandlusele SAP BO kaudu.

Teenuseosutaja muudab olemasolevaid aruandeid või lisab uusi aruandeid Teenuse

saaja põhjendatud taotluse korral, kui vajalikud andmed on majandustarkvarast SAP

kättesaadavad;

4.1.8. vajadusel esindama Teenuse saajat teiste isikute või asutuste ees Teenuse osutamisega

seotud küsimuste või vaidluste lahendamisel (standard)toimemudelis määratud

ulatuses või Teenuse saaja sellekohase nõusoleku või volituse olemasolul;

4.1.9. kõrvaldama kokkulepitud tähtaja jooksul kõik Teenuse osutamist mõjutavad puudused

või takistused, kui need on olemuslikult Teenuseosutaja poolt kontrollitavad;

4.1.10. hüvitama Teenuse saajale varalise kahju, kui see tekkis Teenuseosutaja poolse

Teenuse mittenõuetekohase osutamise tõttu ning vajadusel esindama Teenuse saajat

kahju sissenõudmisel või vaidluste lahendamisel;

4.1.11. säilitama Teenuse osutamisega seotud andmeid õigusaktides sätestatud või Teenuse

saajaga kokku lepitud tähtaegade vältel. Juhul kui kehtivast õigusaktist ei tulene

andmete või dokumentide säilitamiskohutust, siis Tellija eelneval juhendamisel või

nõusolekul need andmed või dokumendid kustutama või tagastama;

4.1.12. mitte avaldama ilma Tellija eelneva nõusolekuta Teenuse osutamise käigus teatavaks

saanud andmeid kolmandatele isikutele, v.a kui selliste andmete avaldamise kohustus

tuleneb õigusaktist ning eelneva nõusoleku küsimiseks puudub vajadus. Pooled on

kokku leppinud, et mõlemal juhul teavitab Teenuseosutaja andmete avaldamise

vajaduse või kohustuse tekkimisel viivitamata Tellija esindajat;

4.1.13. töötlema temale Teenuse osutamise käigus edastatud andmeid vaid ulatuses, mis on

vajalik Teenuse osutamiseks;

4.1.14. esitama aruandeid ja andmeid ning andma selgitusi Teenuse saaja siseauditi üksusele,

Riigikontrollile vm kontrolliorganile auditeerimise protseduuri ning õigusaktidest

tuleneva kontrolli läbiviimiseks, kui õigusaktidest ei tulene teisiti;

4.1.15. tagama Teenuse saajale juurdepääsu SAP testkeskkonnale Teenuse saaja

sidussüsteemide arendamisel vajaliku testkeskkonna loomiseks;

4.1.16. viivituseta teavitama Teenuse saaja andmekaitsespetsialisti seotud rikkumisest teada

saamisest kooskõlas isikuandmete kaitse üldmääruse (Euroopa Parlamendi ja

Nõukogu määrus) nr (EL) 2016/679) artikliga 33.

4.2. Teenuseosutajal on õigus keelduda Teenuse või selle osa osutamisest vastavas osas kuni

Teenuse saaja poolsete kohustuste täitmiseni, kui Teenuse saaja ei täida punktis 4.3.1.-

4.3.3. nimetatud kohustusi ning see takistab Teenuse osutamist.

4.3. Teenuse saaja kohustub:

4.3.1. esitama Teenuseosutajale Teenuse osutamiseks vajaliku teabe (standard)toimemudelis

määratud või Poolte esindajate poolt kokku lepitud aja jooksul ja sidekanaleid

kasutades;

4.3.2. võimaldama vajaduse korral juurdepääsu Teenuse osutamiseks vajalikele

andmebaasidele ja infosüsteemidele;

4.3.3. informeerima viivitamata Teenuseosutajat kõikidest asjaoludest, mis võivad mõjutada

Teenuse osutamise käiku;

4.3.4. läbi rääkima Teenuseosutajaga kõik muudatused Teenuse saaja juhendites ja

eeskirjades kui need on seotud Teenuse osutamisega;

4.3.5. kõrvaldama mõistliku aja jooksul kõik Teenuse saajast tingitud Teenuse osutamist

mõjutavad puudused või takistused;

4.3.6. hüvitama Teenuseosutajale riigihanke tugiteenuse osutamisel vaidlustuse ja

kohtumenetlusega seotud kulud, kui vaidlustus või kaebus on esitatud riigihanke

tingimuste ja toimingute kohta, mille eest vastutab vastavalt riigihangete korraldamise

standardtoimemudelile Teenuse saaja ja eeldusel, et need kulud on eelnevalt

Teenuseosutaja poolt Teenuse saajaga kooskõlastatud vastavalt

standardtoimemudelile.

4.4. Teenuse saajal on õigus:

4.4.1. saada Kokkuleppes nimetatud Teenust kooskõlas kehtivate õigusaktidega ja käesoleva

Kokkuleppega; 4.4.2. nõuda varalise kahju hüvitamist, kui see tekkis Teenuseosutaja poolse Teenuse

mittenõuetekohase osutamise tõttu;

4.4.3. kasutada majandustarkvara SAP testbaasi (SAP500) andmesisestuseks SAPi andmeid

kasutavate asutuste teiste infosüsteemide testimiseks.

4.5. Teenuse mitteosutamiseks või ebakvaliteetseks täitmiseks ei loeta teenuse katkestusi või

rikkumisi, mis on tingitud asjaoludest, mille üle Teenuseosutajal puudub kontroll

(vääramatu jõud). Kui Teenuseosutaja soovib vääramatu jõu asjaolule tugineda, peab ta

sellest Tellijat teavitama esimesel võimalusel.

4.6. Vääramatu jõud ei vabasta Pooli kohustusest võtta tarvitusele kõik võimalikud abinõud

käesoleva Kokkuleppe mittetäitmise või mittekohase täitmisega tekkida võiva kahju

vältimiseks või vähendamiseks.

5. Infoturve ja andmekaitse

5.1. Pooled järgivad isikuandmete töötlemisel isikuandmete kaitse seaduses ja isikuandmete

kaitse üldmääruses (Euroopa Parlamendi ja Nõukogu määrus nr (EL) 2016/679) toodud

andmekaitse põhimõtteid ja muid infoturvet reguleerivaid õigusakte.

5.2. Käesoleva Kokkuleppe alusel töötleb Teenuseosutaja isikuandmeid Teenuseosutaja

põhimääruses sätestatud ülesannete ja käesolevast Kokkuleppest tulenevate ülesannete

täitmiseks. Teenuse osutamiseks vajalikud täpsustatud tingimused, isikuandmete liigid,

andmesubjektide kategooriad lepitakse vajadusel Teenuse saajaga kokku erialdiseisvas

kokkuleppes.

5.3. Pooled tagavad Kokkuleppe täitmise ajal ja pärast selle lõppemist määramata tähtaja

jooksul Kokkuleppe täitmise käigus teineteiselt saadud teabe, mis on kas kirjalikus või

digitaalses vormis varustatud märkega "konfidentsiaalne" või millel on märge

juurdepääsupiirangu kohta (eelkõige kuid mitte ainult AvTS alusel) või, kui see teabe

avaldamise asjaolusid silmas pidades on asjakohane, teavitanud konfidentsiaalsusest

suuliselt, konfidentsiaalsuse ja ei anna seda edasi ega võimalda sellele teabele

juurdepääsu kolmandatele isikutele ilma teise poole sellekohase kirjaliku nõusolekuta.

5.4. Teenuseosutaja kindlustab Teenuse saaja andmete haldamisel andmete käideldavuse,

konfidentsiaalsuse ja terviklikkuse. Teenuseosutaja tagab, et Teenuse osutamiseks

isikuandmeid töötlema volitatud isikud on kohustunud järgima andmete töötlemise

konfidentsiaalsusnõudeid.

5.5. Teenuseosutaja vastutab tema poolt töödeldavate Teenuse saaja andmete volitamata või

juhusliku hävimise või hävitamise kaitseks meetmete rakendamise eest või rakendamata

jätmise eest.

6. Teabevahetus

6.1. Teabevahetus toimub kirjalikku taasesitamist võimaldavas vormis (sh kirjalikult või

elektrooniliselt). Teave tuleb esitada samas vormis kui see on küsitud, kui teine Pool ei

ole täpsustanud, millises vormis vastust ta soovib, v.a kui teave sisaldab

konfidentsiaalseid andmeid, mh isikuandmeid. Sellisel juhul tuleb teave edastada

krüpteeritult või läbi turvalise kanali.

6.2. Pool vastab teise Poole esitatud küsimusele, järelepärimisele, teabe nõudmisele vms

võimalikult kiiresti, kuid mitte hiljem kui 5 tööpäeva jooksul arvates küsimisest. Pooled

võivad vastamiseks kokku leppida muu tähtaja.

6.3. Kokkuleppega seotud teated edastatakse teisele Poolele asutuse üldkontakti ja asutust

RTK nõukojas esindava liikme kaudu.

6.4. Teenuseosutaja kontaktisikud, kellel on õigus anda Kokkuleppega seotud nõusolekuid

ja volitusi ning teha Teenuseosutaja nimel muid toiminguid peale Kokkuleppe

muutmise, lepitakse kokku käesoleva Kokkuleppe Lisa(de)s või punkti 3.2 alusel või

muul kirjalikku taasesitamist võimaldaval viisil.

6.5. Teenuse saaja kontaktisikuks, kellel on õigus anda Kokkuleppega seotud nõusolekuid

ja volitusi ning teha Teenuse saaja nimel muid toiminguid peale Kokkuleppe muutmise,

lepitakse kokku käesoleva Kokkuleppe Lisa(de)s või punkti 3.2 alusel või muul

kirjalikku taasesitamist võimaldaval viisil.

7. Vaidluste lahendamine

Kõik Kokkuleppest tulenevad või sellega seotud vaidlused lahendatakse Poolte vahel

läbirääkimiste teel ja Kokkuleppe mittesaavutamise korral lahendatakse vaidlused

Teenuseosutaja nõukojas, kuhu kuulub ka Tellija esindaja.

8. Kokkuleppe kehtivus ja muutmine

8.1. Kokkulepe jõustub 1. mail 2024 a. ja on sõlmitud tähtajatult. Käesoleva Kokkuleppe

jõustumisel loetakse lõppenuks Poolte vahel 23. märtsil 2023.a sõlmitud „Tugiteenuste

osutamise kokkulepe“ nr. 1-5/23/51-1.

8.2. Teenuse saaja teavitab Teenuseosutajat kuus kuud ette kui ta soovib dokumendihaldus-

ja arhiiviteenusest loobuda, välja arvatud juhul kui Teenuseosutaja rikub oluliselt

isikuandmete töötlemise nõudeid.

8.3. Käesoleva Kokkuleppe muudatused vormistatakse kirjalikus või elektroonilises vormis,

kui Kokkuleppes ei ole ette nähtud teisiti.

8.4. Standardtoimemudelite ja teenuse osutamise tingimuste muudatused kiidab heaks RTK

nõukoda ning need kinnitatakse RTK peadirektori käskkirjaga. Muudatused jõustuvad

alates kinnitamisest, va kui kinnitamise otsuses on märgitud teisti. Teenuseosutaja

avaldab kehtiva versiooni standardtoimemudelitest ja teenuse osutamise tingimustest

oma kodulehel.

(Allkirjastatud digitaalselt) (Allkirjastatud digitaalselt)

Tõnis Saar Pärt-Eo Rannap

Kantsler Peadirektor

Tugiteenuste osutamise kokkulepe nr 4-7/24-17-1 muudatus nr 1 nr 1-5/24/460-1

Justiits- ja Digiministeerium, registrikood 70000898, asukoht Suur-Ameerika 1, 10122

Tallinn, keda esindab kantsler Tõnis Saar, (edaspidi nimetatud Tellija või Pool või koos

Teenuseosutajaga Pooled)

ja

Riigi Tugiteenuste Keskus, registrikood 70007340, asukoht Lõkke 4, 10142 Tallinn, keda

esindab põhimääruse alusel peadirektor Pärt-Eo Rannap (edaspidi nimetatud Teenuseosutaja

või Pool või koos Tellijaga Pooled)

lepivad kokku 21.02.2013 sõlmitud tugiteenuste osutamise kokkuleppe, mida on viimati

muudetud 03.07.2024 a. sõlmitud kokkuleppega nr 4-7/24-17-1 (edaspidi Kokkulepe)

muutmises alljärgnevalt:

1. Muuta Kokkuleppe punkti 2.1.7 ja sõnastada see järgnevalt:

„2.1.7 riigihangete korraldamise teenust vastavalt iga-aastasele hankeplaanile, mille raames

Teenuseosutaja korraldab Teenuse saaja vajadustele vastavaid riigihankeid, mis nõuavad

riigihangete seaduse kohaselt toiminguid riigihangete registris või mille korraldamises

riigihangete registris on Teenuse saaja ja Teenuseosutaja kokku leppinud. Teenuseosutaja ei

korralda hankeid, mille korraldamiseks on Vabariigi Valitsus määranud kohustusliku keskse

hankija. Riigihangete korraldamise teenust osutatakse Tellijale ja selle valitsemisalas olevatele

asutustele, välja arvatud Riigi Infosüsteemi Ametile ja Riigi Info- ja

Kommunikatsioonitehnoloogia Keskusele.“;

2. Muudatus jõustub 1. jaanuarist 2025. aastast.

(Allkirjastatud digitaalselt) (Allkirjastatud digitaalselt)

Tõnis Saar Pärt-Eo Rannap

Kantsler Peadirektor

1

Tugiteenuste osutamise kokkulepe (personali- ja palgaarvestus, riigihangete

korraldamine, finantsarvestus, dokumendihaldus- ja arhiiviteenus) Lisa 3

JUSTIITSMINISTEERIUMI DOKUMENDIHALDUS- JA ARHIIVITEENUSE

ANDMETÖÖTLUSLEPING

Käesolev lisa (edaspidi: lisa) on lahutamatu osa sõlmitud tugiteenuste osutamise kokkuleppest

(edaspidi: leping), mis sõlmitakse Justiitsministeeriumi (edaspidi: vastutav töötleja) ja Riigi

Tugiteenuste Keskuse (edaspidi: volitatud töötleja) vahel, teostamaks kokkuleppes nimetatud

tegevustega seotud andmesubjektide (edaspidi: andmesubjektid) isikuandmete töötlemist.

1. Lepingu eesmärk

1.1. Käesoleva lisa eesmärk on kokku leppida volitatud töötleja õigustes ja kohustustes

isikuandmete töötlemisel, millest pooled lepingu täitmisel juhinduvad. Käesolev lisa hõlmab

endas isikuandmete töötlemist puudutavat andmetöötluse lepingut vastavalt Euroopa Liidu

isikuandmete kaitse üldmäärusele (2016/679) (edaspidi: üldmäärus).

1.2. Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse

(edaspidi: isikuandmed), isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava

töötleja antud juhised on välja toodud lepingus ja selle juurde kuuluvates lisades 2-4. Vajadusel

võib vastutav töötleja anda isikuandmete töötlemiseks täiendavaid dokumenteeritud juhiseid.

1.3. Pooled kohustuvad järgima andmekaitsealaseid õigusakte, sh juhendeid ja tegevusjuhiseid,

mis on väljastatud isikuandmete kaitse eest vastutava kohaliku ja/või Euroopa Liidu asutuse

poolt ning seoses kõikide isikuandmetega, mida lepingu alusel töödeldakse.

2. Mõisted

2.1. Käesolevas lisas olevate mõistete sisustamisel lähtutakse üldmääruses sätestatust,

sealhulgas:

2.1.1. „Isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku

(„andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt

tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave,

võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise,

vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2.1.2. „Isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav

automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine,

dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine,

päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel

kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine,

kustutamine või hävitamine;

2.1.3. „Isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab

edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku

hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

3. Isikuandmete töötlemine 3.1. Volitatud töötleja kohustub töötlema isikuandmeid vastavalt käesolevas lisas nimetatud ja

teistele asjakohastele õigusaktidele, juhenditele ja lepingutele (sh vastutava töötleja antud

dokumenteeritud juhistele) ning ainult sellisel määral, mis on vajalik Lepingu täitmiseks. Kui

see on Lepingu täitmisega seonduvalt vajalik, võib volitatud töötleja andmesubjektide

isikuandmeid töödelda ka järgmistel eesmärkidel:

2

3.1.1. asjakohaste info- ja sidesüsteemide hooldamine, tagades sellise töötlemise

vastavuse käesolevas lisas nimetatud õigusaktidele ja juhenditele.

3.2. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja

jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust võtma.

Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest dokumenteeritud

juhiste ja käesolevas lisas nimetatud õigusaktide või juhendite vahel.

3.3. Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid

(edaspidi: teine volitatud töötleja) üksnes vastutava töötleja eelneval nõusolekul, mis on antud

vähemalt kirjalikku taasesitamist võimaldavas vormis. Ilma vastutava töötleja kirjalikku

taasesitamist võimaldava nõusolekuta võib volitatud töötleja kasutada isikuandmete

töötlemiseks teisi volitatud töötlejaid üksnes juhul, kui see on vajalik volitatud töötleja info- ja

sidesüsteemide hoolduseks, kui hoolduse läbiviimine ilma isikuandmeid töötlemata pole

võimalik.

3.3.1. Volitatud töötleja vastutab kõigi teiste volitatud töötlejate tegevuse eest nagu enda

tegevuse eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks kirjalikud

lepingud vastavalt üldmääruse artikli 28 lõikele 4, mis on käesolevas lepingus

sätestatuga vähemalt samaväärsed.

3.3.2. Kui vastutav töötleja on andnud volitatud töötlejale loa kasutada lepingust

tulenevate kohustuste täitmiseks teisi volitatud töötlejaid, on lepingust tulenevatele

küsimustele vastamisel kontaktisikuks vastutavale töötlejale üksnes volitatud töötleja

ning volitatud töötleja tagab selle, et kõnealune teine volitatud töötleja täidab lepingu

nõudeid ja on sellega seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja

võib igal ajahetkel võtta tagasi volitatud töötlejale antud loa kasutada teisi volitatud

töötlejaid.

3.4. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid

konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud eesmärgil.

Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised volitatud töötlejad,

volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus töödeldavatele

isikuandmetele) järgivad konfidentsiaalsusnõuet.

3.5. Volitatud töötleja kohustub rakendama asjakohaseid turvalisuse tagamise meetmeid, muu

hulgas tehnilisi ja korralduslikke, viisil, et isikuandmete töötlemine vastaks üldmääruse artikli

32 nõuetele, sealhulgas:

3.5.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele

andmetöötlusseadmetele;

3.5.2. ära hoidma andmekandjate omavolilist teisaldamist;

3.5.3. tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid

isikuandmeid töödeldi (sh kui andmeid töödeldi omavoliliselt vms).

3.6. Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste ja

korralduslike meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses

kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades kõik

andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse

keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.

3.7. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud

kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat

teavet.

3.8. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku

taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud töötleja

käesolevast lisast tulenevate kohustuste täitmist. Pooled on kokku leppinud, et:

3

3.8.1. vastutava töötleja auditeid võib läbi viia kas vastutav töötleja ja/või kolmas isik,

keda vastutav töötleja on selleks volitanud;

3.8.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja

dokumente, mida on vaja selleks, et tõendada käesoleva lisa nõuetekohast täitmist;

3.8.3. vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud teavet

konfidentsiaalsena.

3.9. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale,

kuna suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat esindada

ega tema nimel tegutseda. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud

töötlejat puudutavates küsimustes või toimingutes järelevalveasutusele vastamisel.

4. Isikuandmete töötlemine väljaspool Euroopa Liitu ja Euroopa Majanduspiirkonda

4.1. Käesoleva lepingu esemeks olevaid isikuandmeid ei tohi töödelda väljaspool Euroopa Liitu

ega Euroopa Majanduspiirkonda, sh ei tohi nimetatud isikuandmeid edastada kolmandale riigile

või rahvusvahelisele organisatsioonile.

4.2. Juhul, kui käesoleva lepingu esemeks olevate isikuandmete töötlemine väljaspool Euroopa

Liitu ja Euroopa Majanduspiirkonda, sh nende edastamine kolmandale riigile või

rahvusvahelisele organisatsioonile, on vajalik lepingu täitmiseks, lepivad pooled sellises

andmetöötluses eelevalt kirjalikult kokku. Kirjalikku kokkulepet ei ole vaja sõlmida, kui

volitatud töötleja on kohustatud isikuandmeid kolmandale riigile või rahvusvahelisele

organisatsioonile edastama volitatud töötleja suhtes kohaldatava Euroopa Liidu või liikmesriigi

õiguse alusel. Sellisel juhul teatab volitatud töötleja sellise õigusliku aluse olemasolust enne

isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi

tõttu kõnealuse õigusega keelatud.

5. Isikuandmete töötlemisega seotud rikkumistest teavitamine

5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega seotud

rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma

põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine

volitatud töötleja saab teada isikuandmete töötlemisega seotud rikkumisest või on alust kahelda,

et selline rikkumine on aset leidnud.

5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada

saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava

asjakohase informatsiooni, täites käesolevas lisas toodud isikuandmete töötlemise rikkumisest

teavitamise vormi (edaspidi: vorm) ja lisades juurde asjakohase muu dokumentatsiooni. Juhul,

kui kõiki asjaolusid ei ole võimalik selleks ajaks välja selgitada, esitab volitatud töötleja

vastutavale töötlejale vormi esialgsete andmetega. Täiendatud vorm lõpliku informatsiooniga

rikkumise asjaolude kohta tuleb esitada vastutavale töötlejale esimesel võimalusel pärast

esialgsete andmetega vormi esitamist.

5.3. Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja

täita tegevusplaan isikuandmetega seotud rikkumiste kõrvaldamiseks. Volitatud töötleja peab

tegema kõik võimaliku, et edasist rikkumist ära hoida ning kahju vähendada.

5.4. Vastutav töötleja vastutab järelevalveasutuse teavitamise eest.

6. Vastutus

6.1. Lisaks Lepingus sätestatud vastutusele:

6.1.1. vastutab volitatud töötleja kahju eest, mida ta on tekitanud vastutavale töötlejale,

andmesubjektidele või muudele kolmandatele isikutele isikuandmete töötlemise tagajärjel, mis

on tekitatud käesoleva lisa nõudeid, mh kõiki selles mainitud õigusnorme ja dokumenteeritud

juhiseid, rikkudes.

4

6.1.2. kohustub volitatud töötleja, kui ta on isikuandmete töötlemise nõudeid rikkunud ja selle

tagajärjel on vastutav töötleja kohustatud maksma hüvitist või trahvi, hüvitama vastutavale

töötlejale sellega seoses kantud kulud.

6.1.3. kui volitatud töötleja rikub oluliselt käesolevas lisas sätestatud isikuandmete töötlemise

nõudeid, muuhulgas isikuandmete kaitse üldmääruse või muude kohaldatavate õigusnormide

sätteid isikuandmete kaitse valdkonnas, on vastutaval töötlejal õigus leping ette teatamata üles

öelda. Oluline Lepingu rikkumine on eelkõige, kui:

6.1.3.1 isikuandmete töötlemise põhimõtete täitmist kontrolliva järelevalveasutuse või

kohtu menetluses selgub, et volitatud töötleja või teine volitatud töötleja ei täida

isikuandmete töötlemise põhimõtteid;

6.1.3.2 vastutav töötleja leiab käesoleva lisa raames läbiviidud auditis, et volitatud

töötleja ei täida isikuandmete töötlemise põhimõtteid, mis tulenevad käesolevast lisast

või kohaldatavatest õigusnormidest.

7. Muud sätted

7.1. Volitatud töötleja kohustub Lepingu lõppemisel tagastama vastutava töötlejale kõik

andmesubjektide isikuandmed või kustutama või hävitama isikuandmed ja nende koopiad

vastavalt vastutava töötleja antud juhistele.

7.2. Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku

kirjaliku kinnituse, et tema ja kõik tema kasutatud teised volitatud töötlejad on teinud eelnevas

punktis nimetatud toimingud.

7.3. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad

mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava

töötleja dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates

täiendustes ja muudatustes kokku kirjalikult.

7.4. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa

kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast lisa kehtivuse

lõppemist kui Pooled ei ole kirjalikult kokku leppinud teisiti.

Vastutav töötleja Volitatud töötleja

/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/

5

Lisa

ISIKUANDMETE TÖÖTLEMISE RIKKUMISEST TEAVITAMISE VORM

1. Kontaktandmed

Isik, kellelt saab rikkumise asjaolude kohta täiendavat informatsiooni ja tema kontaktandmed:

___________________________________________________________________________

______

2. Teavituse tüüp (märgi kast, üks või mitu valikut)

☐ Lõplik teavitus

☐ Varasema teavituse täiendamine

3. Aeg (sisesta kuupäev ja märgi kast)

Millal sain rikkumisest teada

(kuupäev/kuu/aasta):_________________________________________

Rikkumine toimus pikemal perioodil (algus- ja

lõppkuupäev/kuu/aasta):_________________________

☐ Toimus ühekordne rikkumine

☐ Rikkumine jätkuvalt toimub

4. Rikkumise andmed

Kirjelda, mis juhtus ning kuidas rikkumise avastasite:

___________________________________________________________________________

______

___________________________________________________________________________

______

Rikkumise asjaolud (märgi kast, üks või mitu valikut)

☐ Seade isikuandmetega on kaotatud või varastatud

☐ Paberdokument on varastatud, kaotatud või jäetud mitteturvalisse keskkonda

☐ Isikuandmete loata avaldamine

☐ Isikuandmeid nägi vale isik

☐ Isikuandmed edastati valele isikule

☐ Infosüsteemidesse loata või ebaseaduslik sisenemine (nt häkkimine, pahavara, lunavara või

õngitsusrünne)

☐ Isikuandmed olid kättesaadavad seoses andmekandjate ebapiisava hävitamisega

☐ Muud (palun täpsusta):

___________________________________________________________________________

______

___________________________________________________________________________

______

Miks rikkumine juhtus (märgi kast, üks või mitu valikut)

☐ Organisatsiooni töökorralduse reeglite, sisekorra rikkumine

☐ Töötajate vähene teadlikkus (nt puudulikud sisekorrad ja töökorralduse reeglid, töötajate

mittepiisav koolitus)

☐ Inimlik viga

☐ Tehniline viga

6

Muu (nimetage siin ka koostööpartner(id) nt volitatud töötleja, kui rikkumine toimus tema

juures):_____________________________________________________________________

______

___________________________________________________________________________

______

___________________________________________________________________________

______

☐ Asjaolud pole veel teada

5. Rikkumisest puudutatud isikuandmed

Rikkumisest puudutatud kaustade, dokumentide, failide, e-kirjade, andmebaaside arv, mis

sisaldavad isikuandmeid. (nt mitu dokumenti edastati valele inimesele; märgi kast, valides

vahemik või sisesta täpne arv või märgi „pole teada“)

☐ 1-9

☐ 10-49

☐ 50-99

☐ 100-499

☐ 500-999

☐ 1000-4999

☐ 5000 – 9999

☐ 10000 ja rohkem

Kui on teada, sisesta täpne arv:______

☐ Pole veel teada

Tee järgnevalt valik, millised isikuandmeid rikkumine puudutab (märgi kast, üks või mitu

valikut)

☐ Ees-, perenimi

☐ Sünniaeg

☐ Isikukood

☐ E-post

☐ Telefoni nr

☐ Postiandmed või elukoha aadress

☐ Kasutajanimed, salasõnad

☐ Maksevahendite andmed (andmed, mis võimaldavad võtta üle isiku maksevahendi)

☐ Majandus või finantsandmed (tehingu ajalugu, majanduslikku seisundit näitavad andmed,

maksevõime hindamine)

☐ AK teavet sisaldavad dokumendid (sh ameti- ja kutsesaladusega kaitstud teave)

☐ Geolokatsiooni andmed

☐ Suhtlusandmed (nt kes kellega ja millal rääkis, kirjutas)

☐ Andmed süüteoasjades süüdimõistvate kohtuotsuste ja süütegude kohta

☐ Lapsendamissaladuse andmed

☐ Andmed sotsiaalkaitsevajaduse või eestkoste kohta

☐ Rassiline või etniline päritolu

☐ Poliitilised vaated

☐ Usulised või filosoofilised (maailmavaatelised) veendumused

☐ Ametiühingusse kuulumine

☐ Geneetilised andmed

7

☐ Biomeetrilised andmed

☐ Terviseandmed

☐ Seksuaalelu ja seksuaalne sättumus

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

Kas isikuandmed olid asjakohaselt krüpteeritud? (sh krüptovõtmeid ei ole kompromiteeritud ja

need on andmetöötleja kontrolli all. Märgi kast, üks valik)

☐ Jah

☐ Ei

6. Rikkumisest puudutatud isikud

Rikkumisest puudutatud isikute arv (märgi kast, valides vahemik või sisesta täpne arv või märgi

„pole teada“)

☐ 1-9

☐ 10-49

☐ 50-99

☐ 100-499

☐ 500-999

☐ 1000-4999

☐ 5000-9999

☐ 10000 ja rohkem

Kui on teada, sisesta täpne arv:_______

☐ Pole veel teada

Tee järgnevalt valik, milliseid isikute kategooriaid rikkumine puudutab (märgi kast, üks või

mitu valikut)

☐ Töötajad

☐ Kliendid

☐ Alaealised (nt õpilased, lapsed).

☐ Patsiendid

☐ Sotsiaalset kaitset vajavad inimesed

Muu (palun

selgita):_________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

7. Võimalikud tagajärjed rikkumisest puudutatud isikutele

Konfidentsiaalsuskadu (andmetele said juurepääsu selleks mittevolitatud isikud. Märgi kast,

üks või mitu valikut)

☐ Oht isikuandmete ulatuslikumaks töötlemiseks kui näeb ette esialgne eesmärk või isiku

nõusolek

☐ Oht isikuandmete kokku viimiseks muu isikuid puudutava infoga

☐ Oht, et isikuandmeid kasutatakse teistel eesmärkidel ja/või ebaõiglasel viisil

8

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Tervikluse kadu (andmeid on volitamata muudetud. Märgi kast, üks või mitu valikut)

☐ Oht, et isikuandmeid on muudetud ja kasutatud, kuigi need ei pruugi olla enam kehtivad

☐ Oht, et isikuandmeid on muudetud muul moel kehtivateks andmeteks ja neid on hiljem

kasutatud teistel eesmärkidel

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Käideldavuse kadu (puudub õigeaegne ja hõlbus juurdepääs andmetele. Märgi kast)

☐ Puudub võime osutada rikkumisest puudutatud isikutele kriitilist (elutähtsat) teenust

Muu (palun

täpsusta):________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Füüsiline, varaline või mittevaraline kahju või muu samaväärne tagajärg (märgi kast, üks või

mitu valikut)

☐ Isik jääb ilma kontrollist oma isikuandmete üle

☐ Isiku õiguste piiramine (nt ei saa kasutada teenust või lepingust tulenevaid õigusi)

☐ Õiguslik tagajärg (nt isik ei saa hüvitist, toetust, luba mõneks tegevuseks)

☐ Diskrimineerimine

☐ Identiteedivargus

☐ Pettus

☐ Rahaline kahju

☐ Kahju tervisele

☐ Risk elule

☐ Pseudonümiseerimise loata tühistamine

☐ Mainekahju

☐ Usalduse kadu

☐ AK teabe või ameti- ja kutsesaladusega kaitstud teabe kadu

Muu (palun

täpsusta):________________________________________________________________

8. Rikkumisega seotud järeltegevused

Isikute teavitamine

Juba teavitatud (kuupäev/kuu/aasta):_____________

Kuidas teavitus toimus (märgi kast, üks või mitu valikut):

☐ E-kirjaga

9

☐ Lühisõnumiga (SMS)

☐ Helistamisega

☐ Meedias sh sotsiaalmeedias

☐ Asutuse/ettevõtte võrgulehel

Muu (palun

täpsusta):________________________________________________________________

Mis oli teavituse

sisu:________________________________________________________________

___________________________________________________________________________

______

___________________________________________________________________________

______

Veel pole teavitanud, kuid teavitame: (kuupäev/kuu/aasta):_____________

☐ Pole selge kas on vaja teavitada

☐ Ei ole vajalik teavitada

Kui pidasite vajalikuks isikuid mitte teavitada, siis selgitage, kuidas jõudsite järeldusele, et

rikkumisega ei kaasne isikute õigustele ja vabadustele suurt riski:

___________________________________________________________________________

______

___________________________________________________________________________

______

Kirjeldage kavandatud ja rakendatud meetmeid rikkumise lahendamiseks, kahjulike mõjude

leevendamiseks ja ennetamiseks tulevikus:

___________________________________________________________________________

______

___________________________________________________________________________

______

9. Rikkumise piiriülene mõju

Millises riigis on teie peamine tegevuskoht? (palun kirjuta riigi

nimi):___________________________

Rikkumisest on puudutatud ka teiste EL riikide isikud:

☐ Ei

☐ Jah (palun täpsusta, milliste riikide ning tooge välja isikute arv riikide lõikes. Kui puudutatud

isikuandmete koosseis on riigiti erinev, tooge ka see välja):

___________________________________________________________________________

______

Tugiteenuste osutamise kokkulepe nr 4-7/24-17-1

Justiitsministeerium, registrikood 70000898, asukoht Suur-Ameerika tn 1, 10122 Tallinn,

keda esindab kantsler Tõnis Saar, (edaspidi nimetatud Tellija või Pool või koos

Teenuseosutajaga Pooled)

ja

Riigi Tugiteenuste Keskus, registrikood 70007340, asukoht Lõkke 4, 10142 Tallinn, keda

esindab põhimääruse alusel peadirektor Pärt-Eo Rannap (edaspidi nimetatud Teenuseosutaja

või Pool või koos Tellijaga Pooled)

sõlmivad 21.02.2013 sõlmitud tugiteenuste osutamise kokkuleppe uues redaktsioonis

(edaspidi Kokkulepe) alljärgnevalt:

1. Üldsätted

1.1. Kokkuleppe eesmärgiks on reguleerida Tellija, Teenuseosutaja ning Teenuse saaja

õiguseid ja kohustusi tugiteenuste osutamisel ja saamisel ning teenuse tingimusi ja

kvaliteeti.

1.2. Poolte õiguste ja kohustuste aluseks on Eestis kehtivad õigusaktid ja Kokkulepe koos

lisadega. Kui konkreetsest sättest ei tulene teisiti, tähendab mõiste Kokkulepe

Kokkuleppe põhiteksti koos kõikide lisadega.

1.3. Kokkuleppe lahutamatu osa on Riigi Tugiteenuste Keskuse (edaspidi RTK) nõukoja

otsusega heaks kiidetud ja RTK peadirektori käskkirjaga kinnitatud järgmised

(standard)toimemudelid ja teenuse osutamise tingimused:

1.3.1. Personali- ja palgaarvestuse standardtoimemudel;

1.3.2. Riigihangete korraldamise standardtoimemudel;

1.3.3. Majandustarkvara SAP ERP administreerimise teenuse osutamise tingimused;

1.3.4. SAP aruandluskeskkonna Business Objects administreerimise teenuse osutamise

tingimused;

1.3.5. E-arvekeskuse administreerimise teenuse osutamise tingimused;

1.3.6. Riigitöötaja Iseteenindusportaali administreerimise teenuse osutamise tingimused.

1.4. Kokkuleppel on selle sõlmimise hetkel järgmised lisad:

1.4.1. Lisa 1. Justiitsministeeriumi valitsemisala finantsarvestuse toimemudel;

1.4.2. Lisa 2. Teenusega liitunud Justiitsministeeriumi valitsemisala dokumendihaldus- ja

arhiiviteenuse toimemudelid;

1.4.3. Lisa 3. Justiitsministeeriumi dokumendihaldus- ja arhiiviteenuse andmetöötlusleping;

1.4.4. Lisa 4. Justiitsministeeriumi dokumendihaldus- ja arhiiviteenuse isikuandmete

töötlemistoimingute register.

2. Tugiteenused

2.1 Tugiteenust (edaspidi Teenus) osutatakse Tellijale ja tema valitsemisala asutustele

(edaspidi ühiselt nimetatuna Teenuse saaja) ja selle all peetakse Kokkuleppes silmas:

2.1.1 finantsarvestuse teenuse osutamist koos vastava aruandlusega Teenuse saajale.

Teenuse osutamise tulemuseks on Teenuse saaja finantsarvestuse teostamine ning

aruandluse koostamine;

2.1.2 personali- ja palgaarvestuse teenuse osutamist koos vastava aruandlusega Teenuse

saajale. Teenuse osutamise tulemuseks on Teenuse saaja personaliandmete sisestuse

ja palgaarvestuse teostamine ning aruandluse koostamine;

2.1.3 majandustarkvara SAP administreerimist;

2.1.4 SAP aruandluskeskkonna Business Objects (edaspidi SAP BO) administreerimist;

2.1.5 E-arvekeskuse administreerimist;

2.1.6 Riigitöötaja Iseteenindusportaali administreerimist;

2.1.7 riigihangete korraldamise teenust vastavalt iga-aastasele hankeplaanile, mille raames

Teenuseosutaja korraldab Teenuse saaja vajadustele vastavaid riigihankeid, mis

nõuavad riigihangete seaduse kohaselt toiminguid riigihangete registris või mille

korraldamises riigihangete registris on Teenuse saaja ja teenuseosutaja kokku

leppinud. Teenuseosutaja ei korralda hankeid, mille korraldamiseks on Vabariigi

Valitsus määranud kohustusliku keskse hankija;

2.1.8 dokumendihaldus- ja arhiiviteenuse osutamist.

2.1.8.1 Käesoleva Kokkuleppe alusel osutatakse dokumendihaldus- ja arhiiviteenust Tellijale

(Justiitsministeerium) ja tema valitsemisalas paiknevatele Andmekaitse

Inspektsioonile, Konkurentsiametile ja Patendiametile. Kooskõlas 04.09.2017

sõlmitud Tugifunktsioonide koostöökokkuleppega loevad Pooled Tellijaks

ka Rahandusministeeriumi ühisosakonna dokumendihaldustalituse, välja arvatud kui

funktsioon ei ole õigusaktidest tulenevalt või oma olemuselt üleantav (nt korra või

liigitusskeemi kinnitamine).

2.2 Teenuse osutamise tingimused, ulatus, toimingud ning tööjaotus Teenuseosutaja ja

Teenuse saaja vahel, mida ei ole käesolevas Kokkuleppe punktides reguleeritud,

kirjeldatakse (standard)toimemudelites või infosüsteemide administreerimise puhul

teenuse osutamise tingimustes. 2.3 Teenuse osutamise kohustus laieneb ka nendele toimingutele, mis ei ole Kokkuleppes

otseselt sätestatud, kuid mis oma olemusest lähtuvalt kuuluvad Kokkuleppes nimetatud

Teenuse hulka.

3. Dokumendihaldus- ja arhiiviteenuse osutamise eritingimused

3.1. Käesoleva Kokkuleppe alusel volitab kokkuleppe punktis 2.1.8.1. nimetatud Teenuse

saaja Teenuseosutajat dokumendihaldus- ja arhiiviteenuse osutamiseks töötlema

Teenuse saaja ametialaseid dokumente ja andmeid, mis on osaks Teenuse saaja

dokumendihaldus- ja arhiiviteenuse korraldusest. Käesoleva Kokkuleppe tähenduses

käsitletakse Teenuse saaja dokumendihaldus- ja arhiiviteenuse osutamisel andmete

vastutava töötlejana ning Teenuseosutajat andmete volitatud töötlejana.

3.2. Dokumendihaldus- ja arhiiviteenuse osutamiseks vajalikud täpsustatud tingimused,

isikuandmete liigid ning andmesubjektide kategooriad lepitakse eraldi kokku RTK ja

Teenuse saaja vahelises andmetöötluslepingus.

3.3. Teenuseosutaja ei kaasa dokumendihaldus- ja arhiiviteenuse osutamiseks teisi andmete

volitatud töötlejaid ilma Teenuse saaja eelneva nõusolekuta.

4. Poolte kohustused ja õigused

4.1. Teenuseosutaja kohustub:

4.1.1. osutama Teenust hoolikalt ning professionaalselt kooskõlas oma tegevus- või kutsealal

kehtivate standardite ja heade kommetega;

4.1.2. lähtuma Teenuse osutamisel vastavat valdkonda reguleerivatest õigusaktidest,

Teenuse saaja kehtestatud juhenditest ja kordadest, kui Teenuse saaja on need

Teenuseosutajale edastanud, Teenuse saaja esitatud dokumentidest ning

Kokkuleppest;

4.1.3. läbi rääkima kõik olulised töökorralduslikud muudatused Teenuse saajaga, kui see

võib mõjutada Teenuse osutamist;

4.1.4. tegutsema Teenuse osutamisel Teenuse saajale lojaalselt arvestades Teenuse saaja

huvidega ning neid huve kaitsma;

4.1.5. teavitama Teenuse saajat oma parimaid teadmisi rakendades juhul, kui Teenuse saaja

poolt Teenuse osutamiseks vajalik edastatud dokument on vastuolus õigusaktidega,

sisaldab olulisi puudusi, ei ole Teenuse osutamiseks piisavalt selge või üheselt

mõistetav, samuti juhul, kui Teenuse osutajale teadaolevalt Teenuse osutamiseks

vajalik dokument puudub või esineb muu puudus, esitades ühtlasi omapoolsed

ettepanekud puuduste kõrvaldamiseks;

4.1.6. andma Teenuse saajale asjakohast teavet kõikvõimalikes Teenuse osutamisega seotud

küsimustes (sh nõustama Teenuse osutamisega seotud küsimustes) ning võimaldama

Teenuse saaja esindajate ligipääsu Teenuse osutamisega seotud andmetele;

4.1.7. võimaldama Teenuse saajale ligipääsu juhtimisinfole ja aruandlusele SAP BO kaudu.

Teenuseosutaja muudab olemasolevaid aruandeid või lisab uusi aruandeid Teenuse

saaja põhjendatud taotluse korral, kui vajalikud andmed on majandustarkvarast SAP

kättesaadavad;

4.1.8. vajadusel esindama Teenuse saajat teiste isikute või asutuste ees Teenuse osutamisega

seotud küsimuste või vaidluste lahendamisel (standard)toimemudelis määratud

ulatuses või Teenuse saaja sellekohase nõusoleku või volituse olemasolul;

4.1.9. kõrvaldama kokkulepitud tähtaja jooksul kõik Teenuse osutamist mõjutavad puudused

või takistused, kui need on olemuslikult Teenuseosutaja poolt kontrollitavad;

4.1.10. hüvitama Teenuse saajale varalise kahju, kui see tekkis Teenuseosutaja poolse

Teenuse mittenõuetekohase osutamise tõttu ning vajadusel esindama Teenuse saajat

kahju sissenõudmisel või vaidluste lahendamisel;

4.1.11. säilitama Teenuse osutamisega seotud andmeid õigusaktides sätestatud või Teenuse

saajaga kokku lepitud tähtaegade vältel. Juhul kui kehtivast õigusaktist ei tulene

andmete või dokumentide säilitamiskohutust, siis Tellija eelneval juhendamisel või

nõusolekul need andmed või dokumendid kustutama või tagastama;

4.1.12. mitte avaldama ilma Tellija eelneva nõusolekuta Teenuse osutamise käigus teatavaks

saanud andmeid kolmandatele isikutele, v.a kui selliste andmete avaldamise kohustus

tuleneb õigusaktist ning eelneva nõusoleku küsimiseks puudub vajadus. Pooled on

kokku leppinud, et mõlemal juhul teavitab Teenuseosutaja andmete avaldamise

vajaduse või kohustuse tekkimisel viivitamata Tellija esindajat;

4.1.13. töötlema temale Teenuse osutamise käigus edastatud andmeid vaid ulatuses, mis on

vajalik Teenuse osutamiseks;

4.1.14. esitama aruandeid ja andmeid ning andma selgitusi Teenuse saaja siseauditi üksusele,

Riigikontrollile vm kontrolliorganile auditeerimise protseduuri ning õigusaktidest

tuleneva kontrolli läbiviimiseks, kui õigusaktidest ei tulene teisiti;

4.1.15. tagama Teenuse saajale juurdepääsu SAP testkeskkonnale Teenuse saaja

sidussüsteemide arendamisel vajaliku testkeskkonna loomiseks;

4.1.16. viivituseta teavitama Teenuse saaja andmekaitsespetsialisti seotud rikkumisest teada

saamisest kooskõlas isikuandmete kaitse üldmääruse (Euroopa Parlamendi ja

Nõukogu määrus) nr (EL) 2016/679) artikliga 33.

4.2. Teenuseosutajal on õigus keelduda Teenuse või selle osa osutamisest vastavas osas kuni

Teenuse saaja poolsete kohustuste täitmiseni, kui Teenuse saaja ei täida punktis 4.3.1.-

4.3.3. nimetatud kohustusi ning see takistab Teenuse osutamist.

4.3. Teenuse saaja kohustub:

4.3.1. esitama Teenuseosutajale Teenuse osutamiseks vajaliku teabe (standard)toimemudelis

määratud või Poolte esindajate poolt kokku lepitud aja jooksul ja sidekanaleid

kasutades;

4.3.2. võimaldama vajaduse korral juurdepääsu Teenuse osutamiseks vajalikele

andmebaasidele ja infosüsteemidele;

4.3.3. informeerima viivitamata Teenuseosutajat kõikidest asjaoludest, mis võivad mõjutada

Teenuse osutamise käiku;

4.3.4. läbi rääkima Teenuseosutajaga kõik muudatused Teenuse saaja juhendites ja

eeskirjades kui need on seotud Teenuse osutamisega;

4.3.5. kõrvaldama mõistliku aja jooksul kõik Teenuse saajast tingitud Teenuse osutamist

mõjutavad puudused või takistused;

4.3.6. hüvitama Teenuseosutajale riigihanke tugiteenuse osutamisel vaidlustuse ja

kohtumenetlusega seotud kulud, kui vaidlustus või kaebus on esitatud riigihanke

tingimuste ja toimingute kohta, mille eest vastutab vastavalt riigihangete korraldamise

standardtoimemudelile Teenuse saaja ja eeldusel, et need kulud on eelnevalt

Teenuseosutaja poolt Teenuse saajaga kooskõlastatud vastavalt

standardtoimemudelile.

4.4. Teenuse saajal on õigus:

4.4.1. saada Kokkuleppes nimetatud Teenust kooskõlas kehtivate õigusaktidega ja käesoleva

Kokkuleppega; 4.4.2. nõuda varalise kahju hüvitamist, kui see tekkis Teenuseosutaja poolse Teenuse

mittenõuetekohase osutamise tõttu;

4.4.3. kasutada majandustarkvara SAP testbaasi (SAP500) andmesisestuseks SAPi andmeid

kasutavate asutuste teiste infosüsteemide testimiseks.

4.5. Teenuse mitteosutamiseks või ebakvaliteetseks täitmiseks ei loeta teenuse katkestusi või

rikkumisi, mis on tingitud asjaoludest, mille üle Teenuseosutajal puudub kontroll

(vääramatu jõud). Kui Teenuseosutaja soovib vääramatu jõu asjaolule tugineda, peab ta

sellest Tellijat teavitama esimesel võimalusel.

4.6. Vääramatu jõud ei vabasta Pooli kohustusest võtta tarvitusele kõik võimalikud abinõud

käesoleva Kokkuleppe mittetäitmise või mittekohase täitmisega tekkida võiva kahju

vältimiseks või vähendamiseks.

5. Infoturve ja andmekaitse

5.1. Pooled järgivad isikuandmete töötlemisel isikuandmete kaitse seaduses ja isikuandmete

kaitse üldmääruses (Euroopa Parlamendi ja Nõukogu määrus nr (EL) 2016/679) toodud

andmekaitse põhimõtteid ja muid infoturvet reguleerivaid õigusakte.

5.2. Käesoleva Kokkuleppe alusel töötleb Teenuseosutaja isikuandmeid Teenuseosutaja

põhimääruses sätestatud ülesannete ja käesolevast Kokkuleppest tulenevate ülesannete

täitmiseks. Teenuse osutamiseks vajalikud täpsustatud tingimused, isikuandmete liigid,

andmesubjektide kategooriad lepitakse vajadusel Teenuse saajaga kokku erialdiseisvas

kokkuleppes.

5.3. Pooled tagavad Kokkuleppe täitmise ajal ja pärast selle lõppemist määramata tähtaja

jooksul Kokkuleppe täitmise käigus teineteiselt saadud teabe, mis on kas kirjalikus või

digitaalses vormis varustatud märkega "konfidentsiaalne" või millel on märge

juurdepääsupiirangu kohta (eelkõige kuid mitte ainult AvTS alusel) või, kui see teabe

avaldamise asjaolusid silmas pidades on asjakohane, teavitanud konfidentsiaalsusest

suuliselt, konfidentsiaalsuse ja ei anna seda edasi ega võimalda sellele teabele

juurdepääsu kolmandatele isikutele ilma teise poole sellekohase kirjaliku nõusolekuta.

5.4. Teenuseosutaja kindlustab Teenuse saaja andmete haldamisel andmete käideldavuse,

konfidentsiaalsuse ja terviklikkuse. Teenuseosutaja tagab, et Teenuse osutamiseks

isikuandmeid töötlema volitatud isikud on kohustunud järgima andmete töötlemise

konfidentsiaalsusnõudeid.

5.5. Teenuseosutaja vastutab tema poolt töödeldavate Teenuse saaja andmete volitamata või

juhusliku hävimise või hävitamise kaitseks meetmete rakendamise eest või rakendamata

jätmise eest.

6. Teabevahetus

6.1. Teabevahetus toimub kirjalikku taasesitamist võimaldavas vormis (sh kirjalikult või

elektrooniliselt). Teave tuleb esitada samas vormis kui see on küsitud, kui teine Pool ei

ole täpsustanud, millises vormis vastust ta soovib, v.a kui teave sisaldab

konfidentsiaalseid andmeid, mh isikuandmeid. Sellisel juhul tuleb teave edastada

krüpteeritult või läbi turvalise kanali.

6.2. Pool vastab teise Poole esitatud küsimusele, järelepärimisele, teabe nõudmisele vms

võimalikult kiiresti, kuid mitte hiljem kui 5 tööpäeva jooksul arvates küsimisest. Pooled

võivad vastamiseks kokku leppida muu tähtaja.

6.3. Kokkuleppega seotud teated edastatakse teisele Poolele asutuse üldkontakti ja asutust

RTK nõukojas esindava liikme kaudu.

6.4. Teenuseosutaja kontaktisikud, kellel on õigus anda Kokkuleppega seotud nõusolekuid

ja volitusi ning teha Teenuseosutaja nimel muid toiminguid peale Kokkuleppe

muutmise, lepitakse kokku käesoleva Kokkuleppe Lisa(de)s või punkti 3.2 alusel või

muul kirjalikku taasesitamist võimaldaval viisil.

6.5. Teenuse saaja kontaktisikuks, kellel on õigus anda Kokkuleppega seotud nõusolekuid

ja volitusi ning teha Teenuse saaja nimel muid toiminguid peale Kokkuleppe muutmise,

lepitakse kokku käesoleva Kokkuleppe Lisa(de)s või punkti 3.2 alusel või muul

kirjalikku taasesitamist võimaldaval viisil.

7. Vaidluste lahendamine

Kõik Kokkuleppest tulenevad või sellega seotud vaidlused lahendatakse Poolte vahel

läbirääkimiste teel ja Kokkuleppe mittesaavutamise korral lahendatakse vaidlused

Teenuseosutaja nõukojas, kuhu kuulub ka Tellija esindaja.

8. Kokkuleppe kehtivus ja muutmine

8.1. Kokkulepe jõustub 1. mail 2024 a. ja on sõlmitud tähtajatult. Käesoleva Kokkuleppe

jõustumisel loetakse lõppenuks Poolte vahel 23. märtsil 2023.a sõlmitud „Tugiteenuste

osutamise kokkulepe“ nr. 1-5/23/51-1.

8.2. Teenuse saaja teavitab Teenuseosutajat kuus kuud ette kui ta soovib dokumendihaldus-

ja arhiiviteenusest loobuda, välja arvatud juhul kui Teenuseosutaja rikub oluliselt

isikuandmete töötlemise nõudeid.

8.3. Käesoleva Kokkuleppe muudatused vormistatakse kirjalikus või elektroonilises vormis,

kui Kokkuleppes ei ole ette nähtud teisiti.

8.4. Standardtoimemudelite ja teenuse osutamise tingimuste muudatused kiidab heaks RTK

nõukoda ning need kinnitatakse RTK peadirektori käskkirjaga. Muudatused jõustuvad

alates kinnitamisest, va kui kinnitamise otsuses on märgitud teisti. Teenuseosutaja

avaldab kehtiva versiooni standardtoimemudelitest ja teenuse osutamise tingimustest

oma kodulehel.

(Allkirjastatud digitaalselt) (Allkirjastatud digitaalselt)

Tõnis Saar Pärt-Eo Rannap

Kantsler Peadirektor

Tugiteenuste osutamise kokkulepe nr 4-7/24-17-1 muudatus nr 1 nr 1-5/24/460-1

Justiits- ja Digiministeerium, registrikood 70000898, asukoht Suur-Ameerika 1, 10122

Tallinn, keda esindab kantsler Tõnis Saar, (edaspidi nimetatud Tellija või Pool või koos

Teenuseosutajaga Pooled)

ja

Riigi Tugiteenuste Keskus, registrikood 70007340, asukoht Lõkke 4, 10142 Tallinn, keda

esindab põhimääruse alusel peadirektor Pärt-Eo Rannap (edaspidi nimetatud Teenuseosutaja

või Pool või koos Tellijaga Pooled)

lepivad kokku 21.02.2013 sõlmitud tugiteenuste osutamise kokkuleppe, mida on viimati

muudetud 03.07.2024 a. sõlmitud kokkuleppega nr 4-7/24-17-1 (edaspidi Kokkulepe)

muutmises alljärgnevalt:

1. Muuta Kokkuleppe punkti 2.1.7 ja sõnastada see järgnevalt:

„2.1.7 riigihangete korraldamise teenust vastavalt iga-aastasele hankeplaanile, mille raames

Teenuseosutaja korraldab Teenuse saaja vajadustele vastavaid riigihankeid, mis nõuavad

riigihangete seaduse kohaselt toiminguid riigihangete registris või mille korraldamises

riigihangete registris on Teenuse saaja ja Teenuseosutaja kokku leppinud. Teenuseosutaja ei

korralda hankeid, mille korraldamiseks on Vabariigi Valitsus määranud kohustusliku keskse

hankija. Riigihangete korraldamise teenust osutatakse Tellijale ja selle valitsemisalas olevatele

asutustele, välja arvatud Riigi Infosüsteemi Ametile ja Riigi Info- ja

Kommunikatsioonitehnoloogia Keskusele.“;

2. Muudatus jõustub 1. jaanuarist 2025. aastast.

(Allkirjastatud digitaalselt) (Allkirjastatud digitaalselt)

Tõnis Saar Pärt-Eo Rannap

Kantsler Peadirektor