3.1.3. kasutama ja töötlema punktis 2.2 nimetatud isikuandmeid üksnes Põhilepingu
täitmiseks ja SKA dokumenteeritud juhiste alusel, välja arvatud juhul, kui
teenuseosutaja on kohustatud teavet töötlema teenuseosutaja suhtes kohalduva
õiguse alusel. Viimati nimetatud juhul teavitab kirjalikult taasesitatavas vormis
teenuseosutaja SKA-d vastava kohustuse olemasolust enne teabe töötlemist;
3.1.4. võimaldama juurdepääsu punktis 2.2 nimetatud isikuandmetele ainult nendele
töötajatele, kellel on selleks oma tööülesannete täitmiseks vajadus ning tagama, et
need töötajad tunnevad ja järgivad isikuandmete töötlemise alaseid nõudeid ja
õigusakte, nad on saanud asjakohase koolituse eelmainitud nõuete kohta, on
võtnud endale konfidentsiaalsuskohustuse;
3.1.5. rakendama järgmisi organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid
punktis 2.2 nimetatud isikuandmete kaitseks:
3.1.5.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks
kasutatavatele seadmetele;
3.1.5.2. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist
andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
3.1.5.3. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist
ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt
ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle
poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
3.1.5.4. tagama, et andmetöötlussüsteemi olemasolul oleks igal kasutajal
juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale
lubatud andmetöötluseks;
3.1.5.5. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele
ja millised isikuandmed edastati, samuti selliste andmete muutusteta
säilimise;
3.1.5.6. tagama, et isikuandmete edastamisel andmesidevahenditega ja
andmekandjate transportimisel ei toimuks isikuandmete omavolilist
lugemist, kopeerimist, muutmist või kustutamist,
3.1.6. teavitama SKA-d toimunud või põhjendatult kahtlustatavast Lepingu punktis 3.1.4.
sätestatud konfidentsiaalsuskohustuse rikkumisest viivitamata, kuid hiljemalt
kahekümne nelja tunni jooksul alates rikkumise avastamisest;
3.1.7. teavitama SKA-d Lepingu punktides 3.1.5.- 3.1.5.6. turvameetmete rikkumisest, mis
põhjustab, on põhjustanud või võib põhjustada edastatavate, salvestatud või muul
viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise,
kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu, kirjalikult
viivitamata, kuid mitte hiljem kui kakskümmend neli tundi pärast sellest teada
saamist. Juhul, kui rikkumisest teadasaamine langeb nädalavahetusele või riiklikule
pühale, kohustub teenuseosutaja SKA-d kirjalikult teavitama viivitamatult, kuid mitte
hiljem kui nelikümmend kaheksa tundi pärast rikkumisest teada saamist. Kirjeldatud
teates tuleb vähemalt:
3.1.7.1. kirjeldada isikuandmetega seotud rikkumise laadi, sealhulgas puudutatud
andmesubjektide liike ja arvu ning puudutatud kirjete liike ja arvu;
3.1.7.2. teatada andmekaitsespetsialisti või mõne teise täiendavat teavet andva
kontaktisiku nimi ja kontaktandmed;
3.1.7.3. soovitada meetmeid isikuandmetega seotud rikkumise võimalike
negatiivsete mõjude leevendamiseks;
3.1.7.4. kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;
3.1.7.5. kirjeldada teenuseosutaja poolt pakutud või võetud meetmeid
isikuandmetega seotud rikkumisega tegelemiseks;
3.1.7.6. esitada muud teavet, mis on mõistlikult nõutav, et SKA saaks täita
kohaldatavaid andmekaitse õigusakte, sealhulgas riigiasutustega seotud
teavitamise ja avaldamise kohustusi, näiteks teavet, mis on nõutav
andmesubjekti tuvastamiseks,
3.1.8. lõpetama punktides 3.1.6. või 3.1.7. nimetatud rikkumise ning kohaldama meetmeid
isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral
rikkumise võimaliku kahjuliku mõju kõrvaldamiseks ja leevendamiseks;
3.1.9. kustutama Põhilepingu lõppemisel kõik punktis 2.2 nimetatud isikuandmed ja
nimetatute koopiad 30 päeva jooksul, v.a juhul, kui õigusaktidest või Põhilepingust
tuleneb teisiti;