| Dokumendiregister | Sotsiaalkindlustusamet |
| Viit | 5.2-9/4942-1 |
| Registreeritud | 30.05.2025 |
| Sünkroonitud | 03.06.2025 |
| Liik | Muu leping |
| Funktsioon | 5.2 Õigusteenus |
| Sari | 5.2-9 Lepingud (sh lepingust tulenevad aktid, aruanded, kirjavahetus, muutmistaotlused) |
| Toimik | 5.2-9.4 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Marie Johanson (SKA, Üldosakond) |
| Originaal | Ava uues aknas |
Isikuandmete volitatud töötlemise leping TÖR nr 5.2-9/4942-1 Käesolev isikuandmete töötlemise leping (edaspidi “Leping) on sõlmitud järgnevalt nimetatud isikute vahel: Sotsiaalkindlustusamet (edaspidi Vastutav töötleja), registrikood 70001975, asukoht Paldiski mnt 80, 15092 Tallinn, mida esindab põhimääruse alusel peadirektor Maret Maripuu ja Meliva AS (edaspidi Volitatud töötleja), registrikood 10303948, asukoht Jalgpalli tn 1, 11312 Tallinn, keda nimetatakse Lepingus eraldi Pool või koos Pooled. Käesoleva Lepinguga reguleeritakse isikuandmete kaitse üldmääruse (EL) 2016/679 artikli 28 kohaseid õigusi ja kohustusi ning tagatakse, et Volitatud töötleja töötleb Vastutava töötleja nimel isikuandmeid kooskõlas isikuandmete kaitse üldmäärusega ja vastutava töötleja juhistega, samuti käesoleva Lepinguga. Käesolev Leping on Poolte vahel sõlmitud töötervishoiuteenuste osutamise lepingu (edaspidi TTO Leping) lisa. Pooled on kokku leppinud järgmises: 1. TÖÖTLEMISE ULATUS JA EESMÄRK 1.1 TTO Lepingu alusel osutab Volitatud töötleja Vastutavale töötlejale töötervishoiuteenuseid.
TTO Lepingu lisana on Pooled sõlminud ka andmetöötluslepingu, mis reguleerib Poolte üldisi kohustusi ja vastutusi isikuandmete töötlemisel seoses töötervishoiu korraldamisega. Käesoleva Lepinguga lepivad Pooled kokku kitsamalt Maksu- ja Tolliameti poolt peetava töötamise registri kasutamises Volitatud töötleja poolt.
1.2 Töötervishoiuteenuste korraldamiseks on Volitatud töötlejal vaja saada teavet töötervishoiukontrolli subjektide (Vastutava töötleja töötajad) töösuhete kehtivuse kohta. Nimetatud kohustuse efektiivsemaks täitmiseks annab Vastutav töötleja Volitatud töötlejale ligipääsu Maksu- ja Tolliameti poolt peetavale töötamise registrile Vastutava töötleja nimel. Volitatud töötleja toimingud töötamise registri kasutamisel on piiratud TTO Lepingu täitmiseks vajalike andmete vaatamise ning salvestamisega Volitatud töötleja infosüsteemi nende edasiseks töötlemiseks TTO Lepingu täitmise eesmärgil. Töödeldavate isikuandmete koosseis on täpsustatud Lisas 1.
1.3 Volitatud töötlejal ei ole õigust töödelda Maksu- ja Tolliameti poolt peetavast töötamise registrist saadud andmeid Vastutava töötleja andmeid mistahes muul, kui käesolevas Lepingus ja TTO Lepingus sätestatud eesmärgil, välja arvatud juhul, kui Vastutav töötleja on andnud igal üksikjuhul selleks eelneva kirjaliku nõusoleku.
2. VOLITATUD TÖÖTLEJA KOHUSTUSED 2.1 Volitatud töötleja on kohustatud töötlema isikuandmeid üksnes Vastutava töötleja poolt
antud dokumenteeritud juhiste kohaselt ja kooskõlas käesoleva Lepingu, TTO Lepingu, isikuandmete kaitse üldmääruse ja muude kohaldatavate andmekaitse alaste õigusaktide või eeskirjadega. Vastutava töötleja juhised käesoleva Lepingu sõlmimise ajal on sätestatud Lepingu Lisas 1.
2.2 Kui Volitatud töötlejal ei ole vajalikke juhiseid või Lepingu kohaseks täitmiseks vajalikku muud teavet, peab Volitatud töötleja hankima kõnealused juhised ja teabe Vastutavalt töötlejalt.
2.3 Volitatud töötleja on kohustatud edastama Vastutavale töötlejale viivitusteta kõik andmesubjektide, Andmekaitseinspektsiooni või muude kolmandate isikute poolt esitatud päringud või pöördumised, mis puudutavad volitatud töötlemise toiminguid või töödeldavaid andmeid. Volitatud töötlejal on keelatud ilma Vastutav töötleja eelneva nõusolekuta nimetatud päringutele või pöördumistele vastata või muul viisil nimetatud teabe osas kolmandate isikutega suhelda. Volitatud töötleja on kohustatud abistama Vastutavat töötlejat andmesubjekti poolt nõude esitamise korral, andmesubjekti õiguste teostamisel kooskõlas isikuandmete kaitse üldmääruse III. peatükiga.
2.4 Volitatud töötlejal on keelatud hoida Vastutava töötleja nimel töödeldavaid isikuandmeid väljaspool Euroopa Liitu või Euroopa Majanduspiirkonda või edastada neid mistahes kolmandatele isikutele, kui seadusest või Vastutava töötleja juhistest ei tulene teisiti.
2.5 Volitatud töötleja on kohustatud hoidma ennast kursis kõikide kohalduvate andmekaitsealaste õigusaktide nõuetega ning nende muudatustega. Volitatud töötleja on kohustatud koheselt teavitama Vastutavat töötlejat, kui Vastutava töötleja korraldus läheb tema arvates vastuollu isikuandmete kaitse üldmääruse või EL liikmesriigi või EL õiguse muude andmekaitsealaste sätetega.
3. TURVAMEETMED 3.1 Volitatud töötleja kohustub rakendama kõiki asjakohaseid tehnilisi ja organisatsioonilisi
meetmeid, mis tagavad isikuandmete nõuetekohase turvalisuse taseme vastavalt isikuandmete kaitse üldmäärusele ja Vastutava töötleja juhistele (edaspidi „Turvameetmed“). Vastutava töötleja poolsed minimaalsed nõuded Turvameetmetele on sätestatud Lepingu lisas 1.
3.2 Volitatud töötleja peab kogu Lepingu kehtivusaja kestel tagama, et tema Turvameetmed on dokumenteeritud ja asjakohased arvestades tehnika arenguga. Volitatud töötleja peab võtma arvesse ametiasutuste otsuseid, mis puudutavad isikuandmete töötlemise kaitsemeetmeid. Õigusaktidest või järelevalveasutuste otsustes tulenevalt rakendab Volitatud töötleja muudatused või täiendavaid Turvameetmed omal kulul.
3.3 Volitatud töötleja teavitab viivitamatult Vastutavat töötlejat isikuandmetega seotud rikkumistest, olulistest andmeturbe tõrgetest ning samuti juhul, kui on alust arvata, et mistahes kolmandal isikul on või on olnud volitamata juurdepääs isikuandmetele.
4. PARANDAMINE
Volitatud töötleja kohustub võtma kõik töötlemise eesmärgiga seotud mõistlikud meetmed ebaõigete või mittetäielike isikuandmete parandamiseks, neile juurdepääsu tõkestamiseks või kustutamiseks, ning tagamiseks, et isikuandmeid ei hoita kauem kui on vajalik töötlemise eesmärgil.
5. TEAVE JA AUDITEERIMINE 5.1 Volitatud töötleja on kohustatud andma Vastutavale töötlejale kogu teabe, mis on vajalik
tõendamaks Volitatud töötleja tegutsemist vastavuses käesoleva Lepinguga. 5.2 Vastutaval töötlejal (töötlejal endal või kolmandast isikust audiitori kaudu) ja asjaomastel
järelevalveasutustel on õigus auditeerida Volitatud töötleja käesolevast Lepingust tulenevate kohustuste täitmist. Auditeerimisõigus hõlmab õigust teha kohapealseid kontrollimisi Volitatud töötleja tööruumides. Auditeerimine toimub tööajal ja Volitatud töötlejale teatatakse sellest mõistliku aja võrra ette. Järelevalveasutuste korraldatud auditite puhul selline etteteatamise kohustus ei kehti. Lepinguosalised kannavad ise neile seoses auditeerimisega tekkinud kulud.
6. ALLTÖÖVÕTJATE KASUTAMINE
Volitatud töötleja ei või kasutada alltöötlejaid päringute tegemiseks Maksu- ja Tolliameti töötajate registrisse Vastutava töötleja nimel. Käesolev piirang ei piira Volitatud töötleja õigust kasutada alltöötlejaid TTO lepingus ja selle lisades (s.h. selle lisana sõlmitud andmetöötlusleping) sätestatud tingimustel ulatuses, milles see on vajalik töötervishoiuteenuse osutamiseks.
7. TÖÖTLEMISE LÕPETAMINE Käesoleva Lepingu lõppemise korral või muul juhul Vastutava töötleja taotluse alusel, Vastutava töötleja valikul, hävitab Volitatud töötleja viivitamata kõik isikuandmed või edastab ja tagastab need Vastutava töötleja nõutud teabekandjal ja vormis, v.a. andmed, mille töötlemiseks, sh. säilitamiseks on Volitatud töötlejal iseseisev õiguslik alus (Volitatud töötleja on nimetatud andmete suhtes ühtlasi ka vastutavaks töötlejaks andmekaitse üldmääruse tähenduses).
8. KONFIDENTSIAALSUS Volitatud töötlejal on keelatud avaldada Vastutava töötleja nimel töödeldavaid isikuandmeid mistahes viisil või vormis kolmandatele isikutele. Kõik isikuandmed kujutavad endast konfidentsiaalset teavet, mistõttu ka oma organisatsiooni sees võimaldab Volitatud töötleja juurdepääsu isikuandmetele üksnes sellistele töötajatele, kellel on vaja isikuandmeid teada või neile muul viisil juurde pääseda TTO Lepingu täitmiseks. Volitatud töötleja tagab, et sellised töötajad, kes võivad kokku puutuda isikuandmetega, säilitavad andmete konfidentsiaalsuse samas ulatuses kui volitatud töötleja kooskõlas lepinguga.
9. KAHJUNÕUDED
Volitatud töötleja kohustub abistama Vastutavat töötlejat kahjunõuete tõrjumisel ning hüvitama kahjud, mis tekivad Vastutaval töötlejale seoses Volitatud töötleja poolt õigusaktidest või Lepingust tulenevate isikuandmete töötlemise nõuete rikkumisega, välja arvatud juhul, kui rikkumise tingisid Vastutava töötleja antud juhised.
10. KEHTIVUS
Käesolev leping jõustub selle allkirjastamisest mõlema Poole poolt ning kehtib kuni Volitatud töötleja poolt Vastutava töötleja nimel isikuandmete töötlemise lõppemiseni.
11. VAIDLUSTE LAHENDAMINE JA KOHALDATAV ÕIGUS
Juhul, kui käesoleva Lepinguga seoses tekib vaidlus, mida ei ole võimalik või mida ei suudeta lahendada Poolte kokkuleppel, lahendatakse vaidlus Harju Maakohtus. Lepingule kohaldatakse Eesti õigust.
_____________________________ Käesolev leping on allkirjastatud digitaalselt.
Lisa 1
Isikuandmete töötlemise juhend Vastavalt Lepingule on Volitatud töötleja kohustatud töötleme isikuandmeid vastavuses Vastutava töötleja poolt antud dokumenteeritud juhistele. Käesolev dokument kirjeldab Volitatud töötleja poolt teostatavad töötlemise toimingud ning sätestab minimaalsed turvanõuded töötlemise protsessile. 1. Üldist Käesolev juhend sätestab juhised Volitatud töötlejale isikuandmete töötlemiseks Vastutava töötleja nimel. 2. Isikuandmete töötlemisega seotud toimingud Andmetöötlustoimingud: Volitatud töötleja töötleb Vastutava töötleja nimel isikuandmeid TTO Lepingust tuleneva Vastutava töötleja kohustuse täitmiseks, milline on seotud Vastutava töötleja töötajatele töötervishoiukontrollide teostamine. Töödeldavate andmete kategooriad: Isiku nimi, isikukood (sünniaeg), kodakondsus, ametikoht, töösuhte algus, töösuhte lõpp, töötamise liik, töölepingu peatamise teave, kande muutmise aeg, kande olek. Eriliiki andmed: Ei saa ligipääsu (selguse huvides, kuigi Volitatud töötleja ei saa käesoleva Lepingu alusel ligipääsu eriliiki isikuandmetele, töötleb Volitatud töötleja TTO Lepingu täitmisel siiski eriliiki isikuandmeid (terviseandmeid), millise töötlemise osas on Volitatud töötleja reeglina üldmääruse tähenduses vastutava töötleja rollis ning millisele töötlemisele kohaldub TTO Lepingu lisana sõlmitud andmetöötlusleping). Andmesubjektid: Vastutava töötleja töötajad. Andmetöötlusel kasutatavad süsteemid: Vastutava töötleja nimel andmete töötlemine toimub Maksu- ja Tolliameti töötamise registris. Isikuandmete säilitamise tähtaeg: Volitatud töötleja ei säilita isikuandmeid Vastutava töötleja nimel. Spetsiaalsed turvameetmed: Ei rakendata. 3. Nõuded Volitatud töötleja töötajatele Volitatud töötleja on kohustatud tagama, et Volitatud töötleja töötajatele (edaspidi „Töötajad“), kes omavad ligipääsu Volitatud töötleja poolt Vastutava töötleja nimel töödeldavatele isikuandmetele, kehtiks nende andmete saladuses hoidmise kohustus. Volitatud töötleja tagab, et Töötajatel, kes osalevad isikuandmete töötlemis protsessis, on tegevuste edukaks läbiviimiseks vajalikud kutseoskused, samuti nende ülesannete teostamiseks vajalik asjakohane väljaõpe ja pädevus. See tähendab, et nendel Volitatud töötleja Töötajatel peavad olema piisavad teadmised ja koolitus isikuandmete töötlemise, turbepoliitika ja töötlemistoimingute kohta. Volitatud töötleja vastutab ja tagab omal kulul, et töötajad, kes Lepingu raames osalevad isikuandmete töötlemisel oleksid teavitatud Lepingus, sh. käesolevas dokumendis sätestatud kohustustest.
4. Infoturbe nõuded Volitatud töötleja kohustub rakendama kõiki asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada isikuandmete töötlemisega seotud turvalisus ( edaspidi “Turvameetmed”). Turvameetmed peavad alati olema vastavuses kõigi kohalduvate õigusaktide ning Andmekaitseinspektsiooni üldiste soovitustega. Volitatud töötleja poolt rakendatavad Turvameetmed peavad sisaldama vähemalt alljärgnevat: • takistama volitamata isikute juurdepääsu isikuandmete töötlemise süsteemidele, • takistama isikuandmete töötlemise süsteemide ilma loata kasutamist, • tagama, et isikuandmete töötlemise süsteemi kasutavatel isikutel oleks juurdepääs ainult neile isikuandmetele, millele neil on juurdepääs vastavalt nende kasutusõigustele, ning et töötlemise, kasutamise või säilitamise ajal ei saa isikuandmeid lugeda kopeerida, muuta või kustutada ilma loata, • tagama, et isikuandmeid ei saaks elektroonilise edastamise, transportimise või säilitamise ajal ilma loata lugeda, kopeerida, muuta ega kustutada ning et isikud, kellele mistahes isikuandmeid andmeedastusvõimaluste abil edastatakse, oleks võimalik tuvastada ja kontrollida, • tagama võimaluse kontrollimaks, kas ja kelle poolt isikuandmeid on isikuandmete töötlemisel sisestatud, muudetud või eemaldatud, • tagama, et isikuandmeid töödeldakse ainult vastavalt Vastutava töötleja juhistele, • tagama, et isikuandmed oleksid kaitstud juhusliku hävitamise või kadumise eest, • tagama, et erinevatel eesmärkidel kogutud isikuandmeid saaks eraldi töödelda. Volitatud töötlejal peab olema määratletud ja asjakohane andmeturbe protsess tagamaks andemete turvalisuse Vastutavale töötlejale teenuste osutamise käigus. Volitatud töötleja vastutab andmete töötlemise turvalisuse pideva parandamise ja teenuste osutamisega seotud andmeturbe riskide regulaarse (vähemalt kord aastas) hindamise eest. Volitatud töötlejal peab olema ajakohane ja hästi rakendatud turvalisuse / privaatsuse poliitika (või samaväärne dokument) ja tema organisatsioonis määratud isikud, kes vastutavad andmekaitse ja andmete turvalisuse eest. See poliitika peab sisaldama vähemalt järgmist teavet: • kuidas isikuandmeid tuleb töödelda, • kelle poole peab töötaja pöörduma tõrgete korral, • intsidendid või turvalisuse rikkumised, • juurdepääsuõiguste tasemed erinevat tüüpi isikuandmetele, • varundamise protseduurid • hädaolukorra plaani. Vastutava töötleja nõudel on Volitatud töötleja kohustatud eelnimetatud poliitika Vastutavale töötlejale edastama. 5. Nõuded andmeturbe aruandlusele Volitatud töötlejal peab olema rakendatud andmeturbe intsidentide haldamise protsess, mis kirjeldab andmeturbe juhtumite haldamisega seotud isikud, rollid ja ülesanded. Volitatud töötleja on kohustatud teavitama Vastutavat töötlejat viivitamatult e-posti teel aadressil [email protected] igast andmetöötlusnõuete rikkumisest või selle kahtlusest, kui sellega kaasneb või võib kaasneda Volitatud töötleja poolt Vastutava töötleja nimel töödeldavate isikuandmete juhuslik hävimine või kaotsiminek, ebaseaduslik hävitamine, muutmine, avalikustamise või volitamata juurdepääsu saamine. Volitatud töötleja peab viivitamatult teatama Vastutava töötleja kontaktisikutele kõikidest Volitatud töötleja poolt Vastutava töötleja nimel töödeldavate andmete andmeturbe nõuete täitmatajätmisega seotud olukordadest. Teave, mis tuleb esitada, hõlmab muu hulgas häireid, probleeme, vahejuhtumeid ja muudatusi, mis võivad mõjutada andmete turvalisust või andmekaitse või andmete turvalisuse kontrolli, samuti kõiki sündmusi, mis võivad ohustada isikuandmete konfidentsiaalsust, terviklikkust või kättesaadavust. Lisaks sellele peab Volitatud
töötleja võtma oma vastutusalas tarvitusele meetmed, mis on vajalikud, et piiritleda ja minimeerida häirete, probleemide, vahejuhtumite või muude isikuandmetega seotud sündmuste põhjustatud kahju. Volitatud töötleja peab Vastutava töötleja nõudmisel analüüsima sündmust ja andma Vastutavale töötlejale analüüsi tulemused. 6. Auditeerimise õigus Vastutaval töötlejal (endal või kolmandast isikust audiitori kaudu) ja asjaomastel järelevalveasutustel on õigus kontrollida Volitatud töötleja tegevuse vastavust õigusaktidele ja Lepingule. Sellise auditi puhul võtab Volitatud töötleja tarvitusele kõik mõistlikud meetmed auditi hõlbustamiseks ja esitab kogu teabe ja muud materjalid, mis on auditi jaoks vajalikud. (allkirjastatud digitaalselt) (allkirjastatud digitaalselt) Maret Maripuu Kairi Vuks peadirektor
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 13.03.2025 | 1 | 5.2-9/4761-1 | Muu leping | ska |