Dokumendiregister | Riigi IT Keskus |
Viit | 7-2.2/25-171-1 |
Registreeritud | 03.07.2025 |
Sünkroonitud | 04.07.2025 |
Liik | Leping |
Funktsioon | 7 Kvaliteedi ja teenusehalduse korraldamine |
Sari | 7-2.2 Koostöökokkulepped |
Toimik | 7-2.2 Koostöökokkulepped |
Juurdepääsupiirang | Avalik |
Juurdepääsupiirang | |
Adressaat | |
Saabumis/saatmisviis | |
Vastutaja | Ave Aun |
Originaal | Ava uues aknas |
KOOSTÖÖKOKKULEPE nr 7-2.2/25-171-1 E-dok OÜ (registrikood 12755407), asukohaga Pärnu mnt 18, 10141 Tallinn, keda esindab põhikirja alusel juhatuse liige Märt-Martin Arengu (edaspidi tellija), ja Riigi Info- ja Kommunikatsioonitehnoloogia Keskus (registrikood 77001613), asukohaga Lõõtsa 8a, 11415 Tallinn, keda esindab põhimääruse alusel direktor Ergo Tars (edaspidi täitja või RIT), keda nimetatakse edaspidi pool või koos pooled, arvestades, et täitja põhimäärusest tulenev tegevusvaldkond on info- ja kommunikatsioonitehnoloogia alusteenuste ehk arvutitöökoha alusteenuse, serveri alustaristu teenuse ning nendega seotud tugiteenuste (edaspidi teenus või teenused) osutamine ning tellijale osutatavate teenuste tingimused ning korraldus lepitakse täitja põhimääruse kohaselt kokku IKT-alusteenuste osutamise koostöökokkuleppes ja selle lisades, sealhulgas standardiseeritud IKT-alusteenuste standardites, mille kinnitamise kord on sätestatud täitja põhimääruses,
sõlmisid käesoleva koostöökokkuleppe (edaspidi nimetatud lepe) alljärgnevas:
Leppe ese ja dokumendid Täitja osutab tellijale Riigipilve eeskirjas (edaspidi standard) kirjeldatud tingimustel ja
korras teenuseid. Standardist erinevad kokkulepped lepivad pooled kokku leppe lisas. Leppe allkirjastamisel on sellel järgmised lisad:
1.2.1. lisa 1 – Riigipilve teenuste kategooriate kirjeldus; 1.2.2. lisa 2 – Andmetöötluse leping.
Tellija kinnitab leppe allkirjastamisega, et on tutvunud standardiga. Täitja teeb kehtiva versiooni standardist kättesaadavaks Riigipilve kodulehel ja/või iseteeninduskeskkonnas. Standardi muutmisest teavitab täitja tellijat Riigipilve iseteeninduskeskkonnas või e-kirja teel ette ühe kalendrikuu, avaldades standardi uue versiooni. Standardi muutmisel pooled lepet ei muuda.
Kui ilmneb vastuolu käesoleva leppe ning selle lisa või standardi vahel, lähtutakse leppe lisast või standardist. Kui ilmneb vastuolu leppe lisa ja standardi vahel, lähtutakse leppe lisast.
Poolte õigused ja kohustused
Riigipilve teenuste tellimused ja nende muutmise teeb tellija Riigipilve iseteeninduskeskkonnas vastavalt Riigipilve eeskirjale ja teenustingimustele.
Pooled tagavad oma tegevuses vastavuse kohalduvatele andmekaitse õigusaktidele. Pooled töötlevad isikuandmeid kooskõlas poolte vahel sõlmitud andmetöötluse lepinguga.
Pooled tagavad turvaandmete ning muu teabe ja asjaolude, mille avalikuks tulemine võiks kahjustada kummagi poole huve, konfidentsiaalsuse. Konfidentsiaalne informatsioon ei hõlma endas informatsiooni, mille avalikustamise kohustus tuleneb õigusaktist, tingimusel, et selline avaldamine viiakse läbi võimalikest variantidest kõige piiratumal viisil. Konfidentsiaalsusnõue on tähtajatu, kui seadusest või selle alusel antud õigusaktidest ei tulene teisiti.
Täitja kohustub: 2.4.1. osutama teenust vastavalt õigusaktidele, leppele, selle lisadele ja standarditele;
2 / 3
2.4.2. informeerima tellijat koheselt kõikidest võimalikest takistustest ja probleemidest teenuse osutamisel;
2.4.3. tagama tellijale juurdepääsu kontrolli teostamiseks vajalikule teabele; 2.4.4. teavitama tellijat esimesel võimalusel intsidentidest, puudustest ja vigadest, mis
teenuse osutamisel ilmnevad. Täitja ei vastuta, kui leppejärgne teenustase jääb saavutamata alljärgnevatel juhtudel:
2.5.1. ilmnevad vead teenuse tarkvara koodis, loogikas, andmebaasis, andmete tervikluses, riistvaras, protsessides või mis tahes muus osas, mis ei ole arendatud või loodud täitja poolt või mille integratsioon või juurutus ei ole täitja vastutusel;
2.5.2. tellija on asunud kasutama teenust, eirates soovitusi, mis on antud täitja või täitja volitusel muu teenusepakkuja poolt;
2.5.3. muu teenusepakkuja teenus, kelle teenust täitja vahendab tellijale, ei tööta; 2.5.4. tellija poolt ületatakse kokku lepitud teenustasemeid või eiratakse teenuse
kasutamise tingimusi; 2.5.5. on ilmnenud vead, viivitused või häired, mis on tekkinud tellija poolt teenuse
kasutamisel sisestatud ebakorrektsetest või valeandmetest; 2.5.6. tellija edastatud informatsioon ei ole piisav leppe täitmiseks; 2.5.7. teenustaseme mittesaavutamine ajaperioodil on kokku lepitud.
Täitja ei vastuta otsese või kaudse kahju eest, mis on põhjustatud tellija kasutajate tegevusest või tegevusetusest.
Tellija kohustub: 2.7.1. hüvitama täitjale teenuse osutamise kulud, tasudes täitja esitatud arve 21
kalendripäeva jooksul alates arve saamisest; 2.7.2. hüvitama teenuse raames kasutada antud vara (sh riist- ja tarkvara) maksumuse,
mis on hävinud või mida pole võimalik muul põhjusel tagastada või mis pole töökorras või millele on kasutamise käigus tekitatud kahjustusi;
2.7.3. võimaldama täitjale teenuse osutamiseks vajalikud tingimused, organisatsioonilise keskkonna, vajalike kommunikatsiooniseadmete ja sideteenuste olemasolu ning juurdepääsud teenusega seotud seadmetele;
2.7.4. teavitama täitjat mõistliku aja jooksul kõikidest teenuse osutamist mõjutavatest tellijale teatavaks saanud asjaoludest ja andma leppe täitmiseks muud vajalikku teavet;
2.7.5. tagama kõikide teenuste kasutamiseks vajalike litsentside olemasolu vastavalt täitja esitatud informatsioonile;
2.7.6. tegema teenuste osutamisel koostööd täitjaga, sh viima läbi testimisi, vajaduse korral tutvustama täitja töötajatele ning koostööpartneritele oma tööprotsesse.
Poolte õiguskaitsevahendid
Oluliseks leppe rikkumiseks loetakse muu hulgas järgmisi rikkumisi: 3.1.1. pool ei täida mis tahes leppest tulenevat kohustust teise poole poolt leppest
tuleneva vastava kohustuse täitmiseks antud mõistliku tähtaja jooksul; 3.1.2. tellija on viivituses leppes kokku lepitud maksetähtajaga rohkem kui 60
kalendripäeva. Olulise leppe rikkumise korral on poolel õigus lepe erakorraliselt lõpetada ja nõuda kahju
hüvitamist. Juhul kui tellija hilineb leppejärgse tasu maksmisega, võib täitja nõuda viivise tasumist
0,05% iga viivitatud kalendripäeva eest.
Kontaktandmed Tellija kontaktandmed:
Roll Nimi/ametinimetus E-post Telefon Leppekontakt Märt-Martin Arengu [email protected] 513 8418
Kriisikontakt Märt-Martin Arengu [email protected] 513 8418
3 / 3
Täitja kontaktandmed:
Roll Ametinimetus E-post Telefon Täitja esindaja [email protected] 699 1140 Kriisikontakt kriisikoordinaator [email protected] 5681 1085 Andmekaitsespetsialist õigus- ja
hankeosakonna andmekaitsejuht
[email protected] 5866 4974
Infoturve infoturbeosakonna ekspert
[email protected] 666 0156
Leppe kehtivus, muutmine ja lõpetamine
Lepe jõustub selle allkirjastamisest mõlema poole poolt ja kehtib tähtajatult. Lepet võib muuta poolte kirjalikul kokkuleppel. Muudatused jõustuvad pärast nende
allkirjastamist mõlema poole poolt või poolte määratud tähtajal. Leppe võib ühepoolselt üles öelda, teavitades teist poolt sellest vähemalt kolm kuud ette.
Leppe ülesütlemisel kohustub tellija maksma täitjale tasu vastavalt faktiliselt osutatud teenusele.
Poolel on õigus käesolev lepe erakorraliselt ühepoolselt üles öelda juhul, kui teine pool ei täida leppest tulenevaid kohustusi ega kõrvalda rikkumist poole nõudmisel mõistliku tähtaja jooksul. Leppe ülesütlemise kohta edastab pool teisele poolele kirjaliku leppe ülesütlemisavalduse. Leppest ülesütlemine loetakse toimunuks, kui teine pool on ülesütlemisavalduse kätte saanud.
Muud tingimused Kõik leppe täitmisest, muutmisest, lõpetamisest või vastutuse kohaldamisest tulenevad
vaidlused lahendatakse läbirääkimiste teel. Läbirääkimiste tulemusel kokkuleppe mittesaavutamisel lahendatakse vaidlus Harju Maakohtus.
Tellija: Täitja: E-dok OÜ Riigi Info- ja Kommunikatsioonitehnoloogia Keskus (digitaalselt allkirjastatud) (digitaalselt allkirjastatud)
Märt-Martin Arengu Ergo Tars juhatuse liige direktor
Lisa 1
RIIGIPILVE TEENUSTE KATEGOORIATE KIRJELDUS
1 Riigipilve teenuste kategooriate kirjeldus
Riigipilv on täitja poolt hallatav pilvekeskkond, mis võimaldab pakkuda keskseid pilvelahendusi
ja nendega seotud teenuseid. Tellija ja täitja vahelisi suhteid Riigipilve teenuste kasutamisel
reguleerib Riigipilve eeskiri. Riigipilve teenuseid ja nende kasutamise tingimusi kirjeldavad
teenustingimused, mis on leitavad Riigipilve iseteeninduskeskkonnas. Riigipilve teenuste
teenustaseme lepped (SLAd) ja maksumused on kirjeldatud teenustingimustes. Teenuse
tellimisega iseteeninduskeskkonnas nõustub tellija teenustingimustega ning vastava teenuse
teenustingimused saavad leppe osaks.
Riigipilve teenuse
kategooria Teenuse kirjeldus
Avalikud pilved ja
infrastruktuur kui teenus
IaaS
RIT on MS Azure ja Amazon Web Services (AWS) pilveteenuse
edasimüüja.
Riigipilve IaaS võimaldab kasutada virtualiseeritud riistvara
arvutusressursse – protsessorid (vCPU), mälu (RAM) ja
salvestusmaht kõvakettal (HDD, SSD) teenusena. IaaS
teenuse kasutamine võimaldab tellijal vabaneda oma riistvara
ja hüperviisori haldamisest ning keskenduda tarkvaralistele
lahendustele alates operatsioonisüsteemist.
Platvorm kui teenus (PaaS)
Platvorm kui teenus on pilve ressursi tarbimise mudel, kus
tellija kasutab pilvepakkuja poolt ehitatud platvormi teenuseid
rakenduse või infosüsteemi ehitamiseks ja juhtimiseks ning ei
pea neid teenuseid ise looma IaaS kihi peale.
PaaS teenuste töötamise eest vastutab pilveteenuse pakkuja,
tellija peab jälgima, et tema rakendus või infosüsteem kasutab
neid õigel viisil.
Tarkvara kui teenus (SaaS)
Tarkvara kui teenus (SaaS) mudel on oma olemuselt tellijate
jaoks kõige mugavam ja enam pakkuvam teenusmudel, sest
sisaldab lisaks IaaS-i ja PaaS-i elementidele ka kasutusvalmis
rakendustarkvara, mis on saadav kasutajatele üle interneti.
Varundusteenused Riigipilve teenuste kataloogist on võimalik tellida
varundusteenuseid vastavalt tellija vajadustele.
Andmesalvestuse teenused
Andmete salvestamise teenused andmete, arhiivide ja
varukoopiate hoidmiseks ning säilitamiseks.
Võrguteenused
Lisaks üle interneti ja iseteeninduskeskkonna vahendusel on
võimalik kasutada võrguühenduste erilahendusi
ressurssidega ühendusteks tellija kontorist või saitide
vaheliselt.
Tarkvara litsentsid
Tarkvara litsentseerimisvõimalused läbi teenuste kataloogi.
Tellija tarkvara litsentseerimine on iga tellija enda vastutada
ning pilveteenuse pakkuja ei vastuta tellija litsentside eest.
2 / 2
Haldusteenused
Riigipilvest on võimalik tellida haldusteenust majutatud
ressursside operatsioonisüsteemide, rakenduste jms
haldamiseks. Haldusteenused ja nende paketid on erinevad ja
võimaldavad tellijal valida vastavalt infosüsteemide
eripäradele sobivad parameetrid.
Turvalisusteenused
Turvalisusteenused aitavad täita infosüsteemide
turvanõudeid ja kindlustada infosüsteeme rünnakute jm
pahatahtliku tegevuse ennetamisele ja tuvastamisele.
Konsultatsiooni, tugi- ja
migreerimis-teenused
Riigipilvest on võimalik tellida konsultatsiooni, tugi- ja
migreerimisteenuseid.
Pilverakendused Pilverakendused on teenused, mida pakutakse erinevate
toimingute korraldamiseks.
Lisa 2
ANDMETÖÖTLUSE LEPING
Isikuandmete töötlemise leping (edaspidi leping) on kohustuslik osa koostöökokkuleppest, mis sõlmitakse Riigi Info- ja Kommunikatsioonitehnoloogia Keskuse (edaspidi volitatud töötleja) ja E-dok OÜ (edaspidi vastutav töötleja) vahel (koos ka pool või pooled). 1. Kohaldamisala 1.1. Lepingu õigusi ja kohustusi kohaldatakse vastavalt vastutava ja volitatud töötleja kokku
lepitud teenustele. 1.2. Arvutitöökohateenusele kohaldatakse järgmisi punkte: 2., 3.1., 3.3.–3.5., 4.–6. 1.3. Serveri alustaristu ehk Riigipilve teenusele kohaldatakse järgmisi punkte: 2., 3.1. ja 3.2.,
3.5., 4.2.–4.4., 4.6.–4.12., 5. ja 6. 1.4. Avalike pilvandmetöötlussüsteemide vahendusteenusele kohaldatakse konkreetse
teenuseosutaja andmete töötlemise tingimusi. Volitatud töötleja ei oma õigusi ega kohustusi nimetatud andmete töötlemise tingimustes ega ole selle lepingu pool.
2. Üldsätted 2.1. Lepingu eesmärk on täita andmetöötluse lepingu nõudeid, mis on kehtestatud eelkõige
Euroopa Parlamendi ja Nõukogu määruse (EL) 2016/679, 27. aprill 2016, „Füüsiliste
isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning
direktiivi 95/46/EÜ kehtetuks tunnistamise kohta“ (edaspidi üldmäärus) artikli 28 lõikes
3.
2.2. Pooled on kohustatud järgima kõiki isikuandmete töötlemise alaseid nõudeid, andmete
turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi
õigusakte ja muid eeskirju. Mõistete defineerimisel lähtutakse üldmääruses sätestatust.
2.3. Kui koostöökokkuleppe esemeks olevate isikuandmete töötlemine toimub väljaspool
Euroopa Liitu ja Euroopa Majanduspiirkonda, sealhulgas nende edastamine kolmandale
riigile või rahvusvahelisele organisatsioonile, ja andmete töötlemine on vajalik
koostöökokkuleppe täitmiseks, lepivad pooled sellises andmetöötluses eelnevalt kokku.
Kokkulepet ei ole vaja sõlmida, kui volitatud töötleja on kohustatud isikuandmeid
kolmandale riigile või rahvusvahelisele organisatsioonile edastama volitatud töötleja
suhtes kohaldatava Euroopa Liidu või liikmesriigi õiguse alusel. Sellise õigusliku aluse
olemasolust teavitab volitatud töötleja enne isikuandmete töötlemist vastutavat
töötlejat, kui selline teavitamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega
keelatud.
2.4. Pooled on kokku leppinud, et koostöökokkuleppega seotud isikuandmete üksteisele
edastamisel kasutatakse eelnevalt kokku lepitud turvalist andmevahetusviisi.
3. Vastutava töötleja õigused ja kohustused
3.1. Vastutav töötleja tagab, et volitatud töötlejale üle antud isikuandmete töötlemiseks on
vastutaval töötlejal olemas õiguslikud alused ning töötlemine toimub õiguspäraste
eesmärkide saavutamiseks.
3.2. Vastutav töötleja teavitab volitatud töötlejat seaduse alusel asutatud andmekogudest,
mis on majutatud volitatud töötleja serveri alustaristu ehk Riigipilve teenusel.
3.3. Kui vastutav töötleja esitab kirjalikku taasesitamist võimaldavas vormis pöördumise
koostöökokkuleppes kirjeldatud teenuste käigus tekkinud isikuandmete kohta, peab
pöördumine olema kooskõlastatud vastutava töötleja andmekaitseametnikuga, kes
annab hinnangu, kas pöördumine on põhjendatud ning kooskõlas õigusaktidega,
sealhulgas proportsionaalne, ning kas on vähem riivamaid meetmeid isikute õiguste
2 / 4
kaitse tagamiseks mittetöötlemiseks. Kui kirjeldatud nõuded on täidetud, koostatakse
pöördumine vastutava töötleja juhiste alusel. Pöördumine tuleb esitada volitatud
töötlejale koos andmekaitseametniku hinnanguga. Kui hinnangut ei ole koos
pöördumisega esitatud, küsib volitatud töötleja hinnangu vastutava töötleja
andmekaitseametnikult ise.
3.4. Vastutav töötleja annab volitatud töötlejale õiguse seirata koostöökokkuleppes
kirjeldatud teenuste ulatuses vastutava töötleja lõppkasutajate käitumismustreid,
võrguliiklust ning muid andmeid, mis on koostöökokkuleppe täitmiseks vajalikud. Seiret
peetakse selleks, et ennetada ja takistada infoturbeintsidentide toimumist. Vastavad
andmed ja andmetega seotud logid salvestatakse isikustatud kujul. Vastutaval töötlejal
on õigus saada teavet käesoleva punkti alusel tehtud seire tulemustest. Volitatud
töötleja on kohustatud esimesel võimalusel teavitama vastutavat töötlejat võimalikest
infoturbeintsidentidest. Volitatud töötleja teavitab vastutava töötleja lõppkasutajat seire
tegemise eesmärgist, ulatusest ning kestusest.
3.5. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku
taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud
töötleja koostöökokkuleppest tulenevate kohustuste täitmist. Pooled on kokku leppinud,
et:
3.5.1. vastutava töötleja auditeid võib läbi viia vastutav töötleja ja/või kolmas isik, keda
vastutav töötleja selleks volitanud on;
3.5.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja
dokumente, mida on vaja selleks, et tõendada nõuetekohast täitmist;
3.5.3. vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud
teavet konfidentsiaalsena.
4. Volitatud töötleja õigused ja kohustused
4.1. Volitatud töötleja teavitab info- või muudest andmetöötlussüsteemidest, mis on seotud
koostöökokkuleppe alusel osutatavate teenustega. Volitatud töötleja tagab nimetatud
süsteemide loetelu teenusveebis teenused.rit.ee, mille juures avaldatakse ka valminud
andmekaitsealased mõjuhinnangud ning pilvandmetöötlussüsteemide riskianalüüsid.
4.2. Volitatud töötleja töötleb vastutava töötleja poolt üle antud isikuandmeid
koostöökokkuleppes nimetatud teenuste osutamiseks või volitatud töötleja
põhimääruses sätestatud ülesannete täitmiseks. Volitatud töötleja võib isikuandmeid
töödelda vastutava töötleja kirjalikku taasesitamist võimaldavas vormis antud juhiste
alusel koostöökokkuleppes nimetatud teenuse piires.
4.3. Volitatud töötleja ei tohi töödelda talle üle antud andmeid muudel eesmärkidel, kui neid
algselt koguti, välja arvatud juhul, kui selline õigus tuleneb õigusaktidest. Samuti on
volitatud töötlejal õigus isikuandmeid töödelda volitatud töötleja info- ja sidesüsteemide
hooldamiseks, arendamiseks ja järjepidavaks ohuolukordade seiramiseks.
4.4. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja
jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust
võtma. Volitatud töötleja teavitab vastutavat töötlejat kõigist juhiste ja õigusaktide vahel
avastatud vastuoludest.
4.5. Volitatud töötleja töötab koostöökokkuleppe alusel välja osutatud teenustega seotud
andmete töötlemise tingimused ning avaldab need teenusveebis teenused.rit.ee.
Vastutav töötleja teavitab nendest tingimustest isikuid, kes koostöökokkuleppe aluseid
teenuseid tarbivad.
4.6. Volitatud töötleja kohustub hoidma koostöökokkuleppe täitmise käigus teatavaks
saanud isikuandmeid konfidentsiaalsena ning mitte töötlema isikuandmeid muul
3 / 4
eesmärgil, kui koostöökokkuleppes sätestatud ülesannete täitmiseks või volitatud
töötleja põhimääruses sätestatud ülesannete täitmiseks. Konfidentsiaalsuskohustus
jääb kehtima ka pärast koostöökokkuleppe lõppemist. Konfidentsiaalsusnõudega on
seotud volitatud töötleja töötajad, sealhulgas teised volitatud töötlejad ja muud isikud,
kellel on ligipääs koostöökokkuleppe täitmise käigus töödeldavatele isikuandmetele.
4.7. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud
kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale
kättesaadavat teavet. Eelkõige peab kasutusele võtma üldmääruse artiklis 32 nõutavad
meetmed andmete turvalisuse tagamiseks, sealhulgas:
4.7.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
andmetöötlusseadmetele;
4.7.2. ära hoidma andmekandjate omavolilist teisaldamist;
4.7.3. tagama, et tagantjärele oleks võimalik teha kindlaks, millal, kelle poolt ja milliseid
isikuandmeid töödeldi.
4.8. Volitatud töötleja kohustub piirama vastutava töötleja ligipääsu süsteemile
küberturvalisuse seaduse § 7 lõike 2 punkti 4 alusel, kui see on vajalik küberintsidendi
mõju ja leviku piiramiseks. See tähendab, et ligipääsu piiramine ei pruugi alati toimuda
isikuandmete vastutava töötleja nimel, vaid ka volitatud töötleja nimel küberturvalisuse
seadusest tuleneva kohustuse täitmiseks.
4.9. Volitatud töötlejal on õigus kasutada teisi volitatud töötlejaid volitatud töötleja poolt
pakutavate teenuste tagamiseks, sealhulgas on volitatud töötlejal õigus kasutada oma
teenuste tagamiseks teenuseosutajaid, kes töötlevad vastutava töötleja andmeid
pilvandmetöötlussüsteemides. Volitatud töötleja ei edasta isikuandmeid kolmandatele
isikutele ilma vastutava töötleja eelneva nõusolekuta.
4.10. Volitatud töötleja aitab võimaluse piires vastutava töötleja ettepanekul asjakohaste
tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata
andmesubjekti taotlustele. Kui andmesubjekt on edastanud taotluse otse volitatud
töötlejale, edastab ta nimetatud taotlused vastutavale töötlejale viivitamatult nende
saamisest alates. Volitatud töötleja teeb kättesaadavaks koostöökokkuleppe alusel
osutatavate teenuste andmete töötlemise tingimused.
4.11. Volitatud töötleja kohustub koostöökokkuleppe lõppemisel tagastama vastutavale
töötlejale kõik isikuandmed või muud vastutava töötlejaga seotud andmed või
kustutama või hävitama isikuandmed ja nende koopiad vastavalt vastutava töötleja
antud juhistele, õigusaktidele ning teenuse osutamise tingimustele, kui õigusaktis ei ole
sätestatud teisiti.
4.12. Volitatud töötleja säilitab osutatud teenuste käigus tekkinud isikuandmeid vastavalt
teenuse standardile, mille kehtestab volitatud direktor käskkirjaga ning mis avaldatakse
teenusveebis teenused.rit.ee või veebilehel riigipilv.ee vastavalt valitud teenusele.
5. Rikkumisest teavitamine
5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega
seotud rikkumistest või kahtlustest, et sellised rikkumised on aset leidnud, alates
hetkest, kui volitatud töötleja või tema poolt kasutatav teine volitatud töötleja saab teada
isikuandmete töötlemisega seotud rikkumisest või kui tekib kahtlus, et selline rikkumine
on aset leidnud.
5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest
teada saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist
puudutava asjakohase informatsiooni. Juhul kui kõiki asjaolusid ei ole võimalik selleks
4 / 4
ajaks välja selgitada, esitab volitatud töötleja vastutavale töötlejale esialgsed andmed
ning kogu täiendava info esimesel võimalusel.
5.3. Volitatud töötleja teeb vastutava töötlejaga koostööd selleks, et isikuandmetega seotud
rikkumine kõrvaldada, ja kaasab vastutava töötleja intsidendi haldamise protsessi.
Volitatud töötleja peab tegema kõikvõimaliku, et edasist rikkumist ära hoida ning kahju
vähendada.
5.4. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale,
sest suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat
esindada ega tema nimel tegutseda, välja arvatud juhul, kui see õigus tuleneb
koostöökokkuleppest. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud
töötlejat puudutavates küsimustes või toimingutes järelevalveasutusele vastamisel.
6. Vastutus
6.1. Volitatud töötleja ei vastuta kahju eest, mis on talle tekkinud vastutava töötleja süül ilma
õigusliku aluseta edastatud andmete töötlemise tõttu.
6.2. Volitatud töötleja vastutab kahju eest, mille ta on vastutavale töötlejale või muudele
isikutele isikuandmete töötlemise tagajärjel tekitanud koostöökokkuleppe nõudeid
rikkudes, sealhulgas õigusaktidest tulenevate nõuete rikkumise ja kirjalikku
taasesitamist võimaldavas vormis edastatud juhiste nõuete rikkumise eest.