| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 1-4/4691-1 |
| Registreeritud | 09.09.2025 |
| Sünkroonitud | 11.09.2025 |
| Liik | Muu leping |
| Funktsioon | 1 TEHIK tegevuse korraldamine |
| Sari | 1-4 Koostöö, andmetöötluse ja konfidentsiaalsuslepingud |
| Toimik | 1-4/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Sten Martmaa (TEHIK, Äriteenuste osakond, Analüütika lahenduste valdkond) |
| Originaal | Ava uues aknas |
ISIKUANDMETE TÖÖTLEMISE TINGIMUSED NR 1-4/4691-1
Tervise ja Heaolu Infosüsteemide Keskus (edaspidi volitaja), registrikood 70009770, aadress Pärnu
mnt 132, 11317 Tallinn, keda esindab põhimääruse alusel direktor Margus Arm
ja
Wizon OÜ, (edaspidi volitatud töötleja), registrikood 12570796, aadress Rotermanni tn 18/1-202,
10111 Tallinn, keda esindab juhatuse liige Marko Tammsaar.
on sõlminud käesoleva isikuandmete töötlemise lepingu raamlepingu nr 3-9/4515-1 lisana nr 5
(edaspidi leping):
1. Ese ja eesmärk
1.1. Lepingu esemeks on volitaja ja volitatud töötleja (edaspidi koos nimetatud kui pooled)
vaheliste tingimuste sätestamine seoses raamleping nr 3-9/4515-1
Sotsiaalministeeriumi valitsemisala andmeladude ja analüütika arendus ja
hooldustööde käigus käsitletavate andmete töötlemisega.
1.2. Volitatud töötleja töötleb lepingus kirjeldatud isikuandmeid hankelepingu nr 3-9/4515-
2 täitmiseks, millele on volitatud töötlejal õigus saada ligipääs hankelepingus
määratletud tööde teostamiseks vastavalt lepingus sätestatud piirangutele.
1.3. Lepingu täitmiseks on volitatud töötleja isikuandmete töötlemisega seotud tegevused
lepingu alusel piiratud hankelepingu täitmiseks vajalike tegevustega.
1.4. Tervisekassa retseptikeskuse ja Tervisekassa andmekogu vastutava töötlejana on
volitajale koostöölepingu nr 1-4/4576-1 Lisa 2c „Isikuandmete töötlemise
üldtingimused“ p 3.5. alusel andnud volitajale õiguse andmete töötlemiseks kasutada
teisi volitatud töötlejaid (teine volitatud töötleja), kui tal on selleks vastutava töötleja
kirjalik kooskõlastus.
1.5. Volitatud töötlejale võivad hankelepingu täitmise käigus teatavaks saada volitaja poolt
hallatavas andmekogus töödeldavad isikuandmed järgmises koosseisus:
1.5.1. Tervisekassa andmekogu andmed vastavalt „Tervisekassa andmekogu pidamise
põhimääruse“ peatükis nr 3 § 7 sätestatud andmekoosseisule.
1.5.2. Retseptikeskuse andmed vastavalt „Retseptikeskuse asutamine ja
retseptikeskuse pidamise põhimääruse“ peatükis 2 § 4 sätestatud
andmekoosseisule.
2. Volitatud töötleja kohustused
2.1. Volitatud töötleja on kohustatud:
2.1.1. tagama lepingueelsete läbirääkimiste ja lepingu täitmise käigus volitajalt ükskõik mis
vormis saadud isikuandmete konfidentsiaalsuse ja mitte edastama ega võimaldama
sellele teabele juurdepääsu kolmandale isikule ilma volitaja sellekohase selgesõnalise
kirjaliku nõusolekuta;
2.1.2. tagama, et lepingu täitmise raames töödeldavaid isikuandmeid ei edastata väljapoole
Euroopa Liidu liikmesriikide ja Euroopa Majandusühendusse kuuluvate riikide
territooriumi ilma volitaja sellekohase selgesõnalise kirjaliku nõusolekuta;
2.1.3. kasutama ja töötlema isikuandmeid üksnes hankelepingu täitmiseks ja volitaja
dokumenteeritud juhiste alusel, välja arvatud juhul, kui volitatud töötleja on
kohustatud teavet töötlema volitatud töötleja suhtes kohalduva õiguse alusel. Viimati
nimetatud juhul teavitab volitatud töötleja volitajat vastava kohustuse olemasolust
enne teabe töötlemist;
2.1.4. võimaldama juurdepääsu isikuandmetele ainult nendele isikutele, kellel on selleks oma
tööülesannete täitmiseks vajadus ning tagab, et need isikud on teadlikud ning järgivad
isikuandmete töötlemis alaseid nõudeid ja õigusakte, nad on saanud asjakohase
koolituse eelmainitud nõuete kohta, on võtnud endale konfidentsiaalsuskohustuse või
neile kehtib asjakohane seadusest tulenev konfidentsiaalsuskohustus;
2.1.5. teavitama volitajat toimunud või põhjendatult kahtlustatavast lepingu punktis 2.1.4.
sätestatud konfidentsiaalsuskohustuse rikkumisest viivitamatult;
2.1.6. täitma kõiki kehtivaid isikuandmete töötlemisalaseid nõudeid, andmete turvalisust
puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi
õigusakte ja muid eeskirju;
2.1.7. rakendama alltoodud organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid
isikuandmete kaitseks juhusliku või tahtliku volitamata muutmise; juhusliku hävimise
ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse
takistamise eest, volitamata töötlemise, sh avalikustamise eest:
2.1.7.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
seadmetele;
2.1.7.2. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist
andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
2.1.7.3. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning
tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja
milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja
millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
2.1.7.4. tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale
töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
2.1.7.5. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja
millised isikuandmed edastati, samuti selliste andmete muutusteta säilimise;
2.1.7.6. tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate
transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist,
muutmist või kustutamist;
2.1.7.7. pidama arvestust isikuandmete töötlemisel kasutatavate tema kontrolli all
olevate seadmete ja tarkvara üle, dokumenteerides järgmised andmed:
2.1.7.7.1. seadme nimetus, tüüp ja asukoht ning seadme valmistaja nimi;
2.1.7.7.2. tarkvara nimetus, versioon, valmistaja nimi ja kontaktandmed.
2.1.8. teavitama kirjalikult volitajat turvameetmete rikkumisest, mis põhjustab, on
põhjustanud või võib põhjustada töödeldavate isikuandmete juhusliku või
ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile
juurdepääsu viivitamata, kuid mitte hiljem kui kakskümmend neli tundi pärast sellest
teada saamist. Juhul, kui rikkumisest teadasaamine langeb nädalavahetusele või
riiklikule pühale, kohustub volitatud töötleja volitajat kirjalikult teavitama
viivitamatult, kuid mitte hiljem kui nelikümmend kaheksa tundi pärast rikkumisest
teada saamist. Kirjeldatud teates tuleb vähemalt:
2.1.8.1. kirjeldada isikuandmetega seotud rikkumise laadi, sealhulgas puudutatud
andmesubjektide liike ja arvu ning puudutatud kirjete liike ja arvu;
2.1.8.2. teatada andmekaitsespetsialisti või mõne teise täiendavat teavet andva
kontaktisiku nimi ja kontaktandmed;
2.1.8.3. soovitada meetmeid isikuandmetega seotud rikkumise võimalike negatiivsete
mõjude leevendamiseks;
2.1.8.4. kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;
2.1.8.5. kirjeldada volitatud töötleja poolt pakutud või võetud meetmeid
isikuandmetega seotud rikkumisega tegelemiseks ja
2.1.8.6. esitada muud teavet, mis on mõistlikult nõutav, et volitaja saaks täita
kohaldatavaid andmekaitse õigusakte, sealhulgas riigiasutustega seotud
teavitamise ja avaldamise kohustusi, näiteks teavet, mis on nõutav
andmesubjekti tuvastamiseks.
2.1.9. lõpetama eelnevalt kirjeldatud rikkumised või tegema kõik endast oleneva nende
lõpetamiseks ja kohaldama meetmeid isikuandmetega seotud rikkumise
lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju
kõrvaldamiseks ja leevendamiseks;
2.1.10. kustutama, niivõrd kui see on võimalik, lepingu lõppemisel kõik tööde teostamise
käigus teatavaks saanud isikuandmed ja nimetatute koopiad 30 päeva jooksul, v.a
juhul, kui õigusaktidest tuleneb teisiti;
2.1.11. tegema volitajale kättesaadavaks kogu teabe, mida volitaja peab vajalikuks lepingus
sätestatud kohustuste täitmise tõendamiseks;
2.1.12. võimaldama volitajal või volitaja poolt määratud audiitoril teha seoses isikuandmete
töötlemisega auditeid ja kontrolle ning panustama nendesse.
3. Lõppsätted
3.1. Volitatud töötleja ei või oma lepingujärgseid kohustusi anda üle kolmandale isikule ega
kaasata oma lepingujärgsete kohustuste täitmiseks kolmandat isikut.
3.2. Isikuandmete konfidentsiaalsena hoidmise kohustus jääb kehtima ka pärast käesoleva
lepingu lõppemist tähtajatult.
3.3. Isikuandmete konfidentsiaalsena hoidmise kohustus ei laiene teabe avaldamisele
volitatud töötleja audiitorile ja advokaadile.
3.4. Leping on kehtiv poolte poolt allkirjastamisest kuni hankelepingu järgsete kohustuste
täitmiseni, v.a konfidentsiaalsuskohtustus, mis kehtib tähtajatult.
4. Poole allkirjad
Volitaja: Volitatud töötleja:
/Allkirjastatud digitaalselt/ /Allkirjastatud digitaalselt/
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 01.09.2025 | 1 | 3-9/4515-2 | Riigihankeleping | tehik |