| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 3-9/3443-3 |
| Registreeritud | 08.05.2023 |
| Sünkroonitud | 29.03.2024 |
| Liik | Muu leping |
| Funktsioon | 3 Finantsarvestus ja asutuse varade haldus |
| Sari | 3-9 Riigihankelepingud |
| Toimik | 3-9/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Ott Mihailov (TEHIK, E-teenuste juhtimise osakond, Pensionitalitus) |
| Originaal | Ava uues aknas |
ISIKUANDMETE TÖÖTLEMISE TINGIMUSED
Tervise ja Heaolu Infosüsteemide Keskus (edaspidi volitaja), registrikood 70009770, asukohaga Pärnu mnt 132, 11317 Tallinn, keda esindab direktor Margus Arm ja Nortal AS (edaspidi volitatud töötleja), registrikood 10391131, asukohaga Lõõtsa tn 6, 11415 Tallinn, keda esindab Nortal Eesti tegevjuht Ats Albre. on sõlminud käesoleva isikuandmete töötlemise lepingu raamlepingu nr 3-9/3441-1 lisana nr 4 (edaspidi leping):
1. Ese ja eesmärk
1.1. Lepingu esemeks on volitaja ja volitatud töötleja (edaspidi koos nimetatud kui pooled) vaheliste tingimuste sätestamine seoses SKAIS tööde käigus käsitletavate andmete töötlemisega.
1.2. Isikuandmete vastutavaks töötlejaks on Sotsiaalkindlustusamet, kes on andud Volitajale 16.10.2018 teenuslepinguga nr 1-10/1486-1 (p 3.8) õiguse kaasata isikuandmete töötlemiseks täiendavaid volitatud töötlejaid seoses Sotsiaalkindlustusameti (edaspidi SKA) infosüsteemide arendamise, hooldamise või muu taolise eesmärgi täitmiseks.
1.2.1. Ligipääs isikuandmetele võimaldatakse vajaduspõhiselt üksnes konkreetset tööülesannet täitvale isikule ja üksnes mahus, mis on vältimatult vajalik ilmnenud intsidentide lahendamiseks.
1.2.2. Volitatud töötlejal on õigus saada ligipääs isikuandmete töötlemiseks üksnes raamlepingu nr 3-9/3441-1 täitmiseks, täpsemalt on õigus saada ligipääs raamlepingus kokku lepitud toodangu-eelses ja toodangukeskkonnas tekkivate vigade juurpõhjuste tuvastamiseks ja lahendamiseks, mida ei ole võimalik teisel viisil lahendada.
1.3. Lepingu täitmiseks on volitatud töötleja isikuandmete töötlemisega seotud tegevused lepingu alusel piiratud hankelepingu täitmiseks vajalike tegevustega.
2. Isikuandmed
2.1. Volitatud töötlejale võivad raamlepingu täitmise käigus teatavaks saada volitaja poolt hallatavas infosüsteemis või andmekogus töödeldavad isikuandmed (SKAIS põhimääruse § 7 - 151 kirjeldab võimalikud isikuandmete koosseisud): 2.1.1. isiklikud andmed, nt inimese nimi, sünniaeg, isikukood, isikut tõendava
dokumendi andmed; 2.1.2. kontaktandmed, nt aadress, telefoninumber ja e-posti aadress; 2.1.3. eriliigilised isikuandmed, nt andmed isiku või tema pereliikme
terviseseisundi, majandusliku seisundi või perekonna kohta;
2.1.4. riikliku toetuse, pensioni, hüvitise, elatisabi ja teenuse määramise, maksmise, peatamise, lõpetamise või sellest keeldumise ja kinnipidamise andmed;
2.1.5. jne
3. Volitatud töötleja kohustused
3.1. Volitatud töötleja on kohustatud: 3.1.1. tagama lepingueelsete läbirääkimiste ja lepingu täitmise käigus volitajalt
ükskõik mis vormis saadud isikuandmete konfidentsiaalsuse ja mitte edastama ega võimaldama sellele teabele juurdepääsu kolmandale isikule ilma volitaja sellekohase selgesõnalise kirjaliku nõusolekuta;
3.1.2. tagama, et lepingu täitmise raames töödeldavaid isikuandmeid ei edastata väljapoole Euroopa Liidu liikmesriikide ja Euroopa Majandusühendusse kuuluvate riikide territooriumi ilma volitaja sellekohase selgesõnalise kirjaliku nõusolekuta;
3.1.3. kasutama ja töötlema isikuandmeid üksnes raamlepingu täitmiseks ja volitaja dokumenteeritud juhiste alusel, välja arvatud juhul, kui volitatud töötleja on kohustatud teavet töötlema volitatud töötleja suhtes kohalduva õiguse alusel. Viimati nimetatud juhul teavitab volitatud töötleja volitajat vastava kohustuse olemasolust enne teabe töötlemist;
3.1.4. võimaldama juurdepääsu isikuandmetele ainult nendele isikutele, kellel on selleks oma tööülesannete täitmiseks vajadus ning tagab, et need isikud on teadlikud ning järgivad isikuandmete töötlemis alaseid nõudeid ja õigusakte, nad on saanud asjakohase koolituse eelmainitud nõuete kohta, on võtnud endale konfidentsiaalsuskohustuse või neile kehtib asjakohane seadusest tulenev konfidentsiaalsuskohustus;
3.1.5. teavitama volitajat toimunud või põhjendatult kahtlustatavast lepingu punktis 3.1.4. sätestatud konfidentsiaalsuskohustuse rikkumisest viivitamatult;
3.1.6. täitma kõiki kehtivaid isikuandmete töötlemisalaseid nõudeid, andmete turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi õigusakte ja muid eeskirju;
3.1.7. rakendama alltoodud organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid isikuandmete kaitseks juhusliku või tahtliku volitamata muutmise; juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest, volitamata töötlemise, sh avalikustamise eest:
3.1.7.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele;
3.1.7.2. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
3.1.7.3. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
3.1.7.4. tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
3.1.7.5. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja millised isikuandmed edastati, samuti selliste andmete muutusteta säilimise;
3.1.7.6. tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist;
3.1.7.7. pidama arvestust isikuandmete töötlemisel kasutatavate tema kontrolli all olevate seadmete ja tarkvara üle, dokumenteerides järgmised andmed:
3.1.7.7.1. seadme nimetus, tüüp ja asukoht ning seadme valmistaja nimi; 3.1.7.7.2. tarkvara nimetus, versioon, valmistaja nimi ja kontaktandmed.
3.1.8. teavitama kirjalikult volitajat turvameetmete rikkumisest, mis põhjustab, on põhjustanud või võib põhjustada töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu viivitamata, kuid mitte hiljem kui kakskümmend neli tundi pärast sellest teada saamist. Juhul, kui rikkumisest teadasaamine langeb nädalavahetusele või riiklikule pühale, kohustub volitatud töötleja volitajat kirjalikult teavitama viivitamatult, kuid mitte hiljem kui nelikümmend kaheksa tundi pärast rikkumisest teada saamist. Kirjeldatud teates tuleb vähemalt:
3.1.8.1. kirjeldada isikuandmetega seotud rikkumise laadi, sealhulgas puudutatud andmesubjektide liike ja arvu ning puudutatud kirjete liike ja arvu;
3.1.8.2. teatada andmekaitsespetsialisti või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;
3.1.8.3. soovitada meetmeid isikuandmetega seotud rikkumise võimalike negatiivsete mõjude leevendamiseks;
3.1.8.4. kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi; 3.1.8.5. kirjeldada volitatud töötleja poolt pakutud või võetud meetmeid
isikuandmetega seotud rikkumisega tegelemiseks ja 3.1.8.6. esitada muud teavet, mis on mõistlikult nõutav, et volitaja saaks täita
kohaldatavaid andmekaitse õigusakte, sealhulgas riigiasutustega seotud teavitamise ja avaldamise kohustusi, näiteks teavet, mis on nõutav andmesubjekti tuvastamiseks.
3.1.9. lõpetama eelnevalt kirjeldatud rikkumised või tegema kõik endast oleneva nende lõpetamiseks ja kohaldama meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju kõrvaldamiseks ja leevendamiseks;
3.1.10. kustutama, niivõrd kui see on võimalik, lepingu lõppemisel kõik tööde teostamise käigus teatavaks saanud isikuandmed ja nimetatute koopiad 30 päeva jooksul, v.a juhul, kui õigusaktidest tuleneb teisiti;
3.1.11. tegema volitajale kättesaadavaks kogu teabe, mida volitaja peab vajalikuks lepingus sätestatud kohustuste täitmise tõendamiseks;
3.1.12. võimaldama volitajal või volitaja poolt määratud audiitoril teha seoses isikuandmete töötlemisega auditeid ja kontrolle ning panustama nendesse.
4. Lõppsätted
4.1. Volitatud töötleja ei või oma lepingujärgseid kohustusi anda üle kolmandale isikule ega kaasata oma lepingujärgsete kohustuste täitmiseks kolmandat isikut.
4.2. Isikuandmete konfidentsiaalsena hoidmise kohustus jääb kehtima ka pärast käesoleva lepingu lõppemist tähtajatult.
4.3. Isikuandmete konfidentsiaalsena hoidmise kohustus ei laiene teabe avaldamisele volitatud töötleja audiitorile ja advokaadile.
4.4. Leping on kehtiv poolte poolt raamlepingu allkirjastamisest kuni lepingu järgsete kohustuste täitmiseni, v.a konfidentsiaalsuskohtustus, mis kehtib tähtajatult.
5. Poole allkirjad
Volitaja: Volitatud töötleja: /Allkirjastatud digitaalselt/ /Allkirjastatud digitaalselt/
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Pakkumus "Julgeolekumaks" | 24.01.2025 | 3 | 6-2/5137-1 | Sissetulev kiri | tehik | Nortal AS |
| Pöördumine | 14.01.2025 | 1 | 6-2/5126-1 | Väljaminev kiri | tehik | Nortal AS |
| Leping | 09.12.2024 | 4 | 3-9/3443-18 | Muu leping | tehik | |
| Leping | 30.10.2024 | 6 | 3-9/3443-15 | Muu leping | tehik | |
| Leping | 14.04.2024 | 3 | 3-9/3443-11 | Muu leping | tehik | |
| Leping | 08.02.2024 | 51 | 3-9/3443-9 | Muu leping | tehik | |
| Vastus pöördumisele | 07.02.2024 | 52 | 6-2/4647-2 🔒 | Sissetulev kiri | tehik | Nortal AS |
| Pöördumine | 31.01.2024 | 59 | 6-2/4647-1 | Väljaminev kiri | tehik | Nortal AS |
| Leping | 24.11.2023 | 127 | 3-9/3443-8 🔒 | Muu leping | tehik | |
| Pakkumuskutse vastus | 24.11.2023 | 127 | 6-2/4566-1 🔒 | Sissetulev kiri | tehik | Nortal AS |
| Leping | 21.11.2023 | 130 | 3-9/3443-7 | Muu leping | tehik | |
| Vastus pöördumisele | 20.11.2023 | 131 | 6-2/4551-2 🔒 | Sissetulev kiri | tehik | Nortal AS |
| Pöördumine | 15.11.2023 | 136 | 6-2/4551-1 | Väljaminev kiri | tehik | Nortal AS |
| Leping | 13.09.2023 | 199 | 3-9/3443-6 | Muu leping | tehik | |
| Pakkumuskutse "SKAIS2 väikearendused 2" vastus | 13.09.2023 | 199 | 6-2/4461-2 🔒 | Sissetulev kiri | tehik | Nortal AS |
| Pöördumine | 12.09.2023 | 200 | 6-2/4461-1 | Väljaminev kiri | tehik | Nortal AS |
| Leping | 10.07.2023 | 264 | 3-9/3443-5 | Muu leping | tehik | |
| Leping | 18.05.2023 | 317 | 3-9/3443-4 | Muu leping | tehik | |
| Leping | 18.04.2023 | 347 | 3-9/3443-2 | Muu leping | tehik | |
| Vastus pöördumisele | 18.04.2023 | 347 | 6-2/4321-2 🔒 | Sissetulev kiri | tehik | Nortal AS |
| Pöördumine | 14.04.2023 | 351 | 6-2/4321-1 | Väljaminev kiri | tehik | Nortal AS |
| Leping | 23.12.2022 | 463 | 3-9/3443-1 | Riigihankeleping | tehik |