| Dokumendiregister | Riigi IT Keskus |
| Viit | 7-2.2/25-122-2 |
| Registreeritud | 20.11.2025 |
| Sünkroonitud | 24.11.2025 |
| Liik | Leping |
| Funktsioon | 7 Kvaliteedi ja teenusehalduse korraldamine |
| Sari | 7-2.2 Koostöökokkulepped |
| Toimik | 7-2.2 Koostöökokkulepped |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Ave Aun (Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, teenuste juhtimise valdkond, riigipilveteenuste osakond) |
| Originaal | Ava uues aknas |
KOOSTÖÖKOKKULEPE nr 7-2.2/22-122-1
Lisa 2
ANDMETÖÖTLUSE LEPING
Isikuandmete töötlemise leping (edaspidi leping) on koostöökokkuleppe lisa, milles lepitakse kokku teenuse pakkumisel isikuandmete töötlemise tingimused. Riigi Info- ja Kommunikatsioonitehnoloogia Keskus on isikuandmete töötlemise osas volitatud töötleja ja Ettevõtluse ja Innovatsiooni Sihtasutus on vastutav töötleja. 1. Kohaldamisala Lepingu õigusi ja kohustusi kohaldatakse poolte kokku lepitud teenustele: 1.1. Arvutitöökohateenusele kohaldatakse järgmisi punkte: 2., 3.1., 3.3.–3.5., 4.–6. 1.2. Serveri alustaristu ehk Riigipilve teenusele kohaldatakse järgmisi punkte: 2., 3.1. ja 3.2.,
3.5., 4.2.–4.3., 4.5.–4.11., 5. ja 6. 1.3. Avalike pilvandmetöötlussüsteemide vahendusteenusele kohalduvad vastutavale
töötlejale konkreetse teenuseosutaja andmete töötlemise tingimused. RIT nende teenuste osas vastutava töötleja süsteemides isikuandmeid ei töötle.
2. Üldsätted 2.1. Lepingu eesmärk on leppida kokku isikuandmete töötlemise tingimused, mida näeb ette
eelkõige 27. aprill 2016.a Euroopa Parlamendi ja Nõukogu (EL) 2016/679 Isikuandmete
kaitse üldmääruse (edaspidi üldmäärus) artikkel 28 lõige 3.
2.2. Pooled on kohustatud järgima kõiki isikuandmete töötlemise nõudeid, andmete
turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi
õigusakte ja muid eeskirju. Mõistete defineerimisel lähtutakse üldmääruses sätestatust.
2.3. Kui koostöökokkuleppe esemeks olevate isikuandmete töötlemine toimub väljaspool
Euroopa Liitu ja Euroopa Majanduspiirkonda, sealhulgas nende edastamine kolmandale
riigile või rahvusvahelisele organisatsioonile, ja andmete töötlemine on vajalik
koostöökokkuleppe täitmiseks, lepivad pooled sellises andmetöötluses eelnevalt kokku.
Kokkulepet ei ole vaja sõlmida, kui volitatud töötleja on kohustatud isikuandmeid
kolmandale riigile või rahvusvahelisele organisatsioonile edastama volitatud töötleja
suhtes kohaldatava Euroopa Liidu või liikmesriigi õiguse alusel. Sellise õigusliku aluse
olemasolust teavitab volitatud töötleja enne isikuandmete töötlemist vastutavat
töötlejat, kui selline teavitamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega
keelatud.
2.4. Pooled on kokku leppinud, et koostöökokkuleppega seotud isikuandmete üksteisele
edastamisel kasutatakse eelnevalt kokku lepitud turvalist andmevahetusviisi.
3. Vastutava töötleja õigused ja kohustused
3.1. Vastutav töötleja tagab, et volitatud töötlejale üle antud isikuandmete töötlemiseks on
vastutaval töötlejal olemas õiguslikud alused ning töötlemine toimub õiguspäraste
eesmärkide saavutamiseks.
3.2. Vastutav töötleja teavitab volitatud töötlejat seaduse alusel asutatud andmekogudest,
mis on majutatud volitatud töötleja serveri alustaristu ehk Riigipilve teenusel.
3.3. Kui vastutav töötleja soovib saada lisateavet koostöökokkuleppe alusel tekkinud
isikuandmete kohta või esitada isikuandmete töötlemise osas lisataotlusi, peab ta
pöördumise enne kooskõlastama oma andmekaitsespetsialistiga.
Kui hinnangut ei ole lisatud, võib volitatud töötleja selle andmekaitsespetsialistilt ise
küsida.
2 / 3
3.4. Vastutav töötleja on teadlik, et volitatud töötlejal seirab koostöökokkuleppes kirjeldatud
teenuste ulatuses vastutava töötleja lõppkasutajate käitumismustreid, võrguliiklust ning
muid andmeid, mis on koostöökokkuleppe täitmiseks vajalikud. Seiret peetakse selleks,
et ennetada ja takistada infoturbeintsidentide toimumist ja täita küberturvalisuse
seaduse nõudeid. Vastavad andmed ja andmetega seotud logid salvestatakse
isikustatud kujul. Vastutaval töötlejal on õigus saada teavet käesoleva punkti alusel
tehtud seire tulemustest. Volitatud töötleja teavitab vastutava töötleja lõppkasutajat
seire tegemise eesmärgist, ulatusest ning kestusest.
3.5. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku
taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud
töötleja koostöökokkuleppest tulenevate kohustuste täitmist. Pooled on kokku leppinud,
et:
3.5.1. vastutava töötleja auditeid võib läbi viia vastutav töötleja ja/või kolmas isik, keda
vastutav töötleja selleks volitanud on;
3.5.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja
dokumente, mida on vaja selleks, et tõendada lepingu nõuetekohast täitmist;
3.5.3. vastutav töötleja käsitleb auditi raames saadud teavet konfidentsiaalsena.
4. Volitatud töötleja õigused ja kohustused
4.1. Volitatud töötleja teavitab info- või muudest andmetöötlussüsteemidest, mis on seotud
koostöökokkuleppe alusel osutatavate teenustega. Volitatud töötleja tagab nimetatud
süsteemide loetelu teenusveebis teenused.rit.ee, mille juures avaldatakse ka valminud
andmekaitsealased mõjuhinnangud ning pilvandmetöötlussüsteemide riskianalüüsid.
4.2. Volitatud töötleja töötleb isikuandmeid koostöökokkuleppes nimetatud teenuste
osutamiseks või volitatud töötleja põhimääruses sätestatud ülesannete täitmiseks.
Volitatud töötleja võib isikuandmeid töödelda vastutava töötleja kirjalikku taasesitamist
võimaldavas vormis antud juhiste alusel koostöökokkuleppes nimetatud teenuse piires.
Samuti on volitatud töötlejal õigus isikuandmeid töödelda volitatud töötleja info- ja
sidesüsteemide hooldamiseks, arendamiseks ja ohuolukordade ennetamiseks
järjepidava seiramisega.
4.3. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja
jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust
võtma. Volitatud töötleja teavitab vastutavat töötlejat kõigist juhiste ja õigusaktide vahel
avastatud vastuoludest.
4.4. Volitatud töötleja avaldab teenustega seotud andmete töötlemise tingimused
teenusveebis teenused.rit.ee. Vastutav töötleja teavitab nendest tingimustest
lõppkasutajaid.
4.5. Volitatud töötleja kohustub hoidma koostöökokkuleppe täitmise käigus teatavaks
saanud isikuandmeid konfidentsiaalsena ning mitte töötlema isikuandmeid muul
eesmärgil kui on koostöökokkuleppes kokku lepitud. Konfidentsiaalsuskohustus jääb
kehtima ka pärast koostöökokkuleppe lõppemist. Konfidentsiaalsusnõudega on seotud
volitatud töötleja töötajad, sealhulgas teised volitatud töötlejad ja muud isikud, kellel on
ligipääs koostöökokkuleppe täitmise käigus töödeldavatele isikuandmetele.
4.6. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud
kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale
kättesaadavat teavet. Eelkõige peab kasutusele võtma üldmääruse artiklis 32 nõutavad
meetmed andmete turvalisuse tagamiseks, sealhulgas:
4.6.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
andmetöötlusseadmetele;
4.6.2. ära hoidma andmekandjate omavolilist teisaldamist;
3 / 3
4.6.3. tagama, et tagantjärele oleks võimalik teha kindlaks, millal, kelle poolt ja milliseid
isikuandmeid töödeldi.
4.6.4. teavitama vastutavat töötlejat esimesel võimalusel võimalikest infoturbeintsidentidest.
4.7. Volitatud töötleja kohustub piirama vastutava töötleja ligipääsu süsteemile
küberturvalisuse seaduse § 7 lõike 2 punkti 4 alusel, kui see on vajalik küberintsidendi
mõju ja leviku piiramiseks. See tähendab, et ligipääsu piiramine võib toimuda volitatud
töötleja küberturvalisuse seadusest tuleneva kohustuse täitmiseks.
4.8. Volitatud töötlejal on õigus kasutada teisi volitatud töötlejaid pakutavate teenuste
tagamiseks, sealhulgas on volitatud töötlejal õigus kasutada oma teenuste tagamiseks
teenuseosutajaid, kes töötlevad vastutava töötleja andmeid
pilvandmetöötlussüsteemides. Volitatud töötleja ei edasta isikuandmeid kolmandatele
isikutele ilma vastutava töötleja eelneva nõusolekuta.
4.9. Volitatud töötleja aitab võimaluse piires vastutava töötleja taotlusel asjakohaste
tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata
andmesubjekti taotlustele. Kui andmesubjekt on edastanud taotluse otse volitatud
töötlejale, edastab ta nimetatud taotlused vastutavale töötlejale viivitamatult nende
saamisest alates.
4.10. Volitatud töötleja kohustub koostöökokkuleppe lõppemisel tagastama vastutavale
töötlejale kõik isikuandmed või muud vastutava töötlejaga seotud andmed ja kustutama
või hävitama isikuandmed ja nende koopiad vastavalt vastutava töötleja antud juhistele,
õigusaktidele ning teenuse osutamise tingimustele, kui õigusaktis ei ole sätestatud
teisiti.
4.11. Volitatud töötleja säilitab osutatud teenuste käigus tekkinud isikuandmeid vastavalt
teenuse standardile, mis avaldatakse teenusveebis teenused.rit.ee või veebilehel
riigipilv.ee vastavalt valitud teenusele.
5. Rikkumisest teavitamine
5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega
seotud rikkumistest või kahtlustest kui sellised rikkumised on aset leidnud, alates
hetkest, kui volitatud töötleja või tema poolt kasutatav teine volitatud töötleja saab teada
isikuandmete töötlemisega seotud rikkumisest või kui tekib kahtlus, et selline rikkumine
on aset leidnud.
5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest
teada saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist
puudutava teadaoleva informatsiooni. Juhul kui kõiki asjaolusid ei ole võimalik selleks
ajaks välja selgitada, esitab volitatud töötleja vastutavale töötlejale esialgsed andmed
ning kogu täiendava info esimesel võimalusel. Vastutav töötleja teavitab omakorda
isikuandmetega seotud rikkumisest üldmääruse artikkel 33 alusel järelevalveasutust.
5.3. Volitatud töötleja teeb vastutava töötlejaga koostööd selleks, et isikuandmetega seotud
rikkumine kõrvaldada, ja kaasab vastutava töötleja intsidendi haldamise protsessi.
Volitatud töötleja teeb kõikvõimaliku, et edasist rikkumist ära hoida ning kahju
vähendada.
5.4. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud töötlejat puudutavates
küsimustes või toimingutes järelevalveasutusele vastamisel, aga ei esinda vastutavat
töötlejat järelevalveasutusega suhtlusel.
6. Vastutus
6.1. Pool vastutab kahju eest, mille ta on teisele poolele või kolmandale isikule põhjustanud,
rikkudes koostöökokkuleppest või õigusaktidest tulenevaid nõudeid.