| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 4-7/23-38 |
| Registreeritud | 23.03.2023 |
| Sünkroonitud | 07.01.2026 |
| Liik | Leping |
| Funktsioon | 4 Finantstegevus |
| Sari | 4-7 Lepingud (töövõtt ja käsundus juriidiliste isikutega, haldus, liising, üür-rent, kindlustus, müük, litsentsid, ost, varaline vastutus, varakasutus) koos aktidega |
| Toimik | 4-7/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kärt Allert 3 |
| Originaal | Ava uues aknas |
TUGITEENUSTE OSUTAMISE KOKKULEPE nr 1-5/23/51-1
Justiitsministeerium, registrikood 70000898, asukoht Suur-Ameerika tn 1, 10122 Tallinn,
keda esindab kantsler Tõnis Saar (edaspidi nimetatud Tellija või Pool või koos
Teenuseosutajaga Pooled)
ja
Riigi Tugiteenuste Keskus, registrikood 70007340, asukoht Lõkke 4, 10122 Tallinn, keda
esindab peadirektor Pärt-Eo Rannap (edaspidi nimetatud Teenuseosutaja või Pool või koos
Tellijaga Pooled), sõlmivad kokkuleppe (edaspidi Kokkulepe) alljärgnevas:
1. Üldsätted
1.1. Kokkuleppe eesmärgiks on reguleerida Poolte õigusi ning kohustusi dokumendihaldus-
ja arhiiviteenuse osutamisel vastavalt Kokkuleppele ja selle lisadele (edaspidi Teenus).
1.2. Kokkuleppega volitab Tellija Teenuseosutajat dokumendihaldus- ja arhiiviteenuse
osutamiseks töötlema Tellija ametialaseid dokumente ja andmeid, mis on osaks Tellija
dokumendihaldus- ja arhiiviteenuse korraldusest. Nimetatud andmete töötlemisel
käsitlevad Pooled Tellijat dokumendihaldus- ja arhiiviteenuse osutamisel andmete
vastutava töötlejana ning Teenuseosutajat andmete volitatud töötlejana.
1.3. Teenuse osutamiseks vajalikud eritingimused, Teenuse ulatus, tehtavad toimingud ning
tööjaotus Teenuseosutaja ja Tellija vahel sisustatakse Kokkuleppe lisaks olevas
toimemudelis (Lisa 1). Kui Kokkuleppe põhiteksti ja selle lisade vahel esineb
vasturääkivus, lähtutakse lisades kokkulepitud tingimustest.
1.4. Poolte õiguste ja kohustuste aluseks on Eestis kehtivad õigusaktid ja Kokkulepe koos
lisadega. Kui konkreetsest sättest ei tulene teisiti, tähendab mõiste Kokkulepe Kokkuleppe
põhiteksti koos kõikide lisadega.
1.5. Teenuse osutamise kohustus laieneb ka nendele toimingutele, mis ei ole Kokkuleppega
otseselt ette nähtud, kuid mis oma olemuselt kuuluvad Kokkuleppes nimetatud Teenuse
hulka.
1.6. Kooskõlas 04.09.2017 sõlmitud Tugifunktsioonide koostöökokkuleppega loevad Pooled
siinse Kokkuleppe tähenduses Tellijaks ka Rahandusministeeriumi ühisosakonna
dokumendihaldustalituse, välja arvatud kui funktsioon ei ole õigusaktidest tulenevalt või
oma olemuselt üleantav (nt korra või liigitusskeemi kinnitamine).
2. Poolte kohustused ja õigused
2.1. Teenuseosutaja kohustub:
2.1.1. osutama Teenust hoolikalt ning professionaalselt kooskõlas oma tegevus- või kutsealal
kehtivate standardite ja heade tavadega;
2.1.2. lähtuma Teenuse osutamisel vastavat valdkonda reguleerivatest õigusaktidest, Tellija
kehtestatud juhenditest ja kordadest, kui Tellija on need Teenuseosutajale edastanud,
samuti Tellija esitatud dokumentidest ning Kokkuleppest;
2.1.3. isikuandmete töötlemisel juhinduma Tellija kui andmete vastutava töötleja juhistest;
2.1.4. läbi rääkima kõik olulised töökorralduslikud muudatused Tellijaga, kui see võib
mõjutada Teenuse osutamise tingimusi;
2.1.5. tegutsema Teenuse osutamisel Tellijale lojaalselt arvestades Tellija huvidega ning neid
huve kaitsma;
2.1.6. teavitama Tellijat, kui Teenuseosutaja hinnangul on Tellija poolt Teenuse osutamiseks
edastatud dokument või isikuandmete töötlemiseks antud juhis vastuolus õigusaktidega,
sisaldab olulisi puudusi, ei ole Teenuse osutamiseks piisavalt selge või üheselt
mõistetav, samuti teavitama Tellijat juhul, kui Teenuseosutajale teadaolevalt Teenuse
osutamiseks vajalik dokument puudub või esineb muu puudus, esitades ühtlasi
omapoolsed ettepanekud puuduste kõrvaldamiseks;
2.1.7. andma Tellijale asjakohast teavet kõikvõimalikes Teenuse osutamisega seotud
küsimustes (sh nõustama Teenuse osutamisega seotud küsimustes) ning võimaldama
Tellija esindajate ligipääsu andmetele, mis on otseselt seotud Teenuse osutamisega;
2.1.8. esindama Tellijat teiste isikute või asutuste ees Teenuse osutamisega seotud küsimuste
või vaidluste lahendamisel eelneva Tellija sellekohase nõusoleku või volituse
olemasolul;
2.1.9. kõrvaldama mõistliku aja jooksul kõik Teenuse osutamise käigus tekkinud puudused
või takistused kui need on olemuslikult Teenuseosutaja poolt kontrollitavad;
2.1.10. hüvitama Tellijale varalise kahju, kui see tekkis Teenuseosutaja poolse Teenuse
mittenõuetekohase osutamise tõttu;
2.1.11. säilitama Teenuse osutamisega seotud andmeid ja dokumente õigusaktides sätestatud
või Tellijaga kokku lepitud tähtaegade vältel;
2.1.12. juhul kui kehtivast õigusaktist ei tulene andmete või dokumentide säilitamiskohutust,
siis Tellija eelneval juhendamisel või nõusolekul need andmed või dokumendid
kustutama või tagastama;
2.1.13. mitte avaldama ilma Tellija eelneva nõusolekuta Teenuse osutamise käigus teatavaks
saanud andmeid kolmandatele isikutele, v.a kui selliste andmete avaldamise kohustus
tuleneb õigusaktist ning eelneva nõusoleku küsimiseks puudub vajadus. Pooled on
kokku leppinud, et mõlemal juhul teavitab Teenuseosutaja andmete avaldamise
vajaduse või kohustuse tekkimisel viivitamata Tellija esindajat;
2.1.14. töötlema temale Teenuse osutamise käigus edastatud andmeid vaid ulatuses, mis on
vajalik Teenuse osutamiseks;
2.1.15. esitama dokumente, aruandeid ja andmeid Tellija siseauditi üksusele, Riigikontrollile
vm kontrolliorganile auditeerimise protseduuri ning õigusaktidest tuleneva kontrolli
läbiviimiseks, kui õigusaktidest ei tulene teisiti;
2.1.16. mitte kaasama dokumendihaldus- ja arhiiviteenuse osutamiseks teisi andmete volitatud
töötlejaid ilma eelneva Tellija nõusolekuta;
2.1.17. viivituseta teavitama Tellijat isikuandmetega soetud rikkumisest teada saamisest
kooskõlas isikuandmete kaitse üldmääruse (Euroopa Parlamendi ja Nõukogu määrus nr
(EL) 2016/679) artikliga 33.
2.2. Teenuseosutajal on õigus täielikult või osaliselt keelduda Teenuse osutamisest kuni
Tellija poolsete kohustuste täitmiseni, kui Tellija ei täida punktis 2.3 nimetatud kohustusi
ning see takistab Teenuseosutaja kohustute täitmist või üldist Teenuse osutamist.
2.3. Tellija kohustub:
2.3.1. esitama Teenuseosutajale Teenuse osutamiseks vajaliku teabe Lisas 1 määratud või
Poolte esindajate poolt kokku lepitud aja jooksul, kasutades selleks vajadusel
operatiivseid sidekanaleid (nt. e-kiri);
2.3.2. võimaldama Teenuseosutajale põhjendatud vajaduse korral juurdepääsu Teenuse
osutamiseks vajalikele andmebaasidele ja infosüsteemidele;
2.3.3. vastama Teenuseosutaja poolt Teenuse osutamiseks esitatud küsimustele mõistliku aja
jooksul kui Kokkuleppes ei ole reguleeritud teisiti;
2.3.4. informeerima viivitamata Teenuseosutajat kõikidest asjaoludest, mis võivad mõjutada
Teenuse osutamise käiku või takistada Kokkuleppe edaspidist täitmist;
2.3.5. läbi rääkima Teenuseosutajaga kõik muudatused Tellija juhendites ja eeskirjades kui
need on seotud Teenuse osutamisega;
2.3.6. kõrvaldama mõistliku aja jooksul kõik Tellijast tingitud Teenuse osutamist mõjutavad
puudused või takistused.
2.4. Tellijal on õigus:
2.4.1. saada Teenust kooskõlas kehtivate õigusaktidega ja käesoleva Kokkuleppega; 2.4.2. nõuda varalise kahju hüvitamist, kui see on tekkinud Teenuseosutaja Teenuse
mittenõuetekohase osutamise tõttu.
2.5. Teenuse mitteosutamiseks või ebakvaliteetseks osutamiseks ei loeta Teenuse katkestusi
või rikkumisi, mis on tingitud asjaoludest, mille üle Teenuseosutajal puudub kontroll
(vääramatu jõud).
2.6. Vääramatu jõud ei vabasta pooli kohustusest võtta tarvitusele kõik võimalikud abinõud
käesoleva Kokkuleppe mittetäitmise või mittekohase täitmisega tekkida võiva kahju
vältimiseks või vähendamiseks.
3. Infoturve ja andmekaitse
3.1. Pooled järgivad isikuandmete töötlemisel isikuandmete kaitse seaduses ja isikuandmete
kaitse üldmääruses (Euroopa Parlamendi ja Nõukogu määrus nr (EL) 2016/679) toodud
andmekaitse põhimõtteid ja muid infoturvet reguleerivaid õigusakte.
3.2. Käesoleva Kokkuleppe alusel töötleb Teenuseosutaja isikuandmeid Teenuseosutaja
põhimääruse § 177 sätestatud ülesannete ja Kokkuleppest tulenevate ülesannete
täitmiseks. Andmetöötluse täpsemad tingimused on sätestatud Kokkuleppe lisas 2.
Teenuse osutamiseks vajalikud täpsustatud isikuandmete liigid, andmesubjektide
kategooriad lepitakse eraldi kokku Kokkuleppe lisas (Lisa 3).
3.3. Teenuseosutaja täidab Poolte infoturbealaseid juhiseid ja kokkuleppeid ning kindlustab
Tellija andmete haldamisel andmete kvaliteedi, käideldavuse, konfidentsiaalsuse ja
koostalitusvõime. Teenuseosutaja tagab, et Teenuse osutamiseks isikuandmeid töötlema
volitatud isikud on kohustunud järgima andmete töötlemise konfidentsiaalsusnõudeid.
3.4. Teenuseosutaja vastutab tema poolt töödeldavate Tellija andmete volituseta või juhusliku
hävimise või hävitamise kaitseks meetmete rakendamise või rakendamata jätmise eest.
4. Teabevahetus
4.1. Teabevahetus toimub kirjalikku taasesitamist võimaldavas vormis üldjuhul e-posti või
muu selleks sobiva infosüsteemi kaudu. Teave tuleb esitada samas vormis milles see on
küsitud, kui teine Pool ei ole täpsustanud, millisel viisil ta vastust soovib. Kui teave
sisaldab konfidentsiaalseid andmeid, mh isikuandmeid, tuleb teave edastada
krüpteeritult või läbi turvalise kanali.
4.2. Pool vastab teise Poole esitatud küsimusele, järelepärimisele, teabe nõudmisele vms
võimalikult kiiresti, kuid mitte hiljem kui 5 tööpäeva jooksul arvates küsimisest. Pooled
võivad vastamiseks kokku leppida muu tähtaja.
4.3. Kokkuleppega seotud teated edastatakse teisele Poolele asutuse volitatud kontaktisiku
kaudu.
4.4. Teenuseosutaja ja Tellija kontaktisikud, kellel on õigus anda Kokkuleppega seotud
nõusolekuid ning teha Teenuseosutaja või Tellija nimel toiminguid Kokkuleppe
nõuetekohaseks täitmiseks, lepitakse kokku käesoleva Kokkuleppe Lisa(de)s või muul
kirjalikku taasesitamist võimaldaval viisil.
5. Vaidluste lahendamine
Kõik Kokkuleppest tulenevad või sellega seotud vaidlused lahendatakse Poolte vahel
läbirääkimiste teel. Läbirääkimiste teel kokkuleppe mittesaavutamise korral lahendatakse
vaidlused Riigi Tugiteenuste Keskuse nõukojas.
6. Kokkuleppe kehtivuse eritingimused ja muutmine
6.1. Kokkulepe jõustub 1. jaanuarist 2023. a. ning kehtib kuni 31. detsembrini 2024. a.
6.2. Juhul kui Tellija ei soovi pärast 31. detsembrit 2024. a. Kokkulepet pikendada, teavitab
Tellija sellest Teenuseosutajat vähemalt 6 kuud ette. Sellisel juhul lepivad Pooled eraldi
kokku Kokkuleppe lõpetamise tingimused.
6.3. Juhul kui Tellija ei teavita punkti 6.2 kohaselt Teenuseosutajat ette Kokkuleppe
lõpetamise soovist, loevad Pooled Kokkulepe pärast 31. detsembrit 2024. a. automaatselt
pikendatuks määramata ajaks.
6.4. Käesolevat Kokkulepet võivad Pooled igal ajal muuta vormistades need kirjalikult, kui
Kokkuleppes ei ole ettenähtud teisiti.
/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/
Tõnis Saar Pärt-Eo Rannap
Kantsler peadirektor
1
Tugiteenuste osutamise kokkulepe Lisa 2 ANDMETÖÖTLUSE LEPING Käesolev lisa (edaspidi: lisa) on lahutamatu osa sõlmitud tugiteenuste osutamise kokkuleppest (edaspidi: leping), mis sõlmitakse Justiitsministeeriumi (edaspidi: vastutav töötleja) ja Riigi Tugiteenuste Keskuse (edaspidi: volitatud töötleja) vahel, teostamaks kokkuleppes nimetatud tegevustega seotud andmesubjektide (edaspidi: andmesubjektid) isikuandmete töötlemist. 1. Lisa eesmärk 1.1. Käesoleva lisa eesmärk on kokku leppida volitatud töötleja õigustes ja kohustuses isikuandmete töötlemisel, millest pooled lepingu täitmisel juhinduvad. Käesolev lisa kujutab endast isikuandmete töötlemist puudutavat andmetöötluse lepingut vastavalt Euroopa Liidu isikuandmete kaitse üldmäärusele (2016/679) (edaspidi: üldmäärus). 1.2. Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse (edaspidi: isikuandmed), isikuandmete töötlemise kestus, iseloom ja eesmärgid ning vastutava töötleja antud juhised on välja toodud lepingus, sh selle juurde kuuluvates dokumentides. Vajadusel võib vastutav töötleja anda isikuandmete töötlemiseks täiendavaid dokumenteeritud juhiseid. 1.3. Pooled kohustuvad järgima kõiki kohalduvaid andmekaitsealaseid õigusakte, sh juhendeid ja tegevusjuhiseid, mis on väljastatud isikuandmete kaitse eest vastutava kohaliku ja/või Euroopa Liidu asutuse poolt ning seoses kõikide isikuandmetega, mida lepingu alusel töödeldakse. 2. Mõisted 2.1. Käesolevas lisas olevate mõistete sisustamisel lähtutakse üldmääruses sätestatust, sealhulgas: 2.1.1. „Isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal; 2.1.2. „Isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine; 2.1.3. „Isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu; 3. Isikuandmete töötlemine 3.1. Volitatud töötleja kohustub töötlema isikuandmeid vastavalt käesolevas lisas nimetatud ja teistele asjakohastele õigusaktidele, juhenditele ja lepingule (sh vastutava töötleja antud dokumenteeritud juhistele) ning ainult sellisel määral, mis on vajalik lepingu täitmiseks. Kui see on lepingu täitmisega seonduvalt vajalik, võib volitatud töötleja andmesubjektide isikuandmeid töödelda ka järgmistel eesmärkidel:
3.1.1. asjakohaste info- ja sidesüsteemide hooldamine, tagades sellise töötlemise vastavuse käesolevas lisas nimetatud õigusaktidele ja juhenditele.
3.2. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust võtma. Volitatud töötleja teavitab vastutavat töötlejat kõigist avastatud vastuoludest dokumenteeritud juhiste ja käesolevas lisas nimetatud õigusaktide või juhendite vahel. 3.3. Volitatud töötleja võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid (edaspidi: teine volitatud töötleja) üksnes vastutava töötleja eelneval nõusolekul, mis on antud vähemalt kirjalikku taasesitamist võimaldavas vormis. Ilma vastutava töötleja kirjalikku taasesitamist võimaldava nõusolekuta võib volitatud töötleja kasutada isikuandmete töötlemiseks teisi volitatud töötlejaid üksnes juhul, kui see on vajalik volitatud töötleja info- ja sidesüsteemide hoolduseks, kui hoolduse läbiviimine ilma isikuandmeid töötlemata pole võimalik.
3.3.1. Volitatud töötleja vastutab kõigi teiste volitatud töötlejate tegevuse eest nagu enda tegevuse eest ning sõlmib teise volitatud töötlejaga isikuandmete töötlemiseks kirjalikud lepingud vastavalt üldmääruse artikli 28 lõikele 4, mis on käesolevas lepingus sätestatuga vähemalt samaväärsed.
2
3.3.2. Kui vastutav töötleja on andnud volitatud töötlejale loa kasutada lepingust tulenevate kohustuste täitmiseks teisi volitatud töötlejaid, on lepingust tulenevatele küsimustele vastamisel kontaktisikuks vastutavale töötlejale üksnes volitatud töötleja ning volitatud töötleja tagab selle, et kõnealune teine volitatud töötleja täidab lepingu nõudeid ja on sellega seotud samal viisil nagu volitatud töötleja ise. Vastutav töötleja võib igal ajahetkel võtta tagasi volitatud töötlejale antud loa kasutada teisi volitatud töötlejaid.
3.4. Volitatud töötleja kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud eesmärgil. Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised volitatud töötlejad, volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus töödeldavatele isikuandmetele) järgivad konfidentsiaalsusnõuet. 3.5. Volitatud töötleja kohustub rakendama asjakohaseid turvalisuse tagamise meetmeid, muu hulgas tehnilisi ja korralduslikke, viisil, et isikuandmete töötlemine vastaks üldmääruse artikli 32 nõuetele, sealhulgas:
3.5.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele; 3.5.2. ära hoidma andmekandjate omavolilist teisaldamist; 3.5.3. tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid töödeldi (sh kui andmeid töödeldi omavoliliselt vms).
3.6. Volitatud töötleja aitab võimaluste piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades kõik andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse keelamise ja muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates. 3.7. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet. 3.8. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud töötleja käesolevast lisast tulenevate kohustuste täitmist. Pooled on kokku leppinud, et:
3.8.1. vastutava töötleja auditeid võib läbi viia kas vastutav töötleja ja/või kolmas isik, keda vastutav töötleja on selleks volitanud; 3.8.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja dokumente, mida on vaja selleks, et tõendada käesoleva lisa nõuetekohast täitmist; 3.8.3. vastutav töötleja käsitleb kogu volitatud töötleja poolt auditi raames saadud teavet konfidentsiaalsena.
3.9. Volitatud töötleja suunab kõik järelevalveasutuste päringud otse vastutavale töötlejale, kuna suhtluses järelevalveasutustega pole volitatud töötlejal õigust vastutavat töötlejat esindada ega tema nimel tegutseda. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud töötlejat puudutavates küsimustes või toimingutes järelevalveasutusele vastamisel. 4. Isikuandmete töötlemine väljaspool Euroopa Liitu ja Euroopa Majanduspiirkonda 4.1. Käesoleva lepingu esemeks olevaid isikuandmeid ei tohi töödelda väljaspool Euroopa Liitu ega Euroopa Majanduspiirkonda, sh ei tohi nimetatud isikuandmeid edastada kolmandale riigile või rahvusvahelisele organisatsioonile. 4.2. Juhul, kui käesoleva lepingu esemeks olevate isikuandmete töötlemine väljaspool Euroopa Liitu ja Euroopa Majanduspiirkonda, sh nende edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, on vajalik lepingu täitmiseks, lepivad pooled sellises andmetöötluses eelevalt kirjalikult kokku. Kirjalikku kokkulepet ei ole vaja sõlmida, kui volitatud töötleja on kohustatud isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile edastama volitatud töötleja suhtes kohaldatava Euroopa Liidu või liikmesriigi õiguse alusel. Sellisel juhul teatab volitatud töötleja sellise õigusliku aluse olemasolust enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud. 5. Isikuandmete töötlemisega seotud rikkumistest teavitamine 5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega seotud rikkumistest, või kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma põhjendamatu viivituseta alates hetkest, kui volitatud töötleja või tema poolt kasutatav teine volitatud töötleja saab teada isikuandmete töötlemisega seotud rikkumisest või on alust kahelda, et selline rikkumine on aset leidnud.
3
5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava asjakohase informatsiooni, täites käesolevas lisas toodud isikuandmete töötlemise rikkumisest teavitamise vormi (edaspidi: vorm) ja lisades juurde asjakohase muu dokumentatsiooni. Juhul, kui kõiki asjaolusid ei ole võimalik selleks ajaks välja selgitada, esitab volitatud töötleja vastutavale töötlejale vormi esialgsete andmetega. Täiendatud vorm lõpliku informatsiooniga rikkumise asjaolude kohta tuleb esitada vastutavale töötlejale esimesel võimalusel pärast esialgsete andmetega vormi esitamist. 5.3. Volitatud töötleja teeb vastutava töötlejaga igakülgset koostööd selleks, et välja töötada ja täita tegevusplaan isikuandmetega seotud rikkumiste kõrvaldamiseks. Volitatud töötleja peab tegema kõik võimaliku, et edasist rikkumist ära hoida ning kahju vähendada. 5.4. Vastutav töötleja vastutab järelevalveasutuse teavitamise eest. 6. Vastutus 6.1. Lisaks lepingus sätestatud vastutusele: 6.1.1. vastutab volitatud töötleja kahju eest, mida ta on tekitanud vastutavale töötlejale, andmesubjektidele või muudele kolmandatele isikutele isikuandmete töötlemise tagajärjel, mis on tekitatud käesoleva lisa nõudeid, mh kõiki selles mainitud õigusnorme ja dokumenteeritud juhiseid, rikkudes. 6.1.2. kohustub volitatud töötleja, kui ta on isikuandmete töötlemise nõudeid rikkunud ja selle tagajärjel on vastutav töötleja kohustatud maksma hüvitist või trahvi, hüvitama vastutavale töötlejale sellega seoses kantud kulud. 6.1.3. kui volitatud töötleja rikub oluliselt käesolevas lisas sätestatud isikuandmete töötlemise nõudeid, muuhulgas isikuandmete kaitse üldmääruse või muude kohaldatavate õigusnormide sätteid isikuandmete kaitse valdkonnas, on vastutaval töötlejal õigus leping ette teatamata üles öelda. Oluline lepingurikkumine on eelkõige, kui:
6.1.3.1 isikuandmete töötlemise põhimõtete täitmist kontrolliva järelevalveasutuse või kohtu menetluses selgub, et volitatud töötleja või teine volitatud töötleja ei täida isikuandmete töötlemise põhimõtteid; 6.1.3.2 vastutav töötleja leiab käesoleva lisa kohaselt läbiviidud auditis, et volitatud töötleja või teine volitatud töötleja ei täida isikuandmete töötlemise põhimõtteid, mis tulenevad käesolevast lisast või kohaldatavatest õigusnormidest.
7. Muud sätted 7.1. Volitatud töötleja kohustub lepingu lõppemisel tagastama vastutava töötlejale kõik andmesubjektide isikuandmed või kustutama või hävitama isikuandmed ja nende koopiad vastavalt vastutava töötleja antud juhistele. 7.2. Volitatud töötleja väljastab vastutavale töötlejale volitatud töötleja esindusõigusega isiku kirjaliku kinnituse, et tema ja kõik tema kasutatud teised volitatud töötlejad on teinud eelnevas punktis nimetatud toimingud. 7.3. Volitatud töötleja teavitab vastutavat töötlejat kirjalikult kõigist muudatustest, mis võivad mõjutada volitatud töötleja võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava töötleja dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates täiendustes ja muudatustes kokku kirjalikult. 7.4. Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast käesoleva lisa kehtivuse lõppemist ning nendele rakendatakse lepingus sätestatut, kui käesolevas lisas ei ole kokku lepitud teisiti. Vastutav töötleja Volitatud töötleja
/allkirjastatud digitaalselt/ /allkirjastatud digitaalselt/
4
Lisa ISIKUANDMETE TÖÖTLEMISE RIKKUMISEST TEAVITAMISE VORM 1. Kontaktandmed Isik, kellelt saab rikkumise asjaolude kohta täiendavat informatsiooni ja tema kontaktandmed: _________________________________________________________________________________ 2. Teavituse tüüp (märgi kast, üks või mitu valikut)
☐ Lõplik teavitus
☐ Varasema teavituse täiendamine
3. Aeg (sisesta kuupäev ja märgi kast) Millal sain rikkumisest teada (kuupäev/kuu/aasta):_________________________________________ Rikkumine toimus pikemal perioodil (algus- ja lõppkuupäev/kuu/aasta):_________________________
☐ Toimus ühekordne rikkumine
☐ Rikkumine jätkuvalt toimub
4. Rikkumise andmed Kirjelda, mis juhtus ning kuidas rikkumise avastasite: _________________________________________________________________________________ _________________________________________________________________________________ Rikkumise asjaolud (märgi kast, üks või mitu valikut)
☐ Seade isikuandmetega on kaotatud või varastatud
☐ Paberdokument on varastatud, kaotatud või jäetud mitteturvalisse keskkonda
☐ Isikuandmete loata avaldamine
☐ Isikuandmeid nägi vale isik
☐ Isikuandmed edastati valele isikule
☐ Infosüsteemidesse loata või ebaseaduslik sisenemine (nt häkkimine, pahavara, lunavara või
õngitsusrünne)
☐ Isikuandmed olid kättesaadavad seoses andmekandjate ebapiisava hävitamisega
☐ Muud (palun täpsusta):
_________________________________________________________________________________ _________________________________________________________________________________ Miks rikkumine juhtus (märgi kast, üks või mitu valikut)
☐ Organisatsiooni töökorralduse reeglite, sisekorra rikkumine
☐ Töötajate vähene teadlikkus (nt puudulikud sisekorrad ja töökorralduse reeglid, töötajate mittepiisav
koolitus)
☐ Inimlik viga
☐ Tehniline viga
Muu (nimetage siin ka koostööpartner(id) nt volitatud töötleja, kui rikkumine toimus tema juures):___________________________________________________________________________ _________________________________________________________________________________ _________________________________________________________________________________
☐ Asjaolud pole veel teada
5. Rikkumisest puudutatud isikuandmed Rikkumisest puudutatud kaustade, dokumentide, failide, e-kirjade, andmebaaside arv, mis sisaldavad isikuandmeid. (nt mitu dokumenti edastati valele inimesele; märgi kast, valides vahemik või sisesta täpne arv või märgi „pole teada“)
☐ 1-9
☐ 10-49
☐ 50-99
☐ 100-499
☐ 500-999
☐ 1000-4999
☐ 5000 – 9999
☐ 10000 ja rohkem
5
Kui on teada, sisesta täpne arv:______
☐ Pole veel teada
Tee järgnevalt valik, millised isikuandmeid rikkumine puudutab (märgi kast, üks või mitu valikut)
☐ Ees-, perenimi
☐ Sünniaeg
☐ Isikukood
☐ E-post
☐ Telefoni nr
☐ Postiandmed või elukoha aadress
☐ Kasutajanimed, salasõnad
☐ Maksevahendite andmed (andmed, mis võimaldavad võtta üle isiku maksevahendi)
☐ Majandus või finantsandmed (tehingu ajalugu, majanduslikku seisundit näitavad andmed,
maksevõime hindamine)
☐ AK teavet sisaldavad dokumendid (sh ameti- ja kutsesaladusega kaitstud teave)
☐ Geolokatsiooni andmed
☐ Suhtlusandmed (nt kes kellega ja millal rääkis, kirjutas)
☐ Andmed süüteoasjades süüdimõistvate kohtuotsuste ja süütegude kohta
☐ Lapsendamissaladuse andmed
☐ Andmed sotsiaalkaitsevajaduse või eestkoste kohta
☐ Rassiline või etniline päritolu
☐ Poliitilised vaated
☐ Usulised või filosoofilised (maailmavaatelised) veendumused
☐ Ametiühingusse kuulumine
☐ Geneetilised andmed
☐ Biomeetrilised andmed
☐ Terviseandmed
☐ Seksuaalelu ja seksuaalne sättumus
Muu (palun täpsusta):________________________________________________________________ _________________________________________________________________________________ Kas isikuandmed olid asjakohaselt krüpteeritud? (sh krüptovõtmeid ei ole kompromiteeritud ja need on andmetöötleja kontrolli all. Märgi kast, üks valik)
☐ Jah
☐ Ei
6. Rikkumisest puudutatud isikud Rikkumisest puudutatud isikute arv (märgi kast, valides vahemik või sisesta täpne arv või märgi „pole teada“)
☐ 1-9
☐ 10-49
☐ 50-99
☐ 100-499
☐ 500-999
☐ 1000-4999
☐ 5000-9999
☐ 10000 ja rohkem
Kui on teada, sisesta täpne arv:_______
☐ Pole veel teada
Tee järgnevalt valik, milliseid isikute kategooriaid rikkumine puudutab (märgi kast, üks või mitu valikut)
☐ Töötajad
☐ Kliendid
☐ Alaealised (nt õpilased, lapsed).
☐ Patsiendid
☐ Sotsiaalset kaitset vajavad inimesed
6
Muu (palun selgita):_________________________________________________________________ _________________________________________________________________________________ _________________________________________________________________________________ 7. Võimalikud tagajärjed rikkumisest puudutatud isikutele Konfidentsiaalsuskadu (andmetele said juurepääsu selleks mittevolitatud isikud. Märgi kast, üks või mitu valikut)
☐ Oht isikuandmete ulatuslikumaks töötlemiseks kui näeb ette esialgne eesmärk või isiku nõusolek
☐ Oht isikuandmete kokku viimiseks muu isikuid puudutava infoga
☐ Oht, et isikuandmeid kasutatakse teistel eesmärkidel ja/või ebaõiglasel viisil
Muu (palun täpsusta):________________________________________________________________ _________________________________________________________________________________ _________________________________________________________________________________ Tervikluse kadu (andmeid on volitamata muudetud. Märgi kast, üks või mitu valikut)
☐ Oht, et isikuandmeid on muudetud ja kasutatud, kuigi need ei pruugi olla enam kehtivad
☐ Oht, et isikuandmeid on muudetud muul moel kehtivateks andmeteks ja neid on hiljem kasutatud
teistel eesmärkidel Muu (palun täpsusta):________________________________________________________________ _________________________________________________________________________________ _________________________________________________________________________________ Käideldavuse kadu (puudub õigeaegne ja hõlbus juurdepääs andmetele. Märgi kast)
☐ Puudub võime osutada rikkumisest puudutatud isikutele kriitilist (elutähtsat) teenust
Muu (palun täpsusta):________________________________________________________________ _________________________________________________________________________________ _________________________________________________________________________________ Füüsiline, varaline või mittevaraline kahju või muu samaväärne tagajärg (märgi kast, üks või mitu valikut)
☐ Isik jääb ilma kontrollist oma isikuandmete üle
☐ Isiku õiguste piiramine (nt ei saa kasutada teenust või lepingust tulenevaid õigusi)
☐ Õiguslik tagajärg (nt isik ei saa hüvitist, toetust, luba mõneks tegevuseks)
☐ Diskrimineerimine
☐ Identiteedivargus
☐ Pettus
☐ Rahaline kahju
☐ Kahju tervisele
☐ Risk elule
☐ Pseudonümiseerimise loata tühistamine
☐ Mainekahju
☐ Usalduse kadu
☐ AK teabe või ameti- ja kutsesaladusega kaitstud teabe kadu
Muu (palun täpsusta):________________________________________________________________ 8. Rikkumisega seotud järeltegevused Isikute teavitamine Juba teavitatud (kuupäev/kuu/aasta):_____________ Kuidas teavitus toimus (märgi kast, üks või mitu valikut):
☐ E-kirjaga
☐ Lühisõnumiga (SMS)
☐ Helistamisega
☐ Meedias sh sotsiaalmeedias
☐ Asutuse/ettevõtte võrgulehel
Muu (palun täpsusta):________________________________________________________________ Mis oli teavituse sisu:________________________________________________________________ _________________________________________________________________________________ _________________________________________________________________________________ Veel pole teavitanud, kuid teavitame: (kuupäev/kuu/aasta):_____________
☐ Pole selge kas on vaja teavitada
7
☐ Ei ole vajalik teavitada
Kui pidasite vajalikuks isikuid mitte teavitada, siis selgitage, kuidas jõudsite järeldusele, et rikkumisega ei kaasne isikute õigustele ja vabadustele suurt riski: _________________________________________________________________________________ _________________________________________________________________________________ Kirjeldage kavandatud ja rakendatud meetmeid rikkumise lahendamiseks, kahjulike mõjude leevendamiseks ja ennetamiseks tulevikus: _________________________________________________________________________________ _________________________________________________________________________________ 9. Rikkumise piiriülene mõju Millises riigis on teie peamine tegevuskoht? (palun kirjuta riigi nimi):___________________________ Rikkumisest on puudutatud ka teiste EL riikide isikud:
☐ Ei
☐ Jah (palun täpsusta, milliste riikide ning tooge välja isikute arv riikide lõikes. Kui puudutatud
isikuandmete koosseis on riigiti erinev, tooge ka see välja): _________________________________________________________________________________
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Tugiteenuste osutamise kokkuleppe nr 4-7/24-17-1 muudatus nr 2 | 05.01.2026 | 2 | 4-7/26-17-3 | Leping | jm | |
| Tugiteenuste osutamise kokkuleppe muudatus | 03.01.2025 | 369 | 4-7/25-17-2 | Leping | jm | |
| Tugiteenuste osutamise kokkulepe (personali- ja palgaarvestus, riigihangete korraldamine, finantsarvestus, dokumendihaldus- ja arhiiviteenus) | 01.07.2024 | 555 | 4-7/24-17-1 | Leping | jm | |
| Leping | 04.05.2023 | 979 | 4-7/53 | Leping | jm | |
| Leping | 10.02.2022 | 1427 | 4-7/106 | Leping | jm | |
| Leping | 02.10.2020 | 1923 | 1/13-17 | Leping | jm | |
| Leping | 31.12.2018 | 2564 | 1/13-17 | Leping | jm | |
| Leping | 13.03.2018 | 2857 | 1/13-17 | Leping | jm | |
| Riigi Tugiteenuste Keskuse ja Justiitsministeeriumi vahel sõlmitud tugiteenuste osutamise kokkuleppe nr 1/13-7 (sõlmitud 21.02.2013) muudatus nr 7 | 17.01.2018 | 2912 | 4-1/400 | Sissetulev kiri | jm | Riigi Tugiteenuste Keskus |
| Taotlus | 15.01.2018 | 2914 | 4-1/400 | Väljaminev kiri | jm | Riigi Tugiteenuste Keskus |
| Elektroonilise valve seadmete kasutusrendi riigihankest | 27.12.2017 | 2933 | 11-3/8988-1 🔒 | Sissetulev kiri | jm | Riigi Tugiteenuste Keskus |
| Leping | 28.09.2017 | 3023 | 4-7/1 | Leping | jm | |
| Leping | 02.01.2017 | 3292 | 4-7/17-1 | Leping | jm | |
| Ettepanek | 22.12.2016 | 3303 | 4-1/8942 | Sissetulev kiri | jm | Riigi Tugiteenuste Keskus |
| Leping | 29.06.2016 | 3479 | 4-7/16-118 | Leping | jm | |
| Leping | 21.12.2015 | 3670 | 4-7/155 | Leping | jm | |
| Taotlus | 17.12.2015 | 3674 | 4-1/8584 | Sissetulev kiri | jm | Riigi Tugiteenuste Keskus Tallinna kontor |
| Leping | 18.11.2015 | 3703 | 4-7/15-155 | Leping | jm | |
| Leping | 11.11.2014 | 4075 | 4-7/14-195 | Leping | jm | |
| Leping | 20.02.2013 | 4704 | 4-7/13-17 | Leping | jm |