Taust ja sissejuhatus
Pooled on sõlminud lepingu, mis hõlmab poolte põhilepingus („leping“) nimetatud teenust või teenuseid, mille raames ostab vastutav töötleja volitatud töötlejalt ettevõttesiseseks kasutamiseks või vastutava töötleja lõppkasutajatele edasimüümise eesmärgil kaupa või teenuseid. Käesolev andmetöötlusleping sõlmitakse nimetatud lepingu lisana.
Andmetöötlusleping sätestab õigused ja kohustused, mis kohalduvad siis, kui volitatud töötleja töötleb vastutava töötleja nimel isikuandmeid. Andmetöötluslepingu eesmärgiks on tagada, et pooled täidavad isikuandmete kaitse üldmääruse („GDPR“) artikli 28 punkti 3.
Andmetöötluslepingul on kaks andmetöötluslepingu lahutamatuks osaks olevat lisa:
lisa 3.3 sisaldab vastutava töötleja juhiseid volitatud töötlejale selle kohta, kuidas volitatud töötleja võib isikuandmeid töödelda ning sellise töötlemisega hõlmatud isikuandmete tüüpe;
lisa 8.2 sisaldab volitatud töötleja turvameetmete kirjeldust.
1.1 Andmetöötluslepingu alusel väljastatud teated tuleb saata kirjalikult e-posti teel. Pooltevaheline mistahes kokkulepe, mis osaliselt või täielikult asendab käesolevas andmetöötluslepingus sätestatud tähtaegu, tuleb sellise kokkuleppe kehtivuse tagamiseks sõlmida kirjalikult.
2.1 Allpool toodud loetelus on määratletud andmetöötluslepingus kasutatud terminid. Olenemata sellest, kas mõiste on toodud ainsuses, hõlmab mõiste ka mitmust ja vastupidi. Viiteid lisadele, punktidele ja alapunktidele tõlgendatakse kui viiteid andmetöötluslepingu lisadele, punktidele ja alapunktidele, kui selgesõnaliselt või otsesõnu ei ole öeldud või kontekstist ei tulene teisiti.
Kohaldatav õigus
Mistahes järgmised määrused ulatuses, mil need on poolele kohaldatavad: mistahes põhikiri, määrus, õigusakt, alg- või teisene määrus, kaasa arvatud Taani õigus ja mistahes riiklik 24. oktoobril 1995. a vastu võetud direktiivi 95/46/EÜ ja GDPRi käesolevat versiooni kehtestav õigusakt, mistahes siduv kohtu korraldus või kohtuotsus, seadusega jõustatav mistahes kohaldatav äritava, poliitika või standard, samuti ametiasutuse poolt välja antud kohaldatavad juhised, poliitikad, nõuded, eeskirjad või korraldused.
Vastutav töötleja
Juriidiline isik, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid
Volitatud töötleja
Juriidiline isik, kes töötleb isikuandmeid vastutava töötleja nimel
Andmesubjekt
Füüsiline isik, kelle isikuandmeid töödeldakse
GDPR
Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
Isikuandmed
Igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige GDPRis määratletud ja vastutava töötleja, volitatud töötleja või nende mistahes filiaalide, esindajate või sarnase vastutava töötleja või volitatud töötlejaga seotud isiku poolt kogutava identifitseerimistunnuse põhjal
Isikuandmete töötlemine
Isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, mis võib hõlmata isikuandmete edastamist Euroopa Liidu ja Euroopa Majanduspiirkonna mistahes riikidesse, samuti riikidesse, milles on vastav turvalisuse tase
Turvarikkumine
Turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu
Teenused
Teenused, mida volitatud töötleja peab vastavalt lepingule vastutavale töötlejale osutama või midagi alamtöötleja peab volitatud töötlejale osutama
Alamtöötleja
Volitatud töötleja poolt nimetatud alamtöötleja, kes töötleb vastutava töötleja nimel isikuandmeid vastavalt volitatud töötleja juhistele
Kolmandad riigid
Mistahes riik väljaspool GDPRi kohaldamisala Euroopa Majanduspiirkonnas („EMP“), välja arvatud heakskiidetud riigid, mille puhul Euroopa Komisjon leiab, et neil on isikuandmete kaitse piisav tase
2.2 Andmetöötluslepingu lisad moodustavad andmetöötluslepingu lahutamatu osa ja neid tuleb vastavalt jõustada; mistahes viide andmetöötluslepingule sisaldab ka viidet selle lisadele.
2.3 Viide „kirjalikule“ tähendab e-kirja.
2.4 Andmetöötluslepingus kasutatud pealkirjad on toodud üksnes selguse mõttes ja viitena kasutamiseks. Pealkirjad ei mõjuta andmetöötluslepingu tähendust ega tõlgendamist.
3.1 Vastutav töötleja määrab EET seoses andmetöötluslepinguga volitatud töötlejaks.
3.2 Juhul kui kolmas isik nimetab ühe pooltest volitatud töötlejaks, tuleb käesolevat andmetöötluslepingut kasutada volitatud töötleja alamtöötlejaks nimetamise alusena. Sellisel juhul saab kolmandast isikust vastutav töötleja ja andmetöötluslepingust tulenev vastutav töötleja saab volitatud töötlejaks ning andmetöötluslepingust tulenev volitatud töötleja alamtöötlejaks.
3.3. Pooled kinnitavad ja lepivad kokku, et andmetöötluslepingu alusel töödeldavad isikuandmed on poole isikuandmete töötlemise eesmärgiga proportsionaalsed. Lisateave, andmekategooriad ja andmesubjektid jne on toodud lisas 3.3, mida pooled võivad ajakohastatud nimekirjade kirjaliku esitamisega muuta.
4.1 Vastutav töötleja vastutab isikuandmete töötlemise nõuetekohase õigusliku aluse tagamise eest, mida volitatud töötleja on kohustatud täitma.
4.2 Volitatud töötleja töötleb üldisi isikuandmeid ja kinnitab, et isikuandmed hoitakse konfidentsiaalsena. Volitatud töötleja võib töödelda isikuandmeid ainult lepingus kirjeldatud eesmärgil ja kooskõlas lisas 3.3 toodud juhistega. Volitatud töötleja peab tagama, et mistahes ja kõikidele volitatud töötleja poolt kaasatud ja isikuandmeid töötlevatele isikutele kehtivad konfidentsiaalsuse säilitamise kohustus ja asjakohased seadusjärgsed konfidentsiaalsuskohustused.
4.3 Volitatud töötleja on kohustatud töötlema isikuandmeid mistahes ajal kooskõlas kohaldatava õiguse ja muude isikuandmete puutumatust või isikuandmeid käsitlevate määrustega ja üksnes vastutava töötleja poolt volitatud töötlejale kirjalikult esitatud eesmärgil ja viisil. Volitatud töötleja ei tohi töödelda isikuandmeid mistahes muul viisil ega mistahes muul eesmärgil. See tähendab, et volitatud töötlejal ei ole võimalik mõjutada isikuandmete töötlemise eesmärki ega tingimusi ja volitatud töötleja ei saa volitatud töötleja poolt saadavate isikuandmete kasutamise osas otsustada, kas isikuandmeid edastatakse kolmandatele isikutele või kui kaua isikuandmeid säilitatakse.
4.4 Kohaldatav õigus kohustab vastutavat töötlejat tagama, et volitatud töötleja esitab kõik vajalikud tagatised, et volitatud töötleja on kehtestanud või plaanib kehtestada asjakohased tehnilised või korralduslikud turvameetmed, et vältida isikuandmete loata või ebaseaduslikku töötlemist, juhuslikku kaotsiminekut, hävitamist või kahjustumist (vaadake andmetöötluslepingu punkti 8), samuti kohustab kohaldatav õigus vastutavat töötlejat tagama nende meetmete järgimise. Pooled lepivad kokku, et isikuandmete puutumatuse kaitse ja töödeldavate isikuandmete turvalisus on äärmiselt olulised.
4.5 Vastutava töötleja nõudmisel peab volitatud töötleja oma võimete piires esitama vastutavale töötlejale vajaliku teabe, et vastutav töötleja saaks teha kindlaks, kas kasutusele on võetud asjakohased tehnilised ja korralduslikud turvameetmed, sealhulgas protseduurid muudatuste tegemise taotluste, isikuandmetesse täiendava teabe lisamise taotluste, isikuandmete hävitamise või kaitsmise taotluste käitlemiseks, protseduurid turvanõuete rikkumistele reageerimiseks, mõjuhinnangute tegemiseks ja isikuandmetesse seaduslike vastuväidete tõttu tehtud muudatuste käitlemiseks. Lisaks peab volitatud töötleja lubama ja aitama kaasa auditite, sealhulgas vastutava töötleja tingimuste, turvameetmete ja isikuandmete töötlemise kontrollide, teostamisele vastavalt andmetöötluslepingu punktis 9 sätestatule, sõltumata sellest, kas seda teeb vastutav töötleja või vastutava töötleja poolt määratud kolmas isik.
4.6 Kui volitatud töötleja saab andmesubjektilt, ametiasutuselt või kolmandalt isikult isikuandmete töötlemisega seotud taotluse, peab volitatud töötleja vastutavat töötlejat taotlusest esimesel võimalusel pärast taotluse saamist teavitama. Lisaks peab volitatud töötleja teavitama vastutavat töötlejat taotlusega seotud mistahes asjakohasest teabest. Volitatud töötleja ei vasta ühelegi taotlusele ilma vastutavalt töötlejalt eelnevat kirjalikku nõusolekut saamata, välja arvatud juhul, kui vastamiseks on seaduslik alus, näiteks ametiasutuste nagu politsei poolt esitatud taotlus.
4.7 Volitatud töötleja peab tagama, et volitatud töötlejale teenuseid osutav ja isikuandmetega kokku puutuv mistahes kolmas isik täidab käesoleva andmetöötluslepingu asjakohaseid tingimusi, kaasa arvatud isikuandmete säilitamise eeskirju, mille on kehtestanud pooled ja mis sisalduvad lisas 3.3 sätestatud juhistes. Mistahes sellised kokkulepped kolmandate isikutega tuleb sõlmida kirjalikult.
5.1 Võttes arvesse isikuandmete töötlemise laadi, abistab volitatud töötleja vastutavat töötlejat asjakohaste tehniliste ja korralduslike meetmete kasutamisega (vaadake andmetöötluslepingu punkti 8) vastutava töötleja kohustuste täitmisel andmesubjektide kohaldatavast õigusest tulenevate õiguste kasutamise taotlustele reageerimisel võimalikult suures ulatuses.
5.2 See tähendab, et volitatud töötleja peab abistama vastutavat töötlejat võimalikult suures ulatuses järgmises:
avalikustamise kohustus andmesubjektile isikuandmete kogumisel;
avalikustamise kohustus andmesubjektile, kui isikuandmeid ei koguta;
andmesubjekti õigus tutvuda isikuandmetega;
õigus isikuandmete parandamisele ja kustutamisele;
õigus piirata isikuandmete töötlemist;
teavitamiskohustus seoses isikuandmete parandamise või kustutamisega või isikuandmete töötlemise piiramisega;
õigus andmete ülekandmisele;
õigus esitada vastuväiteid.
5.3 Lisaks abistab volitatud töötleja vastutavat töötlejat järgmiste vastutava töötleja kohustuste täitmise tagamisel:
andmekaitse mõjuhinnangu teostamine, kui isikuandmete töötlemine võib tuua kaasa andmesubjektide õiguste ja vabadustega seotud kõrge riski; ja
5.4 Pooltevaheline mistahes kokkulepe tasu või muu sarnase osas seoses volitatud töötleja poolt vastutavale töötlejale osutatava abiga sätestatakse lepingus.
6.1 Volitatud töötleja töötleb isikuandmeid väljaspool Euroopa Majanduspiirkonda. Nimekiri kolmandates riikides asuvatest alamtöötlejatest on saadaval volitatud töötleja veebilehel; vaadake punkti 7.1. Volitatud töötleja peab teavitama vastutavat töötlejat mistahes äsja värvatud kolmandates riikides asuvatest alamtöötlejatest, ajakohastades volitatud töötleja veebilehel toodud nimekirja ja edastades teate, et nimekirja on tehtud muudatusi. Kui ELi õiguse, kohaldatava õiguse või volitatud töötlejale kohaldatava liikmesriigi riikliku õiguse kohaselt on nõutav konkreetne isikuandmete töötlemine, peab volitatud töötleja vastutavat töötlejat vastavast õigusnõudest enne isikuandmete töötlemisega alustamist teavitama, välja arvatud juhul, kui selline teavitamine on oluliste avalike huvide tõttu kohaldatava õiguse kohaselt keelatud.
6.2 Kui volitatud töötleja töötleb isikuandmeid väljaspool Euroopa Majanduspiirkonda, peab selline isikuandmete töötlemine olema kooskõlas kohaldatava õigusega ja mistahes muude vastutatava töötleja poolt seoses isikuandmete töötlemisega antud juhistega.
7.1 Volitatud töötlejal on õigus kasutada alamtöötlejad. Volitatud töötleja poolt andmetöötluslepingu sõlmimise hetkel kaasatud alamtöötlejad on loetletud käesolevas. Alamtöötlejate nimekiri on vastutavale töötlejale alati kättesaadav. Kui volitatud töötleja kaasab uusi alamtöötlejaid, uuendab volitatud töötleja nimekirja. Värskeim ajakohastatud alamtöötlejate nimekiri on kogu aeg andmetöötluslepingu lahutamatuks osaks.
7.2 Volitatud töötleja peab tagama, et mistahes alamtöötleja võtab kirjalikult kohustuse töödelda isikuandmeid vastavalt käesolevas andmetöötluslepingus kirjeldatule, mis tähendab, et volitatud töötleja peab vastutava töötleja nõudmisel esitama mistahes teavet, mida vastutav töötleja vajab, et kontrollida kas tarvitusele on võetud asjakohased tehnilised ja korralduslikud meetmed, kaasa arvatud kontrollimisprotseduurid, muudatuste ja täienduste tegemise protseduurid, isikuandmete hävitamise või kaitse tagamise protsessid, samuti teavet seaduslike vastuväidete tõttu tehtud muudatuste kohta.
8.1 Volitatud töötleja peab võtma kasutusele kõik asjakohased tehnilised ja korralduslikud meetmed, et kaitsta isikuandmeid juhusliku kaotsimineku ja mistahes ebaseadusliku töötlemise eest. Võttes arvesse nende meetmete laadi ja nende rakendamisega seotud kulusid, peavad meetmed tagavama piisava turvalisuse taseme, arvestades isikuandmete töötlemise ja nende laadiga seotud riske. Sellised meetmed peavad alati sisaldama vähemalt järgmist:
isikuandmete turvaline edastamine volitatud töötleja ja alamtöötlejatena tegutsevate kolmandate isikute vahel, kasutades selleks ainult krüpteeritud andmeedastusprotokolle nagu HTTPS või SSL;
tagamine, et isikuandmetele on juurdepääs ainult volitatud töötajatel ja ainult kokkulepitud eesmärkidel, kaasa arvatud isikuandmetele juurdepääsu piiravad meetmed, mis loovad IP-aadresside põhjal nimekirja isikuandmetele juurdepääsu omavatest eelnevalt kindlaksmääratud arvutitest;
millega volitatud töötleja võimaldab oma töötajatele juurdepääsu isikuandmetele ainult jälgitavate kontode kaudu, mis on jälgitavad nime abil ja mis logitakse kasutamisel piisavalt suures ulatuses;
isikuandmete kaitsmine loata ja ebaseadusliku säilitamise, töötlemise, juurdepääsu või avalikustamise eest;
korduvate ja perioodiliste toimingute süstematiseerimine enneolematute turvaprobleemide skaneerimiseks, tuvastamiseks ja parandamiseks serverites, tööjaamades, võrkudes, seadmetes ja rakendustes;
mille eesmärgiks on tuvastada vastutavale töötlejale teenuste osutamiseks kasutatavates süsteemides esinevaid isikuandmete töötlemisega seotud puudusi.
8.2 Volitatud töötleja poolt kasutatavate meetmete kirjeldus on toodud lisas 8.2.
8.3 Volitatud töötleja peab kasutusele võetud tehnilisi ja korralduslikke meetmeid hindama ja parandama, kui nõuded või tehnoloogilised arengud seda nõuavad.
9.1 Kui vastutav töötleja esitab põhjendatud taotluse, peab volitatud töötleja esitama vastutavale töötlejale mistahes ja igasuguse vajaliku teabe, mis võimaldab vastutaval töötlejal hinnata, kas ja kuidas volitatud töötleja andmetöötluslepingut täidab. See hõlmab teavet andmetöötluslepingu punktis 8 nimetatud turvameetmete kohta, teavet varukoopiate tegemise protseduuride kohta, häkkimise (katsetatava või kahtluse korral) kohta jne.
9.2 Vastutav töötleja või vastutava töötleja esindaja võib viia volitatud töötleja tegevuskohas läbi iga-aastase füüsilise kontrolli tagamaks, et volitatud töötleja täidab käesolevat andmetöötluslepingut.
9.3 Füüsilise kontrolliga seoses kantud mistahes kulud kannab vastutav töötleja. Volitatud töötlejale tasutakse aja ja ressursside eest, mida volitatud töötleja kulutab, et vastutav töötleja saaks kontrolli läbi viia.
9.4 Lisaks sellele võib volitatud töötleja või volitatud töötleja esindaja viia läbi mistahes kaasatud alamtöötlejate iga-aastase füüsilise kontrolli seoses käesoleva andmetöötluslepingu täitmisega alamtöötlejate poolt. Vastav kontroll tuleb viia läbi vastavalt ülalnimetatud tingimustele.
9.5 Vastutav töötleja võib algatada või osaleda alamtöötleja füüsilises kontrollis, kui vastutav töötleja peab seda vajalikuks. See võib olla asjakohane, kui vastutav töötleja leiab, et volitatud töötleja poolt läbiviidud alamtöötleja kontroll ei ole andnud vastutavale töötlejale piisavalt kindlust, et isikuandmete töötlemine alamtöötleja poolt vastab andmetöötluslepingule.
9.6 Vastutava töötleja osalemine alamtöötleja kontrollimisel ei muuda asjaolu, et volitatud töötleja vastutab ainuisikuliselt selle eest, et alamtöötleja täidab kohaldatavat õigust ja andmetöötluslepingut. Volitatud töötleja vastutus ei tohi ületada summat, mis vastab volitatud töötleja lepingust tulenevale eelneva kalendriaasta käibele, aga vastav summa on igal juhul maksimaalselt 1 000 000 Taani krooni.
9.7 Lisaks sellele võib vastutav töötleja kord aastas auditeerida andmetöötluslepingu täitmist volitatud töötleja poolt. Kui auditi viib läbi kolmas isik, peab vastutav töötleja sõlmima kolmanda isikuga kirjaliku konfidentsiaalsuslepingu, mille volitatud töötleja peab enne auditi toimumist heaks kiitma.
9.8 Auditi taotlemiseks peab vastutav töötleja esitama volitatud töötlejale nelja (4) nädala jooksul enne auditi kavandatavat kuupäeva kavandatava auditi üksikasjaliku kava, milles kirjeldatakse auditi eeldatavat ulatust, kestust ja alguskuupäeva. Volitatud töötleja peab auditikava seejärel läbi vaatama ja teavitama vastutavat töötlejat mistahes kaalutlustest või küsimustest, näiteks kui vastutav töötleja palub teavet, mis võib ohustada volitatud töötleja äritegevust, turvalisust, isikuandmete puutumatust, töösuhteid või muid asjakohaseid poliitikaid. Volitatud töötleja ja vastutav töötleja peavad auditi lõplikus kavas ühiselt kokku leppima.
9.9 Kui auditit taotletakse valdkonnas, mida käsitleb rahvusvahelise standardi SSAE 16/ISAE 3402 versioon 2, ISO, NIST, PCI DSS, HIPAA või muu kvalifitseeritud kolmanda isiku poolt viimase kaheteistkümne (12) kuu jooksul koostatud sarnane auditiaruanne, ja volitatud töötleja kinnitab, et ta ei ole teadlik mistahes olulistest muudatustest, mis võivad mõjutada läbiviidud auditi tulemust, nõustub vastutav töötleja kiitma heaks aruandes käsitletavate valdkondades auditi läbiviimise nõudmise asemel vastavad tulemused.
9.10 Audit tuleb viia läbi volitatud töötleja kohustuste tegemise kohas tavapärasel tööajal ja audit ei tohi volitatud töötleja äritegevust asjatult häirida.
9.11 Vastutav töötleja võib kasutada auditiaruandeid ainult oma auditiga seotud juriidiliste kohustuste täitmiseks või kinnitamiseks, et andmetöötluslepingust tulenevad nõuded on täidetud.
9.12 Mistahes audit viiakse läbi vastutava töötleja kulul. Kui vastutav töötleja palub seoses auditiga volitatud töötlejalt abi, loetakse abi volitatud töötleja poolt vastutavale töötlejale osutatavaks eraldi teenuseks, kui sellise abi osutamiseks on vaja ettevõttesiseseid, -väliseid või muid eriressursse. Volitatud töötleja peab enne auditi läbiviimist hankima vastutava töötleja kirjaliku nõusoleku ja sõlmima mistahes tasude maksmise osas lepingu.
10.1 Turvarikkumise korral peab volitatud töötleja vastutavat töötlejat sellest põhjendamatu viivituseta teavitama. Võimalusel tuleb teade saata hiljemalt kakskümmend neli (24) tundi pärast turvarikkumise avastamist, et vastutav töötleja saaks täita oma kohustuse teatada turvarikkumisest asjakohasele järelevalveasutusele seitsmekümne kahe (72) tunni jooksul. Volitatud töötleja ei anna teada mistahes turvarikkumistest, mis on seotud vastutava töötleja nimel töödeldavate isikuandmetega.
10.2 Vastutavale töötlejale esitatav teade peab sisaldama järgmise kirjeldust:
10.2.1 turvarikkumise laad ja meetmed, mille volitatud töötleja kavatseb turvarikkumisest tulenevate negatiivsete tagajärgede piiramiseks tarvitusele võtta või mille volitatud töötleja on juba tarvitusele võtnud;
10.2.2 andmesubjektide kategooriad, mõjutatud andmesubjektide ligikaudne arv ja mõjutatud isikuandmete registreerimiste ligikaudne arv;
10.2.3 isikuandmete töötlemisega seotud turvarikkumise tuvastatud ja tõenäolised tagajärjed ja volitatud töötleja poolt nende tagajärgede heastamiseks tarvitusele võetud või kavandatavad meetmed.
10.3 Kohe kui volitatud töötleja avastab turvarikkumise, peab volitatud töötleja võtma tarvitusele kõik vajalikud meetmed, et piirata turvarikkumise negatiivseid tagajärgi ja vältida selle kordumist.
10.4 Volitatud töötleja on viinud sisse andmetega seotud situatsiooniplaani, mis võimaldab volitatud töötlejal teavitada vastutavat töötlejat turvarikkumisest ja võimaldab pooltel intsidendile efektiivselt reageerida.
10.5 Kui vastutav töötleja või volitatud töötleja avastab turvarikkumise, teavitab üks pool teist poolt ja mõlemad pooled võtavad tarvitusele kõik kohaldatavast õigusest tulenevad vajalikud meetmed, et vältida või piirata edasisi isikuandmete töötlemisega seotud turvarikkumisi.
10.6 Kui vastutaval töötlejal on turvarikkumisest teatamise kohustus, peab volitatud töötleja vastutavat töötlejat vastutava töötleja vastaval palvel abistama ja juhendama.
11.1 Kui volitatud töötleja ei täida oma kohustusi või rikub andmetöötluslepingut muul viisil volitatud töötleja tegevuse või tegevusetuse tõttu, vastutab volitatud töötleja kõikide vastutava töötleja poolt kantud trahvide ja rahalise kahju eest.
11.2 Olenemata andmetöötluslepingu punktist 11.11, ei vastuta volitatud töötleja vastutava töötleja tegevuse ja tegevusetuse eest. Samuti ei vastuta volitatud töötleja oma tegevuse ja tegevusetuse eest, kui see on tingitud kohaldatava õiguse täitmisest volitatud töötleja poolt.
11.3 Sellisel juhul on vastutaval töötlejal õigus nõuda kohustuste täitmata jätmisest tingitud kahjude ja kulude hüvitamist, tingimusel et kohustuste täitmata jätmine volitatud töötleja poolt ei ole tingitud andmetöötluslepingu rikkumisest vastutava töötleja poolt.
11.4 Volitatud töötleja vastutus on piiratud vastavalt lepingu punktis 13 kirjeldatule.
12.1 Andmetöötlusleping kehtib nii kaua, kui volitatud töötleja osutab vastutavale töötlejale lepingus kirjeldatud teenuseid või volitatud töötleja töötleb vastutava töötleja nimel isikuandmeid.
12.2 Andmetöötluslepingu lõpetamisel peab volitatud töötleja tegema vastaval nõudmisel vastutavale töötlejale kättesaadavaks koopia kõikidest isikuandmetest, mida volitatud töötleja on vastutava töötleja nimel töödelnud, ja isikuandmed vastaval nõudmisel kustutama. Kui vastutav töötleja ei nõua isikuandmetest koopia kättesaadavaks tegemist, kustutatakse kõik isikuandmed kolm (3) kuud pärast lepingu lõppemist.
12.3 Andmetöötluslepingu punktid 12.1 ja 12.2 on poolte vahel sõlmitud muudes lepingutes, kaasa arvatud käesolevas lepingus, toodud mistahes samaväärsete sätete suhtes ülimuslikud.
12.4 Andmetöötlusleping ja leping on omavahel seotud ja neid ei saa üksteisest eraldi lõpetada. Andmetöötluslepingu võib siiski ilma lepingut lõpetamata asendada mõne muu kehtiva andmetöötluslepinguga. Olenemata poolte vahel sõlmitud lepingute lõpetamisest jäävad andmetöötluslepingu sätted jõusse, kuni volitatud töötleja lõpetab vastutava töötleja nimel isikuandmete töötlemise ja kuni volitatud töötleja ja mistahes alamtöötlejad on kõik andmetöötluslepinguga kaetavad isikuandmed kustutanud.
13.1 Kõik isikud, kes on seotud käesoleva andmetöötluslepingu täitmisega ja kellel on seega juurdepääs andmetöötluslepinguga kaetavatele isikuandmetele, mille konfidentsiaalsest laadist nad on või peaksid olema teadlikud, ja kes ei ole oma positsiooni, ameti või kohustuslike eeskirjade tõttu juba konfidentsiaalsuskohustuslased, on kohustatud hoidma isikuandmed konfidentsiaalsena.
13.2 Andmetöötluslepingu punkti 13.1 ei kohaldata, kui kohaldatavast õigusest või muust vastavalt alljärgnevale andmetöötluslepingu punktis 14.1 sätestatule tuleneb, et isik on kohustatud asjakohaseid isikuandmeid avalikustama.
13.3 Konfidentsiaalsuskohustus jääb jõusse ka pärast andmetöötluslepingu lõpetamist.
14.1 Kui kohaldatava õigusega ei ole ette nähtud teisiti, peab volitatud töötleja andma vastutavale töötlejale viivitamata teada mistahes valitsus- või haldusorgani või ametivõimu poolt tehtud seaduslikest, administratiivsetest või vahekohtu otsustest, mille volitatud töötleja on saanud ja mis puudutavad volitatud töötleja poolt vastutava töötleja nimel töödeldavaid isikuandmeid. Vastutava töötleja nõudmisel peab volitatud töötleja esitama vastutavale töötlejale volitatud töötleja käsutuses oleva kolmanda isiku nõudega seotud olla võiva mistahes teabe ja osutama mistahes mõistlikult nõutud abi, mis võimaldab vastutaval töötlejal sellisele nõudele mõistliku aja jooksul vastata. Vastutav töötleja möönab, et volitatud töötleja ülesanne ei ole osaleda vahetult sellise nõuet esitava isiku ees tehtavates toimingutes.
14.2 Pooled on kohustatud üksteisele nimetatud kontaktisikutes asetleidvatest muudatustest kirjalikult teada andma.
15.1 Käesolev andmetöötlusleping järgib lepingus kohaldatava õiguse ja kohtualluvuse kohta toodud sätteid.
Lisa 3.3
Juhised volitatud töötlejale
Käesolev lisa kujutab endast vastutava töötleja juhiseid volitatud töötlejale seoses isikuandmete töötlemisega volitatud töötleja poolt vastutava töötleja nimel.
1.1.1 Isikuandmete kogumine on vajalik, et volitatud töötleja saaks täita vastutava töötleja poolt volitatud töötleja müügiesindajale esitatud või digitaalselt volitatud töötleja internetipoe kaudu või XML/EDI integratsiooni kaudu esitatud ostutellimusest tulenevaid kohustusi.
1.1.2 Kogutud isikuandmeid kasutatakse ka volitatud töötleja toodete ja teenuste täiustamiseks. Näited sellisest kasutamisest on näiteks internetipoe kasutatavus, müügi, hanke, hinnapakkumise, tellimuste kättesaamise, kaupade levitamise, kaebuste ja klienditeenindusega seotud tööprotsessid.
1.1.3 Kogutud isikuandmeid võib eritingimustel jagada kolmandate isikutega, näiteks süsteemipakkujatega punktides 1.1.1 ja 1.1.2 sätestatud teenuste haldamiseks ja tootjatega volitatud töötleja tootevaliku parandamiseks. Kolmandate isikute täielik nimekiri on toodud käesolevas.
1.2 Andmesubjektid on:
üle 18-aastased isikud;
alla 18-aastased isikud.
2.1.1 Üle 18-aastased isikud
Üldised isikuandmed: nimi, aadress, e-posti aadress, telefoninumber, töökoht, ametinimetus ja IP-aadress.
Delikaatsed isikuandmed: üle 18-aastaste isikute kohta delikaatseid isikuandmeid ei töödelda.
2.1.2 Alla 18-aastased isikud
Üldised isikuandmed: nimi, aadress, e-posti aadress, telefoninumber, töökoht, ametinimetus ja IP-aadress.
Delikaatsed isikuandmed: alla 18-aastaste isikute kohta delikaatseid isikuandmeid ei töödelda.
3.1 Volitatud töötleja turvalisuse tase peab kajastama seda, et isikuandmete töötlemine hõlmab tavapärast üldiste isikuandmete kogust, mistõttu tuleb kehtestada turvalisuse tavapärane tase.
3.2 Volitatud töötlejal on õigus ja kohustus rakendada GDPRi artikli 32 kohaselt nõutavaid meetmeid, kus on muuhulgas sätestatud, et võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, tuleb ohule vastava turvalisuse taseme tagamiseks rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid.
Eeltoodud kohustus tähendab, et volitatud töötleja peab viima läbi riskihindamise ja rakendama seejärel meetmeid tuvastatud riskide vastu. See võib hõlmata järgmisi meetmeid, sõltuvalt nende asjakohasusest: pseudonümiseerimine ja krüpteerimine;
võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;
võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;
tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks. Volitatud töötleja peab seoses eeltooduga igal juhul rakendama vähemalt andmetöötluslepingu lisas 8.2 sätestatud turvalisuse taseme ja meetmed.
4.1 Vastavalt kohaldatavale õigusele ei tohi isikuandmeid säilitada kauem, kui on vajalik isikuandmete töötlemise eesmärgi saavutamiseks. Seetõttu on pooled leppinud kokku järgnevas:
4.2 Volitatud töötleja peab kustutama kõik isikuandmed kohe, kui esineb üks järgmistest sündmustest:
võttes arvesse andmetöötluslepingu punkti 4.6, kui andmesubjekt nõuab isikuandmete kustutamist; või
kui käesolev andmetöötlusleping lõpeb, olenemata põhjusest, ja isikuandmete kustutamine ei riku kohaldatavat õigust.
4.3 Volitatud töötleja säilitab isikuandmeid seni, kuni vastutav töötleja nõuab nende kustutamist või tagastamist. Isikuandmed kustutatakse aga kolm (3) kuud pärast lepingu lõppemist, kui vastutav töötleja ei ole nõudnud isikuandmete üleandmist.
5.1 Isikuandmeid edastatakse kolmandatesse riikidesse. Nendes kolmandates riikides kaasatud alamtöötlejad leiab andmetöötluslepingu punktis 7.1 märgitud lingi kaudu ja nad täidavad andmetöötluslepingu punktis 6 sätestatud juhiseid.
Lisa 8.2
Turvameetmed
Pooled lepivad kokku, et turvalisuse tase kajastab töödeldavate isikuandmete tüüpe.
Volitatud töötlejal on õigus ja kohustus teha otsuseid selle kohta, milliseid tehnilisi ja korralduslikke turvameetmeid tuleb isikuandmetega seoses vajaliku (ja kokkulepitud) turvalisuse taseme tagamiseks kasutada. Volitatud töötleja peab aga igal juhul rakendama vähemalt järgmisi meetmeid, nagu on vastutava töötlejaga kokku lepitud:
isikuandmete klassifitseerimine asjakohaste turvameetmete rakendamiseks seoses riskihindamistega;
pseudonümiseerimine ja krüpteerimine kui riski vähendavate tegurite hindamine;
isikuandmetele juurdepääsu piiramine asjakohaste isikutega, kes vajavad juurdepääsu käesoleva andmetöötluslepingu või lepingu alusel;
isikuandmetega seotud sündmusi tuvastada, taastada, takistada ja neist aru anda suutvate süsteemide kasutamine ja kasutuselevõtmine;
turvastruktuuri ja poolte vahel isikuandmete edastamise protsessi kaardistamine;
volitatud töötleja enda turvalisuse tasemete hindamine tagamaks, et kehtivad tehnilised ja korralduslikud meetmed on isikuandmete kaitsmiseks piisavad, järgides seejuures GDPRi artiklit 32 töötlemise turvalisuse kohta ja artiklit 25 lõimitud andmekaitse ja vaikimisi andmekaitse kohta.