Andmetöötluse leping

Käesolev andmetöötluse leping kehtib alates ning uuendati viimati 1. jaanuaril 2022.

Andmetöötluse lepingu sõlmivad teenuseosutaja ja klient ning see moodustab osa teenuste osutamise tingimustest, mis kohalduvad ka andmetöötluse lepingule.

1. Mõisted

1.1. Välja arvatud juhul, kui kontekstist tuleneb selgelt teisiti, on andmetöötluse lepingus järgmistel mõistetel järgmised tähendused:

1.2. Mõisted, mida ei ole ülal defineeritud, on sama tähendusega, mis neile on antud teenuste osutamise tingimustes, välja arvatud juhul, kui kontekstist tuleneb selgesõnaliselt teisiti.

2. Eesmärk ja ulatus

2.1. Dokobit osutab teenuseid kliendile kooskõlas teenuste osutamise tingimustega. Teenuste osutamisel töötleb Dokobit kliendi nimel kliendiandmeid. Kliendiandmed võivad sisaldada isikuandmeid. Seega on klient:

(i) vastutav töötleja kliendiandmete suhtes või

(ii) volitatud töötleja, kui klient töötleb isikuandmeid kolmanda isiku nimel. Käesoleva andmetöötluse lepingu ja teenuste osutamise tingimuste tähenduses on Dokobit volitatud töötleja. Volitatud töötleja töötleb ja kaitseb neid Isikuandmeid kooskõlas andmetöötluse lepingu ja teenuste osutamise tingimuste sätetega.

2.2. Andmetöötluse leping kohaldub kliendiandmete töötlemisele ainult siis, kui Dokobit töötleb vastavaid andmeid kliendi nimel ning tema korraldusel, ning teenuste osutamisel. Juhul, kui Dokobit töötleb isikuandmeid vastutava töötlejana ning mitte kliendi nimel või tema korraldusel, ei kohaldu andmetöötluse leping; selle asemel kohalduvad privaatsuspõhimõtted ning muud Dokobiti dokumendid.

3. Töötlemise tingimused

3.1. Dokobit töötleb kliendiandmeid teenuste osutamiseks.

3.2. Dokobit töötleb selliseid andmesubjektide isikuandmete kategooriaid, mida klient laeb üles või esitab teenuste kasutamisel. See võib muu hulgas hõlmata eesnime, perekonnanime, organisatsiooni, ametikohta, sünniaega, isikukoodi, telefoninumbrit jms. Palun võtke teatavaks, et tegu ei ole ammendava loeteluga ning see võib igal üksikul juhul erineda, sealhulgas sõltuvalt kliendiandmete olemusest ja sisust, mida klient (või kolmas isik, kui klient tegutseb volitatud töötlejana) esitab Dokobitile teenuste kasutamisel.

3.3. Dokobit töötleb kliendiandmeid alates hetkest, kui klient need teenuste kasutamisel üles laeb või esitab, kuni nende eemaldamiseni kliendi poolt, kuid mitte kauem kui on sätestatud andmetöötluse lepingu punktis 13.2.

3.4. Dokobit tagab, et kliendiandmeid töödeldakse Euroopa Majanduspiirkonnas ning ei kaasa alltöötlejaid, kes tegutsevad väljaspool Euroopa Majanduspiirkonda.

4. Kliendiandmete konfidentsiaalsus

4.1. Dokobit kasutab kliendiandmeid ainult teenuste osutamiseks ning oma teenuste osutamise tingimustest tulenevate õiguste rakendamiseks. Välja arvatud juhul, kui seadusega on nõutud teisiti, ei avalda Dokobit kliendiandmeid kolmandatele isikutele.

4.2. Dokobit tagab, et juurdepääs kliendiandmetele antakse ainult nendele Dokobiti töötajatele või tarnijatele, kes vajavad neid andmeid tööülesannete täitmiseks või Dokobitile teenuste osutamiseks.

4.3. Dokobit tagab, et Dokobiti töötajad või tarnijad, kes töötlevad kliendiandmeid, täidavad käesolevat andmetöötluse lepingut ning kohustuvad järgima konfidentsiaalsussätet või neile kohaldub vastav seadustest tulenev konfidentsiaalsuskohustus.

4.4. Kui seadusest tulenevate nõuete alusel on Dokobit kohustatud kliendiandmeid avaldama kolmandatele isikutele (nt õiguskaitseorganitele), teavitab Dokobit koheselt klienti nõuetest kliendiandmeid avaldada, välja arvatud juhul, kui seaduses on nõutud teisiti.

4.5. Need konfidentsiaalsuskohustused jäävad kehtima tähtajatult ning pärast andmetöötluse lepingu lõppemist.

5. Kliendi dokumenteeritud juhised

5.1. Dokobit töötleb kliendiandmeid ainult kliendi dokumenteeritud juhiste kohaselt. Klient tagab, et kliendiandmete töötlemiseks Dokobiti poolt on olemas nõuetekohane õiguslik alus. Dokobit täidab ka kohustusi, mis on volitatud töötlejatele kehtestatud GDPRis või muudes õigusaktides.

5.2. Täiendavate kliendi juhiste jaoks, mis jäävad väljapoole dokumenteeritud juhiste (kui neid on) kohaldamisala, on vaja eelnevat pooltevahelist kirjalikku kokkulepet, sealhulgas kokkulepet mis tahes täiendavate tasude kohta, mida klient peab Dokobitile maksma selliste juhiste täitmise eest, sealhulgas, kuid mitte ainult:

(i) abistamine vastutava töötleja kohustusega vastata andmesubjektide taotlustele;

(ii) mis tahes täiendavate tehniliste ja korralduslike meetmete rakendamine, mida ei ole sätestatud käesolevas andmetöötluse lepingus;

(iii) abistamine vastutava töötleja kohustusega viia läbi andmekaitse mõjuhinnang ja/või eelnev konsultatsioon järelevalveasutusega. 

5.3. Dokobit teavitab klienti koheselt, kui kliendi juhised on vastuolus GDPRi või muude kehtivate õigusaktidega, mis kohalduvad isikuandmete kaitsele. Käesolev säte ei kehtesta mingil viisil Dokobitile kohustust jälgida kliendiandmeid ja/või kohaldada täiendavaid meetmeid ja/või hankida täiendavat informatsiooni kliendi juhiste seaduslikkuse hindamiseks.  

6. Tehnilised ja korralduslikud meetmed

6.1. Kliendiandmete töötlemisel rakendab Dokobit nõuetekohaseid tehnilisi ja korralduslikke meetmeid kliendiandmete kaitsmiseks. Dokobit valib tehnilised ja korralduslikud meetmed, võttes arvesse tehniliste võimaluste arengutaset, rakendamise kulu ja andmetöötluse olemust, ulatust, konteksti ja eesmärki ning erineva tõenäosuse ja tõsidusega ohtusid andmetöötlusega seotud füüsiliste isikute õigustele ja vabadustele. 

6.2. Dokobit rakendab akrediteeritud audiitori poolt sertifitseeritud infoturbe haldussüsteemi rahvusvaheliste turvastandardite ISO/IEC 27001 kohaselt.  Infoturbe haldussüsteem pakub erinevaid turvameetmeid, sealhulgas:

(i) isikuandmete pseudonümiseerimine ja krüpteerimine;

(ii) meetmed andmetöötluse süsteemide ja teenuste pideva konfidentsiaalsuse, terviklikkuse, kättesaadavuse ja vastupidavuse tagamiseks;

(iii) meetmed isikuandmete kättesaadavuse ja neile juurdepääsu kiireks taastamiseks füüsilise või tehnilise intsidendi korral;

(iv) meetmed isikuandmetele juurdepääsu (sealhulgas kaugligipääsu) kaitsmiseks;

(v) meetmed, millega tagada füüsiline turvalisus rajatistes, kus töödeldakse ja säilitatakse isikuandmeid; 

(vi) meetmed turvaliseks kaugtööks kodust. Nende turvameetmete tõhusust hinnatakse vähemalt kord aastas. 

6.3. Pooled nõustuvad, et punktis 6.2 nimetatud turvameetmed loetakse nõuetekohaseks ja maksimaalselt vajalikeks tehnilisteks ja korralduslikeks meetmeteks, mida on vaja punktis 6.1 nimetatud eesmärkide saavutamiseks. Dokobit kohustub järgima neid või võrdväärseid turvastandardeid kogu andmetöötluse lepingu kehtivusaja jooksul. Pooled nõustuvad, et Dokobit on rakendanud nõuetekohaseid tehnilisi ja korralduslikke meetmeid, mida on vaja kliendiandmete töötlemiseks andmetöötluse lepingu alusel, ning Dokobit ei kohustu kaaluma mis tahes täiendavaid ebamõistlikke kliendi juhiseid seoses tehniliste ja korralduslike meetmetega.

7. Koostöö

7.1. Võttes arvesse osutatavate teenuste ning töödeldud andmete töötlemise ja kättesaadava informatsiooni olemust, teeb Dokobit koostööd kliendiga, et tagada GDPRi artiklites 32–36 sätestatud kohustuste täitmine. Sel eesmärgil ja ainult käesolevas andmetöötluse lepingus sätestatud ulatuses esitab Dokobit kliendile nõutud informatsiooni, mida on vaja kliendi GDPRist tulenevate kohustuste täitmiseks.

8. Andmetöötluse audit

8.1. Selleks, et kontrollida, kas Dokobit töötleb kliendiandmeid nõuetekohaselt, on kliendil õigus kontrollida neid töötlemistoiminguid artiklis 8 sätestatud korra kohaselt.

8.2. Dokobit kontrollib vähemalt kord aastas oma algatusel ja kulul, kas nõuetekohased tehnilised ja korralduslikud meetmed on kooskõlas andmetöötluse olemuse, ulatuse, konteksti ja eesmärkidega ning andmetöötlusega kaasnevate ohtudega füüsiliste isikute õigustele ja vabadustele. Dokobit kaasab kontrolli jaoks sõltumatu inspektori, kellel on korraldus koostada inspekteerimisaruanne (edaspidi aruanne).

8.3. Kliendi soovil ning poolte vahel konfidentsiaalset informatsiooni käsitleva täiendava lepingu kohaselt esitab Dokobit kliendile aruande. Selle kohustuse täitmisel Dokobiti poolt loetakse, et klient on teostanud oma õigust, mis on sätestatud andmetöötluse lepingu punktis 8.1 ja GDPRi artiklis 28(3)(h).

8.4. Kooskõlas kohalduva õigusega võib Dokobit olla kohustatud esitama informatsiooni selle andmetöötluse lepingu kohta pädevatele reguleerivatele või valitsuse asutustele, kuid ainult seadusliku ja õigustatud taotluse alusel.

8.5. Kui klient soovib täiendavalt ja/või muudel viisidel kui need, mis on sätestatud artiklis 8, kontrollida, kuidas Dokobit töötleb isikuandmeid ja/või täidab oma andmetöötluse lepingust tulenevaid kohustusi, võib sellise kontrolli teha ainult Dokobiti nõusolekul ja poolte kokkuleppel kontrolli ulatuse, meetodi, aja ja hinna osas. Kui pooled lepivad kokku sellises täiendavas kontrollis, peab see igal juhul vastama järgmistele nõuetele:

(i) kontroll peab olema seotud ainult kliendiandmete töötlemisega;

(ii) klient peab teavitama Dokobiti soovist korraldada täiendav kontroll mõistliku aja jooksul, mis peab olema vähemalt 4 nädalat;

(iii) täiendav kontroll tuleb läbi viia viisil, mis ei takista Dokobiti igapäevategevust;

(iv) täiendav kontroll tuleb läbi viia kliendi kulul;

(v) täiendava kontrolli peab läbi viima sõltumatu isik, kelle kandidatuuri peab eelnevalt heaks kiitma Dokobit, ning vastav isik kohustub kaitsma Dokobiti konfidentsiaalset informatsiooni.

8.6. Dokobitil on õigus saada tasu täiendava kontrolli läbiviimise abistamise eest. Sellise tasu suuruse määrab Dokobit, võttes arvesse Dokobiti kantud kulusid seoses täiendava kontrolliga. Dokobit esitab kliendile informatsiooni tasu suuruse kohta enne kontrolli.

8.7. Kui klient ei ole rahul aruandes esitatud informatsiooniga ja/või pooled ei saavuta kokkulepet täiendava kontrolli osas andmetöötluse lepingu punktides 8.5–8.6 sätestatud viisil, on kliendil õigus ühepoolselt kohtuvälise menetluse alusel lõpetada andmetöötluse leping ja teenuste osutamise tingimused. Sellisel juhul on lepingute lõpetamine ainus meede, mida klient saab kohaldada ning Dokobit ei ole kohustatud hüvitama kliendile kahjusid.

8.8. Pooled nõustuvad, et Dokobit tagab kliendiandmete nõuetekohase töötlemise Dokobiti alltöötlejate poolt kooskõlas andmetöötluse lepingu punktiga 9.

9. Alltöötlejad

9.1. Klient annab käesolevaga Dokobitile üldise nõusoleku kasutada alltöötlejaid, kes töötlevad kliendiandmeid Dokobiti nimel andmetöötluse lepingus nimetatud ulatuse ja eesmärkide kohaselt. Dokobit kasutab ainult selliseid alltöötlejaid, kes tagavad järgmist:

(i) nõuetekohaste tehniliste ja korralduslike meetmete rakendamine;

(ii) andmetöötlus kooskõlas GDPRi nõuetega ning

(iii) andmesubjekti õiguste kaitse.

9.2. Dokobit tagab, et kaasatud alltöötlejatega on sõlmitud kirjalik leping, mille kohaselt alltöötlejad kohustuvad täitma volitatud töötleja kohustusi, mis on kehtestatud andmetöötluse lepingus, vähemalt ulatuses, milles need kohalduvad Dokobitile. Dokobit vastutab kliendi ees kaasatud alltöötlejate kohustuste täitmise eest.

9.3. Dokobit avaldab ajakohastatud loetelu kaasatud alltöötlejatest vastavuskontrolli veebilehel. Dokobit teavitab klienti oma plaanidest asendada alltöötleja või kaasata uus alltöötleja, avaldades selle informatsiooni vastavuskontrolli veebilehel hiljemalt 14 päeva enne kavandatud sündmust. Klient võib liituda vastavuskontrolli veebilehe RSS-vooga, et saada automaatseid teavitusi, kui muudetakse Dokobiti kasutatavate alltöötlejate nimekirja.

9.4. Kui klient jätkab teenuste kasutamist pärast alltöötleja asendamist või uue kaasamist ning kliendi teavitamist andmetöötluse lepingu punktis 9.3 sätestatud korra kohaselt, ei avalda sellele vastuseisu kümne (10) päeva jooksul, loetakse, et klient nõustub Dokobiti vastava tegevusega. Kui klient ei ole nõus alltöötleja asendamise või kaasamisega, on kliendil õigus ühepoolselt kohtuvälise menetluse alusel lõpetada andmetöötluse leping ja teenuste osutamise tingimused. Sellisel juhul on lepingute lõpetamine ainus meede, mida klient saab kohaldada ning Dokobit ei ole kohustatud hüvitama kliendile kahjusid.

9.5. Kui klient võtab tagasi oma üldise nõusoleku alltöötleja kasutamiseks, on Dokobitil õigus ühepoolselt kohtuvälise menetluse alusel lõpetada teenuste osutamise tingimused ning loetakse, et lõpetamine toimus mõjuval põhjusel ning loetakse, et klient ei kandnud selle lõpetamise tõttu kahju.

10. Kliendi kohustused

10.1. Klient määrab oma äranägemisel ja vastutusel andmesubjektide kategooriad (sealhulgas töötajad, alltöövõtjad, äripartnerid, teenuseosutajad), kelle isikuandmeid, ja isikuandmete kategooriad, mida Dokobitile esitatakse, ning esitab Dokobitile ainult neid isikuandmeid, mis on vajalikud Dokobiti teenuste nõuetekohaseks osutamiseks. Klient kannab kõik seotud riskid, sealhulgas riskid olukorras, kus Dokobit saab rohkem isikuandmeid kui on vajalik.

10.2. Klient kinnitab, et on saanud ning säilitab kogu teenuste osutamise tingimuste kehtivusaja jooksul kõik vajalikud load ja volitused kliendiandmete esitamiseks Dokobitile ning Dokobiti kaasamiseks isikuandmete töötlemisel teenuse osutamise tingimuste ja andmetöötluse lepingu alusel.

11. Isikuandmetega seotud rikkumine

11.1. Dokobit teavitab klienti põhjendamatu viivituseta, kuid mitte hiljem kui 36 tunni jooksul alates isikuandmetega seotud rikkumisest teadasaamisest, ning võttes arvesse osutatud teenuste olemust ja isikuandmete töötlemist ning kättesaadavat informatsiooni, esitab kliendile järgmise informatsiooni:

(i) isikuandmetega seotud rikkumise olemus, sealhulgas, kui võimalik, andmesubjektide kategooriad ja nende ligikaudne arv;

(ii) isikuandmetega seotud rikkumise võimalikud tagajärjed;

(iii) meetmed, mida Dokobt on rakendanud või kavandab rakendada, et tegeleda isikuandmetega seotud rikkumisega, sealhulgas, kui võimalik, meetmed isikuandmetega seotud rikkumise võimalike negatiivsete tagajärgede leevendamiseks;

(iv) andmekaitseametniku või mis tahes muu kontaktisiku, kes saaks anda täiendavat infot, täisnime ja kontaktandmed. Juhtudel, kus kliendi teavitamine Isikuandmetega seotud rikkumisest ei ole võimalik (nt Dokobit ei saa kliendiga ühendust) või oleks isikuandmetega seotud rikkumise ulatuse tõttu ebatõhus, võib Dokobit selle informatsiooni esitada kliendile, tehes selle kättesaadavaks vastavuskontrolli veebilehel.

11.2. Dokobit dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumisega seotud asjaolud, selle mõju ja rakendatavad heastavad meetmed. Õigusaktides ettenähtud juhtudel esitab Dokobit vastavad dokumendid järelevalveasutusele.

11.3. Klient vastutab õigusaktide täitmise eest, mis reguleerivad andmesubjektidele teavituste või informatsiooni esitamist Isikuandmetega seotud rikkumise kohta.

12. Vastutus

12.1. Võttes arvesse andmetöötluse olemust, ulatust ja eesmärke, on Dokobiti vastutus käesoleva andmetöötluse lepingu alusel piiratud ning ei ületa ühelgi juhul summat, mille klient on Dokobitile maksnud 12 kuu jooksul.

12.2. Vastutuse piirangut ei kohaldata, kui Dokobit rikub käesolevat andmetöötluse lepingut raske hooletuse või tahtliku eksimuse tõttu.

12.3. Andmetöötluse lepingu kestuse ajal kohustub Dokobit kindlustama oma tsiviilvastutuse. Kindlustus hõlmab eraelu puutumatuse ja küberturbe vastutuse katmist. Kindlustuspoliisi koopia, mis sisaldab kindlustussummat, avaldatakse vastavuskontrolli veebilehel. 

13. Kehtivus ja lõpetamine

13.1. Andmetöötluse leping jõustub teenuse osutamise tingimuste jõustumisel ning kehtib sama kaua, kuni kehtivad teenuse osutamise tingimused.

13.2. Andmetöötluse lepingu lõpetamisel või lõppemisel hävitab Dokobit kliendiandmed hiljemalt 30 päeva jooksul, välja arvatud juhul, kui kliendiandmete töötlemiseks või haldamiseks esineb muu alus kui need, mis tulenevad käesolevast andmetöötluse lepingust.

14. Kohalduv õigus ja vaidluste lahendamine

14.1. Andmetöötluse lepingule kohaldub Leedu Vabariigi õigus

14.2. Kõik andmetöötluse lepingust, selle rikkumisest, lõpetamisest ja kehtivusest tulenevad või nendega seotud vaidlused, erimeelsused või nõuded lahendatakse läbirääkimiste teel. Kui pooled ei saavuta kokkulepet 30 päeva jooksul alates vaidluse, erimeelsuse või nõude tekkimisest, lahendatakse vastav vaidlus, erimeelsus või nõue Leedu Vabariigi kohtus.

15. Lõppsätted

15.1. Kõik kliendi teavitused Dokobitile seoses käesoleva lepinguga saadetakse e-posti teel dpo@dokobit.com ning loetakse kättesaaduks, kui Dokobit kinnitab selle kättesaamist, vastates kliendi e-kirjale, või kolmekümne (3) päeva jooksul alates e-kirja saamisest, sõltuvalt sellest, mis on varasem.

15.2. Dokobit avaldab kõik Dokobiti teavitused kliendile seoses käesoleva andmetöötluse lepinguga vastavuskontrolli veebilehel. Dokobit teavitab klienti mis tahes muudatustest andmetöötluse lepingus, avaldades selle informatsiooni vastavuskontrolli veebilehel. Klient võib liituda vastavuskontrolli veebilehe RSS-vooga, et saada automaatseid teavitusi, kui muudetakse andmetöötluse lepingut.

15.3. Andmetöötluse lepingu muudatused jõustuvad pärast nende avaldamist vastavuskontrolli veebilehel. Dokobit teavitab andmetöötluse lepingu kavandatud muudatustest vähemalt 30 päeva enne kavandatavat muudatust e-kirja teel. Kui klient jätkab teenuste kasutamist pärast andmetöötluse lepingu muudatuste avaldamist, loetakse, et klient nõustub andmetöötluse lepingu muudatustega. Kui klient muudatustega ei nõustu, ei saa klient teenuseid kasutada ning tal on õigus teenuste osutamise tingimused lõpetada.

15.4. Andmetöötluse lepingu asjakohase versiooni saab alla laadida siit.