Teie või Teie esindatav juriidiline isik (edaspidi: Teie) ja Edicy OÜ (registrikood 12176224; Raekoja plats 1, 51003 Tartu), Eesti Vabariigi seaduste alusel asutatud äriühing (edaspidi: Voog), edaspidi eraldi nimetatud pool ja koos pooled, on sõlminud käesoleva isikuandmete töötlemist käsitleva lisa (edaspidi: ITKL) alljärgnevatel tingimustel.
Taustteave
1.1. Pooled on kokku leppinud kasutustingimustes. Käesolev ITKL on kasutustingimuste lisa. Kasutustingimuste ja ITKL-i vastuolu korral on ülimuslik ITKL.
Mõisted
2.1. ITKL-is kasutatakse mõisteid neile alljärgnevalt antud tähenduses, kui kontekstist ei tulene teistsugust tähendust.
2.1.1. Kohaldatav õigus on kõik Voogile kehtivad õigusaktid ning järelevalveasutuste määrused ja nõuanded (sealhulgas Euroopa Parlamendi ja nõukogu määrus nr 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, mida teatakse nimega EL-i GDPR (isikuandmete kaitse üldmäärus), edaspidi GDPR).
2.1.2. Nõusolek on vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.
2.1.3. Vastutav töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.
2.1.4. Andmesubjekt on tuvastatud või tuvastatav füüsiline isik.
2.1.5. Isikuandmetega seotud rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
2.1.6. Isikuandmed on igasugune teave andmesubjekti kohta, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.
2.1.7. Isikuandmete töötlemine on isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.
2.1.8. Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.
2.1.9. Teenused on kasutustingimustes nimetatud või kasutustingimuste kohaselt osutatavad teenused.
2.1.10. Alamtöötleja on Voogi kaasatud alamtöötleja, kes töötleb isikuandmeid.
2.1.11. Kolmas isik on isik, kes ei ole poolte vahel sõlmitud lepingu pool.
2.1.12. Kolmanda isiku teenused on kõik teenused, mida osutatakse kolmandale isikule või mida osutab kolmas isik.
2.1.13. Teie kontrolli all olevad isikuandmed on isikuandmed, mida Voog töötleb Teie nimel ja Teie juhiste järgi teenuste osana, kuid üksnes niivõrd, kuivõrd Teile kehtib kohaldatav õigus. Teie kontrolli all olevad isikuandmed ei sisalda meie kontrolli all olevaid isikuandmeid, sealhulgas ilma piiramata andmeid, mida me kogume (sh IP-aadress, seadme/veebilehitseja andmed ja enne Voogi veebisaidile tulemist külastatud veebilehed) selle kohta, kuidas Teie lõppkasutajad kasutavad Teie veebisaiti oma veebilehitseja ja tehnoloogia, nagu küpsiste, vahendusel.
2.2. Käesolevas ITKL-is kasutatakse pealkirju üksnes mugavuse huvides ja need ei mõjuta ITKL-i tõlgendamist.
Konfidentsiaalsus
3.1. Voog tagab isikuandmete rangelt konfidentsiaalse töötlemise ja säilitamise. Isikuandmetele pääsevad ligi ja neid haldavad vaid sellised Voogi isikud, alamtöötlejad ja kolmandad isikud, kellele on isikuandmetele juurdepääs vajalik Voogi ITKL-ist tulenevate kohustuste täitmiseks ja kes on kinnitanud konfidentsiaalsust ning üksnes niivõrd, kuivõrd see on vajalik Voogi kohustuste täitmiseks ITKL-i alusel.
3.2. Käesolevas punktis sätestatud konfidentsiaalsuskohustus kehtib ajalise piiranguta ning jääb pärast ITKL-i lõppemist kehtima.
Vastutus
4.1. Voog ei vastuta isikuandmete eest, mida olete otsustanud töödelda kolmanda isiku teenuste vahendusel või väljaspool teenuseid, sealhulgas mis tahes kolmanda isiku pilveteenuste süsteemid, off-line või kohapeal säilitamine.
Kahju hüvitamine
5.1. Te olete kohustatud hüvitama Voogile Voogi kantud mis tahes kahju ja Voogi vastu esitatud nõuded või haldustrahvid, mis tulenevad otseselt või kaudselt sellest, et töötlesite isikuandmeid käesolevat ITKL-i või kohaldatavat õigust rikkudes.
5.2. Kui käesoleva ITKL-i või kohaldatava õiguse rikkumise tagajärjel esitatakse Voogi vastu nõudeid või haldustrahve, peate viivitamata teavitama Voogi sellest ja võtma kõiki võimalikke meetmeid rikkumisest tuleneva kahju leevendamiseks.
5.3. Kui Voog rikub töötlemise eesmärkide ja vahendite kindlaksmääramisega kohaldatavat õigust, siis hüvitamisõigust, vastutust ja trahve reguleerivaid eeskirju piiramata käsitletakse Voogi sellise töötlemise puhul vastutava töötlejana ja sellest tulenevalt vastutab Voog täielikult sellise töötlemise eest.
Vääramatu jõud
6.1. Pooled mõistavad ja lepivad kokku, et pool ei vastuta seoses mis tahes vääramatu jõu sündmusega, sealhulgas töövaidlused või muud valdkondlikud takistused, elektri-, telekommunikatsiooni-, riistvara-, tarkvara- või muu kommunaalteenuse rikked, tarkvaravead või -puudused, maavärinad, tormid ja muud loodusjõududega seotud sündmused, sulud, embargod, mässud, streigid, valitsusasutuste tegevus ja korraldused, terroriaktid ja sõjategevus, tehnoloogilised muutused ning intressimäärade ja muude rahaliste tingimuste muutused.
6.2. Vääramatu jõu esinemisel võib pool, keda kahjustab teise poole suutmatus oma kohustusi täita, käesoleva ITKL-i vääramatu jõu asjaolude esinemise ajaks täielikult või osaliselt peatada.
Voogi töötlemiskohustused
7.1. Me töötleme Teie kontrolli all olevaid isikuandmeid meie privaatsuseeskirjas ja kasutustingimustes kirjeldatud eesmärgil või Teie nõusoleku alusel, mille annate meile oma konto kaudu. Te nõustute, et leping ja oma konto kaudu antavad juhised on Teie täielikud ja lõplikud dokumenteeritud juhised meile seoses Teie kontrolli all olevate isikuandmetega.
7.2. Auditid
7.2.1. Voog teeb Teile nõudmise korral kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevas ITKL-is ette nähtud kohustuste täitmist.
7.2.2. Voog võimaldab Teie taotletavaid auditeid, sealhulgas kontrolle, ja panustab nendesse. Selliseid auditeid võib teha Voogi nimetatud sõltumatu audiitor, kellele kehtib konfidentsiaalsuskohustus.
7.2.3. Auditeid tehakse kõige rohkem üks kord aastas, välja arvatud juhul, kui audit on põhjendatud erakorralise sündmusega (nt järelevalveasutuse taotlus või uurimine, andmesubjekti taotlus).
7.2.4. Teie õigus taotleda auditit ei tohi mõjutada ja/või takistada Voogi majandus- ja kutsetegevust, teisi Voogi kliente ja andmesubjekte, Voogi konfidentsiaalsuskohustust jne. Voog võib kindlaks määrata auditi tegemise aja ja koha.
7.2.5. Kui auditi käigus avastatakse rikkumisi, antakse Voogile olenevalt rikkumise laadist ja raskusastmest mõistlik aeg (üldjuhul kakskümmend (20) kuni nelikümmend (40) päeva, kuid võib-olla vähem) parandusmeetmete võtmiseks Voogi enda kulul.
7.2.6.Teie tasute Voogi kulud, mis on seotud auditi tegemise taotluse läbivaatamise ja lahendamisega.
7.3. Alamtöötlejad
7.3.1. Voogil on õigus kaasata kõigi või osa töötlemistoimingute, mille olete Voogile usaldanud, tegemiseks alamtöötlejaid.
7.3.2. Teie kirjalikul taotlusel avaldab Voog Teile kirjalikult (i) alamtöötleja isiku, (ii) alamtöötleja asukoha ja (iii) koha, kus alamtöötleja töötlemistoiminguid teeb.
7.3.3. Alamtöötlejale kehtivad samasugused kohustused nagu Voogile käesoleva ITKL-i alusel. Sellest tulenevalt peavad alamtöötlejad täitma kõiki käesolevas ITKL-is ette nähtud kohustusi ning volitatud töötlejale GDPR-i ja muude kohaldatavate andmekaitsealaste õigusaktide ja eeskirjade alusel kehtivaid kohustusi. Voog paneb nimetatud kohustused alamtöötlejale kirjaliku lepinguga.
7.3.4. Voog tagab, et alamtöötlejad täidavad rangelt kõiki käesolevas ITKL-is ette nähtud kohustusi ja Voog jääb igal juhul Teie ees täielikult vastutavaks kõikide selliste kohustuste nõuetekohase ja õigeaegse täitmise eest alamtöötleja poolt.
7.4. Turvameetmed
7.4.1. Pooled rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete turvalisus piisaval tasemel, et (eelkõige) vältida isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist või loata avalikustamist, kasutamist või neile loata juurdepääsu. Need meetmed peavad olema kohaldatava õigusega kooskõlas.
7.4.2. Pooled peavad rakendama nende meetmete tõhususe korrapärase katsetamise ja hindamise korda isikuandmete töötlemise turvalisuse tagamiseks.
7.4.3. Voog nõustub mitte avalikustama isikuandmeid ühelegi kolmandale isikule ilma Teie nõusolekuta, välja arvatud kooskõlas käesoleva ITKL-iga või kui see on seadusega lubatud või kui Voog on selleks seadusega kohustatud.
7.5. Isikuandmete piiriülene edastamine
7.5.1. Voog ei edasta Teie, oma sidusettevõtete ega nende töötajate esitatud isikuandmeid väljapool Euroopa Majanduspiirkonda olevatesse riikidesse ega teistesse riikidesse, millele kehtivad isikuandmete piiriülese edastamise piirangud, välja arvatud juhul, kui Voog on rakendanud kohaseid kaitsemeetmeid kooskõlas kohaldatava õigusega.
7.5.2. Enne mis tahes piiriülest edastamist on Voog kohustatud kindlaks tegema, kas on olemas (i) Euroopa Komisjoni või asjaomase eksportiva riigi pädeva asutuse otsus selle kohta, et importiv riik või andmete vastuvõtja kategooria tagavad piisava kaitsetaseme, (ii) siduvad kontsernisisesed eeskirjad, (iii) edastamist lubav heakskiidetud sertifikaat, (iv) edastamist lubav heakskiidetud toimimisjuhend või (v) muu heakskiidetud andmete edastamise mehhanism asjaomases eksportivas riigis.
7.5.3. Kui edastamist võimaldavad eespool nimetatud kaitsemeetmed puuduvad, peavad Voog (isikuandmete eksportijana) ja isikuandmete vastuvõtja (isikuandmete importijana) sõlmima jarakendama kohaldatava õiguse või eksportiva riigi eeskirjade alusel vastu võetud või heaks kiidetud lepingu tüüptingimusi, nagu Euroopa Komisjoni vastu võetud „Lepingu tüüptingimused (volitatud töötlejad) isikuandmete edastamiseks volitatud töötlejatele, kes on asutatud kolmandas riigis, kus isikuandmete kaitse ei ole tagatud piisaval tasemel“. Selles kontekstis peab Voog (i) tagama, et isikuandmete importija rakendab alati täielikult kohaseid kaitsemeetmeid kooskõlas käesoleva ITKL-i ja kohaldatava õigusega, (ii) läbi viima asjakohase hindamise, (iii) viivitamata teavitama vastutavat töötlejat (Teid) mis tahes rikkumisest, mille on toime pannud isikuandmete importija või asjakohasel juhul mis tahes hilisem alamtöötleja.
7.5.4. Kui isikuandmete edastamist kolmandasse riiki taotlete Teie, peate esitama Voogile dokumendid, mis kinnitavad edastamise kooskõla kohaldatava õigusega.
Isikuandmetega seotud rikkumine
8.1. Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu andmesubjekti õigustele ja vabadustele, teavitab Voog Teid viivitamata pärast isikuandmetega seotud rikkumisest teadasaamist.
8.2. Igal juhul peab see teade sisaldama järgmist teavet: asjaolude kirjeldus, rikkumise liik (konfidentsiaalsus/terviklikkus/kättesaadavus), sidusrühmad, riigid, ohtu sattunud isikuandmete laad, mõjutatud üksikisikute arv, ohtu sattunud toimikute ligikaudne arv, isikuandmetega seotud rikkumise tõenäolised tagajärjed, isikuandmetega seotud rikkumise kõrvaldamiseks võetud meetmed, kahjuliku mõju kõrvaldamiseks võetud meetmed. Kui esialgse teatamise ajal ei ole mingi selline teave teada, siis peab Voog selle kohe hankima ja teatama Teile selle teabe viivitamata pärast sellest teadasaamist.
8.3. Voog pakub Teile kiiresti tuge isikuandmetega seotud rikkumisest järelevalveasutustele ja andmesubjektidele teatamise vajaduse hindamisel ja tegelikul teavitamisel, sealhulgas nimetatud kohustuste täitmiseks vajaliku mis tahes teabe edastamine. Voog teeb kohe ettepaneku meetmeteks, millega isikuandmetega seotud rikkumist ja selle kahjulikku mõju andmesubjektidele leevendada. Kui Te olete oma nõusoleku andnud, rakendab Voog neid meetmeid viivitamata Voogi enda kulul, välja arvatud juhul, kui isikuandmetega seotud rikkumise põhjustas Teie kohustuste täitmata jätmine või viga.
Andmesubjektide õigused
9.1. Osana oma kohustustest käesoleva ITKL-i alusel pakub Voog Teile mõistlikku abi Teie kohustuse täitmisel vastata oma andmekaitsealaseid õigusi teostavate andmesubjektide taotlustele.
9.2. Kui Voog kui volitatud töötleja saab selliseid taotlusi vahetult andmesubjektidelt, ei vasta Voog otse sellistele taotlustele, vaid hiljemalt 10 päeva jooksul taotluse saamisest teavitab Teid ja esitab Teile õigel ajal kogu asjaomase teabe, mis võimaldab Teil andmesubjekti taotlusele vastata, võttes arvesse isikuandmete töötlemise laadi. Voog (i) esitab Teile kogu teabe, mis on vajalik, et vastata juurdepääsuõigusel ja ülekandmisõigusel põhinevale taotlusele kohases vormis ja formaadis, (ii) võtab meetmeid, mis on vajalikud Teie juhiste elluviimiseks, et tegeleda kustutamise, parandamise, piiramise ja vastuväite esitamise õigusel põhinevate taotlustega. Voog peab tegutsema ja vastama õigel ajal, et võimaldada Teil kinni pidada kehtivate seaduste ja eeskirjadega sätestatud tähtaegadest.
9.3. Kui Voog saab andmesubjektilt andmekaitsega seotud nõude, teavitab ta Teid viivitamata ja esitab kohe kogu asjaomase teabe, mis võimaldab Teil osaleda selle nõude kaitsmisel. Kui Voog seda ei tee, kannab ta mis tahes kulud, kaotused ja nõuded, mida Te tasute või mis tuleb tasuda andmesubjektile seoses selle nõudega, välja arvatud juhul, kui nõude põhjustas Teie tegevus või tegevusetus.
Koostöö järelevalveasutustega
10.1. Voog teavitab Teid viivitamata, kui saab järelevalveasutuselt isikuandmete privaatsusega seotud taotluse kooskõlas kohaldatava õigusega, välja arvatud juhul, kui kohtudokument või sellega samaväärne dokument selle keelab.
10.2. Kättesaadavat teavet arvestades aitavad pooled viivitamata ja tõhusalt teist poolt viimase kohustusega teha järelevalveasutustega koostööd, et võimaldada sellel teisel poolel kiiresti vastata järelevalveasutuse võimalikele päringutele.
ITKL-i tähtaeg ja muutmine
11.1. Käesolev ITKL kehtib alates allkirjastamisest seni, kuni Voog töötleb mis tahes isikuandmeid poole nimel.
11.2. Kui muudetakse kohaldatavat õigust või kui lõplik kohtuotsus muudab kohaldatava õiguse tõlgendust või kui muutuvad käesoleva ITKL-i alusel osutatavad teenused või kui Voogi omanikeringis toimuvad olulised muutused, teevad pooled heas usus koostööd, et ITKL-i vastavalt ajakohastada.
11.3. Voogil on õigus teatada kirjalikult käesoleva ITKL-i viivitamata või hilisemal kuupäeval lõpetamisest, kui pooled ei suuda kokku leppida sobivas ITKL-i muudatuses, mis tuleneb kohaldatava õiguse muutmisest või lõplikust kohtuotsusest või kui lepingu alusel osutatavad teenused nõuavad käesoleva ITKL-i muutmist või kui Voogi omanikeringis toimuvad olulised muutused.
11.4. Teie käesolevast ITKL-ist tuleneva kohustuse rikkumist käsitletakse olulise rikkumisena ja see annab Voogile õiguse teatada kirjalikult käesoleva ITKL-i viivitamata või hilisemal kuupäeval lõpetamisest.
Kohaldatav õigus ja vaidlused
12.1. Käesolev ITKL on koostatud kooskõlas Eesti Vabariigi seadustega ning selle kohaldamist, tõlgendamist ja lõpetamist reguleerivad Eesti Vabariigi seadused.
12.2. ITKL-i täitmisest tulenevad mis tahes vaidlused lahendatakse läbirääkimiste teel. Kui pooled ei suuda vaidlust läbirääkimiste teel lahendada, lahendatakse vaidlus Harju Maakohtus Eesti Vabariigi seadustega sätestatud korras.