ANDMETÖÖTLUSKOKKULEPE (EESTI)
TAUST
ANDMETÖÖTLUSKOKKULEPE (EESTI)
(A) Selles andmetöötluskokkuleppes (edaspidi „kokkulepe“) on sätestatud isikuandmete töötlemise tingimused vastavalt Iron Mountaini ja kliendi (edaspidi „klient“) vahel sõlmitud teenuslepingu(te)le (edaspidi „leping“), mille kohaselt klient tellib Iron Mountainilt ja Iron Mountain osutab kliendile teatavaid teenuseid. Kokkulepe moodustab lepingu lahutamatu osa.
(B) Iron Mountain tegutseb volitatud töötlejana või alamtöötlejana ning klient tegutseb vastutava töötlejana või andmetöötlejana; need mõisted on täpsemalt määratletud andmekaitset käsitlevates õigusaktides (edaspidi „andmekaitset käsitlevad õigusaktid“). Kokkuleppes kasutatud mõiste „andmekaitset käsitlevad õigusaktid“ hõlmab kõiki kohaldatavaid andmekaitset käsitlevaid õigusakte, sealhulgas isikuandmete kaitse üldmäärust (edaspidi „isikuandmete kaitse üldmäärus“ (määrus (EL) 2016/679)) ja andmekaitseasutuste juhiseid ja siduvaid korraldusi. „Järelevalveasutus“ – kohalik andmekaitseasutus või muu reguleeriv asutus/järelevalveasutus või valitsusasutus.
1. ANDMETE TÖÖTLEMISE EESMÄRGID
Iron Mountain töötleb isikuandmeid vastavalt lepingule teenuste osutamise eesmärgil. Töödeldavate isikuandmete liigid, asjaomaste andmesubjektide kategooriad ja Iron Mountaini andmekaitseametniku kontaktandmed on esitatud kokkuleppe 1. lisas.
2. KLIENDI ÕIGUSED JA KOHUSTUSED
Kliendi õigused ja kohustused on järgmised:
(i) klient töötleb isikuandmeid kooskõlas andmekaitset käsitlevate õigusaktidega;
(ii) kliendil on õigus anda Iron Mountainile isikuandmete töötlemise kohta kirjalikke juhiseid. Need juhised on Iron Mountaini suhtes siduvad tingimusel, et kui juhiste järgimiseks on vaja osutada lepingukohaseid teenuseid või see toob Iron Mountainile xxxxx kulusid, tasub klient kehtiva teenusetasu/hüvitab kantud kulud. Iron Mountain ei järgi kliendi juhiseid, mis on vastuolus kokkuleppe mis tahes osaga;
(iii) klient säilitab alati kontrolli isikuandmete üle. Kui andmesubjekt küsib isikuandmete töötlemise kohta teavet, taotleb isikuandmete parandamist, vaidlustab andmete töötlemise õiguspärasuse või nõuab andmete töötlemise lõpetamist või isikuandmete kustutamist või blokeerimist, annab klient viivitamata Iron Mountainile korralduse xxxxx asjakohaseid meetmeid; ning
(iv) klient teatab Iron Mountainile, milliseid isikuandmete kategooriaid lepingu kohaselt töödeldakse ning milliseid andmesubjekte andmete töötlemine puudutab. Iron Mountain juhib kliendi tähelepanu sellele, et tema osutatavad teenused on seotud kliendi füüsiliste dokumentidega (üksikdokumendid, kaustad, karbid jne), kuid mitte otseselt nende dokumentide sisuga xx xxxxx xxxx sisalduvate isikuandmetega. Seda arvestades on klient kohustatud teatama Iron Mountainile kirjalikult, kui andmete töötlemisega seotud isikuandmed/andmesubjektid erinevad 1. xxxxx loetletutest.
3. IRON MOUNTAINI ÕIGUSED JA KOHUSTUSED
3.1. Iron Mountain:
(i) ei kasuta isikuandmeid muudel kui lepingus ja kokkuleppes sätestatud eesmärkidel;
(ii) töötleb isikuandmeid kooskõlas andmekaitset käsitlevate õigusaktidega;
(iii) töötleb isikuandmeid vastavalt kliendi kirjalikele juhistele (võttes arvesse punkti 2 alapunkti (ii)). Iron Mountain teatab viivitamata kliendile, kui kliendi juhised on tema arvates vastuolus andmekaitset käsitlevate õigusaktidega. Sellele vaatamata rõhutab Iron Mountain veel kord, et ta töötleb otseselt ainult kliendi dokumente/andmekandjaid, nii et enamasti ei saa Iron Mountain hinnata, kas kliendi juhised on seaduslikud;
(iv) aitab kliendil vastata andmesubjektide taotlustele;
(v) varustab klienti kogu teabega, mis on vajalik tõendamaks, et Iron Mountain täidab kokkuleppes ja andmekaitset käsitlevates õigusaktides sätestatud kohustusi;
(vi) võimaldab kliendil läbi viia kokkuleppe punktis 7 nimetatud auditeid ja aitab nendele xxxxx;
(vii) töötleb isikuandmeid ainult kokkuleppe kehtivuse jooksul;
(viii) tagab, et tema töötajad/alltöövõtjad, kellel on lubatud isikuandmeid töödelda, kohustuvad tagama andmete konfidentsiaalsuse või et nende suhtes kehtib seaduses sätestatud konfidentsiaalsuskohustus.
3.2. Kokkulepe ei takista Iron Mountaini töötlemast isikuandmeid, xxx xxxx nõuavad õigusnormid või pädev xxxxx või järelevalveasutus. Kui järelevalveasutus või pädev xxxxx nõuab andmete töötlemist, teatab Iron Mountain sellest õiguslikust nõudest kliendile enne andmete töötlemist või kui järelevalveasutus/xxxxx nõuab viivitamatut või kiiret reageerimist, siis esimesel võimalusel, välja arvatud juhul, kui teatamine on keelatud andmekaitset käsitlevate õigusaktidega või vastava korraldusega.
Andmete turvalisus
3.3. Iron Mountain rakendab mõistlikke tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete konfidentsiaalsus, terviklikkus ja kättesaadavus ning kaitsta isikuandmeid ebaseadusliku töötlemise eest, ja dokumenteerib need meetmed.
3.4. Iron Mountain kontrollib ja hindab korrapäraselt oma tehniliste ja korralduslike meetmete tõhusust.
Isikuandmetega seotud rikkumistest teatamine
3.5. „Isikuandmetega seotud rikkumise“ korral, st turvanõuete rikkumisel, mis põhjustab isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu, teatab Iron Mountain sellest põhjendamatu viivituseta kliendile e-posti xxxx.
3.6. Teade isikuandmetega seotud rikkumise kohta peab sisaldama vähemalt järgmist teavet (niivõrd, kuivõrd Iron Mountainil on see teave olemas): isikuandmetega seotud rikkumise kirjeldus xx xxxx, sealhulgas asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv; isikuandmetega seotud rikkumise võimalike tagajärgede kirjeldus ning meetmete kirjeldus, mis on võetud isikuandmetega seotud rikkumise lahendamiseks xx xxxxx võimaliku kahjuliku mõju leevendamiseks.
3.7. Juhul ja niivõrd, kuivõrd teavet ei ole võimalik esitada xxxxx xxxx, võib teabe esitada järk-järgult xxxx põhjendamatu viivituseta. Iron Mountain teatab kliendile, kui tal ei ole üldse lubatud anda kliendile teatud teavet.
3.8. Iron Mountain dokumenteerib kõik isikuandmetega seotud rikkumised ja esitab kliendi nõudmisel need dokumendid kliendile.
3.9. Iron Mountain võtab pärast isikuandmetega seotud rikkumisest teadasaamist asjakohaseid meetmeid, et vähendada rikkumise võimalikku kahjulikku mõju andmesubjektidele. Iron Mountain teeb kliendiga koostööd isikuandmetega seotud rikkumise lahendamiseks.
4. ISIKUANDMETE TAGASTAMINE VÕI HÄVITAMINE
4.1. Kui kliendi füüsiline vara, näiteks dokumendid, sisaldab isikuandmeid, hävitab Iron Mountain kokkuleppe lõpetamisel/lõppemisel kõik sellised füüsilised andmekandjad või tagastab need kliendile vastavalt kliendi konkreetsetele juhistele, kuid klient peab alati tasuma Iron Mountaini kehtestatud tasu (või hüvitama tekkinud kulud). Kui klient ei xxxx juhiseid 15 kalendripäeva jooksul alates kokkuleppe lõpetamisest/lõppemisest, saadab Iron Mountain kliendile xxxxx, paludes anda 15 kalendripäeva jooksul konkreetsed juhised selle kohta, kas andmekandjad hävitada või tagastada. Kui klient selle tähtaja jooksul kirjalikke juhiseid ei xxxx ning kehtivat tasu xx xxxxx (kulusid ei
hüvita), annab klient sellega Iron Mountainile volituse neid andmekandjaid pärast kokkuleppe lõpetamist/lõppemist omal äranägemisel säilitada või need kustutada/hävitada või tagastada.
4.2. Iron Mountain kustutab isikuandmed, mis ei ole salvestatud kliendi füüsilistele andmekandjatele, pärast kokkuleppe lõpetamist/lõppemist. Andmete varukoopiaid võib säilitada varulindil xxxx xxxxx ülesalvestamiseni.
4.3. Kliendi nõudel kinnitab Iron Mountain kliendile kirjalikult, et isikuandmed on kustutatud/hävitatud või tagastatud.
5. ISIKUANDMETE EDASTAMINE
5.1. Iron Mountain säilitab kõiki kliendi füüsilisi andmekandjaid (sh üksikdokumendid/kaustad/karbid) Eestis. Kliendi andmekandjate skaneeritud kujutisi (tehtud kliendi tellimusel) ning säilitatavate kliendi andmekaitsjate elektroonilisi inventuurinimekirju/-andmeid võidakse säilitada ja töödelda IT-süsteemides/serverites, mis asuvad kolmandates riikides väljaspool Euroopa Majanduspiirkonda (EMP). Klient annab nõusoleku eelnimetatud elektroonilise teabe töötlemiseks IT-süsteemides/serverites, mis asuvad väljaspool EMPd, 2. xxxxx loetletud kolmandates riikides. Eelnimetatud õigus sõltub sellest, kas andmete edastamine toimub vastavalt Euroopa Komisjoni isikuandmete edastamise lepingu tüüptingimustele või sarnasele heakskiidetud mehhanismile. Käesolevaga volitab klient Iron Mountaini sõlmima kliendi nimel Euroopa Komisjoni isikuandmete edastamise lepingu tüüptingimused.
5.2. Muust kui punktis 5.1. nimetatud isikuandmete edastamisest (nt suurema hulga andmete edastamine, andmete edastamine uude riiki) teatab Iron Mountain kliendile ette. Kui klient ei vaidlusta isikuandmete edastamist kirjalikult 15 kalendripäeva jooksul alates sellest, kui Iron Mountain on talle andmete edastamisest teatanud, võib Iron Mountain andmed edastada, tingimusel et rakendatakse asjakohaseid kaitsemeetmeid (Euroopa Komisjoni isikuandmete edastamise lepingu tüüptingimused, jne). Kui klient esitab vastulause kehtestatud tähtaja jooksul, teeb Iron Mountain mõistlikke jõupingutusi andmete edastamise süsteemi muutmiseks või soovitab kliendil muuta lepingu kohast teenuste kasutamist majanduslikult mõistlikul viisil, et vältida isikuandmete edastamist. Kui Iron Mountain ei saa teenust nii muuta või klient muudatusega 60 päeva jooksul ei nõustu, võib klient lepingu lõpetada, teatades sellest 60 päeva ette alates Iron Mountainilt xxxxx saamisest (või kui Iron Mountain xx xxxxx, siis alates Iron Mountaini xxxxxx nimetatud 60-päevase tähtaja möödumisest). Kui klient lepingu lõpetamisest Iron Mountainile selle tähtaja jooksul ette ei teata, loetakse see nõustumiseks isikuandmete sel viisil edastamisega.
6. ALAMTÖÖTLEJAD (ALLTÖÖVÕTJAD)
6.1. Klient on teadlik ja nõustub, et (a) Iron Mountaini tütar- või emaettevõtjaid võidakse kasutada alamtöötlejatena ning et (b) Iron Mountain ja tema tütar- või emaettevõtjad võivad omakorda kasutada teenustega seotud isikuandmete töötlemiseks 2. xxxxx loetletud kolmandast isikust alamtöötlejaid. Klient mõistab, et Iron Mountain kasutab alamtöötlejaid ainult dokumendihalduse osutamisel, kus nimetatud üksused töötlevad kliendi andmekandjate skaneeritud kujutisi ning säilitatavate kliendi andmekaitsjate elektroonilisi inventuurinimekirju/-andmeid (vt punkt 5.1.).
6.2. Iron Mountain teatab kliendile olemasolevate nimekirjade muutmisest ette, märkides uue alamtöötleja nime, asukohariigi ja temalt allhanke korras ostetava teenuse. Kui klient ei esita vastulauset 15 kalendripäeva jooksul alates sellest, kui Iron Mountain on talle teatanud uuest alamtöötlejast, võib Iron Mountain kasutada seda alamtöötlejat nimetatud andmete töötlemisel. Kui klient esitab vastulause kehtestatud tähtaja jooksul, teeb Iron Mountain mõistlikke jõupingutusi teenuste muutmiseks, et vältida isikuandmete töötlemist uue alamtöötleja xxxxx, xxxxx suhtes klient on esitanud vastulause. Kui Iron Mountain ei saa muudatusi 60 päeva jooksul rakendada, võib klient lepingu lõpetada, teatades sellest ette 60 päeva alates Iron Mountainilt xxxxx saamisest (või kui Iron Mountain xx xxxxx, siis alates Iron Mountaini xxxxxx nimetatud 60-päevase tähtaja möödumisest). Kui klient lepingu lõpetamisest Iron Mountainile selle tähtaja jooksul ette ei teata, loetakse see nõustumiseks nimetatud alamtöötleja kasutamisega.
6.3. Iron Mountain on kohustatud oma alltöövõtjate tegevust korrapäraselt kontrollima ning vastutab alltöövõtjate tegevuse eest seoses andmete töötlemisega nii, nagu töötleks andmeid Iron Mountain ise. Iron Mountain paneb oma alamtöötlejatele xxxxx andmekaitsekohustused nagu on sätestatud käesolevas kokkuleppes.
7. AUDITEERIMINE
Iron Mountain edastab kliendile kogu teabe, mis on vajalik, et tõendada selles kokkuleppes sätestatud kohustuste täitmist, ning lubab kliendil või kliendi nimetatud muul audiitoril läbi viia auditeid, sealhulgas kontrolle, ja aitab nendele xxxxx. Xxxxx xx xxxx käesolevas kokkuleppes sätestatud auditeerimisõigus juurdepääsu Iron Mountaini teiste klientide andmetele ega Iron Mountaini turvasüsteemide/-meetmetega seotud andmetele. Iron Mountain aitab kliendil läbi viia andmekaitse mõjuhinnanguid ning pidada nõu järelevalveasutusega niivõrd, kuivõrd see on Iron Mountaini kohustus vastavalt andmekaitset käsitlevatele õigusaktidele.
8. KEHTIVUS JA LISAD
See kokkulepe jõustub alates lepingu nõuetekohasest allkirjastamisest mõlema osapoole poolt ning kehtib, kuni kõik kliendi isikuandmed on kas kliendile tagastatud või kustutatud/hävitatud. Lisad moodustavad käesoleva kokkuleppe lahutamatu osa.
***
1. XXXX
Isikuandmete ja andmesubjektide kategooriad
Lepingu(te) kohaselt töödeldavad isikuandmete kategooriad:
☒ nimi ☒ aadress, elukoht
☒ telefoninumber ☒ e-posti aadress
☒ kodakondsus, rahvus ☒ sünnikuupäev
☒ perekonnaseis ☒ isikukood (või isikutunnistuse number)
☒ käibemaksukohustuslase number ☒ töötasu andmed
☒ andmed kinnisvara ja sissetuleku kohta ☒ krediidivõimega seotud andmed
☒ tööga seotud andmed (nt ametinimetus, töökoht) ☒ foto
☒ andmed kvalifikatsiooni ja hariduse kohta ☒ kasutajanimi, salasõna
☒ IP-aadress ☒ isiklik tunnuskood (nt kliendinumber)
Andmesubjektide rühmad, xxxxx isikuandmeid töödeldakse vastavalt kokkuleppele (märkida alljärgnevast valikust):
☒ töötajad ☒ alltöövõtjad
☒ kliendid ☒ tarnijad
☒ kindlustatud isikud ☒ kolmandast isikust kliendid, töötajad, kontaktisikud
☒ patsiendid ☒ kandidaadid
Klient ei edasta Iron Mountainile eespool nimetatud isikuandmetest erinevaid isikuandmeid ning teatab Iron Mountainile kõikidest uutest andmeliikidest/andmesubjektidest kirjalikult ette.
Iron Mountaini andmekaitseametniku kontaktandmed:
Iron Mountain Data Protection Office Xxxxxx.xxxxxxx@xxxxxxxxxxxx.xxx Iron Mountain Europe
Xxxxxxx xxxx 00, 5th floor 1093 Budapest HUNGARY
2. xxxx (alamtöötlejate nimekiri)
ALAMTÖÖTLEJAD KOGU MAAILMAS | OSUTATAV TEENUS | RIIK | RAKENDATAVAD KAITSEMEETMED |
HCL Technologies Limited/ HCL America Incorporated Technology Hub, SEZ, Plot No. 3A, Sector 126, Noida – 201304, India 000 Xxxxxxx Xxx, Xxxxxxxxx, Xxxxxxxxxx 00000, XXX | IT-tugi | India/USA | Standardklauslid |
Iron Mountain Information Management LLC / Iron Mountain Incorporated / Iron Mountain Intellectual Property Management, Inc. Xxx Xxxxxxx Xxxxxx, Xxxxxx, XX 00000, XXX | IT- ja tegevustugi | USA | Standardklauslid |
Iron Mountain Services Private Limited Level 02, Block A, WTC-2, Bagmane World Technology Centre (BWTC) K.R. Puram – Marathahalli Ring Road, Mahadevpura, Bangalore – 560048, India | IT-tugi | India | Standardklauslid |
Kohalikud alamtöötlejad:
Üksuse nimi | Asukoht | Osutatav teenus |
OÜ Infokaitse | Xxxxx xxx 00, Xxxxxx, Xxxx vald 76402 Xxxxx maakond | Hävitamine |
Google Netherlands B.V., | Xxxxxx Xxxxxxxxxxx 00 00X Xxxxx 0000 XX, Xxxxxxxxx, Xxxxxxxxxxx | Loendisüsteemi (RSSQL) serveri asukoht |