Andmetöötlusleping
Andmetöötlusleping
1. Mõisted
1.1. Andmetöötluslepingus kasutatakse järgnevalt määratletud mõisteid;
1.1.1. eKooli leping – eKooli kasutamiseks ja sellega seotud teenusepakkuja ja kooli vahel sõlmitud teenuse osutamise leping ning sellele kohalduvad teenusetingimused;
1.1.2. Eduteni leping – Eduten Playground digitaalse õppimisplatvormi kasutamiseks ja sellega seotud teenusepakkuja ja kooli vahel sõlmitud Eduten Playground kasutusleping ning selle osaks olev Eduten Playground kasutustingimused;
1.1.3. üldmäärus – Euroopa Parlamendi ja Euroopa Nõukogu poolt 27. aprillil 2016. aastal vastu võetud määrus nr 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vabal liikumisel;
1.1.4. isikuandmed – igasugune teave tuvastatud või otseselt või kaudselt tuvastatava füüsilise isiku kohta, mille on kool või tema poolt volitatud kasutaja sisestanud eKooli, Eduten Playground õppimisplatvormi või muul viisil teenusepakkujale avaldanud. Andmetöötluslepingus mõistetakse isikuandmeid vastavalt kontekstis viidatule eKooli lepingu alusel töödeldavate isikuandmetena või Eduteni lepingu alusel töödeldavate isikuandmetena. Kui konkreetsele lepingule viidatud ei ole, mõeldakse mõlema lepingu alusel töödeldavaid isikuandmeid;
ii) isikuga seotud andmeid (nt sugu, seos õpilasega, eKoolis omistatud roll);
1.1.5. alamtöötleja – isikuandmete volitatud töötleja, xxxxx on kaasanud või keda kasutab isikuandmete töötlemiseks teenusepakkuja ning kes pääsevad ligi või töötlevad muul viisil kooli andmeid, sh isikuandmeid;
1.1.6. volitatud töötlejate nimekiri – teenusepakkuja veebilehel avaldatud teave alamtöötlejate ja nende andmete kohta.
2. Andmetöötluslepingu ese
2.1. Andmetöötluslepinguga volitab kool (isikuandmete vastutava töötlejana) teenusepakkujat (isikuandmete volitatud töötlejana) töötlema isikuandmeid, mille kool või kooli poolt volitatud kasutaja edastab, sisestab eKooli ja/või Eduten Playground õppimisplatvormi või teeb muul viisil teenusepakkujale eKooli ja/või Eduteni lepingust tulenevalt kättesaadavaks ning mille suhtes on kool üldmääruse tähenduses vastutav töötleja, vastava(te) lepingu(te) täitmiseks vajalikus xxxxx xx ulatuses andmetöötluslepingus sätestatud tingimustel.
2.2. Kahtluste vältimiseks on pooled kokku leppinud, et kui kool kasutab õpilastele väljastatavat elektroonilist õpilaspiletit või koolikaarti (eelnevalt ja edaspidi: koolikaart), on koolikaardiga seotud kõikide isikuandmete vastutava töötleja samuti kool ning teenuseosutaja töötleb teenuse osutamise raames vastavaid andmeid kooli nimel ja volitusel volitatud töötlejana.
2.3. Teenusepakkuja on nõustunud osutama koolile teenuseid vastavalt eKooli lepingule ja/või Eduteni lepingule (kui see on sõlmitud). Teenuste osutamisel töötleb teenusepakkuja kooli andmeid, mis sisaldavad isikuandmeid. Teenusepakkuja töötleb ja kaitseb isikuandmeid vastavalt käesoleva andmetöötluslepingu tingimustele.
2.4. Teenusepakkuja töötleb eKooli kasutamisega seoses isikuandmeid järgnevate eesmärkide raames:
2.4.2. õigusaktides sätestatud ulatuses kooli ja kohaliku omavalitsuse koostöö toetamine;
2.4.4. õppeprotsessi toetamine läbi õpitulemuste analüütika;
2.4.5. kodu ja kooli vahelise suhtlemise ja koostöö toetamine;
2.5.2. turundusega seotud tegevusteks;
2.5.3. kasutajatoe pakkumiseks ning kasutajate tagasiside töötlemiseks.
2.6. Teenusepakkuja töötleb isikuandmeid üksnes ulatuses, milles see on vajalik eKooli kasutamisega seotud teenuse osutamiseks vastavalt eKooli lepingule ning Eduten Playground õppimisplatvormi kasutamisega seotud teenuse osutamiseks vastavalt Eduteni lepingule.
3. Kooli kohustused
3.1. Kool vastutava töötlejana tagab, et tal on isikuandmete töötlemiseks kohane õiguslik alus ning asjakohasel juhul andmesubjekti või tema seadusliku esindaja nõusolek. Samuti tagab kool, et tema poolt isikuandmete töötlemine, sh teenusepakkujale volituste andmine, isikuandmete töötlemisest andmesubjektide teavitamine, isikuandmete töötlemise dokumenteerimine ning isikuandmete õigsuse tagamine, toimub kooskõlas üldmääruse ning mistahes muude kohalduvate
riigisiseste ja rahvusvaheliste isikuandmete kaitsega seotud õigusaktidega, samuti eKooli ja/või Eduteni lepinguga ja andmetöötluslepinguga.
3.2. Xxxxxx on kokku leppinud, et juhised koolilt, mis hõlmavad hinnakirjas sätestatud toimingute tegemist, sealhulgas andmete hävitamine või tagastamine teenusepakkuja poolt, võivad tuua koolile xxxxx lisatasusid. Sel juhul teavitab teenusepakkuja kooli sellistest tasudest enne vastavate toimingute tegemist, kui eelnevalt ei ole kokku lepitud teisiti.
4. Teenusepakkuja kohustused
4.1. Kooli nimel ja vastutusel kohustub teenusepakkuja töötlema isikuandmeid üksnes kooskõlas eKooli ja/või Eduteni lepinguga, andmetöötluslepinguga ja kooli poolt isikuandmete töötlemiseks teenusepakkujale antud, üldmääruse ja muude kohalduvate isikuandmete kaitsega seotud õigusaktidega kooskõlas olevate kirjalike juhistega. Olenemata eeltoodust on teenusepakkujal õigus töödelda isikuandmeid koolist ja pooltevahelistest lepingutest, sealhulgas andmetöötluslepingust sõltumatult, kui teenusepakkujal on iseseisev õiguslik alus teatud isikuandmeid vastutava töötlejana töödelda (näiteks olukorras, kus teenusepakkuja töötleb isikuandmeid andmesubjekti või tema seadusliku esindajaga sõlmitud lepingu täitmiseks või teenusepakkujale antud andmesubjekti nõusoleku alusel). Vastavat isikuandmete töötlemist ei loeta andmetöötluslepingu rikkumiseks.
4.2. Kui teenusepakkujal pole piisavalt juhiseid ja/või juhised lähevad vastuollu üldmääruse ja/või muude kohalduvate isikuandmete kaitsega seotud õigusaktidega, annab teenusepakkuja sellest koolile teada ning tegutseb kuni täpsemate juhiste saamiseni viisil, mis on tema parima äranägemise kohaselt kooskõlas üldmääruse või vastava muu õigusakti sätetega ning võiks eelduslikult vastata kooli tahtele.
4.3. Teenusepakkuja võimaldab koolil igal ajahetkel pääseda ligi tema nimel töödeldavatele isikuandmetele ning neid lisada, parandada, kustutada, edastada ja nende töötlemist piirata vastavalt eKooli või Eduten Playground õppimisplatvormi võimalustele. Kui eKool või Eduten Playground õppimisplatvorm ei võimalda teha toimingut, mida soovib kool andmetega teha, edastab kool vastava toimingu tegemise soovi teenusepakkujale kirjalikult ning võimaluse korral täidab teenusepakkuja taotluse mõistliku aja jooksul. Olenemata eeltoodust ei võimaldata koolile ligipääsu andmetele, mille on kasutaja sisestanud isiklikuks kasutamiseks loodud eKooli funktsionaalsuse raames, mille puhul võib kasutaja eeldada, et neid andmeid ei jagata kooliga (näiteks kasutaja vestluse andmed, üles laetud failid, blogi vms).
4.4. Koolil on õigus kontrollida, et teenusepakkuja isikuandmete töötlemise protsess on kooskõlas andmetöötluslepinguga ning teenusepakkuja kohustub kooli sellise kontrolli teostamisel mitte takistama ja mõistlikul määral abistama.
4.5. Teenuseosutaja kohustub tegema koolile kättesaadavaks kogu informatsiooni ning võimaldama asjakohaste auditite või kontrollide läbiviimse mõistliku aja jooksul alates vastava nõude saamisest, mis on vajalik, et hinnata andmetöötluslepingust, üldmäärusest või muudest kohalduvatest isikuandmetega seotud õigusaktidest tulenevate teenusepakkuja kohustuste täitmist. Samuti kohustub teenusepakkuja üldmääruses sätestatud ja mõistlikus ulatuses aitama koolil täita oma üldmäärusest ja/või muudest kohalduvatest isikuandmete kaitsega seotud õigusaktidest tulenevaid isikuandmete töötlemisega seotud kohustusi. Käesolevas punktis sätestatud kohustuste täitmise eest võib teenusepakkuja nõuda koolilt mõistlikku tasu vastavalt kohustuse täitmise tegelikule ajakulule.
4.6. Teenusepakkuja tagab isikuandmete töötlemisega seotud ohtudele ja riskidele vastava turvalisuse taseme, rakendades seejuures sobivaid ja asjakohaseid tehnoloogilisi, füüsilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid autoriseerimata ligipääsu, hävinemise ja muutumise eest ning tagada nende töötlemine üksnes lepingust tulenevate eesmärkide saavutamiseks ning selleks vajalikus ulatuses. Muu hulgas teeb teenusepakkuja andmetest perioodilisi varukoopiaid, mida hoitakse põhiandmetest eraldi.
4.7. Teenusepakkuja tagab, et isikuandmetele pääsevad ligi ning neid töötlevad üksnes teenusepakkuja töötajad, juhtorganite liikmed või muud teenusepakkuja või alamtöötlejaga lepingulises suhtes olevad füüsilised isikud, kes vajavad ligipääsu vastavatele isikuandmetele oma (töö)ülesannete täitmiseks, mis on seotud eKooli lepingu ja/või Eduteni lepingu täitmisega, ning kellel on kohustus järgida isikuandmete töötlemisega seoses konfidentsiaalsuskohustust, andmetöötluslepingut ja viidatud lepinguid.
4.8. Teenusepakkuja kohustub tegema kooliga koostööd ning aitama koolil lahendada ja täita andmesubjektide poolt isikuandmete töötlemisega seotud pöördumisi ja isikuandmete töötlemisega seotud õiguste teostamise taotlusi, muu hulgas olukorras, kui andmesubjekt soovib saada ligipääsu oma isikuandmetele või taotleda nende kustutamist.
4.9. Teenusepakkuja võib edastada isikuandmeid väljaspoole Euroopa Majanduspiirkonda (EMP) ja/või Šveitsi üksnes üldmääruses sätestatud juhtudel xx xxxxxx.
4.10. Kui andmesubjektid või isikuandmete kaitse järelevalveasutus esitab isikuandmeid puudutava taotluse, sh taotluse isikuandmete töötlemise piiramiseks, kustutamiseks või parandamiseks, neile teabe esitamiseks või muude toimingute tegemiseks, teavitab teenuseosutaja kooli kõigist sellistest taotlustest xxxx xxxxx vastamist või isikuandmetega mis tahes toimingute tegemist, või, kui taotlusele on kohustus vastata viivitamatult, siis niipea kui mõistlikult võimalik pärast taotlusele vastamist. Teenuseosutaja võib kooli nimel töödeldavaid isikuandmeid parandada, kustutada, muuta või nende töötlemist piirata üksnes eelnevalt kooliga kooskõlastatult.
4.11. Vastava kooli kirjaliku juhise saamisel kohustub teenusepakkuja vastavalt kõik või osa isikuandmetest põhjendamatu viivituseta kustutama või hävitama. Eeltoodust hoolimata ei kustutata isikuandmeid varukoopiatelt. Kui varukoopialt andmete taastamise järgselt on kustutamisele kuulunud isikuandmed taas aktiveerunud, kustutatakse need esimesel võimalusel uuesti.
5. Alamtöötlejad
5.3. Kui teenusepakkuja kavatseb kaasata uue alamtöötleja, peab ta avaldama uue alamtöötleja andmed volitatud töötlejate nimekirjas vähemalt 3 kalendripäeva enne mistahes isikuandmete üleandmist uuele alamtöötlejale. Kui kool ei esita eeltoodud tähtaja jooksul alamtöötleja suhtes vastuväiteid, loetakse, et kool on alamtöötlejat aktsepteerinud. Kui kool on esitanud eeltoodud tähtaja jooksul põhjendatud kirjalikud vastuväited eKooli lepinguga seotud isikuandmete töötlemiseks kaasatava uue alamtöötleja suhtes ning pooled ei ole jõudnud uue alamtöötleja kaasamata jätmise või muutmise osas kokkuleppele, on koolil õigus eKooli xxxxxx xxxx xxxxx osaks xxxxx andmetöötluslepinguga üles öelda alates hetkest, kui isikuandmete töötlemist alustab alamtöötleja, xxxxx suhtes on kool vastuväite esitanud. Eelnimetatud põhjusel seoses Eduteni lepinguga seotud isikuandmete töötlemisega ei ole koolil õigust Eduteni lepingut öelda üles ning sellisel juhul võib
Eduteni lepingu öelda üles teenusepakkuja teatades sellest koolile kirjalikult 20 päeva ette.
6. Isikuandmetega seotud rikkumised
6.1. Isikuandmetega seotud rikkumise korral võtab teenusepakkuja tarvitusele vajalikud meetmed, et välistada, ennetada või vähendada rikkumisest tulenevat ohtu isikuandmetele, muu hulgas isikuandmete juhusliku või õigusvastase hävinemise, kadumise, muutmise ning õigusvastase avalikustamise või õigustamatu ligipääsu riski.
6.2. Teenusepakkuja teavitab põhjendamatu viivituseta kooli (võimalusel 72 tunni jooksul pärast rikkumise avastamist) isikuandmetega seotud rikkumisest.
6.3. Teenusepakkuja dokumenteerib kõik eKooli lepingu alusel töödeldavate isikuandmetega seotud rikkumised ja nende asjaolud, muu hulgas mõju ning nende lahendamiseks tarvitusele võetud parandusmeetmed. Dokumenteeritakse vähemalt järgmised isikuandmetega seotud rikkumise asjaolud:
6.3.1. rikkumise laadi kirjeldus ning võimaluse korral puudutatud andmesubjektide kategooriate ja andmete liikide kirjeldus ning hulk;
6.3.2. nii tõenäoliste kui ka tegelikult tekkinud tagajärgede kirjeldus;
6.3.3. parandusmeetmete kirjeldus, mida teenusepakkuja on rikkumise lahendamiseks kasutusele võtnud või kavatseb xxxxx.
6.5. Isikuandmetega seotud rikkumise dokumentatsiooni koopia esitatakse koolile või asjakohasele järelevalveasutusele vastava kirjaliku taotluse alusel.
6.6. Kooli kui vastutava töötleja suhtes kohalduvate isikuandmetega seotud rikkumiste teavitamise kohutuste täitmise eest, muu hulgas asjakohasel juhul andmesubjektide, järelevalveasutuse või kolmandate isikute teavitamise eest, vastutab üksnes kool ning teenusepakkuja sellega seoses kohustusi xx xxxx.
7. Vastutus
7.1. Arvestades teenusetingimustes sätestatud vastutuse piiranguid kohustub teenusepakkuja hüvitama koolile eKooli kasutamise ja eKooli lepinguga seoses süüliselt tekitatud varalise kahju, mis:
7.1.1. tuleneb teenusepakkuja poolt isikuandmete töötlemisel lepingu ja/või andmetöötluslepingu olulisest rikkumisest,
7.1.2. tuleneb teenusepakkuja poolt isikuandmete töötlemisel üldmääruse ja/või muude kohalduvate isikuandmete kaitsega seotud õigusaktide olulisest rikkumisest ja/või
7.1.3. tuleneb teenusepakkuja poolt kasutatud või kaasatud alamtöötleja poolt isikuandmete töötlemisel andmetöötluslepingu, üldmääruse ja/või muude kohalduvate isikuandmete kaitsega seotud õigusaktide olulisest rikkumisest.
7.2. Olenemata andmetöötluslepingus sätestatust on Eduten Playground õppimisplatvormi kasutamise ja Eduteni lepinguga seoses teenusepakkuja ja Eduteni lepingus sätestatud teenuse omaniku vastutus kooli ees välistatud kohalduvate õigusaktidega maksimaalselt lubatud määras ning teenusepakkuja vastutab kooli ees üksnes tahtluse korral ning juhul, kui see tuleneb kohalduvast õigusaktist selliselt, et poolte kokkuleppega ei saa selle kohaldumist välistada. Muuhulgas ei vastuta teenusepakkuja ega Eduteni lepingus sätestatud teenuse omanik kooli ees mistahes mittevaralise või kaudse varalise kahju eest.
8. Kehtivus ja lõpetamine
8.1. Andmetöötluslepingu kehtivus on lahutamatult seotud eKooli lepingu ja Eduteni lepingu kehtivusega. Andmetöötlusleping kehtib ja kohaldub eKooli kasutamisega seoses eKooli lepingu kehtivuse ajal ning lõppeb eKooli lepingu lõppemisel ning Eduten Playground õppimisplatvormi kasutamisega seoses Eduteni lepingu kehtivuse ajal ning lõppeb Eduteni lepingu lõppemisel. Andmetöötlusleping tervikuna lõppeb xxx xxx eKooli xxxxxx xxx ka Eduteni leping on lõppenud.
8.2. eKooli lepingu lõppemisel, kuid mitte hiljem kui 30 päeva jooksul xxxxx xxxx, tagastab teenusepakkuja koolile isikuandmed või teeb need muul moel tagastamiseks kättesaadavaks. Kui kool on isikuandmed vastu võtnud või sellest kirjalikult keeldunud, kohustub teenusepakkuja kõik tema valduses olevad isikuandmed mõistliku aja jooksul pöördumatult kustutama või hävitama, välja arvatud isikuandmed, mida on teenusepakkujal õigus töödelda vastavast lepingust ja andmetöötluslepingust sõltumatult muul alusel.
8.3. Kui kool xx xxxx 30 päeva jooksul xxxxx eKooli lepingu lõppemist tagastamisele kuuluvaid isikuandmeid vastu ega keeldu sellest kirjalikult, kustutab või hävitab teenusepakkuja tagastamisele kuuluvad isikuandmed, millele ei laiene asjakohasest kohalduvast õigusaktist koolile tulenev kohustus vastavate andmete säilitamiseks. Isikuandmeid, mida kohustub kool asjakohasest kohalduvast õigusaktist tulenevalt säilitama, hoiab teenusepakkuja kuni koolilt vastavate isikuandmete kustutamiseks kirjaliku loa saamiseni või vastavast õigusaktist tuleneva säilitamiskohustuse lõppemiseni ning kool kohustub hüvitama vastavate
isikuandmete hoidmise teenusepakkujale vastavalt hinnakirjas sätestatule, kui ei ole kokku lepitud teisiti.
8.4. Eduteni lepingu lõppemisel kustutab või tagastab teenusepakkuja isikuandmed vastavalt koolilt saadud juhisele mõistliku aja jooksul. Kui kool ei ole edastanud vastavaid juhiseid 12 kuu jooksul, siis isikuandmed ja nende võimalikud koopiad kustutatakse. Eelsätestatu ei kehti isikuandmetele, mida on teenusepakkujal õigus töödelda Eduteni lepingust ja andmetöötluslepingust sõltumatult muul alusel või mille säilitamise kohustus tuleneb teenusepakkujale kohalduvatest õigusaktidest.