ANDMETÖÖTLUSKOKKULEPE (EESTI)

TAUST

ANDMETÖÖTLUSKOKKULEPE (EESTI)

(A) Selles andmetöötluskokkuleppes (edaspidi „Kokkulepe“) on sätestatud isikuandmete töötlemise tingimused vastavalt Iron Mountaini ja kliendi (edaspidi „Klient“) vahel sõlmitud teenuslepingu(te)le (edaspidi „Leping“), mille kohaselt Klient tellib Iron Mountainilt ja Iron Mountain osutab Kliendile teatavaid teenuseid. Kokkulepe moodustab Lepingu lahutamatu osa.

(B) Kui mõni käesolevatest tingimustest on vastuolus Lepingus sätestatud tingimustega, siis loetakse käesolevas Kokkuleppes sätestatud tingimused vastuolu ulatuses kohalduvateks tingimusteks. Suure algustähega mõistetel on sama tähendus, mis on antud neile Lepingus, välja arvatud juhul, kui käesolevas Kokkuleppes on määratletud teisiti.

(C) Iron Mountain tegutseb volitatud töötlejana või alamtöötlejana ning Klient tegutseb vastutava töötlejana või andmetöötlejana, need mõisted on täpsemalt määratletud Andmekaitset Käsitlevates Õigusaktides. Käesolevas Kokkuleppes kasutatav mõiste „Andmekaitset Käsitlevad Õigusaktid“ hõlmab isikuandmete kaitse üldmäärust (edaspidi „Isikuandmete Kaitse Üldmäärus“ (määrus (EL) 2016/679)), sealhulgas kohalduvat kohalikku õigust ning Järelevalveasutuste juhiseid ja siduvaid korraldusi. Järelevalveasutus on kohalik Andmekaitseasutus ja muu reguleeriv asutus/järelevalveasutus või valitsusasutus.

1. ANDMETE TÖÖTLEMISE EESMÄRGID

Iron Mountain töötleb isikuandmeid vastavalt Lepingule teenuste osutamise eesmärgil. Töödeldavate isikuandmete liigid, asjaomaste Andmesubjektide kategooriad ja Iron Mountaini andmekaitseametniku kontaktandmed on esitatud Kokkuleppe 1. lisas.

2. KLIENDI ÕIGUSED JA KOHUSTUSED

Kliendi õigused ja kohustused on järgmised:

(i) Klient töötleb isikuandmeid kooskõlas Andmekaitset Käsitlevate Õigusaktidega;

(ii) Kliendil on õigus anda Iron Mountainile isikuandmete töötlemise kohta dokumenteeritud juhiseid (sealhulgas kolmanda osapoole nimel, kes on isikuandmete vastutav töötleja). Need juhised on Iron Mountaini suhtes siduvad, välja arvatud juhul, kui juhiste järgimine nõuaks olemasolevate või uute Lepinguliste teenuste osutamist ning Klient ei tasu/kiida heaks vastavaid teenustasusid või juhiste järgimine oleks vastuolus käesoleva Kokkuleppe mis tahes osaga.

3. IRON MOUNTAINI ÕIGUSED JA KOHUSTUSED

3.1. Iron Mountain:

(i) ei kasuta isikuandmeid muudel kui Lepingus ja Kokkuleppes sätestatud eesmärkidel;

(ii) töötleb isikuandmeid kooskõlas Andmekaitset Käsitlevate Õigusaktidega ja kehtivate infohalduse valdkonna standarditega;

(iii) töötleb isikuandmeid vastavalt Kliendi dokumenteeritud juhistele (võttes arvesse punkti 2 (ii)) ja teatab viivitamata Kliendile, kui Xxxxxxx juhised on tema arvates vastuolus Andmekaitset Käsitlevate Õigusaktidega;

(iv) võimaluste piires ja vastavalt Lepingujärgselt kohalduvatele tasudele, aitab Kliendil vastata Andmesubjektide taotlustele;

(v) vastavalt Lepingujärgselt kohalduvatele tasudele, aitab Kliendil vastata Järelevalveasutuste poolt Andmekaitset Käsitlevate Õigusaktide alusel tehtud taotlustele;

(vi) varustab Klienti kogu teabega, mis on vajalik tõendamaks, et Iron Mountain täidab Kokkuleppes ja Andmekaitset Käsitlevates Õigusaktides sätestatud kohustusi;

(vii) võimaldab Kliendil läbi viia Kokkuleppe punktis 5 sätestatud (ja piiratud) auditeid, sealhulgas kontrolle, ja aitab nendele xxxxx;

(viii) tagab, et tema töötajad/alltöövõtjad, kellel on lubatud isikuandmeid töödelda, kohustuvad tagama andmete konfidentsiaalsuse või et nende suhtes kehtib seaduses sätestatud konfidentsiaalsuskohustus;

(ix) üksnes seoses Iron Mountaini poolt Kliendi nimel isikuandmete töötlemisega ning võttes arvesse töötlemise laadi ja Iron Mountainile kättesaadavat teavet, osutab Kliendile mõistlikku abi andmekaitsega seotud mõjuhinnangute läbiviimisel ja nõupidamisel Järelevalveasutusega, kui see on nõutud Andmekaitset Käsitlevate Õigusaktide kohaselt.

3.2. Kokkulepe ei takista Iron Mountaini avaldamast või muul viisil töötlemast isikuandmeid, xxx xxxx nõuavad õigusnormid või pädev xxxxx või Järelevalveasutus. Kui Järelevalveasutus või pädev xxxxx esitab isikuandmetega seotud taotluse, teavitab Iron Mountain põhjendamatu viivituseta Klienti nimetatud taotlusest enne isikuandmetega seotud vastuse või muu toimingu tegemist, või esimesel võimalusel, kui seadus või määrus nõuab viivitamatut vastust Järelevalveasutusele või pädevale kohtule, välja arvatud juhul, kui teatamine on keelatud vastava seaduse, määruse või korraldusega.

Andmete turvalisus

3.3. Iron Mountain rakendab mõistlikke tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete konfidentsiaalsus, terviklikkus ja kättesaadavus ning kaitsta isikuandmeid loata või ebaseadusliku töötlemise eest ning juhusliku kaotsimineku, hävitamise, kahjustamise, muutmise või avalikustamise eest. Detailsed tehnilised ja korralduslikud meetmed sisalduvad Iron Mountaini Turvalisuse Tagamise Juhises, millele tagatakse juurdepääs Kliendi nõudel.

Isikuandmetega seotud rikkumistest teatamine

3.4. „Isikuandmetega Seotud Rikkumise“ korral, st turvanõuete rikkumisel, mis põhjustab isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu, teatab Iron Mountain sellest põhjendamatu viivituseta Kliendile e-posti xxxx, xxx on piisavalt xxxxxx, et on toimunud Isikuandmetega Seotud Rikkumine.

3.5. Iron Mountain võtab pärast Isikuandmetega Seotud Rikkumisest teadasaamist asjakohaseid meetmeid, et vähendada rikkumise võimalikku kahjulikku mõju Andmesubjektidele. Iron Mountain teeb Kliendiga, Kliendi määratud kolmandate osapooltega ja mis tahes Järelevalveasutustega koostööd Isikuandmetega Seotud Rikkumise lahendamiseks.

Isikuandmete tagastamine või hävitamine

3.6. Kui Kliendi füüsiline vara, näiteks andmekandjad, sisaldavad isikuandmeid, hävitab Iron Mountain sellise füüsilise vara või tagastab selle Kliendile vastavalt Kliendi konkreetsetele juhistele, kuid Klient peab alati tasuma kokkulepitud hävitamise/tagastamise tasu. Kui Klient ei xxxx juhiseid 15 kalendripäeva jooksul alates Lepingu lõpetamisest/lõppemisest ning xx xxxxx kokkulepitud tasu, siis annab Klient sellega Iron Mountainile volituse xxxx xxxx pärast Lepingu lõpetamist/lõppemist omal äranägemisel säilitada, kustutada/hävitada või tagastada.

3.7. Iron Mountain kustutab isikuandmed, mis ei ole salvestatud Kliendi füüsilistele andmekandjatele, kui Leping on lõpetatud/lõppenud, välja arvatud, kui Klient annab Iron Mountainile 15 kalendripäeva jooksul alates Lepingu lõpetamisest/lõppemisest teistsuguseid juhiseid. Andmete varukoopiaid võib säilitada varulindil seni, kuni need lindid salvestatakse tavapärase tegevuse käigus üle.

3.8. Kliendi nõudel kinnitab Iron Mountain Kliendile kirjalikult, et isikuandmed on kustutatud/hävitatud või tagastatud.

4. ALAMTÖÖTLEJAD JA ANDMEEDASTUS

4.1 Klient on teadlik ja volitab Iron Mountainit kaasama kolmandaid osapooli ja sidusettevõtteid (edaspidi „Alamtöötleja”) isikuandmete töötlusesse, mis on loetletud ja kättesaadavad antud veebileheküljel. Kui Alamtöötleja töötleb isikuandmeid väljaspool Euroopa Majanduspiirkonda (edaspidi „EMP“) ja vastuvõtja riik ei paku piisaval tasemel isikuandmete kaitset, siis peavad vajalikud kaitsemeetmed (näiteks Euroopa Komisjoni isikuandmete edastamise lepingu tüüptingimused või muu sarnane heakskiidetud mehhanism), mis seadustavad andmete edastamist, olema tagatud Iron Mountaini poolt. Andmete edastamise meetmete dokumentatsioon peab olema Kliendile tema nõudmisel tagatud. Xxxxxxx andmeedastus loetakse Kliendi poolt heakskiidetuks. Käesolevas punktis 4.1 Kliendi antud volitus sisaldab ka Kliendi selgesõnalist volitust Iron Mountainile sõlmida Kliendi nimel tüüptingimustega Leping iga Alamtöötlejaga.

4.2 Juhul, kui Alamtöötlejate nimekirja on xxxxxx xxxx täiendusi või asendusi, teatab Iron Mountain Klienti sellistest täiendustest või asendustest eelnevalt e-xxxxx xxxx. E-xxxxx xxxx teavituste saamiseks peab Klient xxxxxxx xx haldama kõiki Iron Mountaini teavitusteenuse tellimusi antud veebilehekülje kaudu. Kui Xxxxxx xx xxxxx teavitusteenust, siis ei vastuta Iron Mountain Alamtöötleja teadete puudumise eest. Kui Klient xx xxxxx teavitusteenust, siis Klient ei saa määramise teavitusi xx xxxx sellised määramised loetakse Kliendi poolt heakskiidetuks. Kui Klient tellib teavitusteenuse, siis iga uue Alamtöötleja määramine loetakse Kliendi poolt heaks kiidetuks välja arvatud juhul, kui Klient kirjalikult ja viieteistkümne (15) päeva jooksul alates Iron Mountaini teavituse kättesaamisest esitab andmekaitsega seonduvad põhjendatud vastuväited.

4.3. Iron Mountain peab (i) kehtestama oma Alamtöötlejatele Lepingulised tingimused, mis ei ole vähem koormavad, kui käesolevas Kokkuleppes sätestatud, (ii) korrapäraselt kontrollima oma Alamtöötlejate tegevust.

5. AUDITEERIMINE

Kliendil on õigus viia läbi auditeid ja kontrolle Iron Mountaini ja tema Alamtöötlejate ruumides kooskõlas Lepinguga. Auditeid võib viia läbi mitte rohkem kui üks kord kaheteistkümne (12) kuu jooksul, välja arvatud juhul, kui on toimunud isikuandmete rikkumine.

6. VASTUTUS

6.1. Isikuandmete rikkumise korral, mis tuleneb otseselt Iron Mountaini ebaseaduslikust, omavolilisest või hooletust isikuandmete töötlemisest, nõustub Iron Mountain seaduses nõutavas ulatuses hüvitama Kliendile otsesed, kontrollitavad, vajalikud ja mõistlikud Kliendi kantud kolmandate osapoolte järgmised kulud: (i) teadete koostamine ja saatmine isikutele, xxxxx teavitamine on seadusega nõutud ja (b) krediidijärelevalve teenuse osutamine seaduse poolt nõutud isikutele, mitte rohkem kui kaheteistkümne (12) kuu ulatuses; tingimusel, et Klient teatab Iron Mountainile xxxxx edastamise kavatsusest mõistlikult ette.

6.2. Kumbki osapool („Hüvitav Pool”) nõustub hüvitama teisele osapoolele („Hüvitise Saaja”) kõik Andmesubjektide kolmanda osapoole nõuded ulatuses, mis tuleneb otseselt Hüvitava Xxxxx Isikuandmete Kaitse Üldmäärust rikkuvast tegevusest või tegevusetusest. Hüvitav Pool ei vastuta nõude eest, (i) mis tuleneb Isikuandmete Kaitse Üldmääruse rikkumisest Hüvitise Saaja poolt või (ii) mida Hüvitise Saaja oleks saanud majanduslikult mõistlike jõupingutuste abil vältida või vähendada. Hüvitise Saaja annab Hüvitavale Poolele võimaluse kontrollida nõude kaitsepositsiooni ja/või nõude lahendamist kokkuleppe xxxx ning juhul, kui Hüvitav Pool kasutab võimalust kontrollida kaitsepositsiooni ja /või kokkulepet, siis (i) Hüvitav Pool ei tohi sõlmida kokkulepet, mis sisaldab Hüvitise Saaja poolt süü omaksvõttu xxxx tema eelneva kirjaliku nõusolekuta, (ii) hüvitise xxxxxx on õigus osaleda nõudes või xxxxx xxxx kulul ning (iii) xxx xxxx võib mõistlikult nõuda, siis peab Hüvitise Saaja tegema koostööd Xxxxxxxx Xxxxxxx. Hüvitava Xxxxx ainus kohustus on tasuda iga sellise nõude tulemusel tehtud kohtuotsuse või kokkuleppe kulud.

6.3. Kui üks osapool on täielikult hüvitanud Andmesubjektile Isikuandmete Kaitse Üldmääruse rikkumise tõttu tekitatud kahju, siis on antud poolel õigus nõuda teiselt sama töötlemisega seotud osapoolelt tagasi see hüvitise osa, mis vastab teise osapoole vastutusele kahju eest vastavalt Isikuandmete Kaitse Üldmääruse artikli 82 lõikele 5.6.4. Vastavalt punktidele 6.1, 6.2 ja 6.3, mille kohaselt mõlema osapoole vastutus ei ole piiratud, ei ületa Iron Mountaini vastutus isikuandmete rikkumise eest ühelgi juhul Xxxxxxxx sätestatud vastutuse piire. Iron Mountain ei ole kohustatud hüvitama Kliendile isikuandmete rikkumisest teatamise kulusid seoses intsidentidega, kus isikuandmed peavad seaduse, määruse või valdkonna kehtivate tingimuste kohaselt olema krüpteeritud.

6.5. Kumbki osapool ei vastuta teise osapoole ees Järelevalveasutuse poolt teisele osapoolele määratud trahvide eest.

7. KEHTIVUS, EELNEVAD KOKKULEPPED, XXXX JA MUUTUSED ANDMEKAITSE SEADUSTES

7.1. See Kokkulepe jõustub alates Lepingu nõuetekohasest allkirjastamisest mõlema osapoole poolt ning kehtib, kuni Iron Mountain lõpetab Kliendi mis tahes isikuandmete töötlemise vastavalt punktidele 3.6 ja 3.7. Käesolev Kokkulepe asendab kõik eelnevad andmetöötluskokkulepped või pooltevahelised andmekaitse- või privaatsustingimused. Xxxx 1 moodustab käesoleva Kokkuleppe lahutamatu osa.

7.2. Kumbki osapool võib aeg-ajalt kirjalikult teavitada teist osapoolt käesoleva Kokkuleppega seotud mis tahes muudatustest, mida osapool peab mõistlikult vajalikuks Andmekaitset Käsitlevate Õigusaktide nõuete või Järelevalveasutuse või pädeva kohtu otsuste täitmiseks. Kõik sellised muudatused jõustuvad kolmekümne (30) kalendripäeva jooksul alates kuupäevast, mil on saadetud kirjalik teavitus teisele osapoolele, välja arvatud juhul, kui teine osapool teavitab xxxxx saatnud osapoolt põhjendatud vastuväidetest kolmekümne (30) päeva jooksul, mis juhul peavad osapooled tegema heas usus koostööd, et leppida kokku muudatustes.

***

1. XXXX

Isikuandmete ja andmesubjektide kategooriad

Lepingu(te) kohaselt töödeldavad isikuandmete kategooriad:

i. Isikuandmed (nimi, aadress, amet, haridus, sünnikuupäev);

ii. Kontaktandmed (telefoninumber, mobiiltelefoninumber, e-posti aadress, faksinumber, aadressi andmed);

iii. Lepingulised põhiandmed;

iv. Kliendi ajalugu;

v. Ligipääs süsteemile / kasutus / autoriseerimisandmed;

vi. Finantsteabega ja/või töösuhetega seotud isikuandmed;

vii. Rassilist või etnilist päritolu avaldavad isikuandmed;

viii. Poliitilisi vaateid avaldavad isikuandmed;

ix. Religioosseid või filosoofilisi veendumusi avaldavad isikuandmed;

x. Ametiühingusse kuulumist avaldavad isikuandmed;

xi. Geneetilised või biomeetrilised andmed;

xii. Terviseandmed;

xiii. Füüsilise isiku seksuaalelu ja seksuaalset sättumust puudutavad andmed ja

xiv. Süüdimõistvate kohtuotsuste ja kuritegudega seotud isikuandmed.

Andmesubjektide rühmad, xxxxx isikuandmeid töödeldakse vastavalt Xxxxxxxxx:

Endised ja praegused töötajad; endised ja praegused töövõtjad või konsultandid; vahendatud töövõtjad või konsultandid ja lähetatud töötajad; tööle kandideerijad ja kandidaadid; õpilased ja vabatahtlikud; töötajate või erru läinute poolt abisaajatena, abikaasana, elukaaslasena, ülalpeetavatena või hädaolukorra kontaktisikuna määratletud isikud; erru läinud; endised ja praegused direktorid ja ametnikud; aktsionärid; võlakirjade omanikud; kontoomanikud; lõppkasutajad / tarbijad / kliendid (täiskasvanud, lapsed); patsiendid (täiskasvanud, lapsed); möödujad (turvakaamerad) ja veebilehekülje kasutajad.

Klient ei edasta Iron Mountainile eespool nimetatud isikuandmetest erinevaid isikuandmeid ning teatab Iron Mountainile kõikidest uutest andmeliikidest/andmesubjektidest kirjalikult ette.

Iron Mountaini andmekaitseametniku kontaktandmed:

Iron Mountain Data Protection Office Xxxxxx.xxxxxxx@xxxxxxxxxxxx.xxx Iron Mountain Europe

Xxxxxxx xxxx 00, 5th floor 1093 Budapest HUNGARY