Skip to Content
Go back
BAS-IP / ANDMETÖÖTLUSE LISA

Viimati uuendatud: [10.12.2025]

See andmetöötluse lisa (edaspidi ‘DPA‘) sõlmitakse teie (edaspidi ‘Klient‘, ‘teie‘, ‘teie‘) ja BAS-IP DISTRIBUTION LTD (edaspidi ‘Ettevõte‘, ‘BAS-IP‘, ‘meie‘, ‘meie’ või ‘meie‘) vahel, edaspidi eraldi kui ‘Osapool’ või koos kui ‘Peod. See DPA täiendab  poolte vahel sõlmitud tingimusi ja tingimusi (edaspidi ‘leping‘).

See DPA reguleerib isikuandmete töötlemist, mida klient annab BAS-IP-le seoses BAS-IP toodete ja teenuste (koos ‘teenuste‘) kasutamisega, samuti kõiki isikuandmeid, mida BAS-IP saab teenuste täitmise käigus kliendile.

Kui selles DPA-s pole teisiti määratletud, kannavad kõik suurtähtedega sõnad, mida selles DPA-s kasutatakse, kokkuleppes sätestatud tähendust. See DPA kehtib kuni lepingu lõppemiseni teie ja meie vahel, mis reguleerib teie teenuste kasutamist. Kui selle DPA ja lepingu vahel tekib konflikt, kehtivad isikuandmete töötlemisel selle DPA sätted.

1. Definitsioonid

Selle DPA eesmärkidel kehtivad järgmised definitsioonid:

Kliendiandmed” tähendab kõiki isikuandmeid, mida klient BAS-IP-le teenustega seoses üles laadib, edastab või muul viisil edastab, samuti kõiki isikuandmeid, mida BAS-IP teenuste täitmise käigus töötleb.

Andmekaitse seadused” tähendab kõiki kohaldatavaid seadusi ja määrusi, mis puudutavad kliendiandmete töötlemist, sealhulgas Euroopa Liidu, Euroopa Majanduspiirkonna ja selle liikmesriikide, Ühendkuningriigi omi, näiteks:

  • ELi üldine andmekaitsemäärus (EL GDPR);
  • Ühendkuningriigi üldine andmekaitsemäärus (UK GDPR);
  • andmekaitse seadus 2018;
  • andmete (kasutamine ja ligipääs) seadus 2025 (DUAA);
  • kõik muud asjakohased andmekaitseseadused ja määrused, nii palju kui need kehtivad osapooltele ja selle DP alusel toimuvatele töötlemistegevustele.

Andmeedastuse mehhanism” tähendab mis tahes seaduslikult tunnustatud mehhanismi, instrumenti või raamistikku, mis võimaldab kliendiandmete edastamist ühest jurisdiktsioonist teise vastavalt kehtivatele andmekaitseseadustele, sealhulgas, ilma piiranguteta, ELi standardlepinguklauslitele ja Ühendkuningriigi lisale.

ELi SCC-d” tähendab ELi standardlepingulisi sätteid kliendiandmete edastamiseks kolmandatele riikidele vastavalt Euroopa Parlamendi ja Nõukogu määrusele (EL) 2016/679, mis kiideti heaks Euroopa Komisjoni rakendusotsusega (EL) 2021/914 4. juunist 2021, nagu praegu on sätestatud https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Üldine andmekaitsemäärus (GDPR)” tähendab Euroopa Parlamendi ja Nõukogu määrust (EL) 2016/679, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel ja nende vaba liikumise osas ning tühistab direktiivi 95/46/EÜ.

Rahvusvaheline andmeülekanne” tähendab igasugust kliendiandmete ülekannet riigist, kus andmeid kogutakse, riiki väljaspool seda jurisdiktsiooni, kus kehtivad andmekaitseseadused nõuavad sellise edastamise jaoks asjakohaseid kaitsemeetmeid.

Avalik võim” tähendab valitsusasutust või õiguskaitseasutust, sealhulgas kohtuasutusi.

Tundlikud kliendiandmed” tähendab kliendiandmeid, mis paljastavad rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, ametiühingu liikmelisust, geneetilisi andmeid või biomeetrilisi andmeid eesmärgiga ainulaadselt tuvastada füüsilist isikut, andmeid tervise, seksuaalelu või seksuaalse orientatsiooni kohta või andmeid kriminaalsüüdistuste ja kuritegude kohta.

“Teenused” tähendab teenuseid, mida ettevõte pakub kliendile.

Järelevalveasutus” tähendab sõltumatut avalikku asutust, mis vastutab andmekaitse seadusandluse rakendamise jälgimise eest.

Tehnilised ja organisatsioonilised turvameetmed” tähendab meetmeid, mis on suunatud isikuandmete kaitsmisele tahtmatu hävitamise või tahtmatu kadumise, muutmise, volitamata avalikustamise või ligipääsu eest, eriti kui töötlemine hõlmab andmete edastamist võrgu kaudu, ning kõigi teiste ebaseaduslike töötlemisvormide eest.

Ühendkuningriigi GDPR” tähendab säilitatud versiooni EL-i üldisest andmekaitse määrusest, kuna see on osa Ühendkuningriigi õigusest, koos kõigi muudatustega, mida on teinud andmekaitse seadus 2018 ja muu asjakohase Ühendkuningriigi seadusandlusega, mis reguleerib isikuandmete töötlemist.

Ühendkuningriigi lisa” tähendab rahvusvahelist andmeedastuse lisandit ELi standardlepinguklauslitele, mille on välja andnud teabevolinik piiratud edastusi sooritavate osapoolte kohta Ühendkuningriigi andmekaitseseaduste tähenduses, nagu on sätestatud https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf. aastal.

kontroller“, “töötleja“, “alamtöötleja“, “andmesubjekt“, “isikuandmed” ja “töötlemine” omavad tähendusi, mis on sätestatud andmekaitseseadustes.

2. Rollid ja vastutus

Kui BAS-IP töötleb kliendiandmeid teie nimel seoses teenustega, tunnistate ja nõustute, et kliendiandmete töötlemisel olete teie kontroller või töötleja ning meie oleme töötleja või alamtöötleja (nagu on määratletud andmekaitse seadustes), kes tegutseb teie nimel. Sellise töötlemise kirjeldus on esitatud selle DPA lisas 1. See DPA kehtib vastavalt kehtestatud rollidele, mitte olukordadele, kus tegutseme kontrollerina vastavalt BAS-IP privaatsuspoliitikale.

Kui klient on töötleja, garanteerib klient BAS-IP-le, et kliendi juhised ja tegevused seoses isikuandmetega, sealhulgas BAS-IP määramine alamtöötlejaks ning vajadusel ELi SCC-de või muude lisade kinnitamine käesoleva DPA paragrahvi 9 alusel (sh neid võib allpool paragrahvis 9 muuta), on olnud (ja jäävad,  selle DPA kehtivusaja jooksul on need jätkuvalt vastava kolmanda osapoole kontrollija poolt volitatud.

3. Juhised

Pooled lepivad kokku, et see DPA ja kohaldatav leping moodustavad kliendi täielikud ja lõplikud dokumenteeritud juhised kliendi andmete töötlemise kohta (edaspidi ‘Juhised‘), kus klient tegutseb kontrolleri või töötlejana ning BAS-IP töötleja või alamtöötleja vastavalt andmekaitseseadustele.

Kõik täiendavad või alternatiivsed juhised peavad olema osapoolte poolt kirjalikult heaks kiidetud ning need peavad olema kooskõlas selle DPA ja kokkuleppega.

4. Töötlemise kirjeldus

Kliendiandmete töötlemine kliendi nimel teenustega seoses on kirjeldatud selle DPA 1. lisas. Jätame endale õiguse aeg-ajalt uuendada töötlemise kirjeldust, et kajastada uusi funktsionaalsusi, mis on osa teenustest.

5. Kliendi kohustused

5.1. Kontrolleri kohustused

DPA raames, kui klient tegutseb kontrollerina, vastutab klient kõigi nõuete täitmise eest, mis kehtivad kliendile kui kontrollerile vastavalt andmekaitseseadustele.

Kontrollerina tegutsedes pead:

(a) tagada kliendiandmete täpsus, kvaliteet, konfidentsiaalsus ja turvalisus;

(b) järgida ja täita oma kohustusi andmekaitse seaduste alusel, sealhulgas seoses andmesubjektide õiguste, andmete turvalisuse ja konfidentsiaalsusega, ning tagada isikuandmete töötlemiseks sobiv õiguslik alus;

(c) varustada BAS-IP-d ainult seaduslikult saadud kliendiandmetega ning tagada, et need andmed on piisavad, asjakohased ja proportsionaalsed ettenähtud eesmärkidele;

(d) tagada, et teie juhised BAS-IP-le kliendiandmete töötlemise kohta vastavad andmekaitse seadustele, sealhulgas andmete minimeerimise, eesmärgipiirangu ja salvestuspiirangute põhimõtetele.

5.2. Töötleja kohustused

DPA raames, kui klient tegutseb töötlejana, vastutab ta kõigi nõuete täitmise eest, mis kehtivad kliendile töötlejana vastavalt andmekaitseseadustele.

Töötlejana tegutsedes pead:

(a) pakkuda BAS-IP-le ainult töötlemisjuhiseid, mis täpselt kajastavad vastava kontrolleri dokumenteeritud juhiseid;

(b) pakkuda BAS-IP-le ainult kliendiandmeid, mis on seaduslikult saadud vastavalt kontrollerilt ning mis on piisavad, asjakohased ja piiratud lubatud eesmärkide jaoks vajalikuga;

(c) säilitada läbipaistvus vastava kontrolleriga BAS-IP ja kõigi alamprotsessorite kaasamise osas;

(d) täita kõiki kehtivate andmekaitseseaduste kohustusi töötlejana;

(e) tagada, et teie töötajad või kolmas osapool, kes kliendiandmetele ligi pääseb, järgivad seda DPA-d ja lepingut.

6. BAS-IP kohustused

6.1. Üldised kohustused

Kui BAS-IP toimib protsessori/alamprotsessorina, peame:

(a) töödelda kliendiandmeid vastavalt teie juhistele ja ainult määratud eesmärkidel;

(b) teavitada teid, kui BAS-IP mõistliku arvamuse kohaselt:

(i) teie juhised rikuvad või võivad rikkuda kehtivaid andmekaitse seadusi; või

(ii) BAS-IP ei suuda täita teie juhiseid;

(c) rakendada ja hoida asjakohaseid tehnilisi ja organisatsioonilisi meetmeid kliendiandmete konfidentsiaalsuse tagamiseks;

(d) järgida kõiki kohaldatavaid andmekaitseseadusi, sealhulgas kohustusi seoses andmesubjektide õiguste, andmekaitse ja konfidentsiaalsusega;

(e) tagada, kirjalike lepingute või muude õiguslikult siduvate vahenditega, et iga alamtöötleja, kes töötleb kliendiandmeid BAS-IP nimel, allub samaväärsetele andmekaitsekohustustele, nagu on sätestatud käesolevas DPA-s ja lepingus;

(f) peab täpseid arvestusi kõigist teie nimel selle DPA alusel teostatavatest töötlemistegevustest ja esitab need dokumendid teile soovi korral;

(g) teavitada teid ilma liigse viivituseta, kui BAS-IP saab teada, et teie poolt esitatud kliendiandmed on ebatäpsed, puudulikud või aegunud;

(g) rakendada asjakohaseid ja vajalikke kaitsemeetmeid või piiranguid tundlike kliendiandmete töötlemisel, nagu nõuavad andmekaitseseadused või juhised;

(h) anda teile kogu mõistlikult vajalik teave, et tõendada BAS-IP vastavust kehtivate andmekaitseseaduste kohustustele.

6.2. Teated kliendile

Kui sellest teada saame, teavitame teid kõigist juriidiliselt siduvatest taotlustest avaliku asutuse poolt kliendiandmete avalikustamiseks, välja arvatud juhul, kui seadus ei ole teistmoodi klienti teavitanud, näiteks avaliku asutuse uurimise konfidentsiaalsuse säilitamiseks. Teavitame sind, kui BAS-IP saab teada mõnest teatest, päringust või uurimisest järelevalveasutuse poolt seoses kliendiandmete töötlemisega selle DPA raames, mis toimub sinu ja meie vahel.

6.3. Konfidentsiaalsus

Me ei pääse ligi, ei kasuta ega avalda kolmandatele osapooltele kliendiandmeid, välja arvatud juhul, kui on vaja teenuste säilitamiseks või pakkumiseks või kui on vajalik lepinguliste ja juriidiliste kohustuste täitmiseks või avaliku asutuse siduva korralduse (näiteks kohtukutse või kohtumäärus) täitmiseks.

Me tagame, et iga töötaja/alltöövõtja, kellele me loa meie nimel kliendiandmetele ligi pääseda, allub asjakohasetele konfidentsiaalsusele, lepingulistele või seadusjärgulistele kohustustele seoses kliendiandmetega.

6.4. Turvameetmed

Rakendame ja hooldame asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et kaitsta kliendiandmeid igasuguste andmelekkete eest, nagu tegelik või kahtlustatav juhuslik või ebaseaduslik hävitamine, kaotus, muutmine, volitamata avalikustamine või ligipääs kliendiandmetele, mis on edastatud, salvestatud või muul viisil töödeldud (edaspidi ‘turvajuhtumid‘), vastavalt meie turvastandarditele, mis on sätestatud selle DPA lisas 2.

Tunnistate, et turvameetmed sõltuvad tehnilisest arengust, seega võime muuta või uuendada selle DPA 2. lisamärki oma äranägemise järgi, tingimusel, et selline muudatus või uuendus ei põhjusta olulist halvenemist selle DPA lisa 2 pakutavates turvameetmetes.

6.5. Turvaintsident

Kui saame teada turvaintsidendist, teeme:

  • teavitada teid ilma liigse viivituseta pärast turvaintsidendist teadlikuks saamist;
  • pakkuda õigeaegset teavet turvaintsidendiga seotud kohta (isikuandmete tüüp, isikute või dokumentide kategooriad ja potentsiaalne arv), kui see saab teada või kui te mõistlikult soovite; ja
  • viivitamatult astuge mõistlikke samme iga turvaintsidenti kontrollimiseks ja uurimiseks, et saaksite teavitada pädevaid asutusi ja/või mõjutatud andmesubjekte turvaintsidendist.

Meie teavitamist või sellele reageerimist turvaintsidendile ei loeta kui meie poolt tunnistamist ühegi vea või vastutuse kohta seoses turvaintsidentiga.

6.6. Kliendiandmete tagastamine või kustutamine

Pärast teie ja meie vahel sõlmitud lepingu lõppemist või aegumist kustutame või tagastame kõik meie valduses või kontrollis olevad kliendiandmed. See nõue ei kehti niivõrd, kui kohaldatav seadus või vastavad lepingulised kohustused nõuavad säilitama osa või kogu kliendi andmed.

6.7. Mõistlik abi

Nõustume pakkuma kliendile mõistlikku abi järgmistes küsimustes:

(a) igasugune andmesubjekti taotlus seoses kliendiandmete parandamise, kustutamise, piirangute, ülekantavuse, blokeerimise või kustutamisega, mida me kliendi nimel töötleme. Kui andmesubjekt saadab sellise taotluse otse meile, kohaldatakse selle DPA paragrahvi 7;

(b) julgeolekuintsidenti uurimine ja vajalike teadete edastamine nende turvaintsidentide kohta, vastavalt käesoleva DPA paragrahvile 6.5;

(c) andmekaitse mõjuhinnangute (nn ‘DPIA’d) koostamine ja vajadusel kliendi konsulteerimine järelevalveasutusega GDPR-i artiklite 35 ja 36 alusel.

6.8 Audit ja sertifitseerimine

6.8.1 Järelevalveasutuse audit

Kui järelevalveasutus nõuab meie andmetöötlusrajatiste auditit, mida kasutame kliendiandmete töötlemiseks, et kontrollida või jälgida kliendi vastavust andmekaitseseadustele, teeme auditiga koostööd. Klient vastutab kõigi auditiga seotud kulude ja tasude eest, sealhulgas kõigi mõistlike kulude ja tasude eest kogu meie auditi jaoks kulutatud aja eest, lisaks teenuste hindadele, mida me osutame.

6.8.2 Auditid

Klient võib enne töötlemise algust ja regulaarsetel vaheaegadel seejärel auditeerida meie poolt võetud tehnilisi ja organisatsioonilisi meetmeid. Kui klient on meie poolt tema nimel töödeldavate isikuandmete haldaja, mõistliku ja õigeaegse eelneva kokkuleppe alusel, tavapärastel tööaegadel ja ilma meie äritegevuse katkestusteta ning võime anda kliendile kogu vajaliku teabe, et tõendada GDPR-i artiklis 28 sätestatud kohustuste täitmist ning võimaldada ja panustada audititesse,  sealhulgas inspekteerimised, mida viib läbi Klient või mõni teine audiitor, kellele Klient on selle protsessi jaoks määranud.

Kliendi kirjaliku taotluse alusel ja mõistliku aja jooksul anname kliendile kogu vajaliku teabe, mis on vajalik selliseks auditiks, niivõrd kui see on meie kontrolli all ning meil ei ole keelatud seda avalikustada kohaldatav seadus, konfidentsiaalsuskohustus ega muu kohustus kolmandale osapoolele.

7. Andmesubjekti taotlused

Kui andmesubjekt võtab meiega ühendust seoses oma õiguste kasutamisega andmekaitse seaduste alusel (eriti kliendiandmete ligipääsu, parandamise või kustutamise taotlused), kasutame kõiki mõistlikke jõupingutusi, et need taotlused teile edastada. Kui meil on seaduslik kohustus sellisele päringule vastata, teavitame teid viivitamatult ja anname teile taotluse koopia, välja arvatud juhul, kui see on seadusega keelatud.

8. Alamprotsessorid

BAS-IP-l on kliendilt üldine kirjalik volitus kokkulepitud nimekirja alamtöötlejate kaasamiseks. BAS-IP nõustub teavitama klienti kõigist kavandatavatest muudatustest selles nimekirjas, mis puudutavad alamprotsessorite lisamist või asendamist, vähemalt 10 päeva enne alamprotsessori kaasamist, andes kliendile võimaluse selliste muudatuste vastu vaielda. BAS-IP peab andma kliendile vajaliku teabe, mis võimaldab kliendil kasutada õigust vaidlustada.

Kui kohaldatakse käesoleva DPA paragrahvi 9, reguleerib alamtöötlejate kaasamise protseduuri käesoleva DPA paragrahvi 9 asjakohased sätted. Sellisel juhul kehtivad paragrahvi 9 sätted.

Kokkulepitud alamprotsessorite nimekiri on sätestatud selle DPA lisas 3.

9. Kliendiandmete edastamine

9.1. Üldine

Tunnistate ja nõustute, et BAS-IP teenuste kasutamine võib tähendada kliendiandmete ülekandmist teistesse jurisdiktsioonidesse vastavalt kehtivatele andmekaitseseadustele.

Kui sellised ülekanded nõuavad asjakohaseid kaitsemeetmeid, kasutatakse asjakohaseid andmeedastusmehhanisme, nagu ELi SCC-d ja Ühendkuningriigi lisa. Need andmeedastuse mehhanismid on integreeritud sellesse DPA-sse ja moodustavad lahutamatu osa, nagu on täpsemalt kirjeldatud jaotises 9.2. ja 9.3.

Kui selle DPA sätete ja kohaldatavate andmeedastusmehhanismide vahel tekib vastuolu, kehtivad asjakohase andmeedastuse mehhanismi sätted ainult sellise konflikti ulatuses.

9.2. Ülekanded GDPR-i alusel

Kui kliendiandmete töötlemine teie nimel teenustega seoses kujutab endast GDPR-i alusel “ülekannet”, kehtivad standardlepingulised klauslid.

Kui oled kontroller ja meie töötleja, kehtib EL SCC-de moodul kaks ning kui sina oled protsessor ja meie alamprotsessor, kehtib EL SCC-de moodul kolm.

ELi SCC-de jaoks on BAS-IP “andmete importija” ja teie olete “andmete eksportija”.

EL-i SCC-des sisalduvad asjakohased sätted on viite kaudu inkorporeeritud ja on selle DPA lahutamatu osa. ELi SCC-de klauslid ja lisad loetakse lõpetatuks järgmiselt:

(i) punktis 7 ei kehti valikuline dokkimise klausel;

(ii) lõike 9 kohaselt kehtib valik 2 (üldine kirjalik volitus). Lõike 9(a) tähenduses on andmeeksportija teavitamise aeg 10 päeva;

(iii) lõikes 11 ei kehti valikuline säte;

(iv) punktis 13 kehtib konkreetne valik sõltuvalt konkreetsest juhtumist;

(v) punktis 17 kehtib valik 1. ELi SCC-sid reguleerib Saksamaa Liitvabariigi seadus;

(vi) punktis 18(b) lahendavad vaidlused Saksamaa Liitvabariigi kohtud;

(vii) ELi SCC-de I lisa loetakse lõpetatuks koos käesoleva DPA lisas 1 sätestatud teabega;

(viii) ELi SCC-de II lisa loetakse lõpetatuks koos käesoleva DPA lisas 2 sätestatud teabega.

9.3. Edastused Ühendkuningriigi andmekaitse raamistikus

Kui kliendiandmete töötlemine teie nimel teenustega seoses kujutab endast Ühendkuningriigi andmekaitseseaduste kohaselt “piiratud ülekannet”, kohaldatakse Ühendkuningriigi lisa.

Kui olete kontroller ja BAS-IP on protsessor, kehtib ELi SCC-de moodul kaks ning kui teie olete protsessor ja meie oleme alamprotsessor, kehtib EL SCC-de moodul kolm, nagu on täidetud alajaotises 9.2. selle DPA kohta.

Ühendkuningriigi lisandi jaoks on BAS-IP “importija” ja sina oled “eksportija”.

Ühendkuningriigi lisas sisalduvad asjakohased sätted on lisatud viitete kaudu ja on selle DPA lahutamatu osa. Ühendkuningriigi lisatabelid loetakse täidetud järgmiselt:

(i) 1. osa tabel 1 loetakse täiendatuks koos käesoleva DPA lisas 1 toodud teabega, importija ametlik registreerimisnumber on 328138502 ning eksportija ametlik registreerimisnumber on kliendi kontol, kui see on;

(ii) 1. osa tabel 2 loetakse vastavalt alajaotises 9.2 toodud teabele täidetud. sellest DPA-st;

(iii) 1. osa tabel 3 loetakse täiendatuks koos käesoleva DPA lisades 1, 2 ja 3 sätestatud teabega;

(iv) 1. osa tabelis 4 ei tohi kumbki pool lõpetada seda lisa, nagu on sätestatud Ühendkuningriigi lisanduse paragrahvis 19.

LISA 1 – TÖÖTLEMISE KIRJELDUS

PARTEIDE NIMEKIRI

Klient (andmete eksportija)

Nimi: Sina, ‘Klient’

Aadress: asjakohane info asub kliendi kontol.

Kontaktisiku nimi, ametikoht ja kontaktandmed: asjakohane info on kliendi kontol.

Tegevused, mis on seotud nende klauslite alusel edastatud andmetega: teenuste osutamine.

Allkiri ja kuupäev: osapooled lepivad kokku, et lepingu täitmine andmeeksportija poolt tähendab selle DPA täitmist nii andmeimportija kui ka andmete eksportija poolt. Konto registreerimise kuupäeva platvormil loetakse selle DPA täitmise kuupäevaks.

Roll: kontroller või protsessor

BAS-IP DISTRIBUTION LTD (Andmete importija)

Nimi: BAS-IP DISTRIBUTION LTD

Aadress: Crown House 27 Old Gloucester Street, London, Inglismaa

Kontaktisiku nimi, ametikoht ja kontaktandmed: [palun sisestage nimi, ametikoht ja kontaktandmed, nt e-post]

Tegevused, mis on seotud nende klauslite alusel edastatud andmetega: teenuste osutamine.

Allkiri ja kuupäev: osapooled lepivad kokku, et lepingu täitmine andmeeksportija poolt tähendab selle DPA täitmist nii andmeimportija kui ka andmete eksportija poolt. Konto registreerimise kuupäeva platvormil loetakse selle DPA täitmise kuupäevaks.

Roll: protsessor või alamprotsessor

ÜLEKANDE KIRJELDUS

  1. Andmesubjektide kategooriad, kelle isikuandmeid edastatakse:
  • Kliendi kliendid;
  • teised andmesubjektid, kelle isikuandmed edastatakse ettevõtte poolt kliendile osutatud teenuste käigus.
  • Edastatud isikuandmete kategooriad:
  • isikuandmed, mis on seotud kliendi klientidega;
  • muud isikuandmed, mida võib Ettevõtte poolt kliendile osutatud teenuste käigus üle kanda.
  • Tundlikud andmed, mis on edastatud (kui on asjakohane) ja rakendatud piiranguid või kaitsemeetmeid, mis täielikult arvestavad andmete olemust ja sellega kaasnevaid riske:

Andmete importija võib saada juurdepääsu tundlikele andmetele ainult siis, kui need on kliendi poolt esitatud ja ainult teenuste toimimiseks vajalikul määral. Sellistel juhtudel rakendab andmeimportija 2. lisas sätestatud tehnilised ja organisatsioonilised meetmed koos teiste asjakohaste ja vajalike kaitsemeetmete või piirangutega, arvestades tundlike andmete olemust ja nende töötlemisega seotud riske, vastavalt kehtivatele seadustele ja määrustele.

  • Ülekande sagedus:

Isikuandmeid edastatakse pidevalt.

  • Töötlemise olemus:

Isikuandmete töötlemine koosneb järgmistest: kogumine, salvestamine, organiseerimine, struktureerimine, salvestamine, kohandamine või muutmine, taastamine, konsultatsioon, joondamine või kombineerimine, piiramine, kustutamine või hävitamine.

  • Andmeedastuse ja edasise töötlemise eesmärk(id):

Nende klauslite alusel toimuva andmetöötluse eesmärk on andmete eksportija teenuste osutamine andmete importija poolt vastavalt Andmeimportija ja Andmeeksportija vahel sõlmitud kokkuleppele.

  • Periood, mille jooksul isikuandmeid säilitatakse, või kui see pole võimalik, siis kriteeriumid, mida selle perioodi määramiseks kasutatakse:

Isikuandmeid hoitakse selle DPA kehtivusaja jooksul, mis on sõlmitud andmete importija ja andmeeksportija vahel, välja arvatud juhul, kui kirjalikult on kokku lepitud või kui andmete importija on kohaldatava seadusega kohustatud säilitama osa või kogu edastatud isikuandmed.

  • Edastuste puhul (alam-) protsessoritele täpsustage ka töötlemise teema, olemus ja kestus:

Teema: teenuste osutamine

Olemus: kogumine, salvestamine, organiseerimine, struktureerimine, säilitamine, kohandamine või muutmine, tagasitoomine, konsultatsioon, joondamine või kombineerimine, piiramine, kustutamine või hävitamine.

kestus: andmete importija teenuste osutamine (alam-)töötleja poolt vastavalt teenusele, mis on sõlmitud andmeimportija ja (alam-)töötleja vahel.

PÄDEV JÄRELEVALVEASUTUS

Vastavalt punktile 13 määratakse nende klauslite alusel pädev järelevalveasutus vastavalt sellele, milline lõike 13(a) versioon kehtib andmeeksportijale.

LISA 2 – TEHNILISED JA ORGANISATSIOONILISED MEETMED

TEHNILISED JA ORGANISATSIOONILISED MEETMED, SEALHULGAS TEHNILISED JA ORGANISATSIOONILISED MEETMED ANDMETE TURVALISUSE TAGAMISEKS

Andmete importija(te) poolt rakendatud tehniliste ja organisatsiooniliste meetmete kirjeldus sobiva turvalisuse tagamiseks, arvestades töötlemise olemust, ulatust, konteksti ja eesmärki ning riske füüsiliste isikute õiguste ja vabaduste suhtes:

  • Data Importer on pühendunud kõigi isikuandmete konfidentsiaalsuse, terviklikkuse, kättesaadavuse ja vastupidavuse säilitamisele kogu oma töötlemistegevuste vältel ning tagama isikuandmete kaitse kadumise ja hävimise eest, rakendades asjakohaseid sisemisi infoturbe poliitikaid, protseduure ja muid asjakohaseid meetmeid.
  • Data Importer annab juurdepääsu isikuandmetele rangelt vajaduspõhisel teadmisel ning sellised andmed on ligipääsetavad ainult volitatud töötajatele.
  • Data Importer on rakendanud rollipõhise juurdepääsukontrolli ja juurdepääsukontrolli nimekirjad, et tagada kasutajate ligipääsuõiguste ranget eraldatust.
  • Data Importeri infoturbe protseduurid allutatakse regulaarsetele ülevaatustele.
  • Data Importer kasutab usaldusväärseid teenusepakkujaid ja jälgib, milliseid tehnilisi ja organisatsioonilisi meetmeid neil on, et tagada isikuandmete kaitse alati.
  • Data Importer on rakendanud meetmeid, mis kaitsevad isikuandmete konfidentsiaalsust ja terviklikkust andmeedastuse ajal.
  • Data Importer on rakendanud tehnilisi ja organisatsioonilisi meetmeid, mis on mõeldud turvaintsidentide piiramiseks ning edasiste andmete kadude ja kahjustuste vältimiseks.

AJAKAVA 3 – ALAMPROTSESSORID

Kontroller on andnud loa kasutada järgmisi alamprotsessoreid:

Alamprotsessor 1

Nimi: Hetzner Online GmbH / Hetzner Finland Oy

Aadress: Industriestr. 25, 91710 Gunzenhausen, Saksamaa / Huurrekuja 10, 04360 Tuusula (Helsingi / Tuusula), Soome

Kontaktisiku nimi, ametikoht ja kontaktandmed: [email protected] 

Töötlemise kirjeldus: andmete majutamine Hetzner Online GmbH / Hetzner Finland Oy serverites

Alamprotsessor 2

Nimi: DigitalOcean, LLC

Aadress: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Ameerika Ühendriigid

Kontaktisiku nimi, ametikoht ja kontaktandmed: [email protected] 

Töötlemise kirjeldus: andmete majutamine DigitalOcean, LLC serverites