Andmekaitsetingimused

Lepingupooled ja taust

Käesolev isikuandmete töötlemise leping (DPA) on sõlmitud Shipitee Oü 16171100 (edaspidi ka „teenusepakkuja“, „isiku- ja registriandmete töötleja“ ning „Shipit“) ja kliendi vahel, kes vormistab saadetist, võib potentsiaalselt vormistada saadetise, registreerub Shipiti kliendiks, kavatseb registreeruda Shipiti kliendiks või uurib Shipiti käest muud potentsiaalse kliendisuhteni viivat teavet. See kehtib ka ettemaksuklientide kohta, välja arvatud turundusvaldkonnas. Antud olukorras tegutseb Shipit isikuandmete töötlejana ja töötleb vastutava töötleja (edaspidi ka „klient“) andmeid saadetiste kättetoimetamise ja teenuste arendamise tagamiseks. Selle lepingu eesmärk on tagada isikuandmete kaitse, andmeturve ja töötlustase. Käesolev lepingu lisa on Shipitee Oü lepingutingimuste oluline ja lahutamatu osa.

Shipitee Oü Laki tn 11/1 Tallinn Harjumaa 12915, Eesti.

Käesolev andmetöötlusleping on määratletud vastavalt määrusele (EL) 679/2016 (isikuandmete kaitse üldmäärus), jõustumise kuupäev 25.05.2018; juhul, kui üldtingimused ja andmetöötlusleping on omavahel vastuolus, lähtutakse eelkõige isikuandmete töötlemise lepingust.

Mõisted

Käesolevas lepingu lisas kasutatud mõistetel on tähendus, mis on neile omistatud Euroopa Liidu määruses füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (edaspidi „isikuandmete kaitse üldmäärus“).

Selliste mõistete alla kuuluvad eelkõige järgmised terminid:

  • Seadusandlus – Euroopa Liidu isikuandmete kaitse üldmäärus (2016/679) alates selle kohaldamise kuupäevast (25.5.2018) ja võimalikud tulevased mis tahes ajahetkel kehtivad õigusaktid
  • Vastutav andmetöötleja – klient, kes määrab isikuandmete töötlemise eesmärgid ja viisid
  • Andmesubjekt – füüsiline isik seadusandluse tähenduses
  • Isikuandmed – kogu teave tuvastatud või tuvastatava füüsilise isiku kohta
  • Töötleja – teenuseosutaja, kes töötleb isikuandmeid kliendi nimel
  • Töötlemine – mis tahes tegevus või tegevused, mille käigus isikuandmeid töödeldakse
  • Alltöövõtja – teenuseosutaja, kes teostab töötlemist teenuseosutaja ja kliendi nimel vastavalt käesolevale lisale
  • Lepingu tüüptingimused – Euroopa Komisjoni poolt vastu võetud tüüptingimused isikuandmete edastamiseks ELi töötlejatelt kolmandates riikides olevatele töötlejatele (otsus 2002/16 EÜ)

Eesmärk

Käesoleva lisa alusel lepivad pooled kokku selles, et teenuseosutaja kui isikuandmete töötleja töötleb lepingu kehtivuse ajal isikuandmeid kliendi, vastutava töötleja, nimel.


Shipit võib kliendi nimel töödelda isikuandmeid, mis võivad viidata füüsilise isiku (edaspidi ka „andmesubjekt“) tuvastamisele. Selle alla kuulub otsene ja kaudne teave, näiteks isiku nimi, aadressiteave, IP-aadress, asukohateave, võrgutunnus, telefoninumber, e-post, vahendusinfo ja sõnumid. Shipit ei töötle oma veebisaidil isikukoode, kuid võib vajadusel kliendi abistamiseks selle teabe veoettevõttele edastada, näiteks sisse- või väljaveoaruande jaoks.

Kui kliendi kirjaliku avaldusega ei ole sätestatud teisiti, võib Shipit töödelda saadetisega seotult kõiki otseseid või kaudseid andmeid.

Kliendi kohustused

Klient tegutseb vastutava töötlejana kohaldatava õiguse tähenduses nende klientide, töötajate või muude isikutega seotud isikuandmete osas, mida teenuseosutaja teenuses selle täitmise eesmärgil töötleb („kliendi isikuandmed“).

Klient määrab, kuidas isikuandmeid kasutatakse, vahetatakse või muul viisil töödeldakse. Kliendi kohustus on tagada, et kõiki andmesubjekte on nõuetekohaselt teavitatud ja neile on edastatud vajalik teave nende isikuandmete töötlemise kohta ning et kliendil on olemas vajalikud õigused ja nõusolekud isikuandmete töötlemiseks. Klient vastutab ka töötlemist puudutava selgituse koostamise eest.

Klient edastab teenusele ja süsteemidele ainult selliseid andmeid, mida tal on õigus kehtivate andmekaitsealaste õigusaktide kohaselt töödelda.

Klient on kohustatud teavitama teenusepakkujat kõigist sellistest asjaoludest (sh eririskid või isikuandmete rühmad), mis nõuavad täiendavaid tehnilisi või organisatsioonilisi turvameetmeid.

Klient vastutab ka teenust kasutavate töötajate ja isikute eest, kellele klient on andnud juurdepääsu- või kasutusõiguse teenustele. Klient vastutab ka sellisel juhul, kui kolmandal poolel on juurdepääs tema isikuandmetele või teenusele, kuigi klient ei ole andnud luba andmete töötlemiseks enne, kui ta on võtnud vajalikud turvameetmed.

Klient teavitab teenuseosutajat tarbetu viivituseta juhul, kui ta saab teada turvarikkumisest, mis võib puudutada isikuandmeid, mida teenuseosutaja kliendi nimel töötleb. Kui teenuseosutaja vajab turvarikkumise korral kliendilt vajalikke andmeid käesolevast andmekaitse lisast ja seadusandlusest tulenevate kohustuste täitmiseks, peab klient need tarbetu viivituseta esitama.

Vastutava andmetöötleja kohustused

Shipit ja tema alluvuses töötavad isikud töötlevad isikuandmeid kliendi nimel ainult vastavalt lepingule ja lisadele ning eraldi kokkulepitud kirjalike juhiste kohaselt, kui kohaldatavates õigusaktides ei ole sätestatud teisiti.

Shipit tagab kliendi isikuandmete konfidentsiaalsuse ja kindlustab, et isikud, kellel on õigus isikuandmeid töödelda, peavad kinni ametisaladuse hoidmise kohustusest.

  • Isikuandmete töötlemise aluseks on seaduslikel alustel põhinev õigustatud huvi.
  • Asjaomane isik on saanud asjakohase teabe isikuandmete töötlemise kohta.
  • Vastutaval töötlejal on sellisel juhul õigus isikuandmeid edastada ja hallata.
  • Vastutav töötleja töötleb andmeid vastavalt kohaldatavale andmekaitseseadusele.

Andmetöötlus ja toimingud

Shipi tagab asjakohased meetmed nii, et töötlemine vastab kohaldatavate seadusenõuetele ja kaitsemeetmetele, mille eesmärk on isikuandmete juhusliku või ebaseadusliku kustutamise, hävitamise, muutmise, loata avalikustamise või loata juurdepääsu vältimine. Nende meetmete korral arvestatakse riskile vastava ohutustaseme kindlustamisega.

  • Isikuandmete vaatamisest jääb Shipiti süsteemi alati jälg.
  • Vastutava töötleja poolt pakutavat teavet säilitatakse seadusega ettenähtud määral.
  • Andmetöötlejat seob isikuandmetega seotud ametisaladuse pidamise kohustus.
  • Isikuandmete pseudonüümimine ja krüpteerimine.
  • Kasutajaõiguste haldus.
  • Süsteemide turvalisuse testimine ja autentimislahendused andmete edastamise krüptimiseks.
  • Riskihaldus.
  • Personali julgeolekukontroll.

Saadetisega seotud andmeid käsitlevad ka kõik need tarneviiside osutajad, keda Shipit oma teenuste kaudu pakub.

Tingimuste lõplik heakskiit toimub alati siis, kui klient vormistab Shipiti kaudu saadetise või kui klient esitab oma andmed Shipitile töötlemiseks, näiteks veopäringute korral.

Lisaks abistab Shipit klienti andmetöötlusküsimuste käsitlemisel sõltuvalt juhtumist. Sealhulgas juhul, kui klient vajab abi seoses isikuandmeid küsiva poolega vastavalt isikuandmete kaitse üldmääruse III peatükile. Klient on kohustatud hüvitama Shipitile selle tööga seotud kulud vastavalt Shipiti kehtivale hinnakirjale.

Sõltuvalt kliendi päringu liigist abistab Shipit klienti oma parimate teadmiste kohaselt isikuandmete kaitse üldmääruse artiklitest 32 ja 36 tulenevate kohustuste täitmisel. Klient hüvitab Shipitile tema töötunnid vastavalt Shipiti kehtivale hinnakirjale.

Sõltuvalt kliendi soovist kustutab või tagastab Shipit kõik isikuandmed kliendile 60 päeva jooksul pärast töötlusteenuse lõpuleviimist, kui ELi või ELi liikmesriigi seadustes ei ole sätestatud teisiti. Juhul, kui andmete tagastamine ei ole võimalik või nõuaks ülemääraseid meetmeid, tuleb andmed sama aja jooksul kustutada.

Alltöövõtjate kasutamine

Klient annab Shipitile loa kasutada oma tegevuste sooritamiseks ka allhanget; Shipiti ja alltöövõtja vahel on sõlmitud leping, mis kohustab alltöövõtjat tegutsema vastavalt käesolevale andmetöötluslepingule. Shipit vastutab ka selle eest, et alltöövõtja tegutseb vastavalt lepingule.

Kui klient avastab alltöövõtja tegevuses lünga või alltöövõtja ei täida muul viisil temale seatud sätteid, on kliendil õigus nõuda kirjalikult alltöövõtja lepingu ülesütlemist ja kinnitust selle kohta, et alltöövõtja käsutuses ei ole enam kliendi andmeid. Juhul, kui Shipit ei ole kliendiga nõus, selgitab asja see järelevalveasutus, kelle haldusalasse käesolev asi kuulub. Käesolev leping kehtib seni, kuni ametiasutus on asja välja selgitanud ja edasised uurimised jätkuvad vastavalt tema otsusele.

Selguse huvides olgu öeldud, et Shipit on kliendi ainus lepingupartner ja et klient võib Shipiti kaudu tellida teenuseid Shipiti alltöövõtjatelt (veoettevõtetelt), millega seoses edastatakse teave kolmandale isikule, kes töötleb kliendi isikuandmeid Shipiti nimel.

Shipitee OÜ edastab maksete sooritamiseks vajalikud isikuandmed volitatud töötleja Maksekeskus AS-le.

Isikuandmete turvarikkumised

Kumbki lepingupool teatab tarbetu viivituseta igast turvaintsidendist või -rikkumisest, millest ta teada saab. Teatisele tuleb lisada järgmine teave, kui see on kättesaadav:

Shipit abistab ka ametiasutust kõnealuse teabe kättesaamisel; sellisel juhul on klient kohustatud selle Shipitile kehtiva hinnakirja kohaselt hüvitama. Shipit teavitab klienti nendest asjaoludest, kui just seadus ei nõua teisiti, nt kriminaaluurimise tõttu.

Shipit on kohustatud teavitama klienti kolmandate isikute poolt esitatud taotlustest isikuandmete töötlemiseks.

Kui Shipit saab teada rikkumisest isikuandmete töötlemisel, teavitab Shipit sellest klienti viivitamata – koos ametiasutustele teatamiseks vajaliku teabega – ja hiljemalt 36 tundi pärast vastava teabe saamist. Samuti aitab Shipit mõistlikkuse piires kaasa sellele, et asi koos ametiasutustega lõpule viia ja kahjulikke mõjusid leevendada.

Rikkumise korral esitab Shipit kliendile vähemalt järgmised andmed:

  • kirjeldus isikuandmete turvarikkumise kohta;
  • vastutav isik, kellelt on võimalik saab lisateavet;
  • rikkumise tõenäolised tagajärjed;
  • Shipiti-poolsed toimingud, mida ta on teinud või teeb ja mis töötleja arvates on vastutava andmetöötleja ülesanne.

Kumbki lepingupool uurib häkkimise kõiki põhjuseid oma vastutusalas ja võtab asjakohased meetmed häkkimise peatamiseks, selle tagajärgede leevendamiseks ja muude sarnaste rikkumiste ärahoidmiseks. Lepingupooled dokumenteerivad ja raporteerivad teisele lepingupoolele oma uurimise tulemused ja võetud meetmed. Lepingupooled teevad andmekaitse lisast ja seadusest tulenevate kohustuste täitmiseks võimaluste piires koostööd.

Auditid

Kliendil on õigus oma kuludega või kolmanda poole abil välja selgitada, kas Shipit järgib käesolevat andmetöötluslepingut. Sellised uurimised viiakse ellu viisil, mis ei sega Shipiti muid tegevusi rohkem kui see on hädavajalik. Shipitil on õigus nõuda uurimise elluviimist professionaali poolt, kes suudab sellist kontrolli teostada juhul, kui toimingud võivad kaasa tuua tundlike andmete ohtuseadmise või kui leitakse, et kolmas pool ei ole antud küsimuses pädev. Juhul, kui klient avastab isikuandmete töötlemises suuri puudusi, mida ei ole võimalik 30 päeva jooksul pärast avastamist kõrvaldada, on kliendil õigus leping viivitamata lõpetada. Kui leitakse ainult väiksemaid defekte, on Shipitil õigus nõuda kontrolli tõttu mõistlikku hüvitist.

Shipit hüvitab kliendile töötlemisest tingitud kulud juhul, kui tuvastatakse, et need tulenevad Shipitist või Shipiti kasutatavast alltöövõtjast. Hüvitise piirmäär on samuti sätestatud vastavalt Shipiti lepingu üldtingimustele.

Shipit ei ole kohustatud töötlema andmetöötluslepingu raames delikaatseid isikuandmeid, nt poliitiline või rassiline kuuluvus, vähemustega seotud või muu sarnane teave.

Klient hoolitseb ise selle eest, et olla kursis erinevate riikide seadusandluse ja kehtivate eranditega.

Kontaktisik peab andmesubjekti teavitama, et saada luba andmete töötlemiseks ja asjade korraldamiseks seadusega ettenähtud raames.

Klient peab viivitamata Shipitit teavitama juhul, kui andmete töötlemise õigus muutub või tema töötlemise õigus tuleneb näiteks ametiasutuste volitusest.

Klient on kohustatud hüvitama Shipitile eelmises punktis väljatoodud käsitlemiskulud, mis on tingitud kliendi enda või kolmandate isikute tegevusest.

Kliendi määratud kolmas isik ja andmete edastamine kolmandatesse riikidesse

Kui klient määrab kontrollijaks kolmanda isiku, tegutseb Shipit isikuandmete töötlemisel alltöövõtjana ja järgib isikuandmete töötlemisel ainult selle kolmanda isiku juhiseid. Kolmas isik peab andma juhised otse Shipitile. Sellistel juhtudel peab käesolev andmetöötlusleping kliendi ja Shipiti vahel täielikult kehtima.

Asukoht ja andmeedastus

Shipiti serverikeskused, kus kõiki isikuandmeid säilitatakse ja töödeldakse, asuvad Soomes. Siiski võib Shipit edastada isikuandmeid mis tahes serverikeskustele või alltöötlejatele, mis asuvad ELi/EMP liikmesriikides või riikides, kus on Euroopa Komisjoni hinnangul tagatud piisav andmekaitse tase.

Andmete edastamine kolmandatesse riikidesse

Kui tehing kohustab Shipitit edastama isikuandmeid väljaspool ELi tegutsevale ettevõttele või väljaspool ELi/EMPd tegutsevale riiklikule organisatsioonile, on klient vastavalt isikuandmete kaitse üldmääruse artiklile 46 kohustatud ise kontrollima vajalike kaitsemeetmete olemasolu. Kui puuduvad kohased turvameetmed, ei ole Shipit kohustatud isikuandmete edastamist lõpule viima.

Konfidentsiaalsus

Kõiki isikuandmeid, mida Shipit vastutava töötleja nimel töötleb, peetakse vastutava töötleja konfidentsiaalseteks andmeteks ja Shipit kohustub hoidma andmeid konfidentsiaalsetena ning mitte avaldama ega avalikustama neid kolmandatele isikutele ega kasutama andmeid muul kui ainult kokkulepitud eesmärgil. Samuti kohustub Shipit organisatsioonisiseselt mitte avaldama ega avalikustama isikuandmeid teistele kui ainult sellistele töötajatele või muudele isikutele (mh võimalikud alltöövõtjad), kes peavad kõnealust teavet teadma kokkulepitud eesmärgi täitmiseks ja kes on teenuse- või muude lepingute ning seaduse alusel kohustatud andmeid konfidentsiaalsena hoidma.

Lepingu lisa jõustumine ja lepingu lõpetamise tagajärjed

Käesolev lisa jõustub 25.05.2018 ja kehtib vastavalt lepingu kehtivuse tingimustele seni, kuni üks lepingupool lepingu vastavalt etteteatamistähtajale üles ütleb. Enne lepingu lõpetamist on klient kohustatud hoolitsema andmete edastamise või varundamise eest.

Lepingu lõppemisel kustutab andmetöötleja kliendi isikuandmed vastavalt oma poliitikale. Isikuandmete töötlejal on siiski õigus säilitada kliendi isikuandmeid pärast lepingu lõppemist nii kaua, kui see on vajalik teenuseosutaja enda seadusandlusest tulenevate kohustuste täitmiseks, teenuste turvalisuse või väärkasutuse väljaselgitamiseks ilma muul viisil isikuandmete töötlemist jätkamata ja endiselt antud lisas kirjeldatud ametisaladuse pidamise kohustust järgides.