See andmetöötlusleping ("Leping") moodustab osa teenuste lepingust ("Põhileping") Supershotai.com teenuseid kasutava kliendi ("Ettevõte") ja Castwell OÜ (aadress Männiku tee 104, 11216 Tallinn, Eesti) ("Andmetöötleja", koos "Osapooled") vahel,

ARVESTADES, ET
(A) Ettevõte tegutseb andmete vastutava töötlejana.
(B) Ettevõte soovib anda teatud teenuseid, mis hõlmavad isikuandmete töötlemist, alltöövõttu andmetöötlejale.
(C) Osapooled soovivad rakendada andmetöötluslepingut, mis vastab andmetöötlust puudutava kehtiva õigusraamistiku nõuetele ja Euroopa Parlamendi ja Nõukogu 27. aprilli 2016. aasta määrusele (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).
(D) Osapooled soovivad sätestada oma õigused ja kohustused.


ON KOKKU LEPITUD JÄRGMISES:
1.1 Kui pole teisiti määratletud, on selles lepingus kasutatavatel suurtähtedega kirjutatud terminitel ja väljenditel järgmine tähendus:

1.1.1 "Leping" tähendab seda andmetöötluslepingut ja kõiki lisasid;

1.1.2 "Ettevõtte isikuandmed" tähendab iga isikuandmeid, mida töötleb lepinguline töötleja ettevõtte nimel põhilepingu alusel või sellega seoses;

1.1.3 "Lepinguline töötleja" tähendab alltöötlejat;

1.1.4 "Andmekaitse seadused" tähendab EL andmekaitse seadusi ja kohaldataval määral mis tahes teise riigi andmekaitse või privaatsuse seadusi;

1.1.5 "EMP" tähendab Euroopa Majanduspiirkonda;

1.1.6 "EL andmekaitse seadused" tähendab EL direktiivi 95/46/EÜ, nagu see on üle võetud iga tiimiliikmesriigi siseriiklikku õigusesse ja aeg-ajalt muudetud, asendatud või asendatud, sealhulgas GDPR-i ja GDPR-i rakendavate või täiendavate seadustega;

1.1.7 "GDPR" tähendab EL isikuandmete kaitse üldmäärust 2016/679;

1.1.8 "Andmete edastamine" tähendab:

1.1.8.1 ettevõtte isikuandmete edastamist ettevõttelt lepingulisele töötlejale; või

1.1.8.2 ettevõtte isikuandmete edasiedastamist lepinguliselt töötlejalt alltöötlejale või kahe lepingulise töötleja asutuse vahel, igal juhul, kui selline edastamine oleks keelatud andmekaitse seadustega (või andmete edastamise lepingute tingimustega, mis on kehtestatud andmekaitse seaduste andmete edastamise piirangute käsitlemiseks);

1.1.9 "Teenused" tähendab tiimifotode haldamise ja genereerimise teenuseid, mida ettevõte osutab.

1.1.10 "Alltöötleja" tähendab iga isikut, kelle töötleja või tema nimel on määranud töötlema isikuandmeid ettevõtte nimel seoses lepinguga.

1.2 Terminitel "Komisjon", "Vastutav töötleja", "Andmesubject", "Liikmesriik", "Isikuandmed", "Isikuandmete rikkumine", "Töötlemine" ja "Järelevalveasutus" on sama tähendus nagu GDPR-is, ja nende tuletatud termineid tuleb vastavalt tõlgendada.

2.1 Töötleja peab:

2.1.1 järgima kõiki kohaldatavaid andmekaitse seadusi ettevõtte isikuandmete töötlemisel; ja

2.1.2 mitte töötlema ettevõtte isikuandmeid muul viisil kui vastava ettevõtte dokumenteeritud juhiste alusel.

2.2 Ettevõte juhendab töötlejat töötlema ettevõtte isikuandmeid.

Töötleja peab astuma mõistlikke samme, et tagada mis tahes lepingulise töötleja töötaja, esindaja või töövõtja usaldusväärsus, kellel võib olla juurdepääs ettevõtte isikuandmetele, tagades igas juhtumis, et juurdepääs on rangelt piiratud nende isikutega, kes peavad teadma/pääsema ligi vastavatele ettevõtte isikuandmetele, rangelt vajalikul määral põhilepingu eesmärkidel ja kohaldatavate seaduste järgimiseks selle isiku kohustuste kontekstis lepingulise töötleja suhtes, tagades, et kõik sellised isikud on allutatud konfidentsiaalsuskohustustele või kutselistele või seaduslikele konfidentsiaalsuskohustustele.

4.1 Arvestades tehnika taset, rakendamise kulusid ning töötlemise olemust, ulatust, konteksti ja eesmärke kui ka füüsiliste isikute õiguste ja vabaduste riski erineva tõenäosuse ja raskusastmega, peab töötleja ettevõtte isikuandmetega seoses rakendama asjakohaseid tehnilisi ja organisatoorseid meetmeid, et tagada sellele riskile vastav turvatase, sealhulgas vajadusel GDPR artikli 32(1) viidatud meetmed.

4.2 Asjakohase turvataseme hindamisel peab töötleja arvestama eelkõige töötlemisega kaasnevaid riske, eriti isikuandmete rikkumise riski.

5.1 Töötleja on volitatud määrama alltöötlejaid ja avaldama ettevõtte isikuandmeid alltöötlejatele ("Alltöötlejad") põhilepingu alusel teenuste osutamise eesmärgil. 5.2 Töötleja võib värskendada alltöötlejate nimekirja mõistlikult vajalikul määral teenuste jätkamiseks, tingimusel, et töötleja tagab, et iga uus või asendav alltöötleja on seotud kirjalike lepingutega, mis kehtestavad ettevõtte isikuandmete kaitsmise kohustused, mis ei ole vähem kaitsevad kui käesolevas lepingus sätestatud. 6.1 Võttes arvesse töötlemise olemust, aitab töötleja ettevõtet, rakendades asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, niivõrd kui see on võimalik, ettevõtte kohustuste täitmiseks, nagu ettevõte mõistlikult mõistab, et vastata andmesubjekti õiguste kasutamise taotlustele andmekaitse seaduste kohaselt.

6.2 Töötleja peab:

6.2.1 viivitamatult teavitama ettevõtet, kui ta saab andmesubjektilt taotluse mis tahes andmekaitse seaduse alusel ettevõtte isikuandmete suhtes; ja

6.2.2 tagama, et ta ei vasta sellele taotlusele muul viisil kui ettevõtte dokumenteeritud juhiste alusel või kohaldatavate seaduste nõudel, millele töötleja on allutatud, millisel juhul peab töötleja kohaldatavate seaduste lubatud ulatuses teavitama ettevõtet sellest õiguslikust nõudest enne, kui lepinguline töötleja taotlusele vastab.

7.1 Töötleja teavitab ettevõtet viivitamatult pärast seda, kui töötleja saab teadlikuks ettevõtte isikuandmeid mõjutavast isikuandmete rikkumisest, andes ettevõttele piisavalt teavet, et võimaldada ettevõttel täita kohustusi teatada või teavitada andmesubjekte isikuandmete rikkumisest andmekaitse seaduste kohaselt.

7.2 Töötleja teeb koostööd ettevõttega ja võtab mõistlikke ärilisi samme, mida ettevõte suunab, et aidata iga sellise isikuandmete rikkumise uurimisel, leevendamisel ja kõrvaldamisel.

Töötleja osutab ettevõttele mõistlikku abi kõigi andmekaitse mõjuhinnangute ja eelnõu konsultatsioonidega järelevalveasutuste või muude pädevate andmeprivaatsuse asutustega, mida ettevõte mõistlikult peab vajalikuks GDPR artikli 35 või 36 või mis tahes muu andmekaitse seaduse samaväärsete sätete kohaselt, igal juhul ainult seoses ettevõtte isikuandmete töötlemisega lepinguliste töötlejate poolt ja võttes arvesse töötlemise olemust ja lepingulistele töötlejatele kättesaadavat teavet.

9.1 Selle jaotise 9 kohaselt kustutab töötleja viivitamatult pärast ettevõtte isikuandmete töötlemist hõlmavate teenuste lõpetamist ('lõpetamise kuupäev') ja tagab kõigi nende ettevõtte isikuandmete koopiate kustutamise.

10.1 Selle jaotise 10 kohaselt teeb töötleja ettevõtte taotlusel kättesaadavaks kogu teabe, mis on vajalik selle lepingu täitmise näitamiseks, ning lubab ja aitab kaasa auditeerimistele, sealhulgas kontrollimistele, ettevõtte või ettevõtte volitatud audiitori poolt seoses ettevõtte isikuandmete töötlemisega lepinguliste töötlejate poolt.

10.2 Ettevõtte teabe- ja auditeerimisõigused tekivad ainult jaotise 10.1 alusel sel määral, mil leping ei anna neile muul viisil teabe- ja auditeerimisõigusi, mis vastavad andmekaitse seaduse asjakohastele nõuetele.

11.1 Töötleja ei tohi ettevõtte isikuandmeid üle kanda ega lubada nende ülekandmist Euroopa Liidust (EL) ja/või Euroopa Majanduspiirkonnast (EMP) välja, välja arvatud juhul, kui sellised ülekanded vastavad üldisele andmekaitse määrusele (GDPR). Vastavuse tagamiseks tugineb töötleja Euroopa Komisjoni heakskiidetud standardlepingu klauslitele (SCC-d) kui õiguslikule mehhanismile ettevõtte isikuandmete ülekandmiseks, välja arvatud juhul, kui kohaldub alternatiivne seaduslik alus (näiteks adekvaatsuse otsus). Töötleja rakendab ka asjakohaseid tehnilisi ja organisatsioonilisi turvameetmeid, sealhulgas krüpteerimist ja pseudonümiseerimist, et kaitsta ettevõtte isikuandmeid ülekandmise ja järgneva töötlemise ajal kooskõlas GDPR artikli 32-ga. Töötleja jääb vastutavaks selle eest, et kõik sellised ülekanded vastavad GDPR nõuetele.

12.1 Konfidentsiaalsus. Iga pool peab hoidma selle lepingu ja selle lepinguga seoses teise poole ja tema äritegevuse kohta saadud teabe ('konfidentsiaalse teabe') konfidentsiaalsena ning ei tohi seda konfidentsiaalset teavet kasutada ega avalikustada ilma teise poole eelneva kirjaliku nõusolekuta, välja arvatud sel määral, et: (a) avalikustamine on seadusega nõutav; (b) asjakohane teave on juba avalikus valdkonnas.

12.2 Teatised. Kõik selle lepingu alusel antavad teatised ja teated peavad olema kirjalikud ning need edastatakse isiklikult, saadetakse postiga või e-mailiga aadressile või e-maili aadressile, mis on märgitud selle lepingus muule aadressile, millest pooled on aadressimuutuse käigus teatanud.

13.1 Seda lepingut reguleerib Eesti seadusandlus (Euroopa Liit).

13.2 Iga selle lepinguga seoses tekkiv vaidlus, mida osapooled ei suuda sõbralikult lahendada, esitatakse Harju Maakohtu, Tallinn, Eesti ainupädevusse.

14.1 Töötleja e-mail on [email protected].