Loo konto
Loo konto

Andmetöötlusleping

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

See dokument on tõlgitud teie mugavuse huvides. Lahknevuste korral kehtib ingliskeelne versioon.

Käesolev andmetöötlusleping ("DPA") on osa lepingust kliendi ("Vastutav töötleja") ja Skiwo AS vahel, kes haldab Report Securely platvormi ("Volitatud töötleja"), vihjeliin- ja turvalise teatamisteenuse ("Teenus") osutamiseks.

Käesolev DPA on sõlmitud kooskõlas isikuandmete kaitse üldmääruse (EL) 2016/679 ("GDPR") artikli 28 nõuetega ja reguleerib volitatud töötleja poolt isikuandmete töötlemist vastutava töötleja nimel.

1. Mõisted

Käesolevas DPA-s kasutatud mõistetel on sama tähendus kui GDPR-is, kui ei ole määratletud teisiti. "Isikuandmed" tähendavad kõiki isikuandmeid, mida volitatud töötleja töötleb vastutava töötleja nimel seoses teenusega. "Alltöötleja" tähendab kolmandat isikut, keda volitatud töötleja on kaasanud isikuandmete töötlemiseks vastutava töötleja nimel.

2. Töötlemise ulatus ja eesmärk

Volitatud töötleja töötleb isikuandmeid üksnes teenuse osutamise eesmärgil vastutavale töötlejale, nagu on kirjeldatud põhiteenuse lepingus ja käesolevas DPA-s.

Andmesubjektide kategooriad hõlmavad: teatajaid (vihjeandjaid), aruannetes mainitud isikuid, juhtumikäsitlejaid ja volitatud kasutajaid vastutava töötleja organisatsioonis. Töödeldavate isikuandmete liigid võivad hõlmata: nimesid, kontaktandmeid, aruande sisu, teatajate ja juhtumikäsitlejate vahelist suhtlust, juhtumi metaandmeid ja auditilogi.

Töötlemise kestus vastab põhiteenuse lepingu tähtajale pluss kohaldatava õigusega nõutav või poolte vahel kokku lepitud säilitamisperiood.

3. Töötleja kohustused

Töötleja peab:

  • Töödelma isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, välja arvatud juhul, kui seda nõuab kohaldatav õigus
  • Tagama, et isikuandmete töötlemiseks volitatud isikud on seotud konfidentsiaalsuskohustustega
  • Rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase
  • Mitte kaasama teist töötlejat (alltöötlejat) ilma vastutava töötleja eelneva kirjaliku loata
  • Abistama vastutavat töötlejat andmesubjekti päringutele vastamisel vastavalt GDPR artiklitele 15–22
  • Abistama vastutavat töötlejat GDPR artiklite 32–36 (turvalisus, rikkumisest teavitamine, mõjuhinnangud) nõuete täitmisel
  • Vastutava töötleja valikul kustutama või tagastama kõik isikuandmed teenuse lõppemisel, välja arvatud juhul, kui kohaldatav õigus nõuab nende säilitamist
  • Tegema vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesoleva DPA ja GDPR artikli 28 kohustuste täitmise tõendamiseks

4. Turvameetmed

Töötleja rakendab ja hoiab järgmisi tehnilisi ja organisatsioonilisi turvameetmeid:

  • Andmete krüpteerimine ülekandel (TLS 1.2 või uuem) ja salvestamisel (AES-256)
  • Rollipõhine juurdepääsukontroll vähimate õiguste põhimõttega
  • Kõigi oluliste tegevuste auditeerimine platvormil
  • Regulaarsed turvatestid ja haavatavuse hindamised
  • Turvalise tarkvaraarenduse tavad vastavalt OWASP juhistele
  • Automaatsed varundused krüpteeritud salvestusega
  • Ranged turvapäised (HSTS, CSP, X-Frame-Options)

Töötleja vaatab regulaarselt üle ja uuendab neid meetmeid, et kajastada praegust tehnika taset ning töötlemise laadi, ulatust ja eesmärke.

5. Alltöötlejad

Vastutav töötleja annab üldise loa Töötlejale kaasata alltöötlejaid, järgides käesolevas jaotises sätestatud tingimusi.

Töötleja teavitab Vastutavat töötlejat kavandatavatest muudatustest seoses alltöötlejate lisamise või asendamisega, andes Vastutavale töötlejale võimaluse selliste muudatuste vastu vastuväiteid esitada.

Kui Töötleja kaasab alltöötleja, peab ta lepinguga kehtestama samad andmekaitsenõuded, mis on sätestatud käesolevas ATL-is, tagades, et alltöötleja pakub piisavaid tagatisi asjakohaste tehniliste ja organisatsiooniliste meetmete rakendamiseks.

Töötleja vastutab Vastutava töötleja ees täielikult alltöötleja kohustuste täitmise eest.

6. Andmete edastamine

Kõiki isikuandmeid säilitatakse ja töödeldakse Euroopa Majanduspiirkonnas (EMP).

Töötleja ei tohi edastada isikuandmeid EMPst väljapoole asuvasse riiki ega rahvusvahelisele organisatsioonile, välja arvatud juhul, kui: (a) vastutav töötleja on andnud eelneva kirjaliku loa ja (b) on kehtestatud asjakohased kaitsemeetmed vastavalt GDPR V peatükile, nagu ELi standardsed lepingutingimused või Euroopa Komisjoni piisavuse otsus.

7. Andmete rikkumisest teavitamine

Töötleja teavitab vastutavat töötlejat viivitamatult pärast seda, kui ta saab teadlikuks käesoleva andmetöötluslepingu alusel töödeldavaid isikuandmeid mõjutavast andmete rikkumisest.

Teatis peab sisaldama: rikkumise olemuse kirjeldust, asjaomaste andmesubjektide kategooriaid ja ligikaudset arvu, rikkumise tõenäolisi tagajärgi ning rikkumise lahendamiseks võetud või kavandatud meetmeid.

8. Auditeerimisõigused

Töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik GDPR artikli 28 ja käesoleva andmetöötluslepingu kohustuste täitmise tõendamiseks, ning võimaldab ja aitab kaasa auditeerimistele, sealhulgas vastutava töötleja või tema volitatud audiitori läbiviidud kontrollimistele.

Auditeerimised viiakse läbi mõistliku etteteatamisega ja tavalisel tööajal ning need ei tohi põhjendamatult häirida töötleja tegevust.

9. Andmete kustutamine ja tagastamine

Teenuse lõppemisel kustutab töötleja vastutava töötleja valikul kõik isikuandmed või tagastab need vastutavale töötlejale ning kustutab olemasolevad koopiad, välja arvatud juhul, kui kohaldatav õigus nõuab jätkuvat säilitamist.

Vastutav töötleja võib enne lõpetamist taotleda andmete eksportimist üldkasutatavasse masinloetavasse formaati.

10. Vastutus

Iga poole vastutus käesoleva andmetöötluslepingu alusel on piiratud poolte vahelises põhilises teenuslepingus sätestatud piirangute ja välistustega.

Miski käesolevas andmetöötluslepingus ei piira kummagi poole vastutust andmekaitse õiguse rikkumiste eest ulatuses, milles sellist vastutust ei saa kohaldatava õiguse alusel piirata.

11. Kohaldatav õigus

Käesolevale andmetöötluslepingule kohaldatakse Norra õigust. Kõik käesolevast andmetöötluslepingust või sellega seoses tekkivad vaidlused kuuluvad Oslo ringkonnakohtu ainupädevusse, välja arvatud juhul, kui kohustuslik õigus sätestab teisiti.

12. Kontakt

Küsimuste korral käesoleva andmetöötluslepingu või andmekaitse küsimuste kohta võtke ühendust:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com