Andmetöötlusleping

  1. Mõisted
    1. Andmetöötluslepingus kasutatakse järgnevalt määratletud mõisteid;
      1. teenusetingimused – teenusepakkuja poolt koolile osutatava teenuse tingimused;
      2. üldmäärus – Euroopa Parlamendi ja Euroopa Nõukogu poolt 27. aprillil 2016. aastal vastu võetud määrus nr 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vabal liikumisel;
      3. isikuandmed – igasugune teave tuvastatud või otseselt või kaudselt tuvastatava füüsilise isiku kohta, mille on kool või tema poolt volitatud kasutaja sisestanud eKooli või muul viisil teenusepakkujale avaldanud. Isikuandmed hõlmavad õpilaste, õpetajate, õpilaste seaduslike esindajate (lapsevanemad ja hooldusõiguslik isikute) ja muude isikute, kellele on kool määranud õpilas(t)e andmetele juurdepääsuõigusega rolli, ning kohaliku omavalistuse, kooli pidaja ja ministeeriumite asjakohaste ametnike või töötajate järgnevaid andmeid:
        1. tuvastus- ja kontaktandmed (sh ees- ja perekonnanimi, isikukood sünnikuupäev, aadress, telefoninumber, e-posti aadress);
        2. isikuga seotud andmeid (nt sugu, seos õpilasega, eKoolis omistatud roll);
        3. õppimise, õpitulemuste ja käitumisega seotud andmed (nt õppima asumise ja õpingute staatuse andmed, õpitavad ained, õppekava, hinded, kujundava hindamise tunnistus, klass, paralleel, tundidest puudumistega seotud andmed, käskkirjade andmed, märkused, õppenõukogu otsuste andmed, arenguvestluste andmed, vestluste andmed) ning
        4. muud haridusasutuse tegevuse korraldamiseks vajalikud andmed (nt söögikordade andmed, dieet, lisatud dokumendid, kooli märkmed ning koolikaardi (defineeritud punktis 2.2) number, väljaandmise aeg, kool ja kasutamise logi);
      4. alamtöötleja – isikuandmete volitatud töötleja, kelle on kaasanud või keda kasutab isikuandmete töötlemiseks teenusepakkuja ning kes pääsevad ligi või töötlevad muul viisil kooli andmeid, sh isikuandmeid;
      5. volitatud töötlejate nimekiri – teenusepakkuja veebilehel avaldatud teave alamtöötlejate ja nende andmete kohta.
    2. Eelnevalt sätestamata mõisteid ja termineid kasutatakse andmetöötluslepingus teenusetingimustes ja üldmääruses sätestatud tähenduses.
  2. Andmetöötluslepingu ese
    1. Andmetöötluslepinguga volitab kool (isikuandmete vastutava töötlejana) teenusepakkujat (isikuandmete volitatud töötlejana) töötlema isikuandmeid, mille kool või kooli poolt volitatud kasutaja edastab, sisestab eKooli või teeb muul viisil teenusepakkujale lepingust tulenevalt kättesaadavaks ning mille suhtes on kool üldmääruse tähenduses vastutav töötleja, lepingu täitmiseks vajalikus mahus ja ulatuses andmetöötluslepingus sätestatud tingimustel.
    2. Kahtluste vältimiseks on pooled kokku leppinud, et kui kool kasutab õpilastele väljastatavat elektroonilist õpilaspiletit või koolikaarti (eelnevalt ja edaspidi: koolikaart), on koolikaardiga seotud kõikide isikuandmete vastutav töötleja samuti kool ning teenuseosutaja töötleb teenuse osutamise raames vastavaid andmeid kooli nimel ja volitusel volitatud töötlejana.
    3. Teenusepakkuja on nõustunud osutama koolile teenust vastavalt teenusetingimustele. Teenuse osutamisel töötleb teenusepakkuja kooli andmeid, mis sisaldavad isikuandmeid. Teenusepakkuja töötleb ja kaitseb isikuandmeid vastavalt käesoleva andmetöötluslepingu tingimustele.
    4. Teenusepakkuja töötleb isikuandmeid järgnevate eesmärkide raames:
      1. koolis toimuva õppeprotsessi haldamine ning sellega seoses õigusaktides sätestatud isikuandmete kogumine ja säilitamine;
      2. õigusaktides sätestatud ulatuses kooli ja kohaliku omavalitsuse koostöö toetamine;
      3. õpilasele, lapsevanemale, seaduslikule esindajale või muule kooli poolt määratud isikule juurdepääsu võimaldamine õppeinfole;
      4. õppeprotsessi toetamine läbi õpitulemuste analüütika;
      5. kodu ja kooli vahelise suhtlemise ja koostöö toetamine;
    5. Teenusepakkuja töötleb isikuandmeid üksnes ulatuses, milles see on vajalik teenuse osutamiseks vastavalt teenusetingimustele, andmetöötluslepingule ja eKooli kasutustingimustele.
    6. Andmetöötluslepingus sätestamata juhtudel kohaldatakse teenusetingimusi.
  3. Kooli kohustused
    1. Kool vastutava töötlejana tagab, et tal on isikuandmete töötlemiseks kohane õiguslik alus ning asjakohasel juhul andmesubjekti või tema seadusliku esindaja nõusolek. Samuti tagab kool, et tema poolt isikuandmete töötlemine, sh teenusepakkujale volituste andmine, toimub kooskõlas üldmääruse ning mistahes muude kohalduvate riigisiseste ja rahvusvaheliste isikuandmete kaitsega seotud õigusaktidega, samuti teenusetingimuste ja andmetöötluslepinguga.
    2. Pooled on kokku leppinud, et juhised koolilt, mis hõlmavad hinnakirjas sätestatud toimingute tegemist, sealhulgas andmete hävitamine või tagastamine teenusepakkuja poolt, võivad tuua koolile kaasa lisatasusid. Sel juhul teavitab teenusepakkuja kooli sellistest tasudest enne vastavate toimingute tegemist, kui eelnevalt ei ole kokku lepitud teisiti.
  4. Teenusepakkuja kohustused
    1. Kooli nimel ja vastutusel kohustub teenusepakkuja töötlema isikuandmeid üksnes kooskõlas teenusetingimuste, andmetöötluslepingu ja kooli poolt isikuandmete töötlemiseks teenusepakkujale antud, üldmääruse ja muude kohalduvate isikuandmete kaitsega seotud õigusaktidega kooskõlas olevate kirjalike juhistega. Olenemata eeltoodust on teenusepakkujal õigus töödelda isikuandmeid koolist ja lepingust, sealhulgas andmetöötluslepingust sõltumatult, kui teenusepakkujal on iseseisev õiguslik alus teatud isikuandmeid vastutava töötlejana töödelda (näiteks olukorras, kus teenusepakkuja töötleb isikuandmeid andmesubjekti või tema seadusliku esindajaga sõlmitud lepingu täitmiseks või andmesubjekti nõusoleku alusel). Vastavat isikuandmete töötlemist ei loeta andmetöötluslepingu rikkumiseks.
    2. Kui teenusepakkujal pole piisavalt juhiseid ja/või juhised lähevad vastuollu üldmääruse ja/või muude kohalduvate isikuandmete kaitsega seotud õigusaktidega, annab teenusepakkuja sellest koolile teada ning tegutseb kuni täpsemate juhiste saamiseni viisil, mis on tema parima äranägemise kohaselt kooskõlas üldmääruse või vastava muu õigusakti sätetega ning võiks eelduslikult vastata kooli tahtele.
    3. Teenusepakkuja võimaldab koolil igal ajahetkel pääseda ligi tema nimel töödeldavatele isikuandmetele ning neid lisada, parandada, kustutada, edastada ja nende töötlemist piirata vastavalt eKooli võimalustele. Kui eKool ei võimalda teha toimingut, mida soovib kool andmetega teha, edastab kool vastava toimingu tegemise teenusepakkujale kirjalikult ning võimaluse korral täidab teenusepakkuja taotluse mõistliku aja jooksul. Olenemata eeltoodust ei võimaldata koolile ligipääsu andmetele, mille on kasutaja sisestanud isiklikuks kasutamiseks loodud e-Kooli funktsionaalsuse raames, mille puhul võib kasutaja eeldada, et neid andmeid ei jagata kooliga (näiteks kasutaja vestluse andmed, üles laetud failid, blogi vms).
    4. Koolil on õigus kontrollida, et teenusepakkuja isikuandmete töötlemise protsess on kooskõlas andmetöötluslepinguga ning teenusepakkuja kohustub kooli sellise kontrolli teostamisel mitte takistama ja mõistlikul määral abistama.
    5. Teenuseosutaja kohustub tegema koolile kättesaadavaks kogu informatsiooni, mis on vajalik, et hinnata andmetöötluslepingust, üldmäärusest või muudest kohalduvatest isikuandmetega seotud õigusaktidest tulenevate teenusepakkuja kohustuste täitmist. Samuti kohustub teenusepakkuja mõistlikus ulatuses aitama koolil täita oma üldmäärusest ja/või muudest kohalduvatest isikuandmete kaitsega seotud õigusaktidest tulenevaid isikuandmete töötlemisega seotud kohustusi.
    6. Teenusepakkuja tagab isikuandmete töötlemisega seotud ohtudele ja riskidele vastava turvalisuse taseme, rakendades seejuures sobivaid ja asjakohaseid tehnoloogilisi, füüsilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid autoriseerimata ligipääsu, hävinemise ja muutumise eest ning tagada nende töötlemine üksnes lepingust tulenevate eesmärkide saavutamiseks ning selleks vajalikus ulatuses. Muu hulgas teeb teenusepakkuja andmetest perioodilisi varukoopiaid, mida hoitakse põhiandmetest eraldi.
    7. Teenusepakkuja tagab, et isikuandmetele pääsevad ligi ning neid töötlevad üksnes teenusepakkuja töötajad, juhtorganite liikmed või muud teenusepakkujaga lepingulises suhtes olevad füüsilised isikud, kes vajavad ligipääsu vastavatele isikuandmetele oma tööülesannete täitmiseks, mis on seotud lepingu täitmisega, ning kellel on kohustus järgida isikuandmete töötlemisega seoses konfidentsiaalsuskohustust, andmetöötluslepingut ja lepingut.
    8. Teenusepakkuja kohustub tegema kooliga koostööd ning aitama koolil lahendada ja täita andmesubjektide poolt isikuandmete töötlemisega seotud pöördumisi ja isikuandmete töötlemisega seotud õiguste teostamise taotlusi, muu hulgas olukorras, kui andmesubjekt soovib saada ligipääsu oma isikuandmetele või taotleda nende kustutamist.
    9. Kui andmesubjektid või isikuandmete kaitse järelevalveasutus esitab isikuandmeid puudutava taotluse, sh taotluse isikuandmete töötlemise piiramiseks, kustutamiseks või parandamiseks, neile teabe esitamiseks või muude toimingute tegemiseks, teavitab teenuseosutaja kooli kõigist sellistest taotlustest enne neile vastamist või isikuandmetega mis tahes toimingute tegemist, või, kui taotlusele on kohustus vastata viivitamatult, siis niipea kui mõistlikult võimalik pärast taotlusele vastamist. Teenuseosutaja võib kooli nimel töödeldavaid isikuandmeid parandada, kustutada, muuta või nende töötlemist piirata üksnes eelnevalt kooliga kooskõlastatult.
    10. Vastava kooli kirjaliku juhise saamisel kohustub teenusepakkuja vastavalt kõik või osa isikuandmetest põhjendamatu viivituseta kustutama või hävitama. Eeltoodust hoolimata ei kustutata isikuandmeid eKooli andmebaasi varukoopiatelt. Kui varukoopialt andmete taastamise järgselt on kustutamisele kuulunud isikuandmed taas aktiveerunud, kustutatakse need esimesel võimalusel uuesti.
  5. Alamtöötlejad
    1. Kool annab käesolevaga teenusepakkujale üldise nõusoleku kaasata ja/või kasutada isikuandmete töötlemiseks seoses teenuse osutamisega alamtöötlejaid. Teenusepakkuja vastutab tema poolt kasutatud või kaasatud teiste alamtöötlejate tegevuse eest isikuandmete töötlemisel samaväärselt oma tegevusega ning tagab nende kohustuse järgida andmetöötluslepingut, üldmäärust ja muid isikuandmete kaitsega seotud õigusakte vähemalt samas ulatuses teenusepakkujaga.
    2. Teenusepakkuja teeb tema poolt kaasatud ja kasutatavate alamtöötlejate andmed kättesaadavaks oma veebilehel avaldatud volitatud töötlejate nimekirjas.
    3. Kui teenusepakkuja kavatseb kaasata uue alamtöötleja, peab ta avaldama uue alamtöötleja andmed volitatud töötlejate nimekirjas vähemalt 14 kalendripäeva enne mistahes isikuandmete üleandmist uuele alamtöötlejale. Kui kool ei esita eeltoodud tähtaja jooksul alamtöötleja suhtes vastuväiteid, loetakse, et kool on alamtöötlejat aktsepteerinud. Kui kool on esitanud eeltoodud tähtaja jooksul põhjendatud kirjalikud vastuväited uue alamtöötleja suhtes ning pooled ei ole jõudnud uue alamtöötleja kaasamata jätmise või muutmise osas kokkuleppele, on koolil õigus leping koos selle osaks oleva andmetöötluslepinguga üles öelda alates hetkest, kui isikuandmete töötlemist alustab alamtöötleja, kelle suhtes on kool vastuväite esitanud.
  6. Isikuandmetega seotud rikkumised
    1. Isikuandmetega seotud rikkumise korral võtab teenusepakkuja tarvitusele vajalikud meetmed, et välistada, ennetada või vähendada rikkumisest tulenevat ohtu isikuandmetele, muu hulgas isikuandmete juhusliku või õigusvastase hävinemise, kadumise, muutmise ning õigusvastase avalikustamise või õigustamatu ligipääsu riski.
    2. Teenusepakkuja teavitab põhjendamatu viivituseta kooli (võimalusel 72 tunni jooksul pärast rikkumise avastamist) isikuandmetega seotud rikkumisest.
    3. Teenusepakkuja dokumenteerib kõik isikuandmetega seotud rikkumised ja nende asjaolud, muu hulgas mõju ning nende lahendamiseks tarvitusele võetud parandusmeetmed. Dokumenteeritakse vähemalt järgmised isikuandmetega seotud rikkumise asjaolud:
      1. rikkumise laadi kirjeldus ning võimaluse korral puudutatud andmesubjektide kategooriate ja andmete liikide kirjeldus ning hulk;
      2. nii tõenäoliste kui ka tegelikult tekkinud tagajärgede kirjeldus;
      3. parandusmeetmete kirjeldus, mida teenusepakkuja on rikkumise lahendamiseks kasutusele võtnud või kavatseb võtta.
    4. Isikuandmetega seotud rikkumise dokumentatsiooni koopia esitatakse koolile või asjakohasele järelevalveasutusele vastava kirjaliku taotluse alusel.
    5. Kooli kui vastutava töötleja suhtes kohalduvate isikuandmetega seotud rikkumiste teavitamise kohutuste täitmise eest, muu hulgas asjakohasel juhul andmesubjektide, järelevalveasutuse või kolmandate isikute teavitamise eest, vastutab üksnes kool ning teenusepakkuja sellega seoses kohustusi ei võta.
  7. Vastutus
    1. Arvestades teenusetingimustes sätestatud vastutuse piiranguid kohustub teenusepakkuja hüvitama koolile süüliselt tekitatud varalise kahju, mis:
      1. tuleneb teenusepakkuja poolt isikuandmete töötlemisel lepingu ja/või andmetöötluslepingu olulisest rikkumisest,
      2. tuleneb teenusepakkuja poolt isikuandmete töötlemisel üldmääruse ja/või muude kohalduvate isikuandmete kaitsega seotud õigusaktide olulisest rikkumisest ja/või
      3. tuleneb teenusepakkuja poolt kasutatud või kaasatud alamtöötleja poolt isikuandmete töötlemisel andmetöötluslepingu, üldmääruse ja/või muude kohalduvate isikuandmete kaitsega seotud õigusaktide olulisest rikkumisest.
  8. Kehtivus ja lõpetamine
    1. Andmetöötluslepingu kehtivus on lahutamatult seotud lepingu kehtivusega ning lepingu lõppemisel andmetöötlusleping lõppeb.
    2. Andmetöötluslepingu lõppedes, kuid mitte hiljem kui 30 päeva jooksul peale seda, tagastab teenusepakkuja koolile isikuandmed või teeb need muul moel tagastamiseks kättesaadavaks. Kui kool on isikuandmed vastu võtnud või sellest kirjalikult keeldunud, kohustub teenusepakkuja kõik tema valduses olevad isikuandmed pöördumatult kustutama või hävitama, välja arvatud isikuandmed, mida on teenusepakkujal õigus töödelda lepingust ja andmetöötluslepingust sõltumatult muul alusel.
    3. Kui kool ei võta 30 päeva jooksul peale andmetöötluslepingu lõppemist tagastamisele kuuluvaid isikuandmeid vastu ega keeldu sellest kirjalikult, kustutab või hävitab teenusepakkuja tagastamisele kuuluvad isikuandmed, millele ei laiene asjakohasest kohalduvast õigusaktist koolile tulenev kohustus vastavate andmete säilitamiseks. Isikuandmeid, mida kohustub kool asjakohasest kohalduvast õigusaktist tulenevalt säilitama, hoiab Teenusepakkuja kuni koolilt vastavate isikuandmete kustutamiseks kirjaliku loa saamiseni või vastavast õigusaktist tuleneva säilitamiskohustuse lõppemiseni ning kool kohustub hüvitama vastavate isikuandmete hoidmise teenusepakkujale vastavalt hinnakirjas sätestatule, kui ei ole kokku lepitud teisiti.