• Eesti
    • English

ANDMETÖÖTLUSLEPING (DPA)

sõlmitud järgmiste poolte vahel:

Waybiller OÜ
registrikood 14200010
Mäealuse 2/1, Tallinn, Eesti
(edaspidi “Volitatud töötleja”)

ja

Klient
(edaspidi “Vastutav töötleja”)

Käesolev andmetöötlusleping (edaspidi „DPA“) on poolte vahel sõlmitud Teenuslepingu ja/või Kasutustingimuste lahutamatu osa ning reguleerib isikuandmete töötlemist Teenuse kasutamisel.

Juhul, kui poolte vahel on lisaks Kasutustingimustele sõlmitud ka eraldi Teenusleping, kohaldub käesolev DPA ka Teenuslepingust tulenevate isikuandmete töötlemise suhtes. Pooled on kokku leppinud, et Kasutustingimused ning juhul, kui see on sõlmitud, ka Teenusleping koos käesoleva DPA-ga moodustavad vastutava töötleja poolt volitatud töötlejale antud täieliku aluse ja juhised isikuandmete töötlemiseks (edaspidi „isikuandmete töötlemise alus“).

Mõisted “isikuandmed”, “töötlemine”, “isikuandmetega seotud rikkumine”, “vastutav töötleja” ja “volitatud töötleja” on DPA-s sama tähendusega nagu GDPR-is.

  1. EESMÄRK JA KOHALDAMISALA

Käesolev DPA reguleerib isikuandmete töötlemist Volitatud töötleja poolt Vastutava töötleja nimel seoses teenuse osutamisega.

Volitatud töötleja töötleb isikuandmeid üksnes Vastutava töötleja dokumenteeritud juhiste alusel, välja arvatud juhul, kui töötlemine on nõutud Euroopa Liidu või liikmesriigi õiguse alusel.

Käesolevat DPA-d kohaldatakse igal juhul, kui Vastutav töötleja kasutab Volitatud töötleja teenust ja Volitatud töötleja töötleb isikuandmeid Vastutava töötleja nimel.

  1. POOLTE ROLLID

Käesoleva DPA tähenduses:

Vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

Vastutav töötleja kohustub tagama, et ta on täitnud kõik seadusest tulenevad isikuandmete töötlemisele nõuded. Lisaks tagab vastutav töötleja, et ta on andnud volitatud töötlejale seaduses sätestatud ulatuses vajalikud juhised vastutava töötleja nimel isikuandmete töötlemiseks. Pooled on kokku leppinud, et isikuandmete töötlemise alus koos käesoleva DPA-ga moodustavad vastutava töötleja poolt volitatud töötlejale antud täielikud ja ammendavad juhised isikuandmete töötlemiseks. Täiendavate juhiste andmine on võimalik üksnes poolte eraldiseisva kirjaliku kokkuleppe alusel.

Vastutav töötleja saab aru ja mõistab, et ta vastutab täielikult volitatud töötlejale kättesaadavaks tehtud isikuandmete eest ning isikuandmete töötlemise õigusliku aluse olemasolu eest.

Waybiller OÜ tegutseb volitatud töötlejana ning töötleb isikuandmeid Vastutava töötleja nimel.

Volitatud töötleja töötleb isikuandmeid üksnes vastavalt ja kooskõlas kehtiva õigusega. Kui kehtiv õigus ei võimalda või keelab volitatud töötlejal isikuandmeid töötleda, kohustub volitatud töötleja lähtuma kehtivast õigusest ja teavitama vastutavat töötlejat sellest viivitamata ning täitmise lubamatust põhjendama.

Volitatud töötleja töötleb isikuandmeid üksnes käesolevas lepingus või isikuandmete töötlemise aluses toodud eesmärkidel. Isikuandmete töötlemine muul eesmärgil on keelatud.

  1. TÖÖTLEMISE KIRJELDUS

Töötlemise objektiks on Volitatud töötleja elektroonilise veoselehe platvormi pakkumine.

Töötlemise ese, kestus, olemus ja eesmärk ning isikuandmete liigid ja andmesubjektide kategooriad on kirjeldatud Lisas 2.1.

  1. VOLITATUD TÖÖTLEJA KOHUSTUSED

Volitatud töötleja kohustub:

Töötlemine vastavalt juhistele

Töötlema isikuandmeid üksnes Vastutava töötleja dokumenteeritud juhiste alusel.

Konfidentsiaalsus

Volitatud töötleja tagab vastutava töötleja nimel töödeldavate isikuandmete konfidentsiaalsuse. Isikuandmete konfidentsiaalsuse tagamiseks rakendab volitatud töötleja järgmisi meetmeid:

Isikuandmetele pääsevad ligi üksnes volitatud töötleja esindajad, töötajad või muud volitatud töötleja kasuks tegutsevad isikud, kes vajavad ligipääsu isikuandmetele rangelt seoses enda tööülesannete täitmisega.

Isikuandmetele ligipääs on piiratud rangelt vajaliku teabega, mida konkreetsed volitatud töötleja esindajad, töötajad või muud tema kasuks tegutsevad isikud vajavad seoses enda tööülesannete täitmisega ning isikuandmeid kasutatakse vaid isikuandmete töötlemise aluse täitmise eesmärgil.

Isikuandmetele ei saa ligi juhuslikud kolmandad isikud, näiteks volitatud töötleja töötajad või muud teenuse osutajad, kes konkreetsel juhul ei vaja ligipääsu isikuandmetele seoses enda tööülesannete täitmisega, mh ei edasta volitatud töötleja isikuandmeid kolmandatele isikutele, välja arvatud juhul, kui selleks esineb seadusest tulenev kohustus või vastutava töötleja kirjalik nõusolek.

Isikuandmetega kokkupuutuvate isikute suhtes kehtib nendega sõlmitud lepingust või  seadusest tulenev konfidentsiaalsuskohustus.

Turvalisus ja auditiõigus

Rakendama asjakohaseid tehnilisi ja organisatsioonilisi turvameetmeid (TOM), et tagada riskile vastav turvalisuse tase. Turvameetmed on kirjeldatud Lisas 2.

Vastutaval töötlejal on õigus auditeerida Volitatud töötleja andmekaitsealast dokumentatsiooni mitte rohkem kui üks kord kalendriaastas, teatades auditist ette vähemalt 30 päeva.

Audit viiakse läbi viisil, mis ei ohusta Volitatud töötleja süsteemide turvalisust, konfidentsiaalsust ega teiste klientide andmeid.

Auditi või kontrolli läbiviimisel teeb volitatud töötleja kättesaadavaks kogu teabe, mis on vajalik auditeerimiseks või kontrollimiseks. Vastutava töötleja auditeerimisõigus piirdub üksnes andmekaitsealase dokumentatsiooni auditeerimisega. 

Vastutav töötleja kohustub kooskõlastama volitatud töötlejaga auditi läbiviimise päeva. Vastutav töötleja või vastutava töötleja valitud audiitor kohustub auditi läbi viima tavapärasel tööajal ning selliselt, et auditi tegemine takistaks volitatud töötleja igapäevast majandustegevust võimalikult minimaalselt.

Volitatud töötleja kohustub tasuma auditeerimisega seonduvad kulud (sh audiitori tasud ja muud mõistlikud kulud), kui auditi või kontrolli käigus tuvastatakse mittevastavus isikuandmete töötlemise alusele, üldmäärusele või muule kohalduvale andmekaitseõigusele.

Kui auditi või kontrolli käigus tuvastatakse puudusi volitatud töötleja rakendatavates turvameetmetes või andmetöötluse protsessides, kohustub volitatud töötleja:

  • kõrvaldama tuvastatud puudused oma kulul viivitamatult, kuid mitte hiljem kui vastutava töötleja määratud mõistliku tähtaja jooksul;
  • teavitama Vastutavat töötlejat kirjalikult puuduste kõrvaldamisest ning esitama selle kohta asjakohased tõendid.

Töötlemistoimingute register

Pidama arvestust Vastutava töötleja nimel tehtavate töötlemistoimingute kohta vastavalt GDPR-ile ja Eesti õigusele.

Koostöö

Abistama Vastutavat töötlejat GDPR-ist tulenevate kohustuste täitmisel.

  1. TEHISINTELLEKTI KASUTAMINE

Volitatud töötleja võib Teenuse osutamisel kasutada tehisintellektil põhinevaid süsteeme, sh kõne- ja vestluslahendusi, üksnes klienditoe ja teenuse toimimise toetamiseks (nt päringute suunamine, vastuste koostamine, transkribeerimine ja summariseerimine), ulatuses nagu kirjeldatud Lisas 2.1.

Volitatud töötleja ei kasuta Kliendi isikuandmeid automatiseeritud otsuste tegemiseks ega profileerimiseks GDPR artikli 22 tähenduses ega tee AI abil otsuseid, millel oleks andmesubjektile õiguslikud või muud samaväärselt olulised mõjud, ilma inimese sisulise sekkumiseta.

  1. ABI VASTUTAVALE TÖÖTLEJALE

Volitatud töötleja abistab Vastutavat töötlejat mõistlikus ulatuses järgmistes küsimustes:

  • andmesubjektide päringutele vastamine
  • töötlemise turvalisuse tagamine
  • andmekaitsealaste mõjuhinnangute koostamine
  • järelevalveasutustega konsulteerimine.
  1. ANDMEKAITSE RIKKUMISEST TEAVITAMINE

Isikuandmete rikkumise korral, mis mõjutab Vastutava töötleja andmeid, kohustub Volitatud töötleja:

  • teavitama Vastutavat töötlejat põhjendamatu viivituseta
  • esitama rikkumise kohta asjakohase teabe
  • tegema koostööd kahju leevendamise meetmete rakendamisel.
  1. ALLTÖÖTLEJAD

Vastutav töötleja annab Volitatud töötlejale üldise loa alltöötlejate kasutamiseks.

Volitatud töötleja kohustub:

  • teavitama Vastutavat töötlejat alltöötlejate muutustest
  • tagama, et alltöötlejad järgivad käesoleva DPA-ga samaväärseid andmekaitsekohustusi.

Praeguste alltöötlejate hulka kuuluvad pilveinfrastruktuuri teenusepakkujad ja tugiplatvormid, mida kasutatakse teenuse toimimiseks.

Alltöötlejate nimekiri tehakse Vastutavale töötlejale kättesaadavaks nõudmisel.

  1. RAHVUSVAHELINE ANDMEEDASTUS

Kui isikuandmeid edastatakse väljapoole Euroopa Majanduspiirkonda, tagab Volitatud töötleja, et kasutatakse asjakohaseid kaitsemeetmeid.

Need võivad hõlmata:

  • Euroopa Komisjoni standardseid lepingutingimusi
  • muid seaduslikke edastusmehhanisme.
  1. ANDMETE SÄILITAMINE JA KUSTUTAMINE

Isikuandmete töötlemise aluse lõppemisel kohustub Volitatud töötleja:

kustutama või tagastama Vastutava töötleja isikuandmed, välja arvatud juhul, kui kohaldatav õigus nõuab andmete säilitamist.

Andmeid võib säilitada piiratud aja jooksul turvalisuse, juriidiliste või operatiivsete põhjuste tõttu.

  1. TEHNILISED JA ORGANISATSIOONILISED MEETMED

Volitatud töötleja rakendab tehnilisi ja organisatsioonilisi turvameetmeid vastavalt Lisa 2.2-le.

  1. VASTUTUS

Pooled vastutavad rikkumiste eest Kasutustingimuste alusel. Käesolev DPA ei piira vastutust juhtudel, kus vastutuse piiramine on kohaldatava õiguse alusel keelatud.

  1. KOHALDATAV ÕIGUS

Käesolevale DPA-le kohaldatakse Eesti Vabariigi õigust.

Kõik vaidlused lahendatakse vastavalt Kasutustingimustes sätestatud vaidluste lahendamise korrale.

  1. KONTAKT

Andmekaitsega seotud küsimuste korral:

Waybiller OÜ

e-post: privacy@waybiller.com

 

Lisa 2.1: ISIKUANDMETE TÖÖTLEMISE ÜKSIKASJAD

Käesolev lisa on Andmetöötluslepingu (DPA) lahutamatu osa.

  1. ANDMESUBJEKTIDE KATEGOORIAD

Volitatud töötleja võib Vastutava töötleja nimel töödelda isikuandmeid, mis puudutavad järgmisi andmesubjektide kategooriaid:

  • Vastutava töötleja töötajad ja esindajad
  • Vastutava töötleja kliendid ja lepingupartnerid
  • Vastutava töötleja alltöövõtjad ja koostööpartnerid
  • Teenuse kasutajad ja muud logistikaprotsessiga seotud isikud
  • Klienditoe pöördumistega seotud isikud
  1. ISIKUANDMETE KATEGOORIAD

Teenuse kasutamise ning aktiveeritud funktsionaalsuse ulatusest sõltuvalt võib Volitatud töötleja töödelda muu hulgas järgmisi isikuandmete kategooriaid:

  • Identifitseerimisandmed – ees- ja perekonnanimi, kasutajakonto identifikaatorid
  • Kontaktandmed – e-posti aadress, telefoninumber
  • Rolli ja töösuhtega seotud andmed – ametinimetus, ettevõtte nimi, kasutaja roll Teenuses
  • Teenuse osutamisega seotud andmed – veose- ja logistikaandmed, tööprotsesside kirjed, Teenuse kasutusandmed
  • Klienditoe andmed – pöördumise sisu, suhtlusajalugu, päringute metaandmed
  • AI-põhiste kõnede ja vestluste andmed– kõne heli (kui salvestamine on lubatud), transkriptsioonid, kokkuvõtted ja tehnilised metaandmed
  • Tehnilised andmed – IP-aadress, süsteemi- ja ligipääsulogid
  • Rikkumistega seotud andmed – lepingurikkumiste, pettusekahtluste või makseviivitustega seotud teave

Volitatud töötleja ei töötle eriliigilisi isikuandmeid GDPR artikli 9 tähenduses ega biomeetrilisi isikuandmeid, välja arvatud juhul, kui pooled on selles eraldi kirjalikult kokku leppinud ja kohaldatav õigus seda lubab.

  1. ISIKUANDMETE TÖÖTLEMISE LAAD JA SAGEDUS

Isikuandmete töötlemine on pidev, kuna see toimub kogu Kasutustingimuste kehtivuse ajal ning on lahutamatult seotud Teenuse igapäevase kasutamisega.

  1. ISIKUANDMETE TÖÖTLEMISE EESMÄRGID

Volitatud töötleja töötleb isikuandmeid Vastutava töötleja nimel üksnes järgmistel eesmärkidel:

  • Volitatud töötleja Teenuse osutamine vastavalt Kasutustingimustele ja/või Teenuslepingule
  • Elektrooniliste veoselehtede ja logistikadokumentide haldamine
  • Kasutajakontode ja ligipääsuõiguste haldamine
  • Teenuse tehnilise toimimise, töökindluse ja turvalisuse tagamine
  • Klienditoe osutamine, sh vajaduse korral tehisintellektil põhinevate kõne- ja vestluslahenduste kasutamine
  • Teenuse kvaliteedi ja turvalisuse tagamisega seotud tegevused
  1. TÖÖTLEMISTOIMINGUD

Volitatud töötleja võib Vastutava töötleja nimel teha isikuandmetega järgmisi töötlemistoiminguid:

  • andmete kogumine ja vastuvõtmine
  • dokumenteerimine ja struktureerimine
  • salvestamine ja säilitamine
  • kasutamine Teenuse osutamiseks
  • edastamine Volitatud töötleja alltöötlejatele vastavalt DPA-le
  • andmete piiramine, anonümiseerimine või pseudonümiseerimine (vajaduse korral)
  • kustutamine või tagastamine Lepingu lõppemisel

Töötlemine võib olla automatiseeritud või automatiseerimata ning toimub infosüsteemide abil.

  1. ISIKUANDMETE SÄILITAMINE

Volitatud töötleja töötleb ja säilitab isikuandmeid:

Teenuslepingu või Kasutustingimuste kehtivuse ajal; ning

pärast Lepingu lõppemist üksnes ulatuses ja ajavahemikus, mis on vajalik isikuandmete tagastamiseks või kustutamiseks Vastutava töötleja juhiste kohaselt, välja arvatud juhul, kui isikuandmete säilitamine on nõutud kohaldatava õiguse alusel.

AI-põhiste kõnede salvestisi ja transkriptsioone säilitatakse üksnes minimaalses ja proportsionaalses ulatuses ning vastavalt Teenuse funktsionaalsusele ja poolte vahel kokku lepitud tingimustele.

 

Lisa 2.2: TEHNILISED JA ORGANISATSIOONILISED KAITSEMEETMED

Käesolev lisa on Andmetöötluslepingu (DPA) lahutamatu osa.

Volitatud töötleja rakendab vähemalt järgmisi meetmeid, et tagada Isikuandmete konfidentsiaalsus, terviklikkus ja kättesaadavus:

  • LIGIPÄÄSU KONTROLL JA AUTENTIMINE

Juurdepääs arenduskeskkondadele, serveritele ja andmebaasidele peab olema kaitstud mitmefaktorilise autentimisega (MFA), kui see on toetatud ja tehniliselt teostatav.

Volitatud töötleja annab tema poolt kasutatavatele arendajatele ligipääsu ainult sellistele andmetele, mis on vältimatult vajalikud konkreetse tööülesande täitmiseks.

Isikustatud kasutajakontod on kohustuslikud; jagatud kontode kasutamine on keelatud. Töösuhte lõppemisel suletakse ligipääsud viivitamatult (hiljemalt 24 tunni jooksul).

  • KAITSE PAHAVARA JA VOLITAMATA JUURDEPÄÄSU EEST

Volitatud töötleja on isikuandmete kaitsmiseks paigaldanud kõigile oma serveritele tulemüüri, kui see on asjakohane ja tehniliselt teostatav, mis hoiab ära võimalikud rünnakud pahavara poolt ja tagab kõrge kaitsetaseme läbi automaatsete uuenduste teostamise, kui need on saadaval.

Kõik arendajate sülearvutid peavad kasutama täisketta krüpteerimist (nt BitLocker või FileVault).

Isikuandmeid ei tohi arendajate seadmetes ega välistel andmekandjatel lokaalselt säilitada, välja arvatud juhul, kui see on mõistlikult vajalik konkreetse operatiivse, toe- või arendustöö täitmiseks. Ajutiselt lokaalselt salvestatud andmed peavad olema asjakohaselt kaitstud ning eemaldatud kohe, kui need ei ole enam vajalikud.

  • INFOTURBEINTSIDENTIDE HALDAMINE

Volitatud töötleja teavitab vastutavat töötlejat infoturbeintsidentidest esimesel võimalusel.

Kõik volitatud töötleja töötajad on teadlikud infoturbeintsidentidest teavitamise korrast ning isikust, kellele tuleb nende esinemisest teavitada.

  • ORGANISATSIOONILISED MEETMED

Volitatud töötleja tagab, et töötajad ja alltöövõtjad, kellel on juurdepääs isikuandmetele, on seotud konfidentsiaalsuskohustusega ning neile antakse juurdepääs ainult ulatuses, mis on vajalik nende tööülesannete täitmiseks.

Volitatud töötleja võib teha rollipõhiseid taustakontrolle ulatuses, mis on seadusega lubatud ja proportsionaalne.

Volitatud töötleja kohustab oma volitatud töötlejaid rakendama võrreldavaid personali turvameetmeid.

 

Versioon: 1.0

Jõustumise kuupäev: 01.05.2026