Käesolev andmetöötlusleping on sõlmitud allpool nimetatud poolte vahel.
Vaata ka kasutustingimusi.
Pooled
Klient (edaspidi: „Vastutav töötleja“) ja Star Cloud OÜ (edaspidi: „Volitatud töötleja“ või „Opiq“)
Vastutavat töötlejat ja Volitatud töötlejat nimetatakse edaspidi ka ühiselt „Poolteks“ ja eraldi „Pooleks“.
Mõisted
- Kohaldatavad andmekaitse õigusaktid – on mis tahes kohaldatavad õigusaktid, mis on seotud andmete kaitsmise ja turvalisusega, sealhulgas eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv (Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ, 12. juuli 2002, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris) ja isikuandmete kaitse üldmäärus (Euroopa Parlamendi ja nõukogu määrus 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta) ja nende muudatused, asendused või pikendused (edaspidi koos: EL õigusaktid), kõik täitmiseks kohustuslikud riigisisesed seadused, millega rakendatakse ELi õigusakte, ja muud täitmiseks kohustuslikud andmekaitse või andmete turvalisuse direktiivid, seadused, määrused ja otsused, mis on vastaval ajal kehtivad.
- Isikuandmed – on tuvastatud või tuvastatava füüsilise isikuga seotud andmed. Tuvastatav füüsiline isik on isik, keda on võimalik otseselt või kaudselt tuvastada mõne tunnuse alusel.
- Alltöötleja – Volitatud töötleja poolt kaasatud isikuandmete töötleja Opiqu teenuste ja lisateenuste haldamiseks ja tehniliseks toimimiseks vajalikus ulatuses.
Taust
- Volitatud töötleja annab Vastutavale töötlejale Poolte vahel sõlmitud teenuselepingu (edaspidi „Leping“) alusel ligipääsu veebiplatvormile Opiq.
- Käesoleva andmetöötluslepingu eesmärk on tagada Vastutava töötleja poolt Volitatud töötlejale Lepingu alusel edastatud isikuandmete kaitse ja turvalisus.
- Seoses Lepinguga töötleb Volitatud töötleja Vastutava töötleja nimel Vastutavalt töötlejalt saadud isikuandmeid, mille suhtes Vastutav töötleja on kohaldatavate andmekaitse õigusaktide kohaselt isikuandmete vastutav töötleja.
- Opiq e-poe andmete osas on Star Cloud OÜ isikuandmete vastutav töötleja ning maksetega seotud andmete osas volitatud töötlejaks Maksekeskus AS. Isikuandmete, mille osas Maksekeskus AS täidab talle kohalduvaid juriidilisi kohustusi või oma täiendavaid ärihuve, on vastutavaks andmetöötlejaks Maksekeskus AS. Maksekeskus AS privaatsustingimustega saad tutvuda siin.
- OpiqStat teenus on mõeldud üldistatud kasutusstatistika haldamiseks näiteks konkreetse teose või õppeaine vaates ning ei kuva kasutajapõhist statistikat.
- Opiq on elektrooniliste õppematerjalide ja sellega seotud teenuste kättesaadavaks tegemise veebiplatvorm. Opiq ja selles sisalduvate teenuste kasutaja edastab meile teavet, mis on vajalik nende teenuste mugavaks tarbimiseks. Opiqus on paljud eteenused personaliseeritud, mistõttu peab süsteem teadma vastavaid isiku ja tema kontaktandmeid. Vajalike andmeid teadmata ei ole paljud teenused võimalikud.
Vastutava töötleja kohustused
- Vastutav töötleja nõustub ja kinnitab, et isikuandmete töötlemine Lepingu täitmise raames Vastutava töötleja poolt on seaduslik vastavalt Kohaldatavatele andmekaitse õigusaktidele.
- Vastutav töötleja vastutab selle eest, et Vastutava töötleja poolt määratud kasutajatel on põhjendatud alus Opiqu teenusele ja selle sisule ligipääsuks.
- Vastutav töötleja nõustub ja kinnitab, et ta on volitanud ning kogu isikuandmete töötlemise kestel, mida tehakse seoses Lepinguga, volitab Volitatud töötlejat töötlema isikuandmeid Vastutava töötleja nimel.
- Vastutav töötleja nõustub esitama Volitatud töötlejale nõudmisel vajaliku teabe ja dokumentatsiooni kohaldatavatest andmekaitse õigusaktidest tulenevate Volitatud töötleja kohustuste täitmiseks.
Volitatud töötleja kohustused
- Volitatud töötleja tagab, et Lepingust tulenevate asjakohaste isikuandmete töötlemine tema poolt vastab Kohaldatavate andmekaitse õigusaktide nõuetele, Lepingu tingimustele ja käesolevale andmetöötluslepingule ning et andmesubjektide õigused on nõuetekohaselt kaitstud. Volitatud töötleja ja Volitatud töötleja poolt tööle võetud või kaasatud kolmandad isikud võivad töödelda isikuandmeid üksnes vastavalt käesoleva andmetöötluslepingu ja Lepingu nõuetele ning järgides muid Vastutava töötleja poolt vastavalt vajadusele antud või dokumenteeritud juhiseid.
- Volitatud töötleja poolt käesoleva andmetöötluslepingu alusel töödeldavad isikuandmed, eesmärgid, tähtajad ja turvameetmed on kirjeldatud punktis käesoleva andmetöötluslepingu Lisas A.
- Volitatud töötleja ei töötle isikuandmeid suuremas ulatuses, kui on vajalik Volitatud töötleja poolt Lepingu ja andmetöötluslepingu täitmiseks. Volitatud töötleja nõustub, et kui puudub selgesõnaline kirjalik nõusolek, ei ole tal õigust töödelda isikuandmeid muul eesmärgil peale Lepingus ja andmetöötluslepingus kokku lepitu. Kui Volitatud töötlejale kohaldatavad kohustuslikud Euroopa Liidu või liikmesriigi õigusaktid keelavad Volitatud töötlejal täita Lepingut või antud juhiseid või alternatiivselt nõuavad täiendavat töötlemist ulatuses, mis ületab Lepingut või andmetöötluslepingut, teavitab Volitatud töötleja Vastutavat töötlejat viivitamata vastavast õiguslikust nõudest enne töötlemist, nagu see on mõistlikult võimalik, või teavitab Vastutavat töötlejat, et Volitatud töötleja ei saa Lepingut või antud juhiseid täita. Lisaks teavitab volitatud töötleja viivitamata Vastutavat töötlejat, kui Vastutava töötleja antud juhis rikub tema arvates kohaldatavaid andmekaitse õigusakte.
- Volitatud töötleja hoiab isikuandmeid konfidentsiaalselt ja tagab, et kõiki isikuid, keda on volitatud isikuandmeid töötlema, on teavitatud nende konfidentsiaalsest iseloomust, nad on saanud asjakohase koolituse oma kohustuste kohta ja nad on võtnud endale konfidentsiaalsuskohustuse või neile kehtib asjakohane seadusest tulenev konfidentsiaalsuskohustus. Vastav konfidentsiaalsuskohustus jääb kehtima pärast käesoleva andmetöötluslepingu ja/või Lepingu lõppemist.
- Volitatud töötleja rakendab asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et kaitsta töödeldavaid isikuandmeid volitamata või ebaseadusliku töötlemise eest ja juhusliku kaotsimineku, hävimise, kahjustumise, muutmise või avaldamise eest. Sellised meetmed tagavad turvataseme, mis on kooskõlas töötlemise riskidega.
- Võttes arvesse töötlemise laadi ja kättesaadavat teavet, aitab Volitatud töötleja lisaks Vastutaval töötlejal tagada Vastutava töötleja kohustuste täitmist, mis on seotud isikuandmete turvalisusega, nt andmetega seotud rikkumisest teatamine, riskide ja mõjude hindamine ning nõustamiskohustus vastavalt Kohaldatavatele andmekaitse õigusaktidele.
- Tegeliku või põhjendatult kahtlustatava isikuandmetega seotud rikkumise puhul või muu ähvardava täitemenetluse puhul Volitatud töötleja suhtes, mis puudutab andmetöötluslepingu alusel isikuandmete töötlemist, teavitab Volitatud töötleja Vastutavat töötlejat sellest kirjalikult viivitamata ja hiljemalt nelikümmend kaheksa (48) tunni jooksul pärast sellest teada saamist. Olles saanud Vastutavalt töötlejalt eelneva heakskiidu, üritab Volitatud töötleja lahendada olukorra kiiresti ja vältida edasist kahju ning leevendada vastava juhtumi mõjusid. Teates esitab Volitatud töötleja Vastutavale töötlejale kõik andmed, mis on Kohaldatavate andmekaitse õigusaktide kohaselt Vastutavale töötlejale vajalikud oma teavitamiskohustuse täitmiseks ning isikuandmetega seotud rikkumise mõjude kõrvaldamiseks ja leevendamiseks. Kui see on võimalik ja mõistlik, osutab volitatud töötleja andmesubjektidele soovi korral sobivaid parandusmeetmete teenuseid.
- Volitatud töötleja dokumenteerib ühtlasi Lepinguga seotud isikuandmete alased rikkumised, tuues välja rikkumise asjaolud, selle mõjud ja kasutusele võetud parandusmeetmed. Antud dokumentatsioon peab võimaldama järelevalveasutusel kontrollida Kohaldatavate andmekaitse õigusaktide järgimist. Dokumentatsioon võib sisaldada üksnes teavet, mis on sel eesmärgil vajalik.
- Volitatud töötleja teeb Vastutava töötleja palvel ja ilma lisatasuta koostööd ja aitab Vastutavat töötlejat teabega asjakohaste tehniliste ja organisatsiooniliste meetmete kohta Kohaldatavate andmekaitse õigusaktidega sätestatud andmesubjekti õiguste tagamiseks, sealhulgas:
- esitab Vastutavale töötlejale koopia andmesubjekti isikuandmetest;
- avab, parandab, kustutab isikuandmeid või piirab isikuandmete töötlemist.
- Volitatud töötleja osutab taotletud abi vajalike dokumentide ja teabega kümne (10) päeva jooksul Vastutava töötleja taotlusest.
- Kui andmesubjekt, järelevalve- või valitsusasutus (nt Andmekaitse Inspektsioon) või muu kolmas isik soovib Volitatud töötlejalt Lepingu alusel Töödeldavaid isikuandmeid, suunab Volitatud töötleja vastava soovi Vastutavale töötlejale. Volitatud töötlejal ei ole lubatud avaldada isikuandmeid ega muud teavet isikuandmete töötlemise kohta ilma Vastutava töötleja eelneva kirjaliku nõusolekuta, välja arvatud juhul, kui Volitatud töötleja on kohustatud avaldama vastavaid andmeid kohustuslike Euroopa Liidu või liikmesriigi õigusaktide alusel. Viimasel juhul teavitab Volitatud töötleja viivitamata Vastutavat töötlejat taotlusest seadusega lubatud ulatuses.
- Volitatud töötleja esitab, Vastutavalt töötlejalt tasu nõudmata, kõik andmed ja dokumentatsiooni ning osutab abi, mis on Vastutavale töötlejale vajalik, et täita Kohaldatavate andmekaitse õigusaktide kõiki nõudeid ja tõendada nimetatud nõuetele vastavust Lepinguga seotud isikuandmete osas. Lisaks võimaldab Volitatud töötleja auditite tegemist regulaator- ja/või järelevalveasutuste poolt ja aitab nendele kaasa.
- Volitatud töötleja peab alati säilitama ja hoidma kättesaadavana ajakohaseid andmeid töötlemistegevuste kohta, sealhulgas andmete (all)töötlejana tegutseva iga juriidilise isiku nime, kontaktandmete, esindaja (sealhulgas andmekaitse töötaja, kui see on kohaldatav) ja asukoha kohta, Vastutava töötleja nimel tehtud töötlemise liikide kohta ja, kui see on kohaldatav, Andmete rahvusvaheliste edastamiste toimumise kohta (sealhulgas tuues välja puudutatud riigi(d) ja dokumentatsiooni kohaldatavate edastamismehhanismide kohta). Volitatud töötleja esitab Vastutava töötleja taotlusel ja põhjendamata viivituseta Vastutavale töötlejale käesolevas punktis sätestatud dokumentatsiooni, et Vastutav töötleja saaks järgida kohaldatavaid andmekaitse õigusakte.
- Volitatud töötleja tagab Vastutavale töötlejale õiguse kontrollida ja auditeerida Volitatud töötleja valdusi (ja tagab, et Volitatud töötlejal on samaväärsed kontrollimise ja auditeerimise õigused kolmandatest isikutest alltöötlejate suhtes), et kontrollida, kas volitatud (all)töötleja töötlemistegevused ning seotud tehnilised ja organisatsioonilised turvameetmed on kooskõlas käesolevas andmetöötluslepingus, Lepingus või kohaldatavates andmekaitse õigusaktides sätestatud kohustustega. Vastavate auditite tegemise suhtes kohaldatakse allpool sätestatut.
- Vastutaval töötlejal on õigus viia läbi auditeid tavapärasel tööajal, teatades neist mõistlikult ette. Vastavad auditid ei tohi katkestada Volitatud töötleja äritegevust ja neid võivad läbi viia kas Vastutava töötleja töötajad või Vastutavale töötlejale lepingu alusel teenust osutava muu ettevõtte töötajad (professionaalne kolmas isik), tingimusel et vastav lepingu alusel teenust osutav kolmas isik on võtnud endale lepinguga konfidentsiaalsuskohustused, mis on Volitatud töötlejale mõistlikult aktsepteeritavad. Vastutav töötleja kannab oma auditite kulud ise. Kui auditi käigus tuvastatakse siiski vastuolu või mittevastavus, mille on põhjustanud Volitatud töötleja või tema sidusettevõtjad, nõustajad, alltöövõtjad või muud esindajad, kannab Volitatud töötleja Vastutava töötleja auditi kulud.
Isikuandmete edastamine kolmandale isikule
- Volitatud töötlejal ei ole õigust edastada isikuandmeid kolmandale isikule ega anda kolmandale isikule juurdepääsu, nt andes kaugjuurdepääsu isikuandmetele (mida kõike mõistetakse edastamisena), samuti kaasata alltöötlejaid isikuandmete töötlemiseks (eespool nimetatud edastamis- ja alltöötlemistegevusele viidatakse ühiselt kui isikuandmete edastamisele kolmandale isikule) ilma Vastutava töötleja eelneva kirjaliku nõusolekuta. Vastava nõusoleku andmise korral on Volitatud töötleja poolt isikuandmete edastamise tingimuseks, et vastavale kolmandale isikule kehtestatakse enne isikuandmete edastamist samad andmekaitse kohustused, nagu on sätestatud käesolevas andmetöötluslepingus. Nõusolekut ei ole vaja nendele alltöötlejatele (teenusepakkujatele), mis on nimetatud käesoleva andmetöötluslepingu Lisas A.
- Antud nõusolek on kehtiv järgmistest varaseimani: i) kui Vastutav töötleja teavitab Volitatud töötlejat nõusoleku tagasivõtmisest või ii) kui Volitatud töötleja teatab Vastutavale töötlejale, et Volitatud töötleja ei kasuta enam heakskiidetud kolmandat isikut vastaval eesmärgil.
- Kui Vastutav töötleja ei anna nõusolekut isikuandmete edastamiseks kolmandale isikule põhjusel, mida Vastutav töötleja peab mõistlikuks, jätkab Volitatud töötleja Lepingu ja andmetöötluslepingu täitmist kokkulepitud tingimustel kuni järgmistest sündmustest varaseimani: i) Pooled on leppinud kokku isikuandmete töötlemisega seotud Lepingu lõpetamises ja taganud asjasse puutuvate isikuandmete tagastamise vastutavale töötlejale (või kustutamise, vastavalt olukorrale) või on leppinud kokku Lepingu üleandmises uuele teenuseosutajale, mis ei võta ühelgi juhul aega kauem kui kolm (3) kuud alates kuupäevast, kui Vastutav töötleja sai vastava taotluse, või ii) Pooled on leppinud kokku, kuidas jätkub Lepingu täitmine, sealhulgas asjakohased kulud ja Vastutavale töötlejale mõistlikult aktsepteeritava viisi.
- Kui kolmandast isikust alltöötleja ei järgi kohaldatavaid andmekaitse õigusakte või ei täida Volitatud töötlejaga sõlmitud lepingust tulenevaid andmekaitse kohustusi, jääb Volitatud töötleja täielikult vastutavaks Vastutava töötleja ees kohaldatavatest andmekaitse õigusaktidest ja vastavast lepingust tulenevate kolmanda isiku kohustuste täitmise eest.
Isikuandmete töötlemise lõpetamine
- Kui isikuandmete töötlemine ei ole enam Lepingu alusel vajalik või kui vastav Leping lõpeb või lõpetatakse, Volitatud töötleja kustutab või tagastab Vastutavale töötlejale viimase otsusel kõik isikuandmed, mida Volitatud töötleja on Lepingu alusel töödelnud, välja arvatud kui kohaldatavad andmekaitse õigusaktid nõuvad teisiti. Isikuandmete kustutamisel kinnitab Volitatud töötleja Vastutava töötleja taotlusel viivitamatult isikuandmete hävitamist.
- Kui Vastutav töötleja soovib isikuandmete tagastamist, tagastab Volitatud töötleja kõik isikuandmed Vastutava töötleja soovitud viisil ja vormis ning kustutab neist kõik olemasolevad koopiad.
Hüvitamine ja vastutus
- Käesolevas punktis toodud vastutust ja selle piiranguid kohaldatakse kooskõlas ja lisaks Teenustingimustes toodud Poolte vastutuse ja kahjuhüvitamise punktidele.
- Isikuandmete kaitse hüvitis
- Olenemata Lepingus sisalduvatest võimalikest vastupidistest sätetest, mis puudutavad Volitatud töötleja vastutust või hüvitamise kohustust, on selgesõnaliselt kokku lepitud, et kui Volitatud töötleja rikub Lepingust ja/või käesolevast andmetöötluslepingust tulenevat konfidentsiaalsuse, turvalisuse ja/või isikuandmete kaitse kohustust seoses Vastutava töötleja (või Vastutava töötleja kliendi) nimel Lepingu alusel töödeldavate isikuandmetega, kaitseb Volitatud töötleja Vastutavat töötlejat järgneva eest ning hüvitab sellega seonduva kahju (mida käsitletakse andmetöötluslepingu mõttes otsese kahjuna):
- sellisest rikkumisest tulenevad valitsuste, reguleerivate asutuste, riigiorganite või täiteasutuste trahvid või karistused;
- summad, mis on makstud kolmandatele isikutele, kelle õigusi rikuti (kelle hulka võivad kuuluda andmesubjektid, Vastutava töötleja kliendid, töötajad, juhid ja nõustajad) kahjutasuna või lepitustasuna tulenevalt vastavast rikkumisest;
- mõistlikud kulud seoses nõutava rikkumisteate (ja nõutavate teate vastuste) esitamisega isikutele, kelle õigusi rikuti, riigiasutustele, reguleerivatele asutustele ja/või muudele riigiorganitele või asutustele;
- Eespool toodud Volitatud töötleja hüvitamise piiranguid ei kohaldata kahjudele, mis tulenevad tahtlikust rikkumisest, raskest hooletusest, tervisekahjustusest või seadusega ette nähtud vastutusest.
- Volitatud töötleja teavitab viivitamata Vastutavat töötlejat, kui tema suhtes algatatakse menetlus, mis võib tuua kaasa hüvitamise nõude või trahvi ELi õigusaktide alusel või isikuandmete kaitse üldmääruse täiendavate riigisiseste õigusaktide alusel. Sellise menetluse alustamise korral Volitatud töötleja: (a) esitab Vastutavale töötlejale üksikasjad (sealhulgas konkreetsed rikkumisega seotud süüdistused); (b) esitab Vastutavale töötlejale teabe ja osutab abi, mida Vastutav töötleja taotleb; ja (c) ei takista ega vaidle vastu Vastutava töötleja aktiivsele osavõtule menetlusest (kasutades õigusabi omal kulul).
- Olenemata Lepingus sisalduvatest võimalikest vastupidistest sätetest, mis puudutavad Volitatud töötleja vastutust või hüvitamise kohustust, on selgesõnaliselt kokku lepitud, et kui Volitatud töötleja rikub Lepingust ja/või käesolevast andmetöötluslepingust tulenevat konfidentsiaalsuse, turvalisuse ja/või isikuandmete kaitse kohustust seoses Vastutava töötleja (või Vastutava töötleja kliendi) nimel Lepingu alusel töödeldavate isikuandmetega, kaitseb Volitatud töötleja Vastutavat töötlejat järgneva eest ning hüvitab sellega seonduva kahju (mida käsitletakse andmetöötluslepingu mõttes otsese kahjuna):
- Vastutus
- Olenemata Lepingus sisalduvatest võimalikest vastupidistest sätetest, mis puudutavad Volitatud töötleja vastutust või hüvitamise kohustust, on selgesõnaliselt kokku lepitud, et Volitatud töötleja vastutab piiranguteta kõigi nõuete, kahjude, trahvide, karistuste, kulude, kulutuste, summade ja tasude eest, mille on põhjustanud Vastutavale töötlejale, Vastutava töötleja kliendile või koostööpartnerile või kolmandale isikule Volitatud töötleja või tema töötaja või alltöövõtja tegevusega, mis on vastuolus käesoleva andmetöötluslepinguga, Lepinguga ja/või Kohaldatavate andmekaitse õigusaktidega, tulenevalt Volitatud töötleja hüvitamise kohustusest eespool toodud isikuandmete kaitse hüvitise sätte alusel.
- Eespool sätestatud kohustused jäävad kehtima pärast käesoleva andmetöötluslepingu ja/või Lepingu lõpetamist, ülesütlemist või lõppemist.
Tähtaeg
Käesolev andmetöötlusleping kehtib seni, kuni Volitatud töötleja töötleb lepingu alusel isikuandmeid Vastutava töötleja nimel.
Ettepanekud, küsimused, kaebused
Palume kõik ettepanekud, küsimused ja kaebused saata e-posti aadressile info@starcloud.ee. Telefoni teel lahendame ainult küsimusi, mis on seotud Opiqu igapäevase kasutamise ja sellise kasutamise tõrgetega. Muid küsimusi ja kaebuseid ei ole Star Cloud’i töötajad volitatud telefoni teel vastu võtma.
Vaidluste lahendamine
Teenusetingimustest ning andmetöötlustingimustest tulenevad või sellega seotud vaidlused proovitakse lahendada läbirääkimiste teel. Läbirääkimiste ebaõnnestumise korral lahendatakse vaidlused Harju Maakohtus Eesti Vabariigis kehtivate õigusaktide alusel.
LISA A Opiq Teenuse Andmetöötluslepingule
Opiq teenuse ja lisateenuste raames Volitatud töötleja poolt töödeldavate isikuandmete kategooriate, andmesubjektide kategooriate, töötlemise eesmärkide, alltöötlejate, andmete säilitustustähtaegade ja turvameetmete kirjeldus.
Alloleva loetelu koosseis sõltub iga konkreetse andmesubjekti osas valitud teenustest ning nende kasutamise üksikasjadest.
Isikuandmed ja nende töötlemise eesmärgid
- Isikuandmete töötlemise alusteks on Opiqule seadusest tulenevate kohustuste täitmine, Kliendile lepingukohase teenuse täitmine, Opiqu õigustatud huvi ning kasutajalt võetud nõusolek kui seadus näeb nõusoleku küsimise kohustuse ette (eelkõige turunduslikud teated).
- Järgnevalt loetletud isikuandmete töötlemise eesmärkideks on lepingujärgse kasutajakonto loomine ja haldamine, lepingujärgse teenuse pakkumine ning selle kvaliteedi ja kasutusmugavuse pakkumine, kasutajate identifitseerimine ja vajadusel Kliendiga nõutud sidumine, kasutajaga kontakti saamine, autoritasude üle arvepidamine, e-poe tellimuste haldamine ja arveldamine, statistika, raamatupidamine, turundus, kasutajatugi, turvanõuete täitmine, teenusepakkujate vaheline teenuse toimimine.
Töödeldavad isikuandmed
- Konto loomine, konto andmed ja sellega seotud teave (ees- ja perekonnanimi, isikukood, e-posti aadress, telefoninumber, riistvara, roll, õppeained, õpperühmad, kasutaja õppeasutus ja klass, kutse teiselt kasutajalt+kutsuja andmed, teenuse kasutamise aeg ja kasutaja IP aadress).
- Stuudiumi võti, sotsiaalmeedia võti Facebookis ja Google’s, E-kooli konto võti, kasutajatunnus ja e-posti aadress, HarID konto võti, kasutajatunnus, e-postiaadress, isikukood.
- Litsents Opiqus.
- Opiqu kasutuslogid.
- Kasutaja lisatud õppematerjal (fail, tekst), õppematerjalis lahendatud ülesannete vastused, õppematerjali lisatud märkmed ja kommentaarid.
- Teave õpilase soorituste kohta (õpilase vastused ülesandele, automaatkontrollitud tagasiside, õpetaja tagasiside vastuse parandustena, hindena või muul moel).
- Loodud/muudetud päevikud.
- Teave läbitöötatud õppematerjali kohta, ülesanded ja järjehoidjad õppematerjalis.
- CMS (content managment system) autori, toimetaja jms ees- ja perekonnanimi, mailiaadress, töökoht (kirjastus) kellega on Opiqul lepinguline suhe.
- Raamatupidamisandmed (Erakasutaja tasutud arved nimeliselt, litsentsi tähtaeg). Makseteenuse kasutamisel kasutaja pangakonto number.
- Kasutuste kirjed nt lehitsuste ajalugu, interaktiivsete komponentide kasutamise ajalugu;
- Kasutajatoe pöördumiste ajalugu;
- Otsingute, päringute ajalugu, lehitsuste ajalugu, interaktiivsete komponentide kasutamise ajalugu
Andmesubjektid
- Õpilane
- Lapsevanem
- Õpetaja
- Juriidilise isiku esindaja (kool või kohalik omavalitsus)
- Erakasutaja
- Opiq veebilehe külastaja
- E-poe tellija/ostja
- Õppematerjali autorid, toimetajad, kujundajad, tehnilised toimetajad
Isikuandmetele juurdepääs
- Ligipääs Opiqus sisalduvatele isikuandmetele on piiratud alljärgnevalt:
- Kui Opiqu kasutajaks on kool läbi oma volitatud esindaja, siis on tal juurdepääs järgmisele teabele: õpilase nimi, klassijuhataja nimi, aineõpetaja nimi, klass (klassikursus), e-post ja õpilase Opiqu päevikutes kasutatavad õppekomplektid;
- Kooli õpetajal, kes kasutab Opiqut on ligipääs oma õppeainega seotud järgmisele teabele: päeviku õpilaste nimekiri, kooli õpilaste e-posti aadressid ning teave oma aine õpiülesannete kohta ning nende tulemused ja sooritused (statistika);
- Klassijuhataja staatuses kooli õpetajal on ligipääs lisaks oma õppeaine õpetamisega seotud õpetaja õigustele veel ligipääs järgmisele teabele: oma klassiga seotud kõikide päevikute loetelu (hiljem ka tööd ja statistika);
- Opiqut kasutaval õpilasel on ligipääs oma andmetele, oma õppematerjalidele, saadetud (määratud) õpiülesannetele ja nende statistikale. Õpilasel on võimalik oma kontoga siduda lapsevanemaid;
- Lapsevanemal on ligipääs oma andmetele, oma lapse õppematerjalidele, määratud ülesannetele ja nende tulemustele. Lapsevanem ei saa märkida ega lisada õppematerjali ning ei saa lahendada ega ära saata õpilasele antud ülesandeid.
- Ligipääs Opiqus sisalduvatele isikuandmetele on piiratud alljärgnevalt:
Isikuandmete säilitustähtajad
- Andmete kustutamine toimub automaatselt pärast töötlemise eesmärgi täitmist. Reeglina sõltub kustutamine Kliendiga sõlmitud lepingust või Kliendi poolsest kustutamisest.
- Seaduses ettenähtud tähtaja puhul rakendatakse seaduses toodud tähtaega (nt raamatupidamisseadus 7a + jooksev majandusaasta).
- Opiqu kasutaja isikuandmed kustutatakse 5 aasta möödudes pärast õppimise lõppu. Viieaastane kontode säilitamisee eesmärk on võimaldada toetada õppijat soovi korral pärast üldhariduse omandamist (nt ülikoolis, kutsehariduse omandamisel) või koolitee katkestuse tõttu kasutada oma Opiqusse salvestatud andmeid. See toetab sisukat õpiteekonna jätkamist või sellele naasmist.
- Isikuandmete kustutamine toimub andmesubjekti kirjaliku taotluse alusel koheselt v.a. seadusega ettenähtud säilitamiskohustusega andmed ja Kliendi (kool või kohalik omavalitsus) poolset kustutamisluba vajavad andmed.
- Võimalusel rakendatakse andmete pseudonümiseerimist, kus eesmärki on võimalik saavutada ka pseudonüümsete andmetega.
- Tegevuslogisid hoitakse turvalisuse eesmärgil 1 aasta.
Isikuandmete alltöötlejad
- AgileWorks AS, www.agileworks.eu
- Microsoft Azure (Cloud Computing Platform & Services), azure.microsoft.com/en-us
- Koodimasin OÜ – Stuudium e-kool, www.stuudium.com
- eKool AS – e-Kool, www.ekool.ee
- ElasticSearch, www.elastic.co
- SendGrid, sendgrid.com
- Confluent Cloud Kafka, www.confluent.io
- Maksekeskus AS, www.maksekeskus.ee
- Star Cloud kui isikuandmete vastutav töötleja (olukord, kus Star Cloud töötleb isikuandmeid enda seatud eesmärkide täitmiseks) väljastab teavet kasutajate kohta kolmandatele isikutele ainult järgmistel juhtudel:
- teavet nõutakse tsiviil- või süüteomenetluse asjas;
- õppesisu loojatele väljastatakse vastavalt nende päringule õppematerjalide ja/või koolipõhist anonüümset, kasutajaga seostamatut õppematerjali kasutusstatistikat;
- Maksekeskus AS-ile kui volitatud töötlejale väljastatakse maksete teostamiseks vajalikud isikuandmed, kui õppematerjali kasutuslitsentsi eest tasutakse pangalingi või krediitkaardiga.
- Isikuandmete edastamine Euroopa Liidust välja toimub andmekaitse üldmääruses toodud nõudeid järgides. Euroopa Liiduga samaväärne andmekaitse tase tagatakse andmekaitselepingu tüüptingimustega (SCC).
Turvameetmed
Opiq kasutab uusimaid pilvetehnoloogiad ning kõrgeimaid turvalisusnõudeid. Muuhulgas on kasutusel ligipääsuhaldus, autentimisteenused, andmete krüpteerimine, turvatestimised jms. Täpsemate turvameetmete kirjelduse kohta saab teavet Star Cloud’ilt.
Kontakt
Opiq teenusepakkuja on Star Cloud OÜ, äriregistri kood 12731921, e-post info@starcloud.ee, tel +372 5323 7793.