VoltiAvalehele

Andmetöötlusleping (DPA)

Versioon v1.0, 2026-05-10

1. Pooled

Käesolev andmetöötlusleping (edaspidi DPA) on sõlmitud Volti lahenduse OÜ (registrikood 17495075; edaspidi Töötleja) ja Volti.ee teenust kasutava juriidilise isiku (edaspidi Vastutav töötleja või Klient) vahel. DPA on lahutamatu osa Kasutustingimustest.

2. Töötlemise sisu

  • Töötlemise ese ja kestus: isikuandmete töötlemine Volti.ee teenuse osutamise raames Kliendi konto kehtivuse ajal + säilitusperiood pärast lõpetamist (vt Annex C).
  • Töötlemise olemus ja eesmärk: elektripaigaldiste käidu, hoolduse ja kontrolliaruannete digitaalne haldamine; aruannete genereerimine ja digitaalne allkirjastamine; jagamine kliendi nõusolekul.
  • Andmesubjektide kategooriad: Kliendi töötajad, Kliendi kliendid (ehk lõppkliendid), lõppkliendi kontaktisikud, kontrolliaruannetes mainitud isikud (sh inspekteerimisfotodel nähtavad isikud).
  • Isikuandmete kategooriad: kontaktandmed (nimi, e-post, telefon), professionaalsed andmed (roll, sertifikaadid), objektiandmed (aadressid), inspekteerimisfotod, digitaalsete allkirjade metaandmed. Eriliigilisi andmeid (terviseandmed, biomeetria) ei töödelda.

3. Vastutava töötleja kohustused

  • tagada, et igale töötlemisele on olemas õiguslik alus;
  • esitada andmesubjektidele GDPR art 13/14 kohased teated;
  • vastata andmesubjektide päringutele, kasutades selleks Töötleja poolt pakutavaid tööriistu (eksport, kustutamine);
  • mitte sisestada Teenusesse selliseid andmeid, mille töötlemiseks puudub õiguslik alus, ega eriliigilisi andmeid ilma eelneva kirjaliku kokkuleppeta Töötlejaga.

4. Töötleja kohustused

  • töödelda isikuandmeid üksnes Vastutava töötleja dokumenteeritud juhiste kohaselt (käesolev DPA, Teenuse funktsionaalsus, Vastutava töötleja seaded);
  • tagada, et töötlejaga seotud isikud on kohustatud säilitama konfidentsiaalsust;
  • rakendada Annex B-s kirjeldatud tehnilisi ja korralduslikke turvameetmeid;
  • kasutada alltöötlejaid üksnes käesoleva DPA tingimustel ja uutest alltöötlejatest teavitada Vastutavat töötlejat vähemalt 30 päeva ette;
  • aidata Vastutavat töötlejat andmesubjektide õiguste täitmisel (eksport, kustutamine), GDPR art 32-36 kohaste kohustuste täitmisel (turvalisus, intsidentidest teavitamine, mõjuhinnangud);
  • teavitada isikuandmete rikkumisest viivitamata, hiljemalt 24 tunni jooksul rikkumise avastamisest;
  • võimaldada audit Vastutavale töötlejale või tema nimetatud sõltumatule audiitorile mõistliku etteteatamisajaga (vähemalt 30 päeva) ja äri-saladuse hoidmise kohustusega.

5. Alltöötlejad

Vastutav töötleja annab Töötlejale üldise loa kasutada alltöötlejaid Annex A-s loetletud nimekirja kohaselt. Uutest alltöötlejatest teavitatakse Vastutavat töötlejat e-postiga vähemalt 30 päeva ette; Vastutaval töötlejal on õigus muudatusele põhjendatult vastu vaielda. Töötleja ja iga alltöötleja vahel sõlmitakse käesoleva DPA-ga sarnaste kohustustega leping.

6. Andmete edastamine kolmandatesse riikidesse

Hetkel toimub töötlemine üksnes EL/EMP territooriumil. Kui edaspidi peaks Töötleja kasutama alltöötlejat väljaspool EL-i, sõlmitakse vastav Standard Contractual Clauses (SCC) leping ja viiakse läbi vajalik ülekandemõju hinnang.

7. Lepingu lõppemine

  • DPA jõustub Klienti konto loomisel ja kehtib seni, kuni Töötleja töötleb Vastutava töötleja isikuandmeid.
  • Lepingu lõppemisel kustutab Töötleja isikuandmed 30 päeva jooksul, välja arvatud andmed, mille säilitamine on Töötleja kohustus (raamatupidamine, elektriohutuse seadusest tulenev säilitustähtaeg).
  • Vastutav töötleja võib Annex C-s ette nähtud lõpetamisperioodi jooksul oma andmed eksportida.

8. Vastutus

Käesoleva DPA rikkumisest tulenev vastutus on piiratud Kasutustingimustes sätestatuga. Mitte midagi käesolevas DPA-s ei piira pooli kandmast isiklikku vastutust GDPR art 82 alusel.

Annex A — alltöötlejate nimekiri

AlltöötlejaAsukohtEesmärk
Hetzner Online GmbHSaksamaa (EL)Serverimajutus, andmebaas
Hetzner Storage BoxSaksamaa (EL)Failihoidla
SK ID Solutions ASEestiMobiil-ID / Smart-ID autentimine
Stripe Payments Europe, LtdIirimaa (EL)Arveldus

Ajakohane nimekiri on alati saadaval lehel /sub-processors.

Annex B — tehnilised ja korralduslikud turvameetmed

  • Krüpteerimine transpordis: TLS 1.2+ kogu liiklusele.
  • Krüpteerimine puhkeolekus: serverite kõvakettad krüpteeritud (LUKS); failihoidla krüpteeritud Hetzner-poolse mehhanismiga.
  • Autentimine: bcrypt parooliräsi, Sanctum tokenid lühikese eluajaga (vt SEC-007), tugev parool nõue (vt SEC-023).
  • Juurdepääsuhaldus: rollipõhine õigussüsteem; auditi logid kriitilistel toimingutel.
  • Varundus: automaatne andmebaasi-varundus kaks korda päevas; varukoopiad asuvad eraldi serverites Soomes ja Rootsis.
  • Intsidentide reageerimine: 24/7 monitooring (Sentry/APM); tõsiste intsidentide korral teavitatakse Klienti 24 tunni jooksul.
  • Personali-koolitus: Volti töötajad on allkirjastanud konfidentsiaalsuslepingu ja saavad iga-aastast turbe-koolitust.

Annex C — töötlemise ulatus

  • Andmesubjektide kategooriad: vt punkt 2.
  • Isikuandmete kategooriad: vt punkt 2.
  • Töötlemise eesmärk: Volti.ee teenuse osutamine.
  • Säilitustähtajad: vt Privaatsuspoliitika p 4.
  • Andmesubjektide õigused: vt Privaatsuspoliitika p 7.
  • Lõpetamisperiood: 30 päeva pärast Kliendi konto sulgemist.