Õiguslik teave
Andmetöötlusleping
Jõustumiskuupäev
9. juuli 2026
1. Pooled ja taust
Käesolev Andmetöötlusleping („ATL“) sõlmitakse Notakey Latvia, SIA (ühtne registreerimisnumber 40103993632, registrijärgne aadress Ganu iela 3 – 12, Riga, LV-1010, Läti) („Notakey“ või „Volitatud töötleja“) ja kohalduvas Tellimisvormis või tellimuses nimetatud kliendi („Klient“ või „Vastutav töötleja“) vahel. See moodustab osa Notakey Teenusetingimustest („Leping“) ja on nendesse viitega hõlmatud.
Käesolev ATL kohaldub, kui Notakey töötleb Teenuste osutamise käigus Kliendi nimel isikuandmeid määruse (EL) 2016/679 („IKÜM“, isikuandmete kaitse üldmäärus) tähenduses. Mõistetel „isikuandmed“, „töötlemine“, „vastutav töötleja“, „volitatud töötleja“ ja „andmesubjekt“ on IKÜM-is antud tähendused.
2. Ese, kestus, laad ja eesmärk
Ese: Notakey autentimis- ja tehingute allkirjastamise Teenuste (notakey.cloud või Notakey Appliance koos Notakey mobiilirakendusega) osutamine Kliendile.
Kestus: Lepingu kehtivusaeg, millele lisandub periood kuni kõigi Kliendi Isikuandmete kustutamise või tagastamiseni punkti 10 kohaselt.
Laad ja eesmärk: autentimis- ja tehingukinnitusandmete majutamine, edastamine ja töötlemine, et Kliendi volitatud kasutajad saaksid registreerida seadmeid, saada kinnitustaotlusi ning kinnitada või tagasi lükata autentimis- ja allkirjastamistoiminguid.
Andmesubjektide kategooriad: Kliendi töötajad, lepingupartnerid, kliendid, liikmed või muud lõppkasutajad, kelle Klient Teenustesse registreerib.
Isikuandmete liigid: kasutaja identifikaatorid (näiteks kasutajanimi, e-posti aadress või telefoninumber); registreerimise kontrolliandmed (näiteks SMS-i või WhatsAppi teel saadetud ühekordsed koodid, kataloogiteenuse või OpenID Connecti kinnitused või administraatori käsitsi antud kinnitus); seadmeandmed (seadme mudel, operatsioonisüsteemi versioon, tõuketeavituse tunnus (token), avalik võti ja seadme sertifikaat); ning autentimis-/kinnitustegevus (taotluse metaandmed, kinnitamise/tagasilükkamise tulemused, ajatemplid, allkirjad). Privaatvõtmed genereeritakse ja säilitatakse lõppkasutajate seadmetes ning neid ei edastata kunagi Notakeyle ega hoita Notakey juures. Isikuandmete eriliike (IKÜM-i artikkel 9) ei ole kavas töödelda; biomeetriline kontroll, kui seda kasutatakse, toimub täielikult lõppkasutaja seadmes ja Notakey seda ei saa.
3. Rollid ja juhised
Klient on Kliendi Isikuandmete vastutav töötleja ja Notakey on volitatud töötleja. Notakey töötleb Kliendi Isikuandmeid üksnes Kliendi dokumenteeritud juhiste alusel, sealhulgas nii, nagu on sätestatud Lepingus, käesolevas ATL-is ja Kliendi tehtud Teenuste seadistuses, välja arvatud juhul, kui töötlemist nõuab ELi või liikmesriigi õigus, mis Notakey suhtes kohaldub — sellisel juhul teavitab Notakey Klienti sellest õiguslikust nõudest enne töötlemist, kui seadus seda ei keela. Notakey teavitab Klienti, kui juhis on tema hinnangul IKÜM-iga vastuolus.
4. Konfidentsiaalsus
Notakey tagab, et Kliendi Isikuandmeid töötlema volitatud isikuid seob lepinguline või seadusest tulenev konfidentsiaalsuskohustus.
5. Turvalisus
Notakey rakendab ja hoiab toimivana asjakohaseid tehnilisi ja korralduslikke meetmeid Kliendi Isikuandmete kaitseks, võttes arvesse teaduse ja tehnika viimast taset, rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, nagu nõuab IKÜM-i artikkel 32. Kehtivad meetmed on kirjeldatud lisas 2. Notakey võib neid aeg-ajalt ajakohastada, tingimusel et üldist kaitsetaset ei vähendata.
6. Alltöötlejad
Klient annab Notakeyle üldise loa kaasata lisas 3 loetletud alltöötlejaid. Notakey teavitab Klienti vähemalt 30 päeva enne alltöötleja lisamist või asendamist; Klient võib selle aja jooksul esitada vastuväite mõistlikel andmekaitsealastel põhjustel, millisel juhul teevad pooled heas usus koostööd lahenduse leidmiseks ning selle ebaõnnestumisel võib Klient asjaomased Teenused lõpetada. Notakey kehtestab igale alltöötlejale andmekaitsekohustused, mis on samaväärsed käesolevas ATL-is sätestatuga, ja jääb nende täitmise eest vastutavaks.
7. Kliendi abistamine
Võttes arvesse töötlemise laadi, abistab Notakey Klienti asjakohaste tehniliste ja korralduslike meetmetega, niivõrd kui see on võimalik, Kliendi kohustuste täitmisel vastata andmesubjektide taotlustele (IKÜM-i III peatükk) ning Kliendi IKÜM-i artiklitest 32–36 tulenevate kohustuste täitmisel (turvalisus, rikkumisest teavitamine, andmekaitsealane mõjuhinnang ja eelnev konsulteerimine), igal juhul Kliendi mõistlikul taotlusel. Kui andmesubjekt pöördub seoses Kliendi Teenuste kasutamisega otse Notakey poole, suunab Notakey taotluse põhjendamatu viivituseta Kliendile.
8. Isikuandmetega seotud rikkumisest teavitamine
Notakey teavitab Klienti põhjendamatu viivituseta pärast seda, kui ta on saanud teadlikuks Kliendi Isikuandmeid puudutavast isikuandmetega seotud rikkumisest, ning esitab Notakeyle mõistlikult kättesaadava teabe, et aidata Kliendil täita tema enda teavitamiskohustusi IKÜM-i artiklite 33 ja 34 alusel, täiendades teadet lisateabe kättesaadavaks muutumisel.
9. Rahvusvahelised edastused
Notakey töötleb Kliendi Isikuandmeid Euroopa Majanduspiirkonnas. notakey.cloud on majutatud Oracle Cloud Infrastructure’i taristul. Kui alltöötleja töötleb isikuandmeid väljaspool EMP-d (vt lisa 3), tagab Notakey asjakohase edastuse kaitsemeetme olemasolu, näiteks Euroopa Komisjoni lepingu tüüptingimused või kaitse piisavuse otsuse (sealhulgas ELi–USA andmekaitseraamistik, kui vastuvõtja on sertifitseeritud).
10. Andmete kustutamine ja tagastamine
Teenuste lõppemisel või aegumisel kustutab või tagastab Notakey Kliendi valikul kõik Kliendi Isikuandmed ja kustutab olemasolevad koopiad põhjendamatu viivituseta, välja arvatud juhul, kui ELi või liikmesriigi õigus nõuab edasist säilitamist.
11. Auditid
Notakey teeb Kliendile kättesaadavaks teabe, mis on mõistlikult vajalik käesoleva ATL-i täitmise tõendamiseks, ning võimaldab Kliendi või Kliendi volitatud audiitori tehtavaid auditeid, sealhulgas kontrolle, ja panustab nendesse, tingimusel et sellest teatatakse mõistliku aja võrra ette, mitte sagedamini kui üks kord mis tahes 12-kuulise perioodi jooksul (välja arvatud juhul, kui isikuandmetega seotud rikkumine või järelevalveasutus nõuab teisiti), tavapärasel tööajal ja konfidentsiaalsuskohustuste alusel. Notakey võib audititaotluse esmalt rahuldada olemasolevate auditiaruannete või sertifikaatide esitamisega, kui need katavad mõistlikult taotluse ulatuse.
12. Vastutus ja dokumentide järjestus
Kummagi poole vastutusele käesoleva ATL-i alusel kohalduvad Lepingus sätestatud vastutuse piirangud. Kui käesolev ATL ja Leping on isikuandmete töötlemise osas vastuolus, kohaldatakse käesolevat ATL-i.
Lisa 1 — Töötlemise üksikasjad
Nagu on sätestatud käesoleva ATL-i punktis 2 (ese, kestus, laad ja eesmärk, andmesubjektide kategooriad ning isikuandmete liigid).
Lisa 2 — Tehnilised ja korralduslikud meetmed
- Lõppkasutajate privaatvõtmed genereeritakse ja neid hoitakse seadme riistvarapõhises turvahoidlas ning neid ei edastata kunagi Notakeyle ega hoita Notakey juures; iga kinnitus allkirjastatakse seadmes krüptograafiliselt.
- Edastatavad andmed krüpteeritakse TLS-i abil.
- Kinnitustaotluse sisu edastatakse seadmesse alles pärast seda, kui kasutaja on tõuketeavituse vastu võtnud; tõuketeavituste pakkujad (APNs/FCM) saavad tunnused (tokenid), mitte taotluse sisu.
- Täpsemad üksikasjad Notakey tehniliste ja korralduslike meetmete kohta on Kliendile kättesaadavad taotluse alusel aadressil info@notakey.com.
Lisa 3 — Volitatud alltöötlejad
- Oracle Cloud Infrastructure — teenuse notakey.cloud majutus.
- Apple Inc. (Apple Push Notification service) — tõuketeavituste edastamine iOS-i seadmetesse.
- Google LLC (Firebase Cloud Messaging) — tõuketeavituste edastamine Androidi seadmetesse.
- Functional Software, Inc. (Sentry) — rakenduse vea- ja krahhidiagnostika.
Kui Kliendi liitumise seadistuses kasutatakse ühekordsete koodide saatmist SMS-i või WhatsAppi teel, saab sõnumite edastamise teenusepakkuja lõppkasutaja telefoninumbri edastamise eesmärgil. Ajakohane alltöötlejate loetelu on kättesaadav taotluse alusel aadressil info@notakey.com.