Andmetöötlusleping

vahel.

Klient vastavalt ÜTK-le vastutava töötlejana (edaspidi "vastutav töötleja"),

ja

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Saksamaa kui volitatud töötleja (edaspidi "andmetöötleja", vastutav töötleja ja volitatud töötleja ühiselt "osapooled").

Preambul

Vastutav töötleja on andnud andmetöötlejale ÜTK-s (edaspidi "põhileping") sätestatud teenuste osutamiseks tellimuse. Lepingu täitmise osaks on isikuandmete töötlemine. Eelkõige kohaldatakse art. 28 GDPR kehtestab konkreetsed nõuded sellisele tellitud töötlemisele. Nende nõuete täitmiseks sõlmivad pooled järgmise andmetöötluslepingu (edaspidi "leping"), mille täitmise eest ei maksta eraldi tasu, välja arvatud juhul, kui selles on selgesõnaliselt kokku lepitud.

§ 1 Mõisted

(1) Vastavalt art. 4 lõike 7 kohaselt on vastutav töötleja üksus, kes üksi või koos teiste vastutavate töötlejatega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

(2) Vastavalt art. 4 lõike 8 kohaselt on vastutav töötleja füüsiline või juriidiline isik, asutus, institutsioon või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.

(3) Vastavalt art. 4 lõike 1 kohaselt on isikuandmed igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi "andmesubjekt") kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada eelkõige tunnuse, näiteks nime, isikukoodi, asukohaandmete, veebitunnuse või ühe või mitme füüsilise isiku füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteedi tunnuse alusel.

(4) Erilist kaitset nõudvad isikuandmed on isikuandmed vastavalt art. 9 GDPR, mis paljastavad andmesubjekti rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, isikuandmed vastavalt art. 10 GDPRi kohased isikuandmed süüdimõistvate kohtuotsuste ja kuritegude või nendega seotud turvameetmete kohta, samuti geneetilised andmed vastavalt art. 4 (13) GDPR, biomeetrilised andmed vastavalt art. 4 (14) GDPR, terviseandmed vastavalt art. 4 (15) GDPR, ning andmed füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta.

(5) Vastavalt isikuandmete kaitse üldmääruse artikli 4 lõikele 2 on töötlemine igasugune toiming või toimingute kogum, mis tehakse isikuandmete suhtes automatiseeritult või mitte, nagu kogumine, salvestamine, korrastamine, arhiveerimine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringute tegemine, kasutamine, avalikustamine edastamise, levitamise või muul viisil kättesaadavaks tegemise teel, ühtlustamine või ühendamine, piiramine, kustutamine või hävitamine.

(6) GDPR artikli 4 lõike 21 kohaselt on järelevalveasutus sõltumatu riigiasutus, mille liikmesriik on loonud vastavalt GDPR artiklile 51.

§ 2 Lepingu ese

(1) Andmetöötleja osutab vastutava töötleja jaoks põhilepingus sätestatud teenuseid. Seejuures saab volitatud töötleja juurdepääsu isikuandmetele, mida volitatud töötleja töötleb vastutava töötleja jaoks üksnes vastutava töötleja nimel ja juhiste kohaselt. Andmetöötleja poolt teostatava andmetöötluse ulatus ja eesmärk on sätestatud põhilepingus ja sellega seotud teenusekirjeldustes. Vastutav töötleja vastutab andmetöötluse lubatavuse hindamise eest.

(2) Lepinguosalised sõlmivad käesoleva lepingu, et täpsustada vastastikuseid õigusi ja kohustusi vastavalt andmekaitsealastele õigusaktidele. Kahtluse korral on käesoleva lepingu sätted ülimuslikud põhilepingu sätete suhtes.

(3) Käesoleva lepingu sätteid kohaldatakse kõigi põhilepinguga seotud tegevuste suhtes, mille käigus vastutav töötleja ja tema töötajad või volitatud isikud puutuvad kokku vastutavalt töötlejalt pärinevate või vastutava töötleja jaoks kogutud isikuandmetega.

(4) Käesoleva lepingu kehtivusaeg on reguleeritud põhilepingu kehtivusajaga, välja arvatud juhul, kui järgmistest sätetest tulenevad täiendavad kohustused või lõpetamisõigused.

§ 3 Õpetamisõigus

(1) Andmetöötleja võib andmeid koguda, töödelda või kasutada ainult põhilepingu raames ja vastavalt vastutava töötleja juhistele. Kui andmetöötleja peab Euroopa Liidu või liikmesriigi õiguse alusel, mille suhtes ta on kohustatud teostama edasist töötlemist, teavitab ta enne töötlemist vastutavat töötlejat nendest õiguslikest nõuetest.

(2) Kontrollija juhised määratakse esialgu kindlaks käesoleva lepinguga. Seejärel võib vastutav töötleja neid muuta, täiendada või asendada kirjalikult või tekstina individuaalsete juhistega (individuaalsed juhised). Vastutaval töötlejal on õigus anda selliseid juhiseid igal ajal. See hõlmab juhiseid andmete parandamise, kustutamise ja blokeerimise kohta.

(3) Kontrollija dokumenteerib kõik antud juhised. Juhiseid, mis lähevad kaugemale põhilepingus kokkulepitud teenusest, käsitletakse teenuse muutmise taotlusena.

(4) Kui volitatud töötleja on seisukohal, et vastutava töötleja korraldus rikub andmekaitsesätteid, teavitab ta sellest viivitamata vastutavat töötlejat. Andmetöötlejal on õigus peatada asjaomase korralduse rakendamine, kuni vastutav töötleja on selle kinnitanud või muutnud. Andmetöötleja võib keelduda ilmselgelt ebaseadusliku korralduse täitmisest.

§ 4 Töödeldavate andmete liigid, andmesubjektide rühm, kolmas riik

(1) Põhilepingu rakendamise raames on volitatud töötlejal juurdepääs lisas 1. täpsemalt määratletud isikuandmetele.

(2) Andmetöötlusest mõjutatud andmesubjektide rühm on loetletud lisas 1..

(3) Isikuandmete edastamine kolmandale riigile võib toimuda artiklis 3 sätestatud tingimustel. 44 ja sellele järgnevatel tingimustel. GDPRI ALUSEL.

§ 5 Andmetöötleja kaitsemeetmed

(1) Andmetöötleja on kohustatud järgima andmekaitset käsitlevaid seadusesätteid ja mitte avaldama vastutava töötleja domeenist saadud teavet kolmandatele isikutele ega tegema seda kättesaadavaks. Dokumendid ja andmed peavad olema kaitstud volitamata isikutele avaldamise eest, võttes arvesse tehnika taset.

(2) Andmetöötleja korraldab oma vastutusvaldkonna sisemise organisatsiooni nii, et see vastab andmekaitse erinõuetele. Ta peab olema võtnud lisas 2 sätestatud tehnilised ja korralduslikud meetmed, et kaitsta piisavalt vastutava töötleja andmeid vastavalt art. 32 GDPR, mida vastutav töötleja tunnistab piisavaks. Andmetöötleja jätab endale õiguse muuta võetud turvameetmeid, tagades samas, et lepingus kokkulepitud kaitsetaset ei alandata.

(3) Andmetöötleja poolt andmetöötlusega tegelevatel isikutel on keelatud koguda, töödelda või kasutada isikuandmeid ilma loata. Andmetöötleja kohustab kõiki isikuid, kellele ta on usaldanud käesoleva lepingu töötlemise ja täitmise (edaspidi "töötajad"), vastavalt sellele (konfidentsiaalsuskohustus, art. 28 (3) lit. b GDPR) ja tagab selle kohustuse täitmise nõuetekohase hoolsusega.

(4) Andmetöötleja on määranud andmekaitseametniku. Andmetöötleja andmekaitseametnik on heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Andmetöötleja teavitamiskohustused

(1) Andmetöötleja häirete, andmekaitse rikkumise või lepinguliste kohustuste rikkumise kahtluse korral, julgeolekuga seotud vahejuhtumite või muude eeskirjade eiramiste korral isikuandmete töötlemisel andmetöötleja, tema poolt lepingu raames tööle võetud isikute või kolmandate isikute poolt, teavitab andmetöötleja sellest viivitamata vastutavat töötlejat. Sama kehtib ka Andmetöötleja kontrollimise kohta andmekaitse järelevalveasutuse poolt. Isikuandmete rikkumisest teatamine peab sisaldama vähemalt järgmist teavet:

(a) isikuandmete rikkumise olemuse kirjeldus, sealhulgas võimaluse korral mõjutatud andmesubjektide kategooriad ja arv, mõjutatud kategooriad ja mõjutatud isikuandmete kirjete arv;

(b) kirjeldus meetmete kohta, mida andmetöötleja on võtnud või kavandab rikkumise kõrvaldamiseks, ja vajaduse korral meetmed selle võimalike kahjulike mõjude leevendamiseks;

(c) isikuandmete rikkumise tõenäoliste tagajärgede kirjeldus.

(2) Andmetöötleja võtab viivitamata vajalikud meetmed andmete kaitsmiseks ja võimalike kahjulike tagajärgede leevendamiseks andmesubjektidele, teavitab sellest vastutavat töötlejat ja nõuab täiendavaid juhiseid.

(3) Lisaks sellele on volitatud töötleja kohustatud igal ajal teavitama vastutavat töötlejat, kui lõike 1 kohane rikkumine mõjutab vastutava töötleja andmeid.

(4) Andmetöötleja teavitab vastutavat töötlejat kõigist olulistest muudatustest turvameetmetes vastavalt jao 5 lõikele 2.

§ 7 Vastutava töötleja kontrolliõigused

(1) Vastutav töötleja võib veenduda andmetöötleja tehnilistes ja korralduslikes meetmetes enne andmetöötluse alustamist ja seejärel regulaarselt igal aastal. Selleks võib vastutav töötleja näiteks saada teavet volitatud töötlejalt, saada olemasolevaid tõendeid ekspertidelt, sertifikaate või siseauditeid või pärast õigeaegset kooskõlastamist isiklikult kontrollida volitatud töötleja tehnilisi ja korralduslikke meetmeid tavalisel tööajal või lasta neid kontrollida pädeval kolmandal isikul, tingimusel et kolmas isik ei ole volitatud töötlejaga konkurentsisuhetes. Vastutav töötleja teostab kontrolle ainult vajalikul määral ja ei tohi seejuures andmetöötleja tegevust ebaproportsionaalselt häirida.

(2) Andmetöötleja kohustub esitama vastutava töötleja suulisel või kirjalikul nõudmisel mõistliku aja jooksul kogu teabe ja tõendid, mis on vajalikud andmetöötleja tehniliste ja korralduslike meetmete kontrollimiseks.

(3) Vastutav töötleja dokumenteerib kontrolli tulemused ja teavitab sellest volitatud töötlejat. Kui vastutav töötleja avastab vigu või eeskirjade eiramisi, eelkõige kontrolli tulemuste kontrollimise käigus, teavitab ta sellest viivitamata volitatud töötlejat. Kui kontrolli käigus avastatakse asjaolusid, mille vältimiseks tulevikus on vaja muuta tellitud menetlust, teavitab vastutav töötleja andmetöötlejat viivitamata vajalikest menetluslikest muudatustest.

§ 8 Teenusepakkujate kasutamine

(1) Lepingus kokkulepitud teenuseid osutavad lisas 3 nimetatud teenuseosutajad (edaspidi "alltöötlejad"). Vastutav töötleja annab andmetöötlejale üldise volituse GDPR artikli 28 lõike 2 punkti 1 tähenduses kasutada oma lepinguliste kohustuste raames täiendavaid alltöötlejaid või asendada juba kaasatud alltöötlejaid.

(2) Andmetöötleja teavitab vastutavat töötlejat enne mis tahes kavandatavat muudatust seoses alltöötleja kaasamise või asendamisega. Vastutav töötleja võib alltöötleja kavandatava kaasamise või asendamise vastu esitada vastuväiteid andmekaitsealaste õigusaktide kohaselt olulisel põhjusel.

(3) Vastuväide kavandatava alltöötleja kaasamise või asendamise kohta tuleb esitada 2 nädala jooksul alates muudatuse kohta teabe saamisest. Kui vastuväiteid ei esitata, loetakse kaasamine või asendamine heakskiidetuks. Kui selleks on oluline andmekaitsealane põhjus ja kui vastutava töötleja ja volitatud töötleja vahel ei ole võimalik saavutada sõbralikku lahendust, on vastutaval töötlejal eriline õigus vastuväite esitamisele järgneva kuu lõpus lõpetada.

(4) Alltöötlejate kaasamisel kohustab volitatud töötleja neid järgima käesoleva lepingu sätteid.

(5) Alltöövõtja suhe käesolevate sätete tähenduses ei ole olemas, kui volitatud töötleja tellib kolmandatelt isikutelt teenuseid, mida peetakse üksnes abiteenusteks. Nende hulka kuuluvad näiteks posti-, transpordi- ja veoteenused, puhastusteenused, telekommunikatsiooniteenused, ilma et oleks konkreetseid viiteid andmetöötleja poolt vastutavale töötlejale osutatavatele teenustele, ja valveteenused. Hooldus- ja testimisteenused kujutavad endast nõusolekut nõudvaid alltöötlejasuhteid, kui neid osutatakse IT-süsteemide jaoks, mida kasutatakse ka seoses vastutava töötleja jaoks teenuste osutamisega.

§ 9 Andmesubjektide taotlused ja õigused

(1) Andmetöötleja toetab vastutavat töötlejat sobivate tehniliste ja korralduslike meetmetega vastutava töötleja kohustuste täitmisel vastavalt GDPR artiklitele 12-22 ja 32-36.

(2) Kui andmesubjekt esitab oma andmetega seotud õigusi, nagu õigus juurdepääsule, parandamisele või kustutamisele, otse volitatud töötleja vastu, ei reageeri viimane iseseisvalt, vaid suunab andmesubjekti vastutava töötleja poole ja ootab ära vastutava töötleja juhised.

§ 10 Vastutus

(1) Andmetöötlejaga sisesuhetes vastutab andmesubjekti ees kahju hüvitamise eest, mida andmesubjekt on kandnud andmekaitsenõuete kohaselt lubamatu või ebaõige andmetöötluse või käsunditöötluse raames toimuva kasutamise tõttu, üksnes vastutav töötleja.

(2) Andmetöötlejal on piiramatu vastutus kahju eest, kui kahju põhjus põhineb andmetöötleja, tema seadusliku esindaja või asendusliikme tahtlikul või raskelt hooletusest tingitud kohustuste rikkumisel.

(3) Andmetöötleja vastutab hooletu käitumise eest ainult sellise kohustuse rikkumise korral, mille täitmine on lepingu nõuetekohase täitmise eelduseks ja mille järgimisele vastutav töötleja regulaarselt tugineb ja võib tugineda, kuid mis piirdub lepingule omase keskmise kahjuga. Muus osas on volitatud töötleja vastutus - sealhulgas tema asendusliikmete eest - välistatud.

(4) § 10.3 kohast vastutuse piiramist ei kohaldata elu, keha või tervise kahjustamisest või garantii võtmisest tulenevate kahjunõuete suhtes.

§ 11 Pealepingu lõpetamine

(1) Pärast põhilepingu lõpetamist tagastab volitatud töötleja vastutava töötleja kõik talle esitatud dokumendid, andmed ja andmekandjad või - vastutava töötleja taotlusel, välja arvatud juhul, kui liidu või Saksamaa Liitvabariigi õiguse alusel on kohustus isikuandmeid säilitada - kustutab need. See kehtib ka kõigi andmete varukoopiate kohta andmetöötleja juures. Andmetöötleja esitab taotluse korral dokumenteeritud tõendid andmete nõuetekohase kustutamise kohta.

(2) Vastutaval töötlejal on õigus kontrollida andmete täielikku ja lepingulist tagastamist või kustutamist andmetöötleja juures asjakohasel viisil.

(3) Andmetöötleja on kohustatud hoidma konfidentsiaalsena andmeid, millest ta on saanud teada seoses põhilepinguga, ka pärast põhilepingu lõppemist. Käesolev leping kehtib ka pärast põhilepingu lõppemist seni, kuni andmetöötleja käsutuses on isikuandmed, mille vastutav töötleja on talle edastanud või mida ta on kogunud vastutava töötleja jaoks.

§ 12 Lõppsätted

(1) Kuivõrd andmetöötleja ei tee käesoleva lepingu kohaseid tugitegevusi selgesõnaliselt tasuta, võib ta selle eest vastutavalt töötlejalt nõuda mõistlikku tasu, välja arvatud juhul, kui andmetöötleja enda tegevus või tegevusetus on muutnud sellise toetuse otseselt vajalikuks.

(2) Käesoleva lepingu muudatused ja täiendused tuleb teha kirjalikult. See kehtib ka käesoleva vorminõude täitmisest loobumise kohta. See ei mõjuta individuaalsete lepinguliste kokkulepete prioriteetsust.

(3) Kui käesoleva lepingu üksikud sätted on või muutuvad täielikult või osaliselt kehtetuks või jõustamatuks, ei mõjuta see ülejäänud sätete kehtivust.

(4) Käesoleva lepingu suhtes kohaldatakse Saksamaa õigust.

Lisa 2 - Andmetöötleja tehnilised ja korralduslikud meetmed

1. Sissejuhatus

Käesolevas dokumendis esitatakse kokkuvõte tehniliste ja korralduslike meetmete kohta, mida volitatud töötleja on võtnud art. 32 lõike 1 tähenduses. 1 GDPR TÄHENDUSES. Need on meetmed, mida volitatud töötleja on võtnud isikuandmete kaitsmiseks. Dokumendi eesmärk on toetada vastutavat töötlejat tema aruandekohustuse täitmisel vastavalt art. 5 lõige 2 GDPR.

2. Konfidentsiaalsus (GDPR artikli 32 lõige 1 punkt b)

2.1 Sisenemise kontroll

Järgmised rakendatud meetmed takistavad volitamata isikute juurdepääsu andmetöötlussüsteemidele:

• Kodust töötamine: kõrvalistel isikutel ei ole juurdepääsu töötajate kodudesse

• Töötamine kodukontoris: juhis töötajatele, et nad töötaksid võimaluse korral eluruumidest eraldi kontoris

2.2 Sissepääsukontroll

Järgmised rakendatud meetmed takistavad volitamata isikute juurdepääsu andmetöötlussüsteemidele:

• Autentimine kasutaja ja parooliga

• Tulemüüride kasutamine

• Mobiilseadmete haldamise kasutamine

• Andmekandjate krüpteerimine

• Automaatne töölaua lukustus

• Kasutajate volituste haldamine

• Kasutajaprofiilide loomine

• Kesksed paroolireeglid

• 2-faktorilise autentimise kasutamine

• Ettevõtte turvaliste paroolide poliitika

• Üldine juhis töölaua käsitsi lukustamiseks tööjaamast lahkumisel

2.3 Juurdepääsukontroll

Järgmised rakendatud meetmed tagavad, et volitamata isikutel ei ole juurdepääsu isikuandmetele:

• Rakendustele juurdepääsu logimine (eelkõige andmete sisestamisel, muutmisel ja kustutamisel).

• Administraatorite arv on võimalikult väike.

• Kasutajate õiguste haldamine süsteemiadministraatorite poolt

• Töötajate juhendamine, et andmed kustutatakse alles pärast konsulteerimist

2.4 Eraldamise kontroll

Järgmised meetmed tagavad, et erinevatel eesmärkidel kogutud isikuandmeid töödeldakse eraldi:

• Füüsiliselt eraldiseisev ladustamine eraldi süsteemides või andmekandjatel

• Tootmis- ja testsüsteemi eraldamine

• Klientide loogiline eraldamine (tarkvara poolel)

• Andmebaasiõiguste määratlus

• Sisemine juhis isikuandmete anonümiseerimiseks/pseudonümiseerimiseks andmete avaldamise korral või pärast seadusjärgse kustutamise tähtaja möödumist, kui see on võimalik.

3. Terviklikkus (GDPR artikli 32 lõige 1 punkt b)

3.1 Ülekandekontroll

Tagatakse, et isikuandmeid ei saa loata lugeda, kopeerida, muuta või eemaldada andmekandjatel edastamise või säilitamise ajal ning et on võimalik kontrollida, millised isikud või asutused on isikuandmeid saanud. Selle tagamiseks on rakendatud järgmised meetmed:

• WLAN-i krüpteerimine (WPA2 koos tugeva parooliga)

• Juurdepääsude ja päringute logimine

• Andmete edastamine krüpteeritud ühenduste, näiteks SFTP või HTTPS kaudu.

• Ettevõtte andmete välisserveritesse üleslaadimise keeld

3.2 Sisendkontroll

Järgmised meetmed tagavad, et on võimalik kontrollida, kes ja millal on isikuandmeid andmetöötlussüsteemides töödelnud:

• Andmete sisestamise, muutmise ja kustutamise logimine

• Logide käsitsi või automaatne kontroll

• andmete sisestamise, muutmise ja kustutamise jälgitavus üksikute kasutajanimede (mitte kasutajagruppide) kaudu

• Selge vastutus kustutuste eest

legal.dpa.latest.annexes.2.3.2.text.6

4. Kättesaadavus ja vastupidavus (GDPR artikli 32 lõige 1 punkt b)

Järgmised meetmed tagavad, et isikuandmed on kaitstud juhusliku hävimise või kadumise eest ja on kliendile alati kättesaadavad:

• Tulekustutid serveriruumides

• Seadmed serveriruumide temperatuuri ja niiskuse jälgimiseks

• Kliimaseadmed serveriruumides

• Kaitsvad pistikupesa ribad serveriruumides

• Katkestamatu toiteallikas (UPS)

• Videovalve serveriruumides

• Häireteade loata juurdepääsu kohta serveriruumidesse

• Regulaarsed varukoopiad

• Varundamise protsessi kontrollimine

• Andmete varukoopiate säilitamine turvalises, asukohavälistes kohtades.

• Regulaarsed andmete taastamise testid ja tulemuste logimine

• Sanitaarruumid puuduvad serveriruumis või selle kohal.

• Hosting (vähemalt kõige olulisemate andmete) professionaalse hostaja juures

5. Korrapärase läbivaatamise, hindamise ja hindamise menetlused (GDPR artikli 32 lõike 1 punkt d; GDPR artikli 25 lõige 1).

5.1 Andmekaitse haldamine

Järgmiste meetmete eesmärk on tagada, et organisatsioon täidab andmekaitsealaste õigusaktide põhinõudeid:

• heyData platvormi kasutamine andmekaitse haldamiseks

• Andmekaitseametniku määramine heyData

• Töötajate kohustus säilitada andmete salajasus

• Regulaarne andmekaitsealane koolitus töötajatele

• Ülevaate säilitamine töötlemistoimingutest (GDPR artikkel 30)

5.2 Intsidentidele reageerimise juhtimine

Järgmiste meetmete eesmärk on tagada, et andmekaitse rikkumiste korral käivitatakse aruandlusprotsessid:

• Andmekaitserikkumistest teatamise protsess vastavalt artiklile. 4 nr 12 GDPR järelevalveasutustele (GDPR artikkel 33)

• Teavitamisprotsess andmete rikkumise korral vastavalt art. 4 nr 12 GDPR andmesubjektidele (GDPR artikkel 34).

• Andmekaitseametniku kaasamine turvaintsidentide ja andmekaitserikkumiste korral

• Tulemüüride kasutamine

5.3 Andmekaitsesõbralikud vaikimisi seaded (GDPR artikkel 25 lõige 2)

Järgmiste meetmete eesmärk on tagada, et andmekaitse rikkumiste korral käivitatakse aruandlusprotsessid:

• Andmekaitserikkumistest teatamise protsess vastavalt artiklile. 4 nr 12 GDPR järelevalveasutustele (GDPR artikkel 33)

• Teavitamisprotsess andmete rikkumise korral vastavalt art. 4 nr 12 GDPR andmesubjektidele (GDPR artikkel 34).

5.4 Tellimuskontroll

Järgmised meetmed tagavad, et isikuandmeid saab töödelda ainult vastavalt juhistele:

• Kirjalikud juhised töövõtjale või juhised teksti kujul (nt andmetöötluslepingu kaudu).

• Andmete hävitamise tagamine pärast tellimuse täitmist, nt vastavate kinnituste nõudmise teel.

• Töövõtjate kinnitus, et nad kohustuvad oma töötajaid hoidma andmeid saladuses (tavaliselt andmetöötluslepingus).

• Töövõtjate hoolikas valik (eelkõige seoses andmeturbega)

• Töövõtjate ja nende tegevuse pidev läbivaatamine

• Andmete hävitamise tagamine pärast tellimuse täitmist, nt vastavate kinnituste nõudmise teel.

Versioon 1.3, jõustub 10. aprillil 2024. aastal.