Andmetöötluse leping

Jõustumiskuupäev: 2026-05-07 · Dokumendi versioon: 2026-05-07

Käesolev andmetöötluse leping ("DPA") täiendab teenusetingimusi ja moodustab määruse (EL) 2016/679 ("GDPR") artikli 28 kohase lepingu sinu ("vastutav töötleja") ja Operaatori ("volitatud töötleja") vahel iga kord, kui Operaator töötleb sinu nimel Teenusega seotud isikuandmeid.

1. Pooled

• Vastutav töötleja — teie, Teenuse klient (tavaliselt Eesti OÜ, AS, FIE või MTÜ).
• Volitatud töötleja — Xprofit OÜ, registrikood 14662029, Pae tn 21, 11414 Tallinn, Estonia, kontakt info@xprofitx.com.

2. Sisu, olemus, eesmärk ja kestus

• Sisu — Teenuse osutamiseks operaatorile vajalik isikuandmete töötlemine.
• Olemus — salvestamine, struktureerimine, arvutamine, deklaratsioonide ja aruannete koostamine, AI-toega kategoriseerimine, vastutava töötleja algatatud edastamine asutustele, varukoopiate majutamine.
• Eesmärk — vastutava töötleja raamatupidamisaruannete ja maksudeklaratsioonide koostamine ja esitamine.
• Kestus — Teenuse lepingu kestus pluss seadusjärgne säilitamistähtaeg (raamatupidamise seadus § 12, praegu 7 aastat), mille järel andmed kustutatakse, kui seadus ei nõua pikemat tähtaega.

3. Andmesubjektide ja isikuandmete kategooriad

• Andmesubjektid: vastutava töötleja töötajad, juhatuse liikmed, töövõtjad, kliendid ja vastaspoolted, kelle andmeid vastutav töötleja laadib üles või mida Teenus saab vastutava töötleja nimel avalikest registritest.
• Isikuandmed: tuvastusandmed (nimed, isikukood), kontaktandmed, tööandmed, palga- ja maksuandmed, pangandusandmed (IBAN, tehingud), arve andmed, deklaratsiooni sisu.

Teenus ei ole mõeldud isikuandmete eriliikide töötlemiseks (GDPR art 9). Vastutav töötleja ei tohi üles laadida tervisealaseid, biomeetrilisi andmeid, usulisi või poliitilisi vaateid jne.

4. Volitatud töötleja kohustused (GDPR art 28(3))

1. Töödelda isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas edastusi kolmandatesse riikidesse — juhised antakse Teenuse liidese ja käesolevate tingimuste kaudu.
2. Tagada, et isikuandmete töötlemiseks volitatud personal on seotud konfidentsiaalsuskohustusega.
3. Rakendada asjakohaseid tehnilisi ja korralduslikke turvameetmeid (sätestatud lisas I).
4. Kasutada alamtöötlejaid ainult allpool punktis 6 sätestatud tingimustel.
5. Aidata vastutavat töötlejat täita kohustust vastata andmesubjektide taotlustele (GDPR art 12–22).
6. Aidata vastutavat töötlejat täita GDPR art 32–36 kohustusi (turvalisus, rikkumiste teavitus, mõjuhinnangud).
7. Teenuse lepingu lõpetamisel kustutada või tagastada kõik isikuandmed vastutava töötleja valikul masinloetavas formaadis (CSV / JSON / PDF deklaratsioonide jaoks) 30 päeva jooksul kirjaliku taotluse saamisest, välja arvatud juhul, kui seadus nõuab säilitamist (eelkõige Raamatupidamise seadus § 12 — 7-aastane raamatupidamisdokumentide säilitamine).
8. Teha vastutavale töötlejale kättesaadavaks kogu teave, mis on vajalik art 28 nõuetele vastavuse tõendamiseks, ning võimaldada ja toetada auditeid kooskõlas punktiga 7.

5. Vastutava töötleja kohustused

• Tagada õiguslik alus töötlemisele, mida vastutav töötleja volitatud töötlejale teeb.
• Esitada andmesubjektidele teavitused ja saada nõusolekud GDPR-i nõuete kohaselt.
• Seadista kontosiseseid juurdepääsuõigusi vastutustundlikult.
• Teavitada volitatud töötlejat põhjendamatu viivituseta igast andmesubjekti taotlusest, mis puudutab volitatud töötleja tegevusi.

6. Alamtöötlejad

Vastutav töötleja volitab volitatud töötlejat kasutama lisas II loetletud alamtöötlejaid. Volitatud töötleja peab loetelu ja teavitab vastutavat töötlejat (selle lehe või e-posti teel) vähemalt 30 päeva enne uue alamtöötleja lisamist või asendamist.

Vastutav töötleja võib uue alamtöötleja vastu esitada vastuväite mõistlikel, dokumenteeritud andmekaitsealustel 30 päeva jooksul teavitusest. Sellisel juhul peavad pooled heas usus läbirääkimisi kuni 14 päeva jooksul; kui kokkulepet ei saavutata, võib vastutav töötleja Teenuse mõjutatud osa lõpetada ja saada lõpetamisjärgse perioodiga seotud ettemaksete proportsionaalse tagastuse. Vastuväite mittesõnastamine 30-päevase akna jooksul tähendab uue alamtöötleja aktsepteerimist.

Volitatud töötleja jääb vastutavaks vastutava töötleja ees iga alamtöötleja GDPR-kohustuste täitmise eest.

7. Auditi õigused

Vastutav töötleja võib auditeerida volitatud töötleja vastavust käesolevale DPA-le üks kord kalendriaastas, vähemalt 30-päevase kirjaliku etteteatamisega, tööajal, vastastikuse NDA alusel ja vastutava töötleja kulul. Volitatud töötleja võib auditi taotlustele vastata, esitades viimaseid kolmanda osapoole turvasertifikaate ja aruandeid (nt ISO 27001, SOC 2), kui need on saadaval.

Kui auditi taotlused puudutavad ühte alamtöötlejat, teeb volitatud töötleja mõistlikke jõupingutusi koordineeritud auditi soodustamiseks selle alamtöötleja standardse auditiprogrammi kaudu.

8. Isikuandmete rikkumised

Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta ja igal juhul 48 tunni jooksul pärast seda, kui ta saab teada vastutava töötleja andmeid puudutavast isikuandmete rikkumisest. Teavitus sisaldab rikkumise olemust, mõjutatud andmesubjektide kategooriaid ja ligikaudset arvu, tõenäolisi tagajärgi ning võetud või kavandatud meetmeid.

9. Rahvusvahelised andmeedastused

Kui isikuandmeid edastatakse Euroopa Majanduspiirkonnast väljapoole, tuginevad pooled tüüplepingutingimustele (otsus (EL) 2021/914), mis on sõlmitud asjakohase alamtöötlejaga, koos krüpteeringuga nii edastusel kui säilitamisel. Kohaldub moodul kaks (vastutav töötleja → volitatud töötleja) ja vajaduse korral moodul kolm (volitatud töötleja → alamtöötleja).

10. Vastutus

Teenusetingimuste vastutussätted kehtivad ka käesolevale andmetöötluslepingule. Miski käesolevas andmetöötluslepingus ei piira andmesubjekti õigusi GDPR art 82 alusel.

11. Kohaldatav õigus

Käesolevale DPA-le kohaldub Eesti Vabariigi õigus, vaidlused kuuluvad lahendamisele Harju Maakohus.

---

Lisa I — Tehnilised ja korralduslikud meetmed

Volitatud töötleja rakendab vähemalt järgnevaid meetmeid, mida vaadatakse üle vähemalt kord aastas:

Krüpteering

• TLS 1.3 kogu kliendi transpordi jaoks, ainult HSTS ja kaasaegsete šifreerimispakkidega.
• AES-256-GCM rakendusekihi krüpteering (Cloaki kaudu) tundlike väljade jaoks: isikukood, IBAN, TOTP saladus. Krüpteerimisvõtmed roteeritakse, kui võtmehalduses toimuvad olulised muudatused.
• Krüpteeritud kettataseme salvestus andmebaasi ja varukoopiate jaoks.

Juurdepääsukontroll

• Bcrypt parooli räsi kasutaja kasutajaandmete jaoks; valikuline TOTP 2FA kättesaadav kõigile kasutajatele.
• Rollipõhine juurdepääsukontroll Operaatori sees vähima privileegi vaikimisi väärtustega; tootmisesse pääsemiseks on vajalik eraldi nimeline kinnitus.
• Iga administratiivse toimingu täielik auditilogi koos toiminguga sooritaja, sihtmärgi ja ajaga, säilitatakse 12 kuud.
• Personali juurdepääs on piiratud volitatud töötajatega vajaduspõhiselt; tööle võtmise eelne taustakontroll ja kirjalik konfidentsiaalsuskohustus enne mis tahes juurdepääsu tootmisandmetele.

Võrk ja taristu

• Võrgu isolatsioon rakenduse- ja andmebaasikihtide vahel; andmebaas ei ole avatud avalikku internetti.
• Tootmise majutus EL piirkonnas; varukoopiad jäävad EL piirkonda.
• Krüpteeritud igapäevased andmebaasi varukoopiad 30-päevase rotatsiooniga; taastamise harjutused vähemalt kord kvartalis.

Haavatavuste ja intsidentide haldamine

• Pidev sõltuvuste seire (mix_audit) ja staatilise analüüsi turvaskaneerimine (sobelow) iga ehituse korral.
• Välimine läbitungimistest tehakse vähemalt kord aastas enne mis tahes olulist väljaannet, mis oluliselt laiendab rünnakupinda.
• Dokumenteeritud intsidendile reageerimise käsiraamat 72-tunnise regulaatori teavituse sihtmärgiga (GDPR art 33) ja paralleelse 48-tunnise vastutava töötleja teavituse sihtmärgiga punkti 8 alusel.
• Haavatavuse avaldamine: security@xprofitx.com; avaldatakse security.txt failis selle saadavusel.

Andmete elutsükkel

• Andmete minimeerimine: kogume ainult Teenuse osutamiseks vajalikke andmeid ja kõrvaldame vahepealsed AI artefaktid 30 päeva jooksul.
• Kustutamise õiguse tööriistad: konto kustutamine eemaldab konto kirje ja käivitab tuletatud andmete kaskaad-kustutamise; seadusjärgne säilitamine (Raamatupidamise seadus § 12) on tagatud eraldi ja säilitatakse krüpteerituna manipuleerimiskindlas arhiivis.

Lisa II — Volitatud alamtöötlejad

Alamtöötleja	Eesmärk	Asukoht
Stripe Payments Europe Ltd / Stripe Inc.	Rahvusvaheliste kaardimaksete töötlemine.	Ireland / USA
EveryPay AS (LHV Group)	SEPA, Eesti kaardisüsteemid, avatud pangandus.	Estonia
OpenAI Ireland Ltd / OpenAI L.L.C.	AI funktsioonid (vestlus, töötlemine, kategoriseerimine). Ettevõtte andmetingimused — esitatud sisu mudelitreening välistatud.	Ireland / USA
Hostinguinfrastruktuuri pakkuja	Andmetöötlus, salvestus ja võrk tootmise paigutuseks.	EL piirkond
E-posti edastusteenuse pakkuja (konfigureeritud korral)	Tehingu- ja teavitusmeilid.	EU / EMP

Käesoleva DPA tõlgete olemasolul on vastuolu korral määrav ingliskeelne versioon.