Skip to main content
Klubio Logo
Menüü
Proovi tasuta

Andmetöötlusleping

Viimati uuendatud: 13. juuni 2026

Keel:English·Eesti

Andmetöötlusleping

Käesolev andmetöötlusleping ("Leping") on osa lepingust, mille alusel Klient tellib Klubio platvormi ("Põhileping"), ja sellele allutatud. Leping reguleerib isikuandmete töötlemist Volitatud töötleja poolt Vastutava töötleja nimel ning sõlmitakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 ("üldmäärus" või "GDPR") artikli 28 täitmiseks.

Pooled

Volitatud töötleja: Qbit Software OÜ, Eesti osaühing, registrikood 17099698, registreeritud asukoht Heki tee 3, 74001 Harjumaa, Eesti, kes haldab "Klubio" platvormi ("Volitatud töötleja" või "Klubio"). "Klubio" on Klubio LLC (Wyoming, USA) kaubamärk, mida Volitatud töötleja kasutab litsentsi alusel. Klubio LLC ei töötle isikuandmeid Vastutava töötleja nimel ega ole käesoleva Lepingu osapool.

Vastutav töötleja: klubi, ühing või organisatsioon, kes on sõlminud Põhilepingu ja kasutab Klubio platvormi oma liikmete ja tegevuse haldamiseks ("Vastutav töötleja" või "Klient"). Vastutava töötleja andmed ja kontaktandmed on need, mis on esitatud kasutuselevõtul ja kajastatud Volitatud töötleja andmetes.

Vastutav töötleja ja Volitatud töötleja on kumbki "Pool" ning koos "Pooled".

Taust ja rollid

Vastutav töötleja (tavaliselt spordiklubi või mittetulundusühing, sealhulgas Eesti MTÜ) määrab oma liikmete, sportlaste, eestkostjate, töötajate ja taotlejate isikuandmete töötlemise eesmärgid ja vahendid. Volitatud töötleja osutab Klubio tarkvarateenust (SaaS), mille kaudu selliseid isikuandmeid töödeldakse. Nende liikmeandmete osas tegutseb Vastutav töötleja vastutava töötlejana ja Volitatud töötleja volitatud töötlejana.

Käesolev Leping ei kohaldu isikuandmetele, mille osas Volitatud töötleja on ise vastutav töötleja (näiteks Kliendi enda konto-, arveldus- ja platvormi kasutusandmed), mida reguleerib Klubio privaatsuspoliitika.

1. Mõisted

Käesolevas Lepingus määratlemata suurtähega mõistetel on üldmääruses antud tähendus. "Isikuandmed", "töötlemine", "andmesubjekt", "eriliigilised isikuandmed", "järelevalveasutus" ja "isikuandmetega seotud rikkumine" omavad üldmääruses antud tähendust. "Alltöötleja" tähendab kolmandat isikut, kelle Volitatud töötleja kaasab isikuandmete töötlemiseks Vastutava töötleja nimel. "Kohaldatav andmekaitseõigus" tähendab üldmäärust ja seda täiendavat Eesti või EL/EMP õigust, sealhulgas Eesti isikuandmete kaitse seadust.

2. Ese, kestus, laad ja eesmärk

Töötlemise ese, kestus, laad ja eesmärk, isikuandmete liigid ning andmesubjektide kategooriad on kirjeldatud Lisas B. Töötlemine kestab Põhilepingu kehtivuse ajal, arvestades punkti 10 (tagastamine ja kustutamine).

3. Volitatud töötleja kohustused

Volitatud töötleja kohustub:

  1. Töötlema üksnes dokumenteeritud juhiste alusel. Töötlema isikuandmeid üksnes Vastutava töötleja dokumenteeritud juhiste alusel — sealhulgas seoses andmete edastamisega kolmandatesse riikidesse —, välja arvatud juhul, kui EL-i või liikmesriigi õigus seda nõuab; sel juhul teavitab Volitatud töötleja Vastutavat töötlejat sellest õiguslikust nõudest enne töötlemist, välja arvatud kui õigus keelab sellise teavitamise olulistel avaliku huvi põhjustel. Põhileping, käesolev Leping ja Kliendi kasutatavad platvormi seadistusvalikud moodustavad Vastutava töötleja dokumenteeritud juhised.

  2. Teavitama ebaseaduslikest juhistest. Teavitama Vastutavat töötlejat viivitamata, kui tema hinnangul rikub juhis kohaldatavat andmekaitseõigust.

  3. Tagama konfidentsiaalsuse. Tagama, et isikuandmete töötlemiseks volitatud isikud on kohustunud konfidentsiaalsust hoidma või neil on asjakohane seadusjärgne konfidentsiaalsuskohustus.

  4. Rakendama turvameetmeid. Rakendama ja säilitama Lisas C sätestatud tehnilisi ja korralduslikke meetmeid kooskõlas üldmääruse artikliga 32.

  5. Kaasama alltöötlejaid üksnes punkti 5 alusel.

  6. Abistama andmesubjekti õiguste teostamisel. Arvestades töötlemise laadi, abistama Vastutavat töötlejat asjakohaste tehniliste ja korralduslike meetmetega võimaluste piires Vastutava töötleja kohustuse täitmisel vastata üldmääruse III peatüki kohastele andmesubjekti õiguste teostamise taotlustele (juurdepääs, parandamine, kustutamine, piiramine, ülekandmine, vastuväide).

  7. Abistama vastavuskohustuste täitmisel. Abistama Vastutavat töötlejat üldmääruse artiklitest 32–36 tulenevate kohustuste (turvalisus, rikkumisest teavitamine, andmekaitsealane mõjuhinnang ja eelnev konsulteerimine) täitmisel, arvestades töötlemise laadi ja Volitatud töötlejale kättesaadavat teavet.

  8. Toetama auditeid. Tegema Vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik üldmääruse artikli 28 täitmise tõendamiseks, ning võimaldama auditeid ja inspektsioone, mida viib läbi Vastutav töötleja või tema volitatud audiitor, kooskõlas punktiga 8, ja aitama neile kaasa.

  9. Kustutama või tagastama andmed. Teenuse osutamise lõppedes kustutama või tagastama kõik isikuandmed kooskõlas punktiga 10.

4. Vastutava töötleja kohustused

Vastutav töötleja kohustub:

  1. Täitma oma kui vastutava töötleja kohustusi kohaldatava andmekaitseõiguse alusel, sealhulgas looma töötlemiseks õigusliku aluse ja vajaduse korral saama kehtiva nõusoleku (sealhulgas vanema nõusoleku laste puhul, kes on alla kohaldatava digitaalse nõusoleku ea — Eestis 13).

  2. Esitama oma andmesubjektidele kogu nõutava teabe (privaatsusteated) platvormi kaudu toimuva töötlemise kohta.

  3. Andma üksnes seaduslikke juhiseid ja vastutama ainuisikuliselt isikuandmete õigsuse, kvaliteedi ja seaduslikkuse ning nende hankimise viisi eest.

  4. Vastutama andmete eest, mille ta platvormile sisestab, sealhulgas eriliigiliste isikuandmete (näiteks terviseandmed) ja laste andmete eest, ning juurdepääsu piiramise eest oma organisatsioonis platvormi rollide ja õiguste abil.

5. Alltöötlejad

Vastutav töötleja annab Volitatud töötlejale üldise kirjaliku loa alltöötlejate kaasamiseks. Alltöötlejate ajakohane loend on avaldatud Klubio alltöötlejate lehel ja moodustab käesoleva Lepingu Lisa D.

Volitatud töötleja kohustub: (a) panema igale alltöötlejale kirjaliku lepinguga andmekaitsekohustused, mis ei ole käesolevas Lepingus sätestatutest vähem kaitsvad; (b) jääma Vastutava töötleja ees täielikult vastutavaks iga alltöötleja kohustuste täitmise eest; ning (c) teavitama Vastutavat töötlejat igast kavandatavast alltöötleja lisamisest või asendamisest, andes Vastutavale töötlejale võimaluse esitada mõistlikel andmekaitsealastel põhjustel vastuväide 14 päeva jooksul teavitamisest. Kui Vastutav töötleja esitab vastuväite ja Pooled ei suuda seda lahendada, võib Vastutav töötleja vastava teenuse lõpetada.

6. Andmete edastamine kolmandatesse riikidesse

Volitatud töötleja talletab ja töötleb isikuandmeid Euroopa Majanduspiirkonnas (EMP), kus see on mõistlikult teostatav. Kui alltöötleja töötlemine hõlmab isikuandmete edastamist väljapoole EMP-d riiki, mille kohta puudub kaitse piisavuse otsus, tagab Volitatud töötleja asjakohase edastamismehhanismi olemasolu üldmääruse V peatüki alusel — eelkõige Euroopa Komisjoni lepingu tüüptingimused (2021/914) koos nõutavate täiendavate meetmetega. Lisa D määratleb iga alltöötleja kohta tema asukoha ja kohaldatava edastamise kaitsemeetme.

7. Isikuandmetega seotud rikkumised

Volitatud töötleja teavitab Vastutavat töötlejat põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast Vastutava töötleja isikuandmeid puudutavast rikkumisest teadasaamist. Teade kirjeldab kättesaadavas ulatuses rikkumise laadi, asjaomaste andmesubjektide ja kirjete kategooriaid ja ligikaudset arvu, tõenäolisi tagajärgi ning võetud või kavandatavaid meetmeid. Volitatud töötleja teeb Vastutava töötlejaga koostööd ja võtab mõistlikke meetmeid rikkumise leevendamiseks ja heastamiseks. Vastutav töötleja vastutab järelevalveasutuse ja mõjutatud andmesubjektide teavitamise eest üldmääruse artiklite 33 ja 34 alusel.

8. Audit

Volitatud töötleja teeb Vastutavale töötlejale mõistliku taotluse alusel ja mitte sagedamini kui kord aastas (välja arvatud kui järelevalveasutus seda nõuab või pärast isikuandmetega seotud rikkumist) kättesaadavaks teabe ja dokumentatsiooni, mis on mõistlikult vajalik käesoleva Lepingu täitmise tõendamiseks — see võib olla ajakohaste sertifikaatide, kolmanda isiku auditiaruannete või tehniliste ja korralduslike meetmete kirjelduse kujul. Kohapealsed inspektsioonid toimuvad mõistliku etteteatamisega, tööajal ja viisil, mis ei häiri Volitatud töötleja tegevust ega ohusta teiste klientide andmete konfidentsiaalsust.

9. Vastutus

Kummagi Poole vastutus, mis tuleneb käesolevast Lepingust või on sellega seotud, allub Põhilepingus sätestatud vastutuse piirangutele ja välistustele. Miski käesolevas Lepingus ei piira vastutust, mida ei saa kohaldatava andmekaitseõiguse alusel piirata.

10. Kestus, tagastamine ja kustutamine

Käesolev Leping jõustub Põhilepingu jõustumise kuupäeval ja kehtib seni, kuni Volitatud töötleja töötleb isikuandmeid Vastutava töötleja nimel. Põhilepingu lõppemisel kustutab või tagastab Volitatud töötleja Vastutava töötleja valikul kõik Vastutava töötleja nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad 30 päeva jooksul, välja arvatud kui EL-i või liikmesriigi õigus nõuab isikuandmete säilitamist. Eelkõige säilitatakse raamatupidamisdokumente (sealhulgas väljastatud arveid) Eesti raamatupidamise seadusega nõutava tähtaja jooksul (praegu 7 aastat), misjärel need kustutatakse. Tavapärastes varukoopiates olevad isikuandmed kustutatakse Volitatud töötleja varukoopiate rotatsioonitsükli kohaselt.

11. Kohaldatav õigus ja kohtualluvus

Käesolevale Lepingule kohaldatakse Eesti Vabariigi ja vajaduse korral EL-i õigust. Pädev järelevalveasutus on Andmekaitse Inspektsioon. Vaidlused alluvad Põhilepingus kokkulepitud kohtualluvusele.

Lisa A — Pooled ja kontaktid

  • Volitatud töötleja: Qbit Software OÜ, registrikood 17099698, Heki tee 3, 74001 Harjumaa, Eesti. Andmekaitse kontakt: info@klubio.eu.

  • Vastutav töötleja: Põhilepingus määratletud Klient; kontaktandmed vastavalt kasutuselevõtul esitatule.

Lisa B — Töötlemise kirjeldus

Ese: Klubio klubihaldusplatvormi osutamine Vastutavale töötlejale.

Kestus: Põhilepingu kehtivusaeg, millele lisandub seadusest tulenev säilitustähtaeg.

Töötlemise laad ja eesmärk: isikuandmete majutamine, talletamine, korrastamine, väljavõtmine, kuvamine ja edastamine klubi ja liikmesuse halduse, treeningute ja kohaloleku halduse, suhtluse ja teavituste, arvelduse ja arveldamise, lepingute ja nõusolekute halduse ning — kui Vastutav töötleja selle lubab — sportlaste meditsiini-/vigastushalduse eesmärgil.

Andmesubjektide kategooriad:

  • Klubi liikmed ja sportlased, sealhulgas lapsed;

  • Vanemad, eestkostjad ning hädaolukorra/järeletuleku kontaktid;

  • Treenerid, administraatorid ja muu klubi personal;

  • Taotlejad ja potentsiaalsed liikmed.

Isikuandmete kategooriad:

  • Identiteedi- ja kontaktandmed: nimi, e-post, telefon, sünnikuupäev, isikukood, aadress;

  • Liikmesuse ja osaluse andmed: rühma/võistkonna kuuluvus, kohalolek, treeninguandmed, vastused (RSVP);

  • Eestkostja ja suhteandmed: eestkostja nimed ja kontaktid, suhe, järeletuleku- ja teavitusõigused;

  • Finants- ja arveldusandmed: arved, maksed, arvelduse korrigeerimised;

  • Lepingu- ja nõusolekuandmed: allkirjastatud lepingud, allkirjastaja nimi ja e-post, allkirja IP-aadress ja ajatempel;

  • Suhtlusandmed: platvormi kaudu saadetud/saadud e-kirjad, rakendusesisesed teated, teavituseelistused;

  • Eriliigilised isikuandmed (üldmääruse artikkel 9), kui Vastutav töötleja lubab ja kasutab meditsiinifunktsioone: terviseandmed, sealhulgas allergiad, meditsiinilised märkused, tervisekontrolli kuupäevad, vigastused ja diagnoosid, vigastuse anatoomiline asukoht (kehakaart), mängu naasmise / saadavuse staatus, meditsiinitestide tulemused ja vigastusega seotud manused.

Eriliigiliste isikuandmete märkus: Vastutav töötleja vastutab artikli 9 kohase kehtiva tingimuse (tavaliselt selgesõnaline nõusolek või muu kohaldatav tingimus) loomise eest enne terviseandmete sisestamist ning juurdepääsu piiramise eest volitatud töötajatele platvormi õiguste abil. Volitatud töötleja rakendab määratud terviseväljadele väljatasandi krüpteerimist, nagu on kirjeldatud Lisas C.

Töötlemise sagedus: pidev, Põhilepingu kehtivuse ajal.

Lisa C — Tehnilised ja korralduslikud meetmed (artikkel 32)

Märkus: käesolev Lisa võtab meetmed kokku ning seda tuleb hoida kooskõlas sisemise tehniliste ja korralduslike meetmete (TOM) dokumendiga. Kinnita enne avaldamist, et iga punkt kajastab praegust tegelikku olukorda.

  • Krüpteerimine edastamisel: kogu platvormi liiklus toimub HTTPS/TLS kaudu.

  • Krüpteerimine talletamisel: andmebaas ja objektitalletus on majutusteenuse pakkuja poolt talletamisel krüpteeritud. Lisaks krüpteeritakse määratud eriliigilised väljad (nt allergiad, meditsiinilised märkused, vigastuste diagnoosid ja märkused) ning talletatud raamatupidamise mandaadid rakendustasandil AES-256-GCM abil.

  • Juurdepääsukontroll: rollipõhine juurdepääsukontroll piiritleb andmed klubi ja rolli/õiguse kaupa; liikmed, treenerid ja administraatorid näevad üksnes andmeid, mida nende õigused lubavad. Meditsiiniandmed on piiratud volitatud rollidele.

  • Eraldatus: andmed on rakendustasandil loogiliselt klubi (rentniku) kaupa eraldatud.

  • Failide talletus: dokumendid ja meditsiinilised manused talletatakse privaatses objektitalletuses, mis ei ole avalikult kättesaadav.

  • Autentimine: mandaadipõhine autentimine turvalise paroolikäsitlusega; seansside aegumine ja puhastamine.

  • Pseudonüümimine/minimeerimine: juurdepääs eriliigilistele andmetele on piiratud volitatud isikutele; platvorm toetab konto deaktiveerimist ja kustutamist.

  • Vastupidavus ja varundus: regulaarsed varukoopiad majutusteenuse pakkuja poolt; majutusteenuse pakkuja (DigitalOcean) hallatavad andmebaasi varukoopiad ajahetke taastega, säilitatud ligikaudu 7 päeva.

  • Logimine: teatud tundlike kirjete (nt meditsiiniline staatus) muudatused logitakse koos tegutseva kasutaja ja ajatempliga..

Lisa D — Volitatud alltöötlejad

Alltöötlejate ajakohane loend koos iga alltöötleja eesmärgi, asukoha ja edastamise kaitsemeetmega on avaldatud Klubio alltöötlejate lehel ja viitega lisatud käesolevasse Lepingusse. Seisuga 13. juuni 2026 hõlmab see (vähemalt): tehinguliste e-kirjade pakkuja (Postmark / Wildbit), majutuse ja objektitalletuse pakkuja DigitalOcean, Amsterdam, makseteenuse pakkuja Maksekeskus AS ning — üksnes juhul, kui Vastutav töötleja lubab raamatupidamise integratsiooni — asjaomase Eesti raamatupidamisteenuse pakkuja (Merit Aktiva või Excellent Books).