Andmetöötluse leping (ATL) vastavalt isikuandmete kaitse üldmääruse (GDPR) artiklile 28 vahel Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – edaspidi „Volitatud töötleja“ – ja vastav klient – edaspidi „Vastutav töötleja“ –

1. Töötlemise ese ja kestus

(1) Volitatud töötleja osutab Vastutavale töötlejale IT-turvalisuse ja robotituvastuse teenuseid teenuse „SilentShield.io“ kaudu.

(2) Töötlemise ese on andmevoogude automatiseeritud analüüs ja filtreerimine rünnakute ja kuritarvitusliku juurdepääsu tuvastamiseks ja ennetamiseks.

(3) Töötlemise kestus vastab vastava põhilepingu kehtivusajale.

2. Töötlemise olemus ja eesmärk

Töötlemine toimub eelkõige järgmistel eesmärkidel:

• Automatiseeritud juurdepääsu (robotite) tuvastamine ja ennetamine
• Kaitse rünnakute eest (nt DDoS, rämpspost)
• Süsteemi stabiilsuse ja kättesaadavuse tagamine
• Juurdepääsumustrite analüüs ohtude ennetamiseks

Automatiseeritud otsuseid (nt päringute blokeerimine) võidakse teha niivõrd, kui see on süsteemi turvalisuse jaoks vajalik.

3. Andmete liigid

• IP-aadressid
• HTTP päise andmed
• Brauseri ja seadme teave
• Juurdepääsu andmed (ajatempel, URL, päringud)
• Suhtlus- ja käitumisandmed

4. Andmesubjektide kategooriad

• Vastutava töötleja veebilehtede külastajad
• Vastutava töötleja veebiteenuste kasutajad

5. Vastutava töötleja kohustused

(1) Vastutav töötleja vastutab andmetöötluse seaduslikkuse eest.

(2) Vastutav töötleja tagab, et tal on õigus andmeid Volitatud töötlejale edastada.

(3) Vastutav töötleja täidab oma teavitamiskohustusi andmesubjektide ees.

6. Volitatud töötleja kohustused

Volitatud töötleja:

• töötleb andmeid üksnes dokumenteeritud juhiste alusel
• tagab asjakohased tehnilised ja korralduslikud meetmed
• tagab konfidentsiaalsuse
• abistab andmesubjektide õiguste teostamisel
• abistab andmekaitsealaste mõjuhinnangute läbiviimisel

7. Tehnilised ja korralduslikud meetmed (TKM)

Volitatud töötleja rakendab eelkõige järgmisi meetmeid:

• TLS/SSL krüpteerimine
• Juurdepääsukontroll ja rollipõhised mudelid
• Logimine ja seire
• Kaitse volitamata juurdepääsu eest
• Regulaarsed turvaauditid

8. Alltöötlejad

• Cloudflare, Inc. (USA) – CDN, WAF, proksi, DDoS-kaitse
• STRATO AG (Saksamaa) – Hostimine ja taristu

(2) Volitatud töötleja tagab, et kõik alltöötlejad on seotud vastavalt GDPR artiklile 28.

(3) Vastutav töötleja annab üldise loa nende alltöötlejate kasutamiseks.

(4) Alltöötlejate ajakohastatud nimekiri on saadaval päringul või veebilehe kaudu.

9. Edastamine kolmandatesse riikidesse

(1) Isikuandmete edastamine kolmandatesse riikidesse (eelkõige USA-sse) võib toimuda.

(2) Selline edastamine toimub üksnes GDPR-i kohaselt, eelkõige järgmiste vahendite kaudu:

• EL-i standardsed lepingutingimused (GDPR artikkel 46)
• Vajaduse korral EL-i ja USA andmekaitsekokkuleppe raamistik

10. Kontrollõigused

(1) Vastutaval töötlejal on õigus kontrollida käesoleva lepingu täitmist.

(2) Volitatud töötleja esitab selleks asjakohast teavet.

(3) Auditid tuleb ette teatada mõistliku etteteatamisega ja need ei tohi ebaproportsionaalselt häirida tegevust.

11. Andmete kustutamine

Lepingu lõppemisel kustutatakse või tagastatakse isikuandmed Vastutava töötleja valikul, välja arvatud juhul, kui kehtivad seaduslikud säilitamiskohustused.

12. Vastutus

Kehtivad põhilepingu vastutuse sätted.