Usalduskeskus koolidele ja hangetele

Jõustumise kuupäev: 11. märts 2026

Need teenuse tingimused ("Tingimused") kirjeldavad teie õigusi ja kohustusi Edudata.io teenuse ("Teenus") kasutamisel, mida haldab Cloudpoint Oy ("meie", "me" või "Ettevõte"). Palun lugege need Tingimused hoolikalt läbi enne Edudata.io teenuse mis tahes versiooni kasutamist.

Teenust pakub Cloudpoint Oy, Malminkaari 17-19B, 00700 Helsinki, Soome, äriregistri kood 2325703-6.

Lisaks on juurdepääs sellele Teenusele ja selle kasutamine – sealhulgas andmete struktuur, organiseerimine, esitlus ja selle kaudu avalikustatavad insaidid Edudata.io kaitstud metodoloogia ja oskusteabe kohta – rangelt piiratud abikõlblike haridusteenuse osutajatega ja seotud käesolevate Tingimustega. Kasutamine konkurentide poolt konkurentsianalüüsiks, benchmarkinguks, reverse engineeringuks või selleks, et saada uautoriseeritud ülevaadet Edudata.io protsessidest, andmete kureerimisest või ärimudelist, on selgelt keelatud ja sellele järgnevad olulised finantsilised tagajärjed ja leppetrahvid, nagu on üksikasjalikult kirjeldatud käesolevates Tingimustes.

1. Teenuse üldine kirjeldus ja versioonid

Teenust Edudata.io kasutatakse andmekaitse, tehisintellekti (AI) ja turvanõuete vastavuse, samuti õppetöös kasutatavate digitaalsete teenuste üldise sobivuse hindamiseks. Teenus on mõeldud Klientidele (nt linnad, vallad, haridusteenuse osutajad, õppeasutused), edaspidi "Klient" või "Haridusteenuse osutaja".

Edudata.io toetab haridusteenuse osutajat ajakohase dokumentatsiooni pidamisel õpilaste isikuandmete töötlemise kohta erinevates õppetöös kasutatavates digiteenustes.

Teenuse komponendid:

• EDUDATA Compliance: Koosneb Edudata.io platvormist enesest ja kureeritud nimekirjast hariduses kasutatavatest digiteenustest koos üksikasjaliku teabega nende kohta.
• EDUDATA Compliance Service: Professionaalne teenus, kus Ettevõte või Partner hindab digitaalseid õppeteenuseid, võimaldades Kliendil kaardistada ja hallata seotud riske ning saata teenuseid hindamisele.
• EDUDATA Privacy: Läbipaistvuse tööriist, mis võimaldab õpilasel näha kasutusel olevaid digiteenuseid, nendes teenustes töödeldavaid andmeid, andmete säilitamise tähtaega ning seda, millal kasutaja on sisse loginud oma EDU-tunnustega.
• EDUDATA Security: Komponent, mis kogub esimese ja teise taseme sisselogimisandmeid eraldi määratletud õpikeskkondadest ning mida pärast pseudonümiseerimist säilitatakse ja hallatakse Kliendi (Vastutav töötleja) poolt. See komponent pakub ka analüütilisi tööriistu kogutud andmete jaoks.

Teenuse versioonid:

• a. Edudata Starter: Pakub baasjuurdepääsu platvormile Edudata.io Compliance ja teenuste nimekirjale. Kasutajad viivad läbi oma riskihindamised. See versioon ei pakuto spetsiifilisi soovitusvõimalusi, AI-abi ega juurdepääsu rakendusele EDUDATA Privacy. Seda pakutakse "nagu on" kujul ilma toe või uptime-garantiideta.
• b. Edudata Advanced: Tasuline teenusetase, kus riskihindamisi täiendatakse platvormi Edudata.io Compliance integreeritud tehisintellekti (AI) funktsioonidega. Meie AI on saanud koolitust õigusnõustajate tehtud hinnangute alusel. AI pakub abi, kuid lõplik vastutus hinnangute valideerimise ja selle alusel tegutsemise eest jääb täielikult Kliendile. Hõlmab juurdepääsu rakendusele EDUDATA Privacy.
• c. Edudata Premium: Tasuline teenusetase, mis sisaldab Edudata.io Compliance platvormi ja kus riskihindamisi viivad läbi Edudata.io enda õigusnõustajad. Neid hinnanguid pakutakse professionaalse suunisena ning vastutus lõpliku otsuse ja vastavuse eest jääb täielikult Kliendile. See versioon sisaldab samuti juurdepääsu rakendusele EDUDATA Privacy.

2. Tingimuste aktsepteerimine & volitused organisatsiooni sidumiseks

• a. Siduv leping: Need Tingimused moodustavad seaduslikult siduva lepingu teie organisatsiooni ja Edudata.io vahel.
• b. Volitused: Luues konto või kasutades Teenust oma organisatsiooni nimel, kinnitab seda tegev isik ("Volitatud isik") isiklikult, et:
  • i. Nad aktsepteerivad neid Tingimusi seaduslikult tunnustatud organisatsiooni (nt õppeasutuse) nimel.
  • ii. Neil on täielik seaduslik volitus selle organisatsiooni sidumiseks käesolevate Tingimustega.
  • iii. Organisatsioon, mida nad esindavad, nõustub olema täielikult seotud kõigi siinsete tingimustega.
• c. Kinnitusele toetumine: Edudata.io toetub sellele volituste kinnitusele. Kui Volitatud isikul selliseid volitusi ei ole, peetakse teda isiklikult vastutavaks Tingimuste rikkumise ja sellest tulenevate kahjude eest.
• d. Aktsepteerimine: Konto loomise või Teenuse kasutamisega jätkamisega kinnitab Volitatud isik oma organisatsiooni nimel, et organisatsioon on Tingimused läbi lugenud, neist aru saanud ja nõustub olema nendega seotud. Kui organisatsioon ei nõustu, ei tohi te Teenust kasutada.

3. Privaatsus ja kontaktandmed

Töötleme isikuandmeid vastavalt Vastutava töötleja ja meie vahelisele andmetöötluslepingule (DPA).

Võite meiega ühendust võtta, saates e-kirja aadressile info@edudata.io. Kui meil on vaja kliendiga ühendust võtta, teeme seda Kliendi poolt esitatud e-posti aadressil.

4. Kasutajate juurdepääs ja turvalisus

Teenuse kasutamine peab vastama käesolevatele Tingimustele. Kasutaja peab Teenusesse sisse logima, kasutades kolmanda osapoole ühekordset sisselogimist (nagu Google või Microsoft).

Klient aktsepteerib isikuandmete töötlemise tavasid, nagu on sätestatud andmetöötluslepingus, privaatsuspoliitikas ja käesolevates Tingimustes. Võime konto igal ajal sulgeda, kui Klient rikub kehtivaid lepinguid.

Klient peab tagama asjakohased turvameetmed, sealhulgas uuendatud viirusetõrje kasutamise, et vältida Kliendi süsteemi kaudu skannitava pahavara edasikandumist Teenusesse.

5. Abikõlblikkus ja konto registreerimine

• a. Tunnustatud haridusteenuse osutaja: Juurdepääs Teenusele on rangelt piiratud asutustele või üksustele, mis on ametlikult tunnustatud haridusteenuse osutajatena riiklike seaduste kohaselt (nt koolid, kolledžid, ülikoolid ning linnad ja vallad piiratuna nende haridussektoriga).
• b. Organisatsiooni kinnitus: Registreerimisega kinnitab teie organisatsioon, et vastab sellele abikõlblikkuse kriteeriumile ja ei ole Edudata.io konkurent ega sellega seotud.
• c. Verifitseerimine: Edudata.io jätab endale õiguse igal ajal nõuda dokumente staatuse verifitseerimiseks. Tõendite puudumine toob kaasa kohese teenuse peatamise.
• d. Konto vastutus: Teie organisatsioon vastutab konto andmete konfidentsiaalsuse hoidmise ja kõigi konto all toimuvate tegevuste eest.

6. Lubatud kasutamine ja piirangud

• a. Litsents: Tingimusel, et teie organisatsioon järgib käesolevaid Tingimusi, annab Edudata.io teie organisatsioonile piiratud, mitte-eksklusiivse, mitte-üleantava ja tühistatava litsentsi Teenuse kasutamiseks üksnes sisemistel, mitteärilistel hariduslikel eesmärkidel.
• b. Keelatud kasutusviisid: Kasutajad ei tohi kasutada Teenust ebaseaduslikul viisil, edastada solvavat materjali, kahjustada meie süsteeme ega kasutada Teenust konkurentsianalüüsiks, benchmarkinguks või tootearenduseks, mis konkureerib Edudata.io huvidega.

Soovituste lubatud kasutamise selgitus: Lubatud kasutus hõlmab riskihindamiste ja soovituste jagamist oma organisatsiooni siseselt. Hinnanguid ja soovitusi ei tohi jagada teiste organisatsioonide või isikutega väljaspool Kliendi enda organisatsiooni ilma Edudata.io eelneva kirjaliku nõusolekuta. Klient võib vabalt avaldada oma tehtud otsuseid, tingimusel et need ei sisalda Ettevõtte esitatud konkreetset hindamis- või soovitusteavet.

7. Volitamata kasutamine ja konkureeriv väärkasutus

Kui Ettevõte tuvastab, et teie organisatsioon kasutab Teenust ilma abikõlblikkuse nõuetele vastamata või keelatud konkureerival eesmärgil:

• a. Leppetrahv: Teie organisatsioon eemaldatakse viivitamatult ja jäädavalt kõigist Edudata.io teenustest.

• c. Õiguskaitsevahendid: Edudata.io jätab endale õiguse pöörduda kõigi muude kättesaadavate õiguskaitsevahendite poole, sealhulgas esialgse õiguskaitse saamiseks ja täiendavate kahjutasude nõudmiseks.

8. Konfidentsiaalsus ja omandiõigusega kaitstud teave

• a. Definitsioon: Kinnitate, et Teenuses sisalduvate rakenduste andmete kogum, struktuur ja esitlus ning selle aluseks olevad meetodid ("Kaitstud teave") kujutavad endast Edudata.io väärtuslikke ärisaladusi.
• b. Kohustus: Teie organisatsioon nõustub hoidma kogu Kaitstud teavet ranges konfidentsiaalsuses. Seda teavet ei tohi avalikustada ega jagada kolmandate isikutega väljaspool Kliendi organisatsiooni. Klient peab kaitsma Ettevõtte konfidentsiaalset teavet vähemalt samasuguse hoolega, nagu ta kaitseb oma konfidentset teavet.
• c. Konkurentidega jagamise keeld: Kaitstud teabe kasutamine konkureerivate toodete või teenuste arendamiseks või kolmandate isikute abistamiseks on rangelt keelatud.
• d. Kehtivus: See Sektioon 8 kehtib edasi ka pärast käesolevate Tingimuste lõppemist.

9. Intellektuaalomandi õigused

Ettevõte omab ja säilitab kõik Teenusega seotud intellektuaalomandi õigused. Klient saab Teenuse kasutamiseks üksnes piiratud litsentsi lepingu kehtivusajaks vastavalt käesolevatele Tingimustele.

Ettevõttel on õigus piiranguteta ja tasuta kasutada teavet, mida Klient Teenusesse lisab (tingimusel, et see ei kujuta endast isikuandmeid), nagu rakenduste kirjeldused või Kliendi enda riskihindamised, Teenuse arendamiseks ja parandamiseks.

Ettevõte jätab endale kõik õigused Ettevõtte tehtud riskihindamistele ja soovitustele. Kliendil on juurdepääs neile üksnes lepingu kehtivusajal.

10. Muudatused ja uuendused Teenuses

Ettevõte võib Teenust muuta seaduste järgimiseks, uute funktsioonide lisamiseks või turvalisuse parandamiseks küberohtude vastu. Suurematest muudatustest teavitame Klienti ette.

Klient on kohustatud paigaldama Teenuse uuendused ilma viivituseta, kui Ettevõte seda nõuab.

11. Vastutus kahjude ja kadude eest (Vastutuse piirang)

Meie vastutus on rangelt piiratud summaga, mille Klient on tasunud Teenuse eest viimase 12 kuu jooksul (tasuliste versioonide puhul) oletatavalt või maksimaalselt 100 euroga (Starter-versiooni puhul).

Ettevõte vastutab meie tegevusest tingitud ettenähtavate kahjude eest. Me ei vastuta kaudsete või kaasnevate kahjude eest.

Edudata.io püüab pakkuda täpseid soovitusi, kuid Klient mõistab, et need on soovitusliku iseloomuga. Lõplik otsus ja vastutus seadustele vastavuse (sealhulgas GDPR) eest jääb täielikult Kliendile ja tema enda hoolsuskohustusele.

12. Kahjude hüvitamine

Teie organisatsioon nõustub kaitsma, hüvitama ja hoidma Edudata.io-d ja selle töötajaid kahjude eest mis tahes nõuete, kahjude, kohustuste ja kulude (sealhulgas advokaaditasude) eest, mis tulenevad: (a) teie organisatsiooni poolt Teenuse kasutamisest; (b) siinsete Tingimuste rikkumisest; (c) kolmandate isikute õiguste, sealhulgas privaatsuse või intellektuaalomandi õiguste rikkumisest; või (d) kohaldatava seaduse rikkumisest.

13. Kehtivusaeg ja lõpetamine

Need Tingimused jäävad jõusse kuni Teenuse lepingu aegumiseni või selle lõpetamiseni vastavalt kehtivatele tellimustingimustele.

Lepingu lõppemisel võib Ettevõte Kliendi konto viivitamatult deaktiveerida. Isikuandmed kustutatakse või tagastatakse vastavalt andmetöötluslepingule (DPA).

14. Muud sätted

• a. Õiguste üleandmine: Võime oma õigused ja kohustused käesolevate Tingimuste alusel üle anda teisele organisatsioonile, teavitades sellest Klienti piisavalt ette. Kliendil on sel juhul õigus leping 30-päevase etteteatamisega lõpetada.
• b. Litsentsi üleandmine: Kliendi kasutusõigusi saab teisele isikule üle anda üksnes Ettevõtte kirjalikul nõusolekul.
• c. Kolmandate osapoolte õigused: Käesolevaid Tingimusi saavad rakendada üksnes lepingupooled või nende seaduslikud õigusjärglased.
• d. Sätete lahusus: Kui kohus leiab, et mõni käesolevate Tingimuste säte on ebaseaduslik või tühine, jäävad ülejäänud sätted täielikult jõusse.
• e. Nõuetest loobumise puudumine: Kui me ei nõua Tingimuste viivitamatut täitmist rikkumise avastamisel, säilib meil õigus seda teha hiljem.
• f. Kohaldatav õigus ja kohtualluvus: Kõik käesolevate Tingimustega seotud vaidlused lahendatakse Helsingi ringkonnakohtus. Kohaldatakse Soome õigust ja isikuandmete kaitse üldmäärust (GDPR).
• g. Andmete salvestamine (Security komponent): Klientide puhul, kes kasutavad EDUDATA Security komponenti, salvestatakse andmed Kliendile kuuluvas Google Cloud projektis. Klient vastutab täielikult kõigi seotud pilvekulude tasumise eest.

15. Nende Tingimuste muutmine

Jätame endale õiguse muuta neid Tingimusi seadusemuudatuste, uute regulatsioonide või Teenuse täiustuste korral. Teid teavitatakse sellistest muudatustest ette.

Viimati uuendatud: 28. mai 2026 | Staatus: Aktiivne

See küpsiste poliitika selgitab, kuidas Cloudpoint Oy ("meie", "me") kasutab küpsiseid ja sarnaseid tehnoloogiaid teie tuvastamiseks, kui külastate meie veebisaite ja rakendusi. See selgitab, mis need tehnoloogiad on, miks me neid kasutame ja teie õigusi kontrollida nende kasutamist vastavalt isikuandmete kaitse üldmäärusele (GDPR) ja kohaldatavatele e-privaatsuse direktiividele.

1. Selle poliitika kohaldamisala

See poliitika kehtib järgmistele EDUDATA.IO domeenidele ja nende vastavatele alamdomeenidele:

• www.edudata.io: Meie avalik ettevõtte- ja turundusveebisait.
• compliance.edudata.io: Meie B2B vastavushaldusrakendus kooliadministraatoritele ja andmekaitseametnikele.
• transparency.edudata.io (ja privacy.edudata.io): Meie õpilastele suunatud läbipaistvuse tööriistad, mis võimaldavad lõppkasutajatel vaadata oma digitaalset jalajälge.

2. Mis on küpsised?

Küpsised on väikesed andmefailid, mis paigutatakse teie arvutisse või mobiilseadmesse, kui külastate veebisaiti. Veebisaidi omanikud kasutavad küpsiseid laialdaselt, et muuta oma veebisaidid turvaliseks ja tõhusaks, samuti aruandluse ja isikupärastatud kogemuste pakkumiseks.

3. Miks me kasutame küpsiseid?

Kasutame esimese ja kolmanda osapoole küpsiseid mitmel põhjusel. Mõned küpsised on vajalikud tehnilistel põhjustel meie veebisaitide ja rakenduste turvaliseks toimimiseks ("rangelt vajalikud" küpsised). Teised küpsised võimaldavad meil jälgida ja sihtida meie B2B kasutajate huve, et parandada kogemust meie avalikul veebisaidil ("analüütika-" ja "sihtküpsised").

4. Kasutatavate küpsiste tüübid

Meie domeenide regulaarsete auditite põhjal kasutame järgmisi küpsiste kategooriaid:

A. Rangelt vajalikud (hädavajalikud) küpsised

Need küpsised on rangelt vajalikud meie veebisaitide ja rakenduste kaudu saadaval olevate teenuste pakkumiseks, turvalisuse tagamiseks (bottide kaitse) ja teie sisselogimisseansside autentimiseks. Te ei saa nendest küpsistest keelduda, ilma et see mõjutaks meie teenuste toimimist.

B. Analüütika ja jõudluse küpsised

Need küpsised koguvad koondteavet, mis aitab meil mõista, kako meie avalikku veebisaiti ja B2B portaale kasutatakse. See aitab meil parandada kasutajakogemust ja lahendada tehnilisi probleeme. Need on vaikimisi keelatud, kuni antakse nõusolek.

C. Sihikindlad ja reklaamiküpsised

Neid küpsiseid kasutatakse reklaamteadete teile asjakohasemaks muutmiseks.

5. Kuidas saan küpsiseid kontrolli all hoida?

Teil on õigus otsustada, kas nõustuda mittevajalike küpsistega või neist keelduda:

• Küpsiste nõusoleku bänner: Saate teostada oma küpsiste õigusi, määrates oma eelistused küpsiste nõusoleku bänneris, mis ilmub, kui külastate esimest korda veebisaiti www.edudata.io.
• Brauseri seadistused: Saate seadistada või muuta oma veebibrauseri seadeid, et küpsiseid täielikult lubada või neist keelduda.
• Keeldumise tagajärjed: Kui otsustate rangelt vajalikest küpsistest oma brauseri seadete kaudu keelduda, on teie juurdepääs põhifunktsioonidele — näiteks sisselogimine compliance.edudata.io portaali või oma andmete vaatamine lehel transparency.edudata.io — rangelt piiratud või täielikult tõkestatud.

6. Selle poliitika uuendused

Võime seda küpsiste poliitikat aeg-ajalt värskendada, et kajastada muutusi meie kasutatavates küpsistes või muudel tegevuslikel, õiguslikel või regulatiivsetel põhjustel. Palun külastage seda küpsiste poliitikat regulaarselt, et olla kursis meie küpsiste ja seotud tehnoloogiate kasutamisega.

7. Võtke meiega ühendust

Lisateabe saamiseks selle kohta, kuidas me teie andmeid kaitseme, tutvuge palun meie privaatsuspoliitika ja andmetöötluslepinguga (DPA).

Kui teil on küsimusi küpsiste või muude tehnoloogiate kasutamise kohta, võtke ühendust meie andmekaitsemeeskonnaga aadressil: privacy@cloudpoint.fi.

Viimati uuendatud: 15.12.2025

See on Edudata.io privaatsuspoliitika kooskõlas EL-i isikuandmete kaitse üldmäärusega (GDPR), mis kirjeldab põhimõtteid, mille kohaselt Edudata.io (edaspidi ka "Edudata" või "Vastutav töötleja") töötleb isikuandmeid, kui ta tegutseb vastutava töötlejana seoses Edudata.io teenusega ("Teenus"). Edudata järgib kõigis oma toimingutes Soome seadusi ja EL-i isikuandmete kaitse üldmäärust.

1. Vastutav töötleja ja kontaktandmed

Vastutav töötleja: Edudata.io
Ärikood (Business ID): 3460068-8
Aadress: Malminkaari 17-19B, 00700 Helsinki, Soome
Telefon: +358 9 4257 9280
Veebisait: www.edudata.io
Andmekaitseametnik: Lauri Kaski, e-post: lauri.kaski@edudata.io

2. Registri nimi

Edudata kliendi-, lepingu- ja turundusregister.

3. Edudata rollid ja töötlemise eesmärgid

Edudata roll isikuandmete töötlemisel Edudata.io teenuses on kahesugune:

A. Edudata volitatud töötlejana

Teenuse (Edudata.io) põhitegevuses on Klient (haridusteenuse osutaja) Vastutav töötleja ja Edudata on Volitatud töötleja. Sellisel juhul määrab Klient töötlemise eesmärgid ja vahendid. Töötlemine toimub eraldi andmetöötluslepingu (DPA) kohaselt.

B. Edudata vastutava töötlejana

Edudata töötleb isikuandmeid kui iseseisev vastutav töötleja järgmistel eesmärkidel:

• Kliendisuhete haldamine: Töötleme andmeid kliendisuhte haldamiseks ja lepinguliste kohustuste täitmiseks. See võib hõlmata kliendisuhte loomist, tuge, arveldust ja aruandlust.
  Õiguslik alus: Õigustatud huvi ja lepingu täitmine.
• Müük ja turundus: Töötleme andmeid meie teenuste müügiks ja turunduseks, otseturunduseks ja uudiskirjade saatmiseks.
  Õiguslik alus: Õigustatud huvi ja nõusolek.
• Kliendisuhtlus: Töötleme isikuandmeid kliendi tagasiside ja toetaotluste lahendamiseks ning teenustega seotud teavituste saatmiseks.
  Õiguslik alus: Õigustatud huvi ja lepingu täitmine.
• Seadusest tulenevate kohustuste täitmine: Võime töödelda isikuandmeid seadusjärgsete kohustuste täitmiseks, näiteks raamatupidamis- ja maksuseaduste järgimiseks.
  Õiguslik alus: Juriidiline kohustus.
• Teenuse arendamine: Ettevõttel on õigus kasutada Kliendi poolt Teenusesse lisatud andmeid, mis ei ole klassifitseeritud isikuandmeteks, Teenuse arendamiseks ja parandamiseks.

4. Milliseid isikuandmeid me vastutava töötlejana töötleme ja kogume?

Kogume oma klientidega seotud isikuandmeid peamiselt isikutelt endilt või avalikest allikatest. Meie töödeldavad andmed võivad sisaldada:

• Kontaktandmed: Eesnimi, perekonnanimi, e-posti aadress, telefoninumber, muud kontaktandmed (aadress).
• Organisatsiooni andmed: Ametikoht, organisatsiooni nimi.
• Kliendisuhte andmed: Teave tellitud teenuste ja nende muudatuste kohta, arveldusinfo ning muu kliendisuhtega seotud teave.
• Turundusinfo: Turundusnõusolekud ja -keelud.
• Veebisaidi ja kontaktiandmed: Tehnilised andmed (kasutusandmed, seadme andmed), küpsised, kontakti sisu.

5. Säännönmukaiset tietolähteet (Isikuandmete allikad)

Töötleme ja kogume isikuandmeid, mida kasutaja on ise meile andnud või esitanud (nt kontaktid, lepingud). Lisaks kogume andmeid avalikest allikatest, nagu avalikud registrid ja dokumendid, veebisaidid ja sotsiaalmeedia teenused.

6. Isikuandmete jagamine ja avalikustamine

Kasutame väliseid teenusepakkujaid ja alamtöövõtjaid, kes töötlevad isikuandmeid Edudata nimel. Nende hulka kuuluvad näiteks:

• Google Ireland
• Hubspot Ireland
• Visma AB
• Cloudpoint Oy
• Online Partner AB

Alamtöövõtjad töötlevad isikuandmeid meie nimel ega tohi kasutada isikuandmeid oma eesmärkidel. Kõik meie teenusepakkujad on kohustunud järgima GDPR-i.

7. Isikuandmete edastamine väljaspoole ELi ja EMAd

Isikuandmeid võidakse edastada väljaspoole ELi või EMAd, kuna mõned meie kasutatavad teenusepakkujad asuvad väljaspool seda piirkonda (nt pilveteenused).

Kui isikuandmeid edastatakse riiki, mille kohta ELi Komisjon ei ole teinud andmekaitse piisavuse otsust, toimub edastamine kooskõlas ELi Komisjoni poolt heaks kiidetud lepingute tüüptingimustega (SCC) ja muude vajalike kaitsemeetmetega.

8. Isikuandmete säilitamine ja kustutamine

Teie isikuandmeid ei säilitata kauem kui on vajalik selle kasutuseesmärgi, kliendisuhte või lepingu täitmiseks. Andmed kustutatakse ka siis, kui võtate oma nõusoleku tagasi või taotlete oma andmete kustutamist, eeldusel et töötlemiseks puudub muu seaduslik alus.

9. Kuidas me teie isikuandmeid kaitseme

Rakendame asjakohaseid füüsilisi, tehnilisi ja organisatsioonilisi meetmeid teie isikuandmete kaitsmiseks volitamata juurdepääsu või kahjustamise eest:

• Isikuandmetele juurdepääsu omavatel töötajatel on eraldi konfidentsiaalsuskokkulepe ja seadusjärgne vaikimiskohustus.
• Juurdepääs on piiratud ainult töötajatele, kellel on vajadus isikuandmeid töödelda oma tööülesannete tõttu.
• Töötajad kasutavad kaheastmelist autentimist.
• Meie kontori läbipääs on elektrooniliselt kontrollitud ja objektil on 24/7 kaameravalve ning valve.

10. Millised on teie õigused?

Teil on GDPR-i alusel õigus tutvuda oma andmetega, nõuda andmete parandamist, andmete kustutamist (õigus olla unustatud), töötlemise piiramist, esitada vastuväiteid ja andmete ülekandmist. Õiguste teostamiseks võtke ühendust e-posti aadressil info@edudata.io.

11. Õigus esitada kaebus järelevalveasutusele

Teil on õigus esitada kaebus järelevalveasutusele (Soomes Andmekaitsevoliniku Kantselei, Eestis Andmekaitse Inspektsioon).

12. Toimingud isikuandmetega seotud rikkumiste korral

Võimaliku isikuandmetega seotud rikkumise korral järgime isikuandmete kaitse üldmääruses sätestatud meetmeid ja tähtaegu. Vajadusel teavitame järelevalveasutust ja andmesubjekte rikkumisest viivitamatult.

13. Küpsised

Kasutame oma veebisaidil küpsiseid parima võimaliku kasutuskogemuse tagamiseks. Küpsised on väikesed tekstifailid, mis salvestatakse teie seadmesse. Kasutaja saab anda oma nõusoleku või küpsistest keelduda eraldi küpsisebänneri kaudu.

14. Muudatused

Jätame endale õiguse teha muudatusi käesolevas privaatsuspoliitikas. Kui teeme olulisi muudatusi, teavitame teid sellest ette.

Jõustus: 23.07.2025

Käesolev andmetöötlusleping ("DPA") kehtib EDUDATA teenuse kohta ja on põhilepingu (sh teenuse tingimuste) lahutamatu osa. Vastuolude korral on käesolev andmetöötlusleping isikuandmete töötlemise osas ülimuslik.

1. Definitsioonid

• Vastutav töötleja: Füüsiline või juriidiline isik, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid (GDPR Art 4(7)).
• Volitatud töötleja (Käsittelijä): Füüsiline või juriidiline isik, kes töötleb isikuandmeid vastutava töötleja nimel (GDPR Art 4(8)).
• GDPR: Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (isikuandmete kaitse üldmäärus).
• Isikuandmed: Igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta (GDPR Art 4(1)).
• Töötlemine: Isikuandmete või nende kogumitega tehtav igasugune toiming või toimingute kogum, sõltumata sellest, kas see on automatiseeritud või mitte.

2. Taust ja eesmärk

Klient on valinud teenusepakkuja (Cloudpoint Oy) tegutsema volitatud töötlejana isikuandmete kaitse üldmääruse (GDPR) artikli 28 kohaselt.

Volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel, et pakkuda Edudata teenust (sealhulgas Edudata Compliance, Edudata Compliance Service, Edudata Privacy ja Edudata Security). Töötlemise üksikasjad on kirjeldatud käesoleva lepingu Lisas 1.

Käesoleva lepingu eesmärk on leppida kokku poolte õigustes ja kohustustes isikuandmete töötlemisel vastavalt GDPR-ile ja tagada andmesubjekti õiguste kaitse töötlemise ajal.

3. Rollid ja vastutus

Volitatud töötleja töötleb isikuandmeid üksnes vastavalt käesolevale andmetöötluslepingule ja vastutava töötleja dokumenteeritud juhistele. Volitatud töötleja kohustub mitte kasutama isikuandmeid muudel eesmärkidel. Vastutav töötleja vastutab selle eest, et isikuandmete töötlemiseks on seaduslik alus.

Kui Volitatud töötleja tuvastab, et mõni juhis on vastuolus kohaldatava õigusega, teatab ta sellest viivitamatult vastutavale töötlejale.

4. Tehnilised ja organisatsioonilised meetmed

Volitatud töötleja rakendab ja hoiab käigus asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et kaitsta isikuandmeid ebaseadusliku töötlemise, hävimise või kaotsimineku eest vastavalt Lisale 2.

5. Abistamiskohustus

Volitatud töötleja abistab vastutavat töötlejat GDPR-i artiklitest 32–36 tulenevate kohustuste täitmisel, võttes arvesse töötlemise laadi ja Volitatud töötleja käsutuses olevat teavet.

Volitatud töötleja teavitab vastutavat töötajat viivitamata andmesubjektide taotlustest oma õiguste teostamiseks GDPR-i alusel ja abistab vastutavat töötlejat asjakohaste meetmetega nendele vastamiseks.

6. Rahvusvahelised edastamised

Töötleme isikuandmeid serverites, mis asuvad Euroopa Majanduspiirkonnas (EMP). Isikuandmeid ei edastata reeglina väljapoole EMP-d.

Kui isikuandmeid edastatakse EMP-st väljapoole alamtöötleja poolt riiki, mille kohta EU Komisjon ei ole teinud kaitse piisavuse otsust, tagab Volitatud töötleja asjakohased kaitsemeetmed (nt EU Komisjoni kinnitatud lepingute tüüptingimused, SCC).

7. Konfidentsiaalsuskohustus

Volitatud töötleja tagab, et kõik isikud, kellel on õigus isikuandmeid töödelda, on kohustunud järgima konfidentsiaalsust või nende suhtes kehtib asjakohane seadusejärgne konfidentsiaalsuskohustus.

8. Auditeerimisõigus

Vastutaval töötlejal on õigus mõistlikus ulatuses auditeerida Volitatud töötleja ruume ja protsesse, et kontrollida käesoleva lepingu täitmist. Vastutav töötleja kannab kõik auditeerimisega seotud kulud ja teatab sellest kirjalikult vähemalt 30 tööpäeva ette.

9. Volitatud alamtöötlejad

Volitatud töötlejal on õigus kasutada teenuse osutamiseks alamtöötlejaid. Volitatud töötleja tagab, et alamtöötleja on seotud kirjaliku lepinguga, mis paneb talle samasugused andmekaitsekohustused, nagu on sätestatud käesolevas lepingus.

Volitatud töötleja teavitab vastutavat töötajat kõigist kavandatud alamtöötlejate muudatustest. Kui vastutav töötleja vaidleb muudatusele vastu, on tal õigus Teenus üles öelda.

10. Isikuandmetega seotud rikkumised

Volitatud töötleja teavitab vastutavat töötajat kirjalikult ilma põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teadasaamist. Teavituses peab sisalduma teave rikkumise laadi, kontaktisiku ning rakendatud või soovitatud meetmete kohta.

11. Isikuandmete kustutamine

Lepingu lõppemisel kustutab või tagastab Volitatud töötleja vastutava töötleja valikul kõik isikuandmed 180 päeva jooksul, välja arvatud juhul, kui kohaldatav õigus nõuab andmete säilitamist.

12. Vastutuse piirang

Volitatud töötleja ei vastuta kaudsete ega kaasnevate kahjude eest. Volitatud töötleja maksimaalne vastutus käesoleva lepingu alusel on piiratud summaga, mis võrdub Kliendi poolt viimase 12 kuu jooksul Teenuse eest makstud tasudega.

13. Kehtivusaeg

Käesolev DPA jõustub allkirjastamise päeval ja jääb kehtima seni, kuni Volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel.

14. Vaidluste lahendamine ja kohtualluvus

Käesolevale lepingule kohaldatakse põhilepingus sätestatud vaidluste lahendamise ja kohtualluvuse tingimusi (Helsingi ringkonnakohus ja Soome seadus).

15. Muudatused

Käesoleva lepingu muudatused jõustuvad alles siis, kui mõlemad pooled on need kirjalikult heaks kiitnud.

---

LISA 1: Andmetöötluse kirjeldus

1. Isikuandmete töötlemise eesmärgid

Volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel Teenuse osutamiseks kooskõlas põhilepingu ja käesoleva DPA-ga.

2. Andmesubjektide kategooriad

• Õpilased
• Kliendi õpetajad ja muu personal, kes kasutab Teenust

3. Isikuandmete liigid

Volitatud töötleja võib Teenuse osutamisel töödelda järgmisi isikuandmete liike:

• Eesnimi
• Perekonnanimi
• E-posti aadress
• IP-aadress
• Logimisandmed
• Veebibrauseri teave
• Seadme andmed
• Kolmanda osapoole sisselogimise teave
• Edudata-ID
• Keel
• Konto loomise kuupäev
• Viimane sisselogimine
• Profiilipilt
• Kasutajaroll
• Organisatsiooni nimi ja domeen

4. Isikuandmete töötlemise kestus

Isikuandmeid töödeldakse lepingu kehtivuse ajal. Pärast lepingu lõppemist säilitatakse andmeid maksimaalselt 180 päeva kustutamis- ja üleandmisprotsesside lõpuleviimiseks.

• Edudata logiandmed: 30 päeva
• Kasutajaandmete kustutamine: Automaatselt kasutajaandmebaasist, kui viimasest sisselogimisest on möödunud 366 päeva.
• Kolmandate osapoolte teenuselogi: 18 kuud
• Hinnangud, otsused ja taotlused: Säilitatakse 3 aastat

5. Volitatud alamtöötlejad

6. Rahvusvahelised edastamised

Isikuandmeid hoitakse serverites EMP-s. EMP-st väljapoole edastamisel soveldatakse GDPR-i V peatüki kohaseid suojameetmeid, näiteks Euroopa Komisjoni kinnitatud lepingute tüüptingimusi.

---

LISA 2: Turvameetmed

Volitatud töötleja rakendab ja hoiab käigus asjakohaseid tehnilisi ja organisatsioonilisi meetmeid isikuandmete kaitsmiseks.

• Meie kontor on läbipääsukontrolliga, valvatud ja seal on 24/7 kaameravalve.
• Kogu juurdepääs andmekeskkondadele on IAM-i poolt hallatud ja logitud.
• Kõik sisselogimised nõuavad kaheastmelist autentimist (2FA) ja turvavõtmeid (Yubico).

Tarkvaraarenduse turvameetmed:

• Turvalisus on uute töötajate koolituse oluline osa.
• Arendajatele pakutakse turvakoolitusi Google Cloudi sertifikaatide kaudu.
• Juurdepääs koodivaramutele nõuab alati vanemarendaja heakskiitu.
• Kohalik arendus toimub ainult krüpteeritud ketastega sülearvutites.
• Kogu lähtekood läbib kaaslaste ülevaatuse (peer review).

Versioon 1.0 | Jõustus: 10.07.2025

See tehisintellekti poliitika kirjeldab Edudata.io pühendumust tehisintellekti (AI) vastutustundlikule ja eetilisele kasutamisele õpilaste privaatsuse kaitsmisel ja GDPR-i nõuete täitmisel EL-i koolides. Edudata.io kasutab tehisintellekti digitaalsete teenuste riskihindamise tõhustamiseks. AI-põhised hinnangud on soovitusliku iseloomuga ja lõplik otsustusõigus ning vastutus jääb Kliendile.

1. Meie pühendumus vastutustundlikule tehisintellektile

Edudata.io on pühendunud selliste tehisintellekti (AI) tehnoloogiate arendamisele ja kasutuselevõtule, mis on kooskõlas meie põhiväärtustega – privaatsuse, turvalisuse, läbipaistvuse ja vastutustundlikkusega. Mõistame digiteenuste ja tehisintellekti sügavat mõju laste privaatsusele. Püüame tagada, et tehisintellekti kasutatakse vahendina õpilaste põhiõiguste edendamiseks, mert nende ohustamiseks arenevas digikeskkonnas. Meie lähenemisviisi juhivad asjakohased eeskirjad, sealhulgas GDPR, EL-i tehisintellekti määrus (EU AI Act) ja eetilise tehisintellekti arendamise parimad tavad.

2. Tehisintellekti eesmärk Edudata.io-s

Tehisintellekt on Edudata.io protsessi lahutamatu osa kolmandate osapoolte digiteenuste terviklike riskihindamiste koostamisel. Täpsemalt on meie tehisintellekti süsteemid kavandatud:

• Dokumentatsiooni analüüsimiseks: Töödelda ja eraldada asjakohast teavet erinevatest teenuse dokumentidest, sealhulgas privaatsuspoliitikatest, kasutustingimustest, andmetöötluslepingutest (DPA), tehisintellekti poliitikatest ja turvapoliitikatest.
• Ekspertteadmiste integreerimiseks: Kasutada varasemate inimeste (õigusnõustajate) tehtud riskihindamiste tulemusi sama teenuse kohta, et parandada tehisintellekti analüüsi.
• Privaatsuse riskihindamise toetamiseks (GDPR-i järgimine): Tehisintellekti analüütilised võimed on kohandatud isikuandmete töötlemise kriitiliste aspektide tuvastamiseks ja hindamiseks vastavalt GDPR-ile.
• Turvalisuse riskihindamise toetamiseks: Tuvastada ja hinnata kolmanda osapoole teenuse turvalisuse taset, analüüsides tehnilisi ja organisatsioonilisi turvameetmeid (TOM) ning konkreetseid kontrolle volitamata juurdepääsu vastu.
• Haridusliku ja turundusliku sobivuse hindamiseks: Tehisintellekt aitab hinnata pedagoogilist asjakohasust ja kaubanduslikku mõju, hinnates sihtrühmi ja alaealistele suunatud reklaami olemasolu.
• Tehisintellekti kasutamise hindamiseks kolmanda osapoole teenuses: Analüüsida pakkuja enda tehisintellekti kasutamist, sealhulgas riskikategooriaid ja inimvalvuse mehhanisme vastavalt EL-i tehisintellekti määrusele.

Märkus: Me ei kasuta tehisintellekti oma klientide isikuandmete töötlemiseks.

3. Tehisintellekti kasutamise põhimõtted

Meie tehisintellekti tegevust juhivad järgmised põhiprintsiibid:

• Lõimitud andmekaitse (Privacy by Design): Tehisintellekti süsteemid on arendatud andmekaitset ja privaatsust algusest peale arvesse võttes.
• Turvalisus: Rakendatakse rangeid turvameetmeid kõigi tehisintellekti mudelite poolt töödeldavate andmete kaitsmiseks.
• Läbipaistvus: Püüame tagada läbipaistvuse tehisintellekti rolli kohta meie riskihindamise metoodikas ja kriteeriumides.
• Inimjärelevalve: Tehisintellekt toimib tõhusa tööriistana, kuid Kliendid ja nende kasutajad, õiguseksperdid ja nõustajad säilitavad kontrolli. Kliendil on otsustusõigus kõigi riskihindamiste üle.
• Õiglus ja mittediskrimineerimine: Meie süsteemid on loodud teenuste objektiivseks ja erapooletuks hindamiseks, tagades õiglased tulemused.
• Vastavus: Kogu tegevus vastab rangelt GDPR-ile, riiklikele andmekaitse seadustele ja muudele kohaldatavatele õigusaktidele.

4. Andmehaldus ja privaatsus

Edudata.io käsitleb tehisintellekti süsteemides kasutatavaid andmeid suurima hoolikusega:

• Sisendandmed: Tehisintellekt töötleb avalikult kättesaadavat dokumentatsiooni ja sisemisi, varasemaid inimeste tehtud riskihindamisi. Me ei sisesta teadlikult õpilaste isikuandmeid ega muud tundlikku teavet tehisintellekti mudelite sisendina.
• Andmete töötlemine: Tehisintellektile töötlemiseks saadetud andmeid käsitletakse turvaliselt. Teeme koostööd usaldusväärsete ja turvaliste tehisintellekti teenusepakkujatega, kes pakuvad tugevaid andmekaitsegarantiisid ega kasuta meie andmeid oma mudelite treenimiseks.
• Konfidentsiaalsus: Klientidel soovitatakse vältida konfidentsiaalse või tundliku teabe lisamist esitatud dokumentidesse, kui see pole riskihindamiseks vajalik.
• Andmete minimeerimine: Järgime andmete minimeerimise põhimõtet, tagades, et töödeldakse ainult vajalikke andmeid.

5. Inimjärelevalve ja vastutustundlikkus

Tehisintellekt Edudata.io-s toimib abistava tehnoloogiana, mis suurendab meie inimekspertide võimekust:

• Eksperdi valideerimine: Iga tehisintellekti loodud riskihindamine või soovitus vaadatakse põhjalikult läbi ja valideeritakse Kliendi ja/või Edudata.io meeskonna poolt.
• Otsuste tegemine: Lõplik otsus digiteenuse sobivuse ja sellega seotud riskide kohta jääb täielikult Kliendile ja tema otsustajatele.
• Vastutustundlikkus: Kuna mudelid võivad sisaldada vigu, lasub otsus teenuse kasutuselevõtu ja selle nõuetele vastavuse tagamise kohta täielikult Kliendil. Rõhutame, et kliendid peavad läbi viima oma hoolsuskohustuse (due diligence).

6. Täpsus ja usaldusväärsus

Oleme pühendunud meie hinnangute täpsusele ja usaldusväärsusele:

• Pidev hindamine: Meie mudeleid ja nende tulemusi hinnatakse regulaarselt täpsuse, asjakohasuse ja järjepidevuse osas.
• Kvaliteeditagamine: Rakendame rangeid kvaliteeditagamise protsesse, et tuvastada ja parandada võimalikke vigu või eelarvamusi.
• Kasutaja ülevaatus: Rõhutame tehisintellekti loodud osade kontrollimise tähtsust ja julgustame kliente konsulteerima meie ekspertidega.

7. Vastavus ja eetilised kaalutlused

Edudata.io tagab täieliku vastavuse:

• GDPR: Meie tehisintellekti kasutamine toetab täielikult GDPR-i nõuete täitmist riskihindamisel.
• Haridusvaldkonna seadusandlus: Tagame, et tehisintellekt aitab hinnata vastavust konkreetsetele haridusvaldkonna seadustele, näiteks reklaamivabad keskkonnad.
• Eetiline tehisintellekt: Järgime eetilise tehisintellekti arendamise juhiseid, mis keskenduvad kasulikule kasutamisele ja usaldusele.

8. Pidev täiustamine ja seire

Tehisintellekti valdkond, digitaalsed ohud ja seadusandlus arenevad pidevalt. Edudata.io on pühendunud:

• Uuendustele: Uuendada tehisintellekti mudeleid, meetodeid ja eeskirju, et need vastaksid uusimale tehnoloogiale ja seadustele.
• Seirele: Jälgida süsteemide toimimist, et tagada nende kõrge kvaliteet.
• Tagasiside integreerimisele: Integreerida õigustiimilt, klientidelt ja privaatsuskogukonnalt saadud tagasisidet.

9. Kasutaja kohustused (Edudata.io klientidele)

Kliendil on samuti kohustused:

• Ülevaatus ja kontroll: Kliendid peaksid hoolikalt kontrollima antud riskihindamiste sisu, eriti tehisintellekti loodud osi, et need vastaksid nende konkreetsele kontekstile.
• Täpne sisend: Esitada täpne dokumentatsioon kolmanda osapoole teenuste kohta.
• Eeskirjade järgimine: Tagada, et sisemised tavad on kooskõlas soovitustega.

10. Kontaktandmed

Küsimuste korral Edudata.io tehisintellekti poliitika või tavade kohta võtke meiega ühendust aadressil: info@edudata.io

Rakendus: edudata.io | Versioon: 1.0 | Staatus: Aktiivne

1. Kokkuvõte

Edudata.io-s mõistame, et meie platvorm töötleb tundlikke andmeid. Nende andmete turvamine on meie peamine kohustus koolide ja omavalitsuste ees. See valge raamat kirjeldab, kuidas me kaitseme andmeid privaatsuse ja ISO 27001 nõuete täitmisega.

2. ISO 27001:2022 raamistikuga vastavusse viimine

Meie infoturbe juhtimissüsteem (ISMS) on ehitatud vastama rangetele ja maailmas tunnustatud ISO/IEC 27001:2022 standarditele. Liigume aktiivselt ametliku sertifitseerimise suunas.

Selle positsiooni saavutamiseks ja säilitamiseks toetub meie ISMS järgmistele sammastele:

• Kõikehõlmav põhimõtete raamistik: Meie turvaseisundit reguleerib rangete asutusesiseste põhimõtete hierarhia, sealhulgas infoturbe, juurdepääsukontrolli, andmehalduse, turvalise arenduse ja kolmandate osapoolte haldamise põhimõtted.
• Pidev vastavuse jälgimine: Kasutame Vanta platvormi meie automatiseeritud pideva monitooringu vahendina, et jälgida reaalajas vastavust ISO 27001:2013 ja ISO 27001:2022 kontrollraamistikele.
• Varade elutsükli haldamine: Pidama ranget arvestust kõigi infotehnoloogiliste ja füüsiliste varade üle. Kõik organisatsiooni varad läbivad kohustusliku jälgimise alates kasutuselevõtust kuni lõpetamise ja tagastamiseni (kontrollid AST-4 kuni AST-9).
• Ühine vastutus: Infoturve on ühine pingutus. Kõik töötajad ja koostööpartnerid läbivad turvakoolituse ning on seotud rangete lubatud kasutamise ja konfidentsiaalsuse lepingutega.

3. Infrastruktuur ja võrguturvalisus

Kasutame ettevõtte tasemel pilvearhitektuuri, et tagada kõrge kättesaadavus, tõrkekindlus ja andmekaitse.

• Pilvemajutus ja füüsiline turvalisus: edudata.io platvormi majutatakse Google Cloud Platformil (GCP) Euroopa Majanduspiirkonnas (EMP). Füüsilise turvalisuse tagamiseks toetume meie pilveteenuse pakkuja ISO 27001-sertifitseeritud andmekeskustele, mis hõlmavad biomeetrilist juurdepääsukontrolli, ööpäevaringset seiret ja keskkonnaohtude eest kaitsmist.
• Võrguturvalisus ja tugevdamine: Meie toetavat infrastruktuuri parandatakse ja tugevdatakse rutiinselt turvaohtude vastu osana meie kavandatud hooldusprotokollidest (kontroll VPM-38). Väliste rünnakute pinna minimeerimiseks kasutame isoleeritud virtuaalvõrke, turvarühmi ja rangelt konfigureeritud tulemüüre.
• Andmete krüpteerimine:
  • Edastamisel (In Transit): Kõik kliendiseadmete ja meie serverite vahel, samuti mikroteenuste vahel edastatavad andmed krüpteeritakse TLS 1.2 või kõrgema protokolli abil.
  • Hoiustamisel (At Rest): Kõik püsivad salvestusruumid, andmebaasid ja varukoopiad krüpteeritakse AES-256 meetodiga. Lisaks on kõik meie töötajate kasutatavad ettevõtte väljastatud seadmed kaitstud täieliku ketta krüpteerimisega (Full Disk Encryption), et välistada andmete taastamise oht seadme kaotamise või varguse korral.
• Ajutine salvestusruum (Ephemeral Storage): Ajutised failid (nt pilve /tmp salvestusruum) hävitatakse automaatselt kohe, kui seotud arvutusprotsess lõpeb.

4. Juurdepääsukontroll ja isikusamasuse haldamine

Meie süsteemidele juurdepääsu kaitsmine toimub range Zero Trust (nullusalduse) põhimõttel, tagades, et kasutajatel ja siseorganisatsiooni personalil on juurdepääs ainult nende rollide jaoks vajalikele andmetele.

• Rollipõhine juurdepääsukontroll (RBAC): Rakendame minimaalsete õiguste põhimõtet (Principle of Least Privilege) kogu oma organisatsioonis. Vaikimisi on igasugune juurdepääs süsteemile keelatud. Juurdepääsuõigused antakse eranditult õigustatud ärivajaduste alusel ja neid vaadatakse pidevalt läbi.
• Isikusamasuse kontroll ja mitmeteguriline autentimine (MFA): Administratiivne juurdepääs tootmiskeskkondadele ja juurkontodele (root) nõuab eriti keerulisi, roteeritavaid paroole ning kohustuslikku mitmetegurilist autentimist (MFA).
• Lähtekood ja intellektuaalomand: Juurdepääs programmi lähtekoodile, disainilahendustele ja valideerimisplaanidele on rangelt kontrollitud, logitud ja auditeeritud. Se hoiab ära luvatud funktsionaalsed muudatused ning kaitseb meie tarkvara arendustsükli terviklikkust.
• Personali värbamine ja töölt lahkumine: Juurdepääsu tagamist kontrollivad rangelt personaliosakond ja meie turvavolinik. Töö- või töövõtulepingu lõpetamisel tuleb tagastada kõik füüsilised varad ja kogu juurdepääs süsteemidele tühistatakse viivitamatult.

5. Andmete privaatsus ja haldamine

Kliendiandmete tõhusaks kaitsmiseks rakendame ranget andmehalduspoliitikat, mis määrab kindlaks teabe klassifitseerimise, käsitlemise ja turvalise hävitamise korra.

• Andmete klassifitseerimine: Jagame andmed kolme tasemesse, kusjuures Kliendiandmed ja isikuandmed (PII) on klassifitseeritud konfidentsiaalseks (Confidential). Konfidentsiaalsed andmed nõuavad kõrgeimat kaitsetaset, rangeid juurdepääsupiiranguid ning enne välist jagamist juhtkonna või andmeomaniku heakskiitu.
• Mitme rentniku süsteem ja loogiline eraldamine: Klientide keskkonnad ja andmebaasid on rangelt eraldatud, et vältida andmete lekkimist eri koolide või omavalitsuste vahel. Firestore andmebaasid on loogiliselt eraldatud Google Cloudi projekti konfiguratsioonide kaudu, tagades isoleeritud turvapiirid.
• Andmete säilitamine ja hävitamine: Järgime järgmisi säilitamistähtaegu, et olla vastavuses GDPR-i andmete minimeerimise põhimõttega:
  • Kliendiandmed: Kustutatakse turvaliselt 90 päeva jooksul pärast lepingu lõppemist.
  • Turvalisuse ja sündmuste logid: Pilve/hosti instantsi logisid säilitatakse kohtuekspertiisi auditi toetamiseks 1 aasta, samas kui asutusesiseseid turvaloge säilitatakse määramata aja.
  • Ajutised failid: Ajutised andmed kustutatakse automaatselt pärast protsessi lõppemist.

6. Haavatavuste ja turvaintsidentide haldamine

Töötame eeldusel, et ohumaastik areneb pidevalt. Sellest tulenevalt oleme loonud ennetavad seire- ja kiire reageerimise mehhanismid.

• Haavatavuste ja paikamise haldamine: Kogume ja hindame pidevalt teavet tehniliste haavatavuste kohta (kontroll VPM-3). Meie infrastruktuuri parandatakse rutiinselt ning haavatavuste haldamise tööriistad skannivad aktiivselt meie keskkondi. Hosti haavatavuse andmeid säilitatakse seni, kuni selle aluseks olev vara eemaldatakse ja kustutatakse.
• Läbistustestimine (Penetration Testing): Viime igal aastal läbi rangeid, sõltumatuid turvakontrolle ja läbistusteste koos usaldusväärsete, sertifitseeritud kolmandate osapoolte küberturvalisuse ettevõtetega.
• Intsidendile reageerimise plaan: Säilitame ametlikku intsidendile reageerimise plaani (Incident Response Plan), mida haldab meie turvavolinik.
  • Aruandlus ja triage: Turvasündmused eskaliseeritakse viivitamatult ja kategoriseeritakse vastavalt raskusastmele.
  • Tõkestamine ja kõrvaldamine: Kompromiteerimise näitajate (IOC) – näiteks ebahariliku konto tegevuse tai logimise keelamise – korral järgib meie reageerimismeeskond rangeid tegevusjuhiseid. Sammud hõlmavad viivitamatut kontakteerumist pilvetoega, juurparoolide/võtmete roteerimist ja muutmisõiguste tühistamist ohu peatamiseks ("verejooksu sulgemine").
  • Järelaudit (Post-Mortem): Iga turvaintsident lõpeb põhjaliku juurpõhjuste analüüsiga (Root-Cause Analysis). Dokumenteerime tulemused, parandame struktuursed põhiprobleemid ja värskendame oma tegevusjuhiseid, et vältida edaspidiseid juhtumeid.

See ligipääsetavuse avaldus hõlmab ainult teenust privacy.edudata.io (Edudata Privacy Application (PWA)) | Uuendatud: 19/05/2026 | Siht: WCAG 2.1 tase AA / EN 301 549

1. Vastavuse staatus

See avaldus kehtib eranditult avalikule teenusele privacy.edudata.io, mis on platvormi ainus lõppkasutajatele mõeldud kasutajaliides. Tuginedes 23.12.2025 läbi viidud hindamisele, on see rakendus osaliselt vastavuses WCAG 2.1 Level AA standarditega.

2. Mitte-ligipääsetav sisu (Teadaolevad puudused)

Järgmised funktsioonid ei ole praegu täielikult ligipääsetavad, kuid nende kõrvaldamine on planeeritud tegevuskavas (või hiljuti lõpule viidud):

• A. Tajutavus (Visuaal) - Kontrasti probleem (WCAG 1.4.3): Vormiväljade kohatäite tekstide (Logi sisse, Profiil) kontrastisuhe oli varem alla nõutud 4.5:1. Korrastatud
• B. Talitlus (Navigeerimine) - Fookuse haldamine (WCAG 2.4.3): Kinnitusaknad (modaalid) ei sulge praegu klaviatuuri fookust (focus trap). See võimaldab klaviatuuri kasutajatel kogemata navigeerida avatud dialoogi taga oleval alal. Töös
• C. Mõistetavus (Kood & Sildid) - Kohandatud lülitid (WCAG 4.1.2): Privaatsusseadete lülititel puuduvad atribuudid role="switch" ja aria-checked. Ekraanivaiad ei suuda praegu teatada, kas seade on "Sisse" või "Välja" lülitatud. Planeeritud

3. Korrastustegevuste kava (Vastavusplaan 2026)

Euroopa ligipääsetavuse akti (EAA) universaalse disaini nõuete täitmiseks oleme kohustunud järgima järgmist arendustegevuse ajakava:

4. Hindamis- ja sertifitseerimisstrateegia

• Praegune seisund: Enesehindamine (tehniline ja ekspertide ülevaatus).
• Tulevane valideerimine: KOV-ide sõltumatu verifitseerimise nõuete täitmiseks oleme planeerinud kolmanda osapoole ligipääsetavuse auditi (VPAT/ACR), mis viiakse läbi pärast eespool nimetatud puuduste kõrvaldamist.
• Sihtkuupäev: IV kvartal 2026 (november).

5. Tagasiside ja kontaktandmed

Kui teil tekib ligipääsetavuse tõkkeid või vajate teavet alternatiivses vormingus oma GDPR-i õiguste teostamiseks, võtke meiega ühendust:

E-post: info@edudata.io
Reageerimisaeg: Püüame vastata 7 tööpäeva jooksul.

6. Järelevalvemenetlus

Kui te ei ole rahul ligipääsetavuse taotlusele saadud vastusega, võite pöörduda oma jurisdiktsiooni järelevalveasutuse poole:

• Soome: ESAVI
• Rootsi: DIGG
• Norra: Uu-tilsynet