Jäta vahele ja mine põhisisu juurde
OpenAI

Updated: 1. detsember 2025

OpenAI andmetöötluse lisa

Laadi alla PDF(avaneb uues aknas)

Kehtiv alates: 1. jaanuar 2026

(Vaata eelmist andmetöötluse lisa)

See OpenAI andmetöötluse lisa („DPA“) täiendab ja on lisatud OpenAI teenuste lepingusse („leping“), mis reguleerib teenuste kasutamist ning on sõlmitud jõustumiskuupäeval ülalnimetatud kliendi („klient“) ja OpenAI OpCo, LLC vahel, tema ja tema sidusettevõtete nimel, kui see on asjakohane, välja arvatud juhul, kui klient asub Euroopa Majanduspiirkonna riigis või Šveitsis, sel juhul sõlmitakse see leping OpenAI Ireland Ltd-ga, tema ja tema sidusettevõtete nimel, kui see on asjakohane („OpenAI“). Selles DPA-s määratlemata suurtähtedega terminid omavad lepingus sätestatud tähendust. Selles DPA-s nimetatakse OpenAI-d ja klienti kumbagi eraldi „pooleks” ja ühiselt „poolteks“. Klient kinnitab, et tal on seaduslik õigus see leping sõlmida ja kui ta sõlmib lepingu mõne teise juriidilise isiku nimel, siis on tal seaduslik õigus see juriidiline isik lepinguga siduda. Klõpsates valikul „Nõustun“, aktsepteerides tellimisvormi või kasutades teenuseid, nõustub klient käesoleva lepinguga.

1. Detailid.

  • 1.1 Ulatus ja rollid. Kliendile lepingu alusel teenuste osutamise osana võib OpenAI kliendi andmeid kliendi nimel töödelda. OpenAI tegutseb kliendi nimel andmetöötlejana ning see DPA reguleerib sellist töötlemist.
  • 1.2 Töötlemise üksikasjad. OpenAI töötleb kliendi andmeid ainult selleks, et osutada kliendile teenuseid vastavalt lepingule ja sellele DPA-le. Üksikasjad kliendiandmete olemuse, kestuse, samuti liikide ja andmesubjektide kategooriate kohta on esitatud käesoleva DPA lisas 1 (Töötlemise üksikasjad). OpenAI ja klient nõustuvad täitma oma vastavaid kohustusi, mis teenustega seoses andmekaitseseadustest tulenevad.

2. OpenAI kohustused.

  • 2.1 Kliendi juhised. Pooled lepivad kokku, et see DPA, leping (sealhulgas tellimusvorm) ja kõik juhised, mis on antud konfiguratsioonitööriistade ja muude OpenAI teenustes kättesaadavate tööriistade kaudu, moodustavad kliendi dokumenteeritud juhised OpenAI poolt kliendiandmete töötlemiseks („kliendi juhised”). OpenAI töötleb kliendiandmeid ainult vastavalt kliendi juhistele, välja arvatud juhul, kui kohaldatav seadus, millele OpenAI allub, nõuab teisiti. Sel juhul teavitab OpenAI klienti sellest nõudest enne töötlemist, välja arvatud juhul, kui seda on seaduse järgi keelatud teha.
  • 2.2 Teated kliendile. OpenAI teavitab klienti viivitamatult kirjalikus vormis sellest, kui OpenAI arvates rikub kliendi juhis andmekaitseseadusi. OpenAI teavitab klienti seadusega lubatud ulatuses sellest, kui OpenAI saab õiguskaitseasutuselt õiguslikult siduva nõude kliendiandmete avalikustamiseks.
  • 2.3 Konfidentsiaalsus. OpenAI tagab, et kõik isikud, kellele OpenAI on andnud loa kliendiandmete töötlemiseks, on kohustunud olema konfidentsiaalsuskohustusega seotud või on seotud vastava seadusjärgse konfidentsiaalsuskohustusega.
  • 2.4 Andmesubjekti päringud. OpenAI teavitab klienti seadusega lubatud ulatuses sellest, kui OpenAI saab andmesubjekti õiguste kasutamise taotluse vastavalt andmekaitseseadustele ("andmesubjekti taotlus") seoses kliendi andmetega.  OpenAI ei vasta ühelegi sellisele taotlusele ilma kliendi eelneva kirjaliku autoriseerimiseta, välja arvatud juhul, kui klient lubab OpenAI-l andmesubjekti taotlusi vastavalt vajadusele ümber suunata, et klient saaks otse vastata. Arvestades töötlemise laadi, aitab OpenAI kliendil rakendada asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, niivõrd kui see on võimalik, et võimaldada kliendil andmesubjekti taotlustele vastata.
  • 2.5 Turvalisus. OpenAI rakendab ja säilitab mõistlikud ja sobivad organisatoorsed ja tehnilised turvameetmed kliendiandmete kaitsmiseks, nagu on sätestatud lepingus.
  • 2.6 Klienditoe pakkumine. OpenAI pakub, arvestades töötlemise laadi ja OpenAI-le kättesaadavat teavet, mõistlikku abi kliendile, et aidata kliendil täita oma kohustusi andmekaitseseaduste alusel, sealhulgas vajadusel andmekaitsealaste mõjuhinnangute koostamisel seoses OpenAI poolse kliendiandmete töötlemisega ja vajaduse korral kliendi sellise töötlemisega soses pädeva järelevalveasutusega konsulteerimisel, kui selline konsultatsioon on andmekaitseseadustega nõutud.
  • 2.7 Isikuandmete rikkumised. OpenAI teavitab klienti igast isikuandmete rikkumisest ilma põhjendamatu viivituseta pärast seda, kui OpenAI rikkumisest teada saab. OpenAI osutab kliendile mõistlikku abi, et aidata kliendil täita oma andmekaitseseadustest tulenevaid kohustusi seoses sellise isikuandmete rikkumisega.
  • 2.8 Vastavuse hindamine. OpenAI esitab kliendi mõistliku kirjaliku taotluse korral ja ulatuses, mida nõuavad andmekaitseseadused: (i) mitte rohkem kui kord aastas, kliendile OpenAI privaatsus- ja turvapoliitikad ning muu teabe, mis on vajalik OpenAI kohustuste täitmise tõendamiseks selle DPA alusel; ja (ii) tingimusel, et pooled on sõlminud asjakohase konfidentsiaalsuslepingu, võimaldab ja aitab kaasa auditite või kontrollide läbiviimisele kliendi poolt või nimel, eranditult kliendi kulul.  Selline audit või kontroll peab olema: (A) läbi viidud viisil, mis häirib OpenAI äritegevust minimaalselt; (B) vajalik, et kinnitada OpenAI poolt kliendiandmete töötlemine kooskõlas selle DPA-ga; ja (C) toimuma mitte rohkem kui kord aastas. Kui andmekaitseseadused seda lubavad, võib OpenAI selle asemel teha kliendile kättesaadavaks kokkuvõtte auditiaruannetest, mis on seotud OpenAI vastavusega sellele DPA-le. Sellised tulemused ja dokumentatsioon, sealhulgas auditite või kontrollide tulemused, on OpenAI konfidentsiaalne teave.
  • 2.9 Allhankijate kaasamine. Klient annab käesolevaga OpenAI-le üldisevolituse kaasata alltöötlejaid, kes on loetletud alltöötlejate nimekirjas, teenustega seoses kliendiandmete töötlemiseks. OpenAI teavitab sind muudatustest alltöötlejate nimekirjas blogipostituse, teenuste sees oleva teavituse või muude mõistlike vahendite kaudu või e-posti teel, kui oled tellinud e-posti teavitused alltöötlejate nimekirja saidil. Klient võib vaidlustada sellise täiendava alltöötleja kasutamise 30 päeva jooksul pärast muudatuse kohta teate saamist, järgides alamtöötlejate nimekirjas toodud juhiseid või võttes ühendust aadressil privacy@openai.com. Sellisel juhul teeb OpenAI kliendiga koostööd, et lahendada tema mured ja pakkuda äriliselt mõistlikke alternatiive või lahendusi. Kui ükski alternatiiv või lahendus ei ole OpenAI mõistliku hinnangu kohaselt majanduslikult teostatav või kui vastuväiteid ei ole lahendatud pooli rahuldaval viisil 30 päeva jooksul pärast seda, kui OpenAI on saanud kliendi vastuväite kohta teatise, võib kumbki pool lõpetada lepingu või mistahes tellimusvormid või teenuste kasutamise, mida ei saa osutada ilma uue alltöötleja kasutamiseta. Sellisel juhul tagastatakse kliendile kõik asjakohased ettemakstud tasud ulatuses, mis katavad perioode või tingimusi, mis järgnevad lõpetamise kuupäevale.
  • 2.10 Alltöötluse kohustused. OpenAI sõlmib iga alltöötlejaga lepingulised kokkulepped, mis panevad neile kohustused, mis on võrreldavad OpenAI-le selle DPA alusel kehtestatud kohustustega. Lepingust tulenevate vastutuse piirangute kohaselt jääb OpenAI vastutama oma alltöötlejate tegude ja tegematajätmiste eest samal määral, nagu OpenAI vastutaks selle DPA alusel, kui ta oleks need teod või tegematajätmised ise teinud.
  • 2.11 Andmete tagastamine või kustutamine. Pärast lepingu lõppemist või lõpetamist tagastab või kustutab OpenAI kliendi juhiste kohaselt kliendi andmed ja olemasolevad koopiad, välja arvatud juhul, kui kohaldatavad seadused nõuavad kliendi andmete säilitamist, millisel juhul isoleerib ja kaitseb OpenAI neid edasise töötlemise eest, välja arvatud ulatuses, mida kohaldatavad seadused nõuavad.

3. Kliendi kohustused.

  • 3.1 Teated ja autoriseerimised. Klient kinnitab, tagab ja kohustub, et on esitanud kõik vajalikud teated ning omab ja säilitab kogu kehtivusaja jooksul kõik vajalikud õigused, nõusolekud ja autoriseerimised, ulatuses, mida nõuavad andmekaitseseadused, et esitada kliendiandmed OpenAI-le ja autoriseerima OpenAI-d töötlema kliendiandmeid seoses lepinguga, sealhulgas käesoleva DPA-ga.
  • 3.2 Koostöö. Klient peab mõistlikult koostööd tegema OpenAI-ga, et aidata OpenAI-l täita oma kohustusi vastavalt kohaldatavatele andmekaitseseadustele.
  • 3.3 Konfiguratsioonid. Ilma et see piiraks OpenAI turvakohustusi selle DPA jaotises 2.5, tunnistab ja nõustub klient, et ta vastutab teatud teenuste konfiguratsioonide ja projekteerimisotsuste eest ning nende konfiguratsioonide ja projekteerimisotsuste rakendamise eest (nt säilitamisperioodid, kustutamine jne) viisil, mis vastab kohaldatavatele andmekaitseseadustele.

4. Rahvusvahelised andmeedastused.

  • 4.1 EMP ja Šveitsi andmed. OpenAI poolt selle DPA alusel töödeldavad kliendiandmed võivad kuuluda Euroopa Majanduspiirkonna või Šveitsi andmekaitseseaduste reguleerimisalasse („EMP ja Šveitsi andmed”). Sõltumata sellest, milline OpenAI isik on selle DPA alusel kohaldatav, annab klient käesolevaga juhise OpenAI Ireland Limited-ile töödelda kõiki EMP ja Šveitsi andmeid kooskõlas selle DPA-ga. Kui OpenAI Ireland Limited edastab EMP ja Šveitsi andmeid teenuste osutamiseks teistele OpenAI sidusettevõtetele või kolmandatele osapooltele väljaspool Euroopa Majanduspiirkonda või Šveitsi, teeb ta seda lepingute alusel, mis sisaldavad standardseid lepingutingimusi (SCC-d), et tagada kliendiandmete kaitseks asjakohased kaitsemeetmed, või Euroopa Komisjoni poolt IKÜM-i artikli 45 alusel tehtud piisavusotsuse alusel.
  • 4.2 Ühendkuningriigi andmed. OpenAI poolt selle DPA alusel töödeldavad kliendiandmed võivad kuuluda Ühendkuningriigi andmekaitseseaduste („Ühendkuningriigi andmed”) reguleerimisalasse. Sõltumata sellest, milline OpenAI on selle DPA alusel kohaldatav, annab klient juhise OpenAI OpCo, LLC-le töödelda Ühendkuningriigi andmeid vastavalt selle DPA-le ja Ühendkuningriigi lisaga muudetud SCC-dele, mis loetakse sõlmituks (ja on sellesse DPA-sse viiteliselt lisatud) ja täidetuks nagu kirjeldatud lisas 1.

5. Täiendavad nõuded.

Selles ulatuses, milles USA privaatsusseadused kehtivad:

  • 5.1 OpenAI nõustub (a) mitte pakkuma kliendile rahalist või muud väärtuslikku hüvitist kliendiandmete eest. Pooled tunnistavad ja nõustuvad, et klient ei ole "müünud" (nagu see mõiste on määratletud USA privaatsusseadustes) kliendi andmeid OpenAI-le; (b) ei "müü" (nagu see mõiste on määratletud USA privaatsusseadustes) ega "jaga" (nagu see mõiste on määratletud CCPA-s) isikuandmeid; (c) ulatuses, milles Klient lubab või juhendab OpenAI-d töötlema kliendi andmeid USA privaatsusseaduste alusel teenuste osana isikustamata kujul, OpenAI peab (i) võtma mõistlikke meetmeid, et takistada selliste isikustamata andmete kasutamist teabe tuletamiseks või muul viisil seostamiseks konkreetse füüsilise isiku või leibkonnaga; (ii) avalikult kohustuma säilitama ja kasutama selliseid isikustamata andmeid selles vormis ning mitte püüdma teavet uuesti identifitseerida, välja arvatud juhul, kui USA privaatsusseadused seda lubavad; ja (iii) enne isikustamata andmete jagamist mis tahes muu osapoolega, sealhulgas alltöövõtjatega, kohustama lepinguliselt kõiki selliseid saajaid järgima selle sätte (c)(i)-(iii) nõudeid; ja (d) kui kliendi andmed on CCPA-le allutatud (i) mitte säilitama, kasutama, avaldama ega muul viisil töötlema kliendi andmeid, välja arvatud juhul, kui see on vajalik ärilistel eesmärkidel, sealhulgas ilma piiranguteta, nagu on sätestatud selle DPA lisas 1; (ii) mitte säilitama, kasutama, avaldama ega muul viisil töötlema kliendi andmeid väljaspool OpenAI ja kliendi otsest ärisuhet; (iii) mitte kombineerima kliendi andmeid isikuandmetega, mida OpenAI saab kolmandalt isikult või kogub OpenAI enda suhtlustest üksikisikutega, tingimusel et OpenAI võib selliselt kombineerida kliendi andmeid CCPA-s lubatud eesmärgil, kui klient sellise juhise annab või kui CCPA seda muul viisil lubab; (iv) teavitama klienti viivitamata, kui OpenAI leiab, et ta ei suuda enam täita oma kohustusi CCPA alusel; ja (v) kui klient usub mõistlikult, et OpenAI poolt kliendi andmete töötlemine ei vasta CCPA nõuetele ja teavitab OpenAI-d sellest mõistlikult, teevad osapooled koostööd heas usus, et probleem lahendada, või kui pärast koostööd klient mõistlikult leiab, et probleemi ei saa lahendada, lõpetab OpenAI mõjutatud kliendi andmete töötlemise kliendi kirjaliku juhise alusel.
  • 5.2 Klient nõustub mitte tegema ühtegi toimingut, mis (a) muudaks kliendiandmete OpenAI-le osutamise „müügiks“ USA privaatsusseaduste kohaselt või „jagamiseks“ CCPA kohaselt (või samaväärseteks mõisteteks USA privaatsusseadustes); või (ii) muudaks OpenAI isikuks, kes ei ole „teenuseosutaja“ CCPA kohaselt või „töötleja“ USA privaatsusseaduste kohaselt.

6. Mõisted.

Kliendiandmed” tähendab isikuandmeid, mida OpenAI töötleb Kliendi nimel teenuste osutamiseks.

Vastutav andmetöötleja“ tähendab mõistet „vastutav töötleja“ (või mõni muu analoogne mõiste) andmekaitseseaduste mõistes.

Andmetöötleja” tähendab „töötlejat” (või muud analoogset terminit), nagu see on määratletud andmekaitseseadustes.

Andmekaitseseadused” tähendab andmete privaatsuse ja andmekaitse seadusi, mida kohaldatakse OpenAI kliendiandmete teenustega seotud töötlemisel. 

Andmesubjekt” tähendab mõistet „andmesubjekt” (või mõnda muud analoogset mõistet) andmekaitseseaduste tähenduses.

IKÜM” tähendab Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679.

Isikuandmed” tähendab mõistet „isikuandmed” või „isikuga seotud teave” (või mõni muu analoogne mõiste) andmekaitseseaduste tähenduses.

Isikuandmete rikkumine” tähendab turvarikkumist, mis viib OpenAI, selle alltöötlejate või muude OpenAI nimel tegutsevate kolmandate isikute poolt salvestatud, edastatud või muul viisil töödeldud kliendiandmete juhusliku või õigusvastase hävitamise, kadumise, muutmise, omavolilise avaldamise või juurdepääsuni.

Töötlemine” tähendab mõistet „töötlemine” (või mõnda muud analoogset mõistet), nagu see on määratletud andmekaitseseadustes.

SCCs” tähendab Euroopa Komisjoni poolt 4. juunil 2021 vastu võetud isikuandmete kolmandatesse riikidesse ülekandmise standardseid lepingutingimusi (mida võidakse aeg-ajalt muuta, ajakohastada või asendada).

Alltöövõtjad” tähendab OpenAI poolt teenustega seoses kliendiandmete töötlemiseks kaasatud alltöövõtjaid, kes on loetletud alltöövõtjate nimekirjas.

Alamtöötlejate nimekiri” tähendab nimekirja, mis on saadaval järgmisel aadressil https://platform.openai.com/subprocessors(avaneb uues aknas).

Ühendkuningriigi lisa” tähendab ELi tüüptingimuste Ühendkuningriigi lisa, mille on välja andnud andmekaitsevolinik vastavalt 2018. aasta andmekaitseseaduse § 119A lõikele 1.

USA privaatsusseadused” tähendab Ameerika Ühendriikide elanikele kohaldatavate andmekaitseseaduste alamhulka, sealhulgas, kuid mitte ainult, California tarbijate privaatsusseadust („CCPA”).

Lisa 1

Töötlemise üksikasjad

1. Laad ja eesmärk:

Teenuste osutamine lepingu alusel.

2. Kestus:

Lepinguperiood ja sellele järgnev aeg, mis on vajalik poolte kohustuste täitmiseks pärast lepinguperioodi lõppu, sealhulgas andmete kustutamine.

3. Kliendiandmete kategooriad:

Klient võib teenustega seoses esitada isikuandmeid, mille kategooriad sõltuvad kliendi poolt teenuste kasutamisest, mida klient määrab ja kontrollib oma äranägemisel, kuid need võivad sisaldada, kuid ei piirdu nimedega, kontaktandmetega, demograafiliste andmetega või muu teabega, mille kliendi kasutajad on esitanud struktureerimata andmetes.

4. Andmesubjektide kategooriad:

Andmesubjektide hulka võivad kuuluda, kuid mitte ainult, kliendi töötajad, kliendid, tarnijad ja üldiselt lõppkasutajad.

5. Tundlike andmete ülekandmine (kui kohaldatav):

Andmed, mida kantakse üle ja mis on tundlikud (kui kohaldub), ning rakendatud piirangud või kaitsemeetmed, mis võtavad täielikult arvesse andmete olemust ja seotud riske, näiteks ranged otstarbepiirangud, juurdepääsupiirangud (sealhulgas juurdepääs ainult erikoolituse läbinud töötajatele), juurdepääsu registreerimine andmetele, edasisaatmise piirangud või täiendavad turvameetmed.

Tundlikke andmeid ei ole ette nähtud kanda üle, välja arvatud juhul, kui kasutaja lisab need ootamatult struktureerimata andmetesse

6. Sagedus:

Edastamise sagedus (nt kas andmeid edastatakse ühekordselt või pidevalt).

Pidev kasutamine sõltuvalt kliendi poolt teenuste kasutamisest

7. Edastamised alltöötlejatele:

Vastavalt DPA artiklile 2.9 töötlevad alltöötlejad kliendiandmeid teenuste osutamiseks vajalikul määral. Selline töötlemine toimub lepingu kehtivuse ajal, kui ei ole kirjalikult teisiti kokku lepitud.

8. SCC-de teave Ühendkuningriigi andmete ülekandmise kohta jaotise 4.2 alusel:

  • SCC-de teine moodul (vastutav andmetöötleja ja volitatud andmetöötleja vaheline) kehtib, kui klient on vastutav andmetöötleja ja OpenAI töötleb kliendi andmeid volitatud andmetöötlejana. SCC-de kolmas moodul (volitatud töötleja ja alltöötleja vahel) kehtib, kui klient on volitatud töötleja ja OpenAI töötleb kliendi andmeid alltöötlejana.
  • 8.2 Iga SCC-de mooduli puhul, kui kohaldatav, kehtib järgnev: (i) punktis 7 sätestatud vabatahtlikku dokkimisklauslit ei kohaldata; (ii) punktis 9 kohaldatakse valikut 2 (üldine kirjalik autoriseerimine) ja minimaalne etteteatamisaeg alltöötlejate muudatustest on sätestatud DPA jaotises 2.9; (iii) punktis 11 ei kohaldata valikulist keelt; (iv) sellega eemaldatakse kõik nurksulud punktist 13; (v) punktis 17 (valik 1) reguleerivad SCC-sid Inglismaa ja Walesi seadused; (vi) punkti 18(b) kohaselt lahendatakse vaidlused Inglismaa ja Walesi kohtutes; (vii) see lisa 1 sisaldab SCC-de I ja III lisas nõutavat teavet; (viii) DPA punkt 2.5 (Turvalisus) sisaldab SCC-de II lisas nõutavat teavet, (ix) pädev järelevalveasutus on Information Commissioner’s Office (“ICO”).
  • 8.3 Andmeeksportija(d): Klient vastavalt lepingule; andmeimportija(d): OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Data Protection Officer, privacy@openai.com.

Andmetöötluslepingu sõlmimine(avaneb uues aknas)