Privaatsuspoliitika
Selles privaatsuspoliitikas („privaatsuspoliitika”) kirjeldame, kuidas Nothel OÜ („ettevõte”) töötleb oma töötajate, klientide või ettevõttega muul moel koostööd tegevate inimeste isikuandmeid ning milliseid meetmeid me isikuandmete kaitsmiseks rakendame.
Isikuandmeid töödeldakse isikuandmete kaitse üldmääruse (määrus (EL) 2016/679) ning muude siseriiklike ja Euroopa privaatsusseaduste ning regulatsioonide (ühiselt „andmekaitseseadus”) kohaselt. Ettevõttes on kehtestatud füüsilised, tehnilised ja organisatsioonilised meetmed isikuandmete kaitsmiseks ebaseadusliku või omavolilise hävitamise, kaotsimineku, muutmise, avaldamise, omandamise või neile lubamatu juurdepääsu eest.
1. ULATUS
Käesolev privaatsuspoliitika kohaldub kõigile isikuandmetele, mida vastutava töötlejana töötleme.
Ettevõte töötleb näiteks töötajate, ajutiste töötajate, füüsilisest isikust ettevõtjate, töö- ja ametikohale kandideerijate, tarnijate kontaktisikute, klientide ja külaliste ja muude koostööpartnerite isikuandmeid.
2. EESMÄRK
Selle privaatsuspoliitika eesmärk on selgitada, milliseid isikuandmeid me töötleme ning kuidas ja miks seda teeme. Lisaks kirjeldab see privaatsuspoliitika meie kohustusi ja vastutust andmete kaitsmisel.
MÕISTED
Selles privaatsuspoliitikas kasutatakse mõisteid järgmises tähenduses:
EMP – Euroopa majanduspiirkond
GDPR – on ELi isikuandmete kaitse üldmäärus (general data protection regulation, (EU) 2016/679), mille rakendamine algab 25. mail 2018.a.
Isikuandmed – on igasugused andmed ja teave, mis on seotud füüsilise isiku ehk inimesega ja mis võimaldavad selle inimese isikut tuvastada. Isik on tuvastatav, kui tema isikut saab andmete põhjal ebaproportsionaalse pingutuseta mõistlikus ulatuses tuvastada. Tuvastamise aluseks võib olla näiteks nimi, isikukood, asukohateave, võrguidentifikaator või füüsiline, füsioloogiline, geneetiline, vaimne, majanduslik, kultuuriline või sotsiaalne tunnus või selliste tunnuste kombinatsioon.
Isikuandmete eriliigid – on isikuandmed, millest ilmneb inimese rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, aga ka geneetilised andmed, inimese kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
Isikuandmetega seotud rikkumine – on turberikkumine, mille tagajärg on edastatavate, talletatavate või muul viisil töödeldavate isikuandmete tahtmatu või ebaseaduslik hävimine, kaotsiminek, muutmine, lubamatu avaldamine või lubamatu juurdepääs neile andmetele.
Klient – on füüsiline isik, kellele ettevõte seoses oma majandustegevusega osutab teenuseid ja/või pakub kaupu.
Kolmas isik – on füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja või volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses.
Koostööpartner – füüsiline isik, kes on ettevõtte tarnija või muu juriidilisest isikust koostööpartneri töötaja/esindaja/kontaktisik.
Külastajakaardi andmed – turismiseaduses nõutud andmed majutusettevõtte külastaja kohta: nimi, sünniaeg, kodakondsus ja aadress; temaga koos majutatava abikaasa ja alaealise nimi, sünniaeg ja kodakondsus; majutusteenuse osutamise aeg; kui tegemist ei ole Eesti, EMP lepinguriigi või Šveitsi kodaniku või Eestis elamisloa või elamisõiguse alusel elava välismaalasega, siis ka: reisidokumendi liik, number ja selle välja andnud riik.
Profiilianalüüs – on igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud selle füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega.
Töötlemine – on isikuandmetega tehtav toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine. Töötlemine võib toimuda käsitsi või automatiseeritud süsteeme, näiteks IT-süsteeme, kasutades.
Töövõtja – on füüsiline isik (st mitte ettevõte), kellega ettevõte on sõlminud töövõtulepingu (teenuse osutamise leping), siia kuuluvad ka ettevõtte juhtorganite liikmed.
Vastutav töötleja – on isik, kes otsustab, miks ja kuidas (st mis eesmärkidel ja viisidel) isikuandmeid töödeldakse. Vastutava töötleja kindlakstegemisel võib olla abi järgmistele küsimustele vastamisest.
– Kes otsustab, milliseid isikuandmeid säilitatakse?
– Kes otsustab, mis eesmärkidel isikuandmeid kasutatakse?
– Kes otsustab, mis viisil isikuandmeid töödeldakse?
Kui isik otsustab ise tema valduses olevate isikuandmete töötlemise üle ja on nende eest vastutav, siis on ta vastutav töötleja.
Volitatud töötleja – on isik, kes töötleb isikuandmeid vastutava töötleja nimel. Kui isikuandmed on isiku valduses või ta töötleb neid, kuid tal ei ole voli nende töötlemise üle otsustamiseks, st ta töötleb neid vastutava töötleja juhiseid järgides, siis on see isik volitatud töötleja. Volitatud töötlejaks võib olla nt teenuse osutaja (näiteks palgaarvestusteenuse osutaja).
1. ISIKUANDMETE KATEGOORIAD
1.1 Töötajad ja töövõtjad
Ettevõte töötleb oma töötajate, töö- ja ametikohtadele (nt juhatuse liikmed) kandideerijate ja töövõtjate kohta, samuti endiste töötajate ja endiste töövõtjate kohta.
Need isikuandmed hõlmavad järgmist:
• isiklikud andmed, nagu nimi, sünniaeg, pangakonto andmed, viisa-/passi-/ID kaardi andmed või vastava dokumendi koopia;
• kontaktandmed, nagu aadress ja telefoninumber, e-posti aadress;
• personalifaili andmed, muu hulgas: töösuhte tingimused, koolitusandmed, töötulemuste hindamised/hinnangud, edutamised, isiklikud arenguplaanid, käitumis- ja distsiplinaarandmed, töö asukoht, palgaandmed, pangakonto andmed ning maksukohustuslase number ja isikukood;
• töösuhete ajaloo / kandideerimise andmed, näiteks hariduse ja varasemate töösuhete ajalugu;
• pereliikmete andmed, näiteks laste sünniajad ja nimed (need on asjakohased näiteks juhul, kui inimene taotleb vanemapuhkust);
• tööalase sooritusega seotud andmed, näiteks töötajate iga-aastane palga ülevaatamine, jne.
• Isikuandmete eriliigid: arstitõendid ja haiguslehed;
1.2 Kliendid
Ettevõte töötleb ka oma klientide isikuandmeid. Need isikuandmed võivad hõlmata järgmist:
• isiklikud andmed, nagu nimi, sünniaeg/isikukood;
• kontaktandmed, näiteks aadress ja telefoninumber, e-posti aadress;
• külastajakaardi andmed;
• krediitkaardi andmed nagu kaardi number, kehtivusaeg, CVV;
• turvakaamerate salvestused videovalvega kaetud aladel.
Kasutame oma kodulehel küpsiseid. Küpsiste poliitikaga saate tutvuta siin.
1.3 Koostööpartnerid
Ettevõte töötleb oma koostööpartnerite isikuandmeid. Selliseid isikuandmed võivad hõlmata järgmist:
• Koostööpartnerite esindajate ja kontaktisikute isiklikud andmed, näiteks nimi, ametinimetus, ametikoht, tööalased identifitseerimisnumbrid, osakond, äriüksus (sh koolituse/kontrollimise jaoks kogutavad kontaktandmed);
• kontaktandmed, näiteks meiliaadress, telefoninumbrid ja töö asukoht;
2. ANDMETE TÖÖTLEMISE EESMÄRGID
Ettevõte töötleb isikuandmeid nendel eesmärkidel, milleks isikuandmed on kogutud.
Töötajate isikuandmeid töötleme näiteks järgmistel eesmärkidel:
• töölepinguseaduses ettevõttele sätestatud tööandja kohustuste täitmine;
• palga ja hüvitiste haldamine;
• personalitegevuste, soorituse ja talendi juhtimine;
• siseauditid;
Klientide ja koostööpartnerite isikuandmeid töötleme näiteks järgmistel põhjustel:
• turismiseaduses sätestatud majutusettevõtte kohustuste täitmine (nt külastajakaardi täitmine ja säilitamine 2.a. jooksul;
• kliendi/koostööpartneriga sõlmitud lepingu ettevalmistamine ja selle täitmine;
• turundus ja avalikud suhted;
• ettevõtte toodete ja teenuste täiustamine;
• ettevõtte äristrateegia kujundamine;
• ettevõtte, meie klientide ja töötajate vara kaitse ja turvalisuse tagamine, sh ettevõtte või meie klientide ja töötajate suhtes ebaseadusliku ja/või kuritegeliku käitumise vältimine ja tuvastamine.
3. ANDMESUBJEKTI ÕIGUSED
Inimestel on andmekaitseseaduse alusel oma isikuandmetega seonduvalt teatud õigused.
3.1. Õigus andmetega tutvuda – teil on õigus teada, milliseid andmeid teie kohta säilitatakse ja kuidas neid töödeldakse.
3.2. Õigus andmete parandamisele – teil on õigus nõuda oma isikuandmete parandamist, juhul kui need on ebaõiged.
3.3. Õigus andmete kustutamisele („õigus olla unustatud“) – teil on teatud juhtudel õigus nõuda, et me teie isikuandmed kustutaksime (nt kui meil ei ole neid enam vaja, te võtate tagasi meile andmete töötlemiseks antud nõusoleku, jne).
3.4. Õigus töötlemise piiramisele – teil on teatud juhtudel õigus keelata või piirata oma isikuandmete töötlemist teatud ajaks (nt kui olete esitanud vastuväite andmetöötluse osas).
3.5. Õigus esitada vastuväiteid – konkreetsest olukorrast lähtuvalt on teil õigus esitada oma isikuandmete töötlemise osas vastuväiteid kui teie andmete töötlemine toimub meie õigustatud huvist lähtudes või avalikust huvist lähtudes. Otseturunduse eesmärgil isikuandmete töötlemisele võib esitada vastuväiteid igal ajal.
3.6 Õigus andmete ülekandmisele – Juhul, kui isikuandmete töötlemine põhineb inimese nõusolekul või ettevõttega sõlmitud lepingul ja andmeid töödeldakse automatiseeritult, siis on inimesel õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale. Samuti on tal õigus nõuda, et ettevõte edastaks andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav.
4. ISIKUANDMETE AVALDAMINE
Ettevõte võib aeg-ajalt isikuandmeid kolmandatele isikutele avaldada või neil ettevõttes töödeldavatele isikuandmetele juurde pääseda (näiteks kui õiguskaitseasutus või Andmekaitse Inspektsioon esitab kehtiva nõude isikuandmetele juurdepääsemiseks).
Ettevõte võib jagada isikuandmeid ka: a) teise ettevõttega samasse kontserni kuuluva isikuga (nt emaettevõte ja tütarettevõtted, kontserni lõplik kasusaaja ja selle tütarettevõtted); b) valitud muude osapooltega, sh äripartnerid, tarnijad ja töövõtjad; c) muude osapooltega, kui müüme või ostame teisi ettevõtteid või varasid (st tehingute tegemisel), või d) kui ettevõttel on seaduslik kohustus isikuandmeid avaldada (see hõlmab teabevahetust teiste ettevõtete ja organisatsioonidega pettuste vältimiseks).
Kui ettevõte sõlmib muude osapooltega lepinguid isikuandmete töötlemiseks ettevõtte nimel, tagab ta sobivate lepinguliste kaitsemeetmete olemasolu isikuandmete kaitsmiseks.
5. ANDMETE SÄILITAMINE
Ettevõte säilitab isikuandmeid ainult seni, kuni selliste isikuandmete säilitamist peetakse vajalikuks eesmärkidel, milleks neid isikuandmeid koguti. Isikuandmeid säilitatakse asjakohaste seaduste ja ettevõtte põhimõtete kohaselt.
Ettevõte lähtub isikuandmete säilitamisel järgmistest kriteeriumidest:
• kui kaua kui on vaja isikuandmeid säilitada selleks, et pakkuda oma teenuseid
• kui isikul on ettevõtte juures kliendikonto või kliendikaart, siis säilitame isikuandmeid terve konto/kaardi aktiivsusaja või nii kaua kui neid on vaja isikule teenuste osutamiseks
• kui ettevõttel on seadusest tulenev, lepinguline või muu sarnane kohustus isiku andmete säilitamiseks, siis seni kuni on vajalik sellise kohustuse täitmiseks
• peale lepingulise suhte lõppemist säilitame teatud andmeid nii kaua, kui kaua on isikul (andmesubjektil) või ettevõttel endal õigus esitada lepingu alusel nõudeid teise poole vastu
Mõned näited:
• Külastajakaardi andmeid säilitame turismiseaduse nõuete kohaselt 2 aastat alates kaardi täitmisest.
• Töölepingu kirjalikke dokumente säilitame töölepingu seaduse nõuete kohaselt 10 aastat töölepingu lõppemisest.
• Krediitkaardiandmeid säilitame kuni meievahelise majutusteenuse lepingu nõuetekohase täitmiseni.
6. VASTUTUSALAD
Ettevõte vastutab isikuandmete töötlemise eest. Üldine vastutus selle privaatsuspoliitika järgimise eest ettevõttes lasub ettevõtte juhtkonnal, kes määrab peamise kontakti seoses i) ettevõtte töötajate ja töövõtjate isikuandmete töötlemise; ii) klientide ja koostööpartnerite isikuandmete töötlemise ja iii) ettevõttes töödeldavate isikuandmete turvalisusega.
Kõigil ettevõtte töötajatel, kes puutuvad kokku isikuandmete töötlemisega on kohustus järgida kõige ajakohasemat avaldatud versiooni sellest privaatsuspoliitikast.
Kui teil tekib selles privaatsuspoliitikas toodud info osas küsimusi või soovite esitada taotlust andmesubjekti õiguste teostamiseks, siis võtke meiega ühendust e-posti aadressil hello@nothel.ee.
Kuupäev: 23.07.2019