ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED
1. Käesolevates Isikuandmete töötlemise põhimõtetes kasutatud mõistetel on järgmised tähendused.
1.1. Isikuandmed – igasugune teave füüsilise isiku kohta, kes on tuvastatud või kelle isikusamasuse saab otse või kaudselt tuvastada (andmesubjekt), nt ees- ja perekonnanime, isikukoodi, asukohaandmete või veebipõhise tunnuse või füüsiliste, füsioloogiliste, geneetiliste, vaimsete ja muude tunnuste põhjal.
1.2. Isik – füüsiline isik, kelle Isikuandmeid töödeldakse (andmesubjekt), nt Võimalik kandidaat, Kandidaat, Ajutine töötaja, Haldustöötaja või muu füüsiline isik.
1.3. Vastutav isik – isik, kes vastutab Isikuandmete kaitse eest ja kelle Vastutav töötleja, sealhulgas andmekaitseametnik, on nimetanud (nagu isikuandmete kaitse üldmääruses määratletud). Vastutava töötleja nimetatud andmekaitseametniku e-posti aadress on info@balticprostaff.com.
1.4. Isikuandmete kaitse üldmäärus – Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.
Isikuandmete kaitse üldmäärus on kättesaadav siit:
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG
1.5. Andmetöötlus – automaatne või mitteautomaatne toiming, mida Isikuandmetega tehakse, nt kogumine, dokumenteerimine, korraldamine, struktureerimine, säilitamine, kohandamine või muutmine, vaatamine, kasutamine, avalikustamine, piiramine, kustutamine või hävitamine jne.
1.6. Võimalik kandidaat – füüsiline isik, kelle Isikuandmed on tavaliselt avalikult kättesaadavad või eri tööotsingu andmebaasides avaldatud või kes on need ise kättesaadavaks teinud, kui ta on esitanud oma andmed, et temaga saaks ühendust võtta eesmärgiga teha ettepanek teha Volitatud töötlejaga koostööd, osaleda valikumenetluses ja olenevalt värbamistulemustest olla tööle värvatud. Võimalik kandidaat, kes täidab oma Isikuandmete vormi, muutub Kandidaadiks.
1.7. Kandidaat – füüsiline isik, kellega Vastutav töötleja on juba ühendust võtnud ja kes on seejärel otsustanud teha Vastutava töötlejaga koostööd ning kes on täitnud nõutavad vormid ja esitanud oma Isikuandmed, mida Vastutav töötleja vajab, et esitada võimalikke tööpakkumisi ja/või kutsuda valikumenetluses osalema ning pärast valikumenetluse edukat läbimist teha ettepanek töölepingu sõlmimiseks.
1.8. Ajutine töötaja – Kandidaat, kes läbis edukalt valikumenetluse ja sõlmis ajutise töölepingu.
1.9. Haldustöötaja – tavaliselt Vastutava töötleja haldustöötaja, kes töötab Isikuandmetega; haldustöötaja võib olla esindaja, agent või isik, kes täidab Vastutava töötleja korraldusi, tuginedes muule alusele ja omades juurdepääsu Isikuandmetele.
1.10. Rikkumine – Isikuandmete rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, säilitatavate või muul viisil töödeldavate Isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
1.11. Põhimõtted – Osaühingu BalticProStaff Isikuandmete töötlemise põhimõtted.
1.12. Järelevalveasutus – sõltumatu avalik asutus, mis on loodud selleks, et teha järelevalvet Andmetöötluse nõuetele vastavuse üle, samuti kasutada ja täita muid isikuandmete kaitse üldmääruses märgitud õiguseid ja ülesandeid. Juhtiv järelevalveasutus on Eesti Vabariigis asutatud riigieelarveline institutsioon ehk Andmekaitse Inspektsioon.
Link riigi andmekaitse inspektsiooni kodulehele: http://www.aki.ee/
1.14. Volitatud töötleja – füüsiline või juriidiline isik, kes töötleb Vastutava töötleja nimel Isikuandmeid, st abistab Vastutavat töötlejat ja täidab tema korraldusi.
1.15. Vastutav töötleja – BalticProStaff töötaja kes tegutseb Isikuandmete vastutava töötlejana ning määrab üksi või koos teistega kindlaks Andmetöötluse eesmärgid ja vahendid. BalticProStaffi töötaja, kes tegutseb Isikuandmete töötlejana, kas üksikult või koos teistega määratleb kindlaks Andmetöötluse eesmärgid ja vahendid
2. Käesolevate Põhimõtete eesmärk on määrata kindlaks peamised eeskirjad Andmetöötluseks, mida iga Vastutav töötleja teeb, tagades vastavuse isikuandmete kaitse üldmäärusele ja muudele kohaldatavatele õigusaktidele ning nende nõuetekohase rakendamise. BalticProStaff kui Vastutav töötleja, tagab isikuandmete kaitse üldmääruse ja teiste kohaldatavate seaduste järgimise ja nõuetekohase rakendamise.
3. Esiteks peab Vastutav töötleja Isikuandmeid töödeldes järgima järgmisi isikuandmete kaitse üldmääruse põhimõtteid: eesmärgi piirang (Andmetöötlus üksnes viisil, mis vastab esialgu kindlaks määratud eesmärkidele); võimalikult väheste andmete kogumine (üksnes määral, mil Isikuandmed on vajalikud); õiguspärasus, õiglus ja läbipaistvus; õigsus; säilitamise piirang (andmeid ei hoita kauem, kui on konkreetseks eesmärgiks vaja); usaldusväärsus ja konfidentsiaalsus, samuti vastutus (Vastutav töötleja suudab tõendada, et ta täidab oma kohustusi).
4. Kõik Haldustöötajad peavad järgima põhimõtetes ette nähtud nõudeid, töödeldes Isikuandmeid Vastutava töötleja andmebaasides, olenemata sellest, kuidas Isikuandmed saadi/koguti. Sama kehtib juhul, kui nad saavad teada Isikuandmeid oma ülesandeid täites. Isikuandmeid võivad töödelda ja kasutada üksnes need Haldustöötajad, kelle jaoks see on vajalik nende ülesannete täitmiseks ning kes on Põhimõtetega tutvunud (st kes on töölepingut sõlmides seda allkirjaga kinnitanud). Nendel Haldustöötajatel on õigus tutvuda selliste dokumentide ja/või andmetega või neid teistele tutvustada üksnes määral, mil see on vajalik nende ülesannete täitmiseks.
5. Põhimõtete rakendamise ja vastavuse ülalnimetatud isikuandmete kaitse põhimõtetele tagab Vastutava töötleja Juht koos Vastutavate isikutega, kehtestades asjakohased meetmed ning tehes järelevalvet selle üle, kas nõuetekohased meetmed on tagatud.
6. Vastutav töötleja töötleb Isikuandmeid õiguspäraste eesmärkide saavutamisel ning viisil, mis on kindlaks määratud iga Vastutava töötleja veebisaidil või mobiilirakenduses. Üksikasjalikku teavet Andmetöötluse kohta esitatakse ja see on kättesaadav siseses andmebaasis üksnes Vastutavatele isikutele. Teavet andmete töötlemise kohta kooskõlas isikuandmete kaitse üldmäärusega esitatakse Isikutele nende keeles ja tabeli vormis: teave isikuandmete, eesmärkide, töötlemise õigusliku aluse, isikute kategooriate, säilitamistähtaja, volitatud töötlejate ja andmete vastuvõtjate kohta, samuti muu teave vajaduse korral (nt kust andmed on saadud, kui neid ei ole saadud Isikult; kas andmeid kantakse edasi kolmandasse riiki väljaspool EMPd; tagajärjed, kui Isikuandmeid ei esitata).
7. Erandjuhtudel, mil töödeldakse Isikuandmete erikategooriaid, nt karistusregistri andmeid, terviseandmeid, ametiühingutes osalemise andmeid jne, kontrollivad Haldustöötajad lisaks, kas kõiki nõutavaid meetmeid on kasutatud, ning teevad lisatoimingud (nt hangivad töötlemiseks eraldi nõusoleku) ja võtavad lisameetmeid (nt hoiduvad andmete säilitamisest Vastutava töötleja andmebaasis või muus kasutatavas programmis), kui see on vajalik.
8. Isikuandmeid võib hankida otse Isikutelt ja kolmandatelt isikutelt automaatsete või mitteautomaatsete vahendite abil, nagu on märgitud Andmetöötlemist käsitlevas tabelis. Kui Isikuandmeid esitatakse mitteautomaatsete vahendite kaudu, sisestavad Haldustöötajad kogutud andmed käsitsi Vastutava töötleja andmebaasi.
9. Töödeldud Isikuandmeid võib edastada teistele isikutele üksnes isikuandmete kaitse üldmääruses või muudes kohaldatavates õigusaktides sätestatud korras ning ainult käesolevates Põhimõtetes või Andmetöötlemist käsitlevas tabelis märgitud juhtudel. Isikuandmeid võib edastada väljapoole Euroopa Liidu või Euroopa Majanduspiirkonna piire üksnes siis, kui on tagatud Isikuandmete kaitse piisav tase. Vastutav töötleja kasutab Andmetöötluseks Volitatud töötlejaid, st serveri ja pilvandmetöötluse teenuste pakkujaid, kes võivad tegutseda väljaspool Euroopa Liidu ja Euroopa Majanduspiirkonna piire. Seega võidakse Isikuandmeid edastada kolmandatesse riikidesse määral, mil see on vajalik Volitatud töötlejale antud Andmetöötlemise ülesannete täitmiseks.
10. Vastutav töötleja võib esitada Isikuandmeid kohtutele, õiguskaitseasutustele, kohtutäituritele, notaribüroodele, advokaatidele ja nende abidele, riigiasutustele ja kohalikele omavalitsustele, äriühingutele, institutsioonidele ja organisatsioonidele, äriühingute halduritele, kui on algatatud pankrotimenetlus, jms isikutele. Isikuandmeid võib esitada ka teenuseosutajatele, kui see on seotud Vastutava töötleja teenuste (nt finants- või õigusnõu, Isikuandmeid töötlevate programmide ajakohastamine) osutamisega. Andmeid esitatakse, kui see on vajalik, et kaitsta õiguslikke huve või ära hoida kuritegusid või ebaseaduslikke tegusid või, kui see on õigusaktidega nõutav, neid uurida (nt esitatakse teave liiklusõnnetuste, varguste, põhjustatud kahju jne kohta), samuti muudel õigusaktidega ette nähtud juhtudel. Andmeid esitatakse üksnes määral, mil see on vajalik.
11. Vastutav töötleja võib kasutada Volitatud töötlejaid. Volitatud töötleja tegevust ja kohustusi reguleerib Vastutava töötleja ja Volitatud töötleja leping, välja arvatud juhtudel, mil Andmetöötlus kooskõlas õigusaktiga, mis on volitatud töötleja suhtes kohustuslik. Vastutava töötleja äranägemisel võib Andmetöötlemisega seotud küsimusi reguleerida ka teenuse osutamist käsitleva põhilepingu või Vastutava töötleja ja Volitatud töötleja vahel sõlmitud mis tahes muud liiki lepingu lisas (st eraldi lepingu sõlmimine on vabatahtlik).
12. Rakendatakse tehnilisi ja korralduslikke turvameetmeid. Vastutav töötleja valib ja rakendab oma äranägemisel asjakohaseid korralduslikke (nt põhimõtete koostamine, nende rakendamise kontroll, salasõnaga kaitstud juurdepääs arvutitele, arvutivõrgule ja andmebaasile) ja tehnilisi (viirustõrjeprogrammide kasutamine, ruumidesse alarmsüsteemi paigaldamine, isikute kinnistule juurdepääsu füüsiline kontroll jne) meetmeid. Vastutav töötleja ja tema Haldustöötajad võtavad oma tegevuse käigus pidevalt arvesse olemasolevaid riske ning püüavad neid võimalikult suurel määral vähendada või vältida.
13. Haldustöötajad peavad tagama Isikuandmete konfidentsiaalsuse ja hoidma salajas Isikuandmeid, millest nad on oma ülesandeid täites teada saanud, välja arvatud juhul, kui see teave on kooskõlas kohaldatavate õigusaktidega avalikult kättesaadav või isik on andnud selliseks avalikustamiseks nõusoleku või see on vajalik kuritegude või muude ebaseaduslike tegude ennetamiseks, samuti muudel juhtudel. See kohustus jääb kehtima ka pärast töö- või muud liiki lepingu lõpetamist Vastutava töötleja ja Haldustöötaja vahel. Sel eesmärgil võib sõlmida Haldustöötajaga lisaks konfidentsiaalsuslepinguid.
14. Kui Haldustöötajad, kes täidavad Andmetöötlemise ülesandeid (sealhulgas töötajad, kes üksnes tutvuvad Isikuandmetega), avastavad Isikuandmete turvalisuse või käesolevate Põhimõtete sätete rikkumise või kahtlustavad seda, peavad nad sellest rikkumisest või kahtlusest Vastutavat isikut viivitamata teavitama (võimaluse korral ühe tunni jooksul pärast avastamist). Pärast teatamist peab Haldustöötaja võtma Vastutava isiku (või Vastutava töötleja Juhi) nõutavaid meetmeid, et võimalikku rikkumist ära hoida või ilmnenud rikkumine kõrvaldada. Rikkumise korral peab Vastutav töötleja järelevalveasutust rikkumisest viivitamata ja võimaluse korral 72 tunni jooksul alates rikkumise hetkest teavitama ning võib Isikut teavitada.
15. Isikul on kõik isikuandmete kaitse üldmääruse alusel kehtestatud õigused, sealhulgas õigus teada (olla teavitatud) oma Isikuandmete töötlemisest, omada juurdepääsu enda Isikuandmetele ja teabele, õigus teada, kuidas tema Isikuandmeid töödeldakse, saada teavet kogutud andmete allikate ja liigi, töötlemise eesmärgi ning andmete vastuvõtjate kohta, õigus Isikuandmeid parandada, nõuda nende kustutamist, töötlemist piiramist või töötlemise lõpetamist (välja arvatud säilitamine). Põhimõtetele, isikuandmete kaitse üldmäärusele või muudele kohaldatavatele õigusaktidele mittevastavuse korral on Isikul õigus ka oma isikuandmete töötlemiseks antud nõusolek tagasi võtta, taotleda töödeldud andmete kustutamist ja andmete ülekantavust või esitada kaebus Järelevalveasutusele
16. Isik võib igal ajal kasutada oma õiguseid, mis on käesolevates põhimõtetes loetletud, esitades kirjaliku taotluse isiklikult, posti teel või elektrooniliste vahendite (e-post info@balticprostaff.com) kaudu. Kui Vastutav töötleja (tema Haldustöötaja) saab sellise taotluse, käsitletakse seda tasuta 30 päeva jooksul ning see kas rahuldatakse (kui Vastutav töötleja leiab, et taotlus on põhjendatud) või lükatakse tagasi, esitades selle otsuse põhjused.
17. Kui Isik leiab, et tema õiguseid seoses Andmetöötlemisega on rikutud, saab ta esitada Järelevalveasutusele kaebuse. Isik võib seoses oma õiguste rikkumisega pöörduda ka asjaomase Järelevalveasutuse poole oma elukohariigis, kes edastab nõude juhtivale Järelevalveasutusele ja uurib seda koos juhtiva Järelevalveasutusega isikuandmete kaitse üldmääruses kehtestatud korras.
18. Kui Isikuandmed ei ole enam töötlemise eesmärgil vajalikud, kustutatakse need automaatsete vahendite abil, või kui Isik esitab kehtiva taotluse Isikuandmete kustutamiseks, kustutatakse Isikuandmed Vastutava töötleja kehtestatud korras selliselt, et nende sisu ei saa enam taastada ega tuvastada.
18.1. Haldustöötajad, kes Isikuid otse teenindavad või nendega töötavad, on kohustatud selgitama Isikutele nende Andmetöötluse ja kaitsega seotud õiguseid. Haldustöötajad vastutavad Põhimõtete rikkumise eest õigusaktides sätestatud korras.
18.2. Andmetöötlusega seotud juhised, mis on esitatud BalticProStaff sisekordades.
19. Vastutavad töötlejad võivad kasutada ka videovalvet. Isikute videoandmete töötlemist reguleerib eraldi dokument.
20. Käesolevad Põhimõtted tuleb korrapäraselt ja vähemalt iga kahe aasta tagant üle vaadata ning neid vajaduse korral ajakohastada. Nii Põhimõtete kehtiv versioon kui ka eelmised versioonid avaldatakse. Põhimõtted ning nende muudatused ja täiendused kiidab heaks Vastutavatest töötlejatest ühe Vastutava töötleja Juht – BalticProStaff juht peab neid järgima. Muudetud Põhimõtted jõustuvad järgmisel päeval pärast nende heakskiitmist. Haldustöötajad tutvuvad käesolevate Põhimõtetega töölepingut sõlmides ning on kohustatud tutvuma Põhimõtete muudatuste ja täiendustega, kontrollides korrapäraselt, kas on heaks kiidetud Põhimõtete uusi muudatusi või täiendusi.