Isikuandmete töötlemise poliitika
- Üldsätted
Käesolev isikuandmete töötlemise poliitika on koostatud kooskõlas kehtiva seadusandlusega, sealhulgas isikuandmete kaitse üldmäärusega (2016/679) («GDPR») ja Eestis kehtivate riiklike andmekaitseseadustega («Andmekaitseseadus») ja sätestab rakendatavate BSFactory OÜ (edasi – Operaator) poolt isikuandmete töötlemise korra ja isikuandmete turvameetmeid.
1.1. Operaator püstitab oma olulisemaks eesmärgiks ja tegevuse teostamise tingimuseks üksikisikute ja kodanike õiguste ja vabaduste austamise nende isikuandmete töötlemisel, sealhulgas eraelu puutumatuse kaitse, isikliku ja perekonna saladus .
1.2 Käesolev Operaatori isikuandmete töötlemise poliitika (edaspidi – Poliitika) kehtib kogu teabe suhtes, mida Operaator võib saada veebilehe https://bsfactory.ee külastajate kohta.
- Poliitikas kasutatavad põhimõisted
2.1 Isikuandmete automatiseeritud töötlemine – isikuandmete töötlemine arvutivahendite abil.
2.2 Isikuandmete blokeerimine – isikuandmete töötlemise ajutine lõpetamine (välja arvatud juhul, kui töötlemine on vajalik isikuandmete selgitamiseks).
2.3 Veebileht on graafiliste ja teabematerjalide, samuti arvutiprogrammide ja andmebaaside kogum, mis tagab nende kättesaadavuse Internetis võrguaadressil https://bsfactory.ee.
2.4 Isikuandmete infosüsteem on isikuandmete andmebaasides sisalduvate isikuandmete ning nende töötlemist tagavate infotehnoloogiate ja tehniliste vahendite kogum.
2.5 Isikuandmete isikustamatus – toimingud, mille tulemusel ei ole võimalik ilma lisateabe kasutamiseta kindlaks teha isikuandmete kuulumist konkreetsele Kasutajale või mõnele teisele isikuandmete subjektile.
2.6 Isikuandmete töötlemine – mis tahes toiming (operatsioon) või toimingute kogum (operatsioonid), mida teostatakse automatiseeritud vahendite abil või ilma nendeta, isikuandmetega, sealhulgas isikuandmete kogumine, salvestamine, süstematiseerimine, säilitamine, täpsustamine ( uuendamine, muutmine), väljavõtmine, kasutamine, edastamine (levitamine, kättesaadavaks tegemine, juurdepääs), isikustamatustamine, blokeerimine, kustutamine, hävitamine.
2.7 Operaator – riigiasutus, kohaliku omavalitsuse asutus, juriidiline või füüsiline isik, kes iseseisvalt või koos teiste isikutega korraldab ja (või) teostab isikuandmete töötlemist, samuti määrab isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, isikuandmetega tehtavad toimingud (operatsioonid).
2.8. Isikuandmed – igasugune teave, mis on otseselt või kaudselt seotud veebilehe https://bsfactory.ee tuvastatud või tuvastatava Kasutajaga.
2.9. Isikuandmete subjekti poolt levitamiseks lubatud isikuandmed – isikuandmed, millele isikuandmete subjekt annab üldise juurdepääsu, andes nõusoleku isikuandmete töötlemiseks, mille levitamine on isikuandmete subjekti poolt lubatud kooskõlas GDPRiga (edaspidi – levitamiseks lubatud isikuandmed).
2.10. Kasutaja – iga veebilehe https://bsfactory.ee külastaja.
2.11. Isikuandmete edastamine – toimingud, mille eesmärk on isikuandmete edastamine teatavale isikule või teatavale isikute ringile.
2.12. Isikuandmete levitamine – igasugune tegevus, mis on suunatud isikuandmete avalikustamisele piiramatule isikute ringile (isikuandmete edastamine) või isikuandmete tutvustamisele piiramatule isikute ringile, sealhulgas isikuandmete avalikustamine massimeedias, paigutamine info- ja telekommunikatsioonivõrkudesse või juurdepääsu võimaldamine isikuandmetele mis tahes muul viisil.
2.13. Isikuandmete piiriülene edastamine – isikuandmete edastamine välisriigi territooriumile välisriigi asutusele, füüsilisele isikule või juriidilisele isikule.
2.14. Isikuandmete hävitamine – mis tahes tegevused, mille tulemusel isikuandmed hävitatakse pöördumatult, kusjuures isikuandmete infosüsteemis olevate isikuandmete sisu ei ole võimalik enam taastada, ja (või) hävitatakse isikuandmete materiaalsed andmekandjad.
- Operaatori põhiõigused ja –kohustused
3.1 Operaatoril on õigus:
– saada isikuandmete subjektilt usaldusväärset teavet ja/või isikuandmeid sisaldavaid dokumente;
– subjekti poolt isikuandmete töötlemiseks antud nõusoleku tagasivõtmise korral on operaatoril õigus jätkata isikuandmete töötlemist ilma subjekti nõusolekuta GDPRis sätestatud põhjuste olemasolul;
– iseseisvalt määrata kindlaks loetelu ja meetmete koosseisu, mis on vajalikud ja piisavad, et tagada GDPRi kohaste kohustuste täitmist.
3.2 Operaator on kohustatud:
– anda isikuandmesubjektile tema taotlusel teavet tema isikuandmete töötlemise kohta;
– korraldada isikuandmete töötlemist GDPRis ettenähtud viisil;
– vastata isikuandmete subjektide ja nende seaduslike esindajate taotlustele ja päringutele kooskõlas GDPRi nõuetega;
– edastama isikuandmeid pädevale kaitse asutusele selle asutuse taotlusel vajaliku teabe 30 päeva jooksul alates taotluse saamisest;
– avaldama või muul viisil tagama piiramatu juurdepääsu käesolevale isikuandmete töötlemise Poliitikale;
– võtta ette õiguslikke, organisatsioonilisi ja tehnilisi meetmeid, et kaitsta isikuandmeid ebaseadusliku või juhusliku juurdepääsu, hävitamise, muutmise, blokeerimise, kopeerimise, edastamise ja levitamise ning muude isikuandmete suhtes toimuvate ebaseaduslike tegevuste eest;
– lõpetada isikuandmete edastamine (levitamine, edastamine, kättesaadavaks tegemine, juurdepääs), lõpetada isikuandmete töötlemine ja hävitada isikuandmed üldises isikuandmete kaitse määruses sätestatud viisil ja juhtudel;
– täita muid GDPR−is sätestatud kohustusi.
- isikuandmete subjektide põhiõigused ja –kohustused
4.1 Isikuandmesubjektidel on õigus
– saada teavet oma isikuandmete töötlemise kohta, välja arvatud seaduses sätestatud juhtudel. Operaator esitab isikuandmesubjektile teabe kättesaadaval kujul ja see ei tohi sisaldada teiste isikuandmesubjektide andmeid, välja arvatud juhul, kui nende isikuandmete avaldamiseks on õiguspärane alus. Teabe loetelu ja selle saamise kord on kehtestatud GDPR poolt;
– nõuda Operaatorilt tema isikuandmete täpsustamist, blokeerimist või hävitamist, kui isikuandmed on ebatäielikud, aegunud, ebatäpsed, ebaseaduslikult saadud või kui need ei ole vajalikud määratud töötlemise eesmärgil, ning võtta seadusjärgseid meetmeid oma õiguste kaitsmiseks;
– tõsta ette eelneva nõusoleku andmise tingimust isikuandmete töötlemisel kaupade, tööde ja teenuste edendamiseks turul.
– võtta tagasi isikuandmete töötlemiseks antud nõusolek;
– esitada kaebus isikuandmete subjektide õiguste kaitse pädevale asutusele või kohtule Operaatori ebaseadusliku tegevuse või tegevusetuse peale tema isikuandmete töötlemisel;
– kasutada teisi GDPR poolt sätestatud õigusi.
4.2 Isikuandmete subjektid on kohustatud:
– esitada Operaatorile täpsed andmed enda kohta;
– teavitada Operaatorit oma isikuandmete täpsustamisest (uuendamist, muutmisest).
- Operaator võib töödelda järgmisi Kasutaja isikuandmeid
5.1. Ees- ja Perekonnanimi
5.2. E-posti aadress
5.3. Telefoni number
5.4. Veebileht kogub ja töötleb ka anonüümseid külastajate andmeid (sealhulgas küpsiseid), veebistatistika serviste abil (Google Analytics jt).
5.5 Eespool nimetatud andmed edaspidi Poliitika teksti järgi on ühendatud üldmõistega Isikuandmed.
5.6 Isikuandmete eriliigiste kategooriate töötlus, mis on seotud rassi, etnilise päritolu, poliitiliste vaadete, usuliste või filosoofiliste veendumuste või intiimeluga. Operaator ei teosta.
5.7 Isikuandmete töötlemine, mis on lubatud levitamiseks GDPR−is määratletud isikuandmete eriliigiliste kategooriate hulgast, on lubatud, kui järgitakse GDPR−is sätestatud keelde ja tingimusi.
5.8 Kasutaja nõusolek isikuandmete töötlemiseks, mida on lubatud levitada, antakse eraldi muudest nõusolekutest oma isikuandmete töötlemiseks.
5.8.1 Kasutaja annab nõusoleku levitamiseks lubatud isikuandmete töötlemiseks otse Operaatorile.
5.8.2. Operaator on kohustatud kolme tööpäeva jooksul alates Kasutaja eespool nimetatud nõusoleku saamisest avaldama teabe isikuandmete töötlemise tingimuste, keeldude olemasolu ja isikuandmete piiramatu ringi isikute töötlemise tingimuste kohta, mis on lubatud levitamiseks.
5.8.3 Isikuandmete edastamine (levitamine, edastamine, juurdepääs), mille levitamiseks isikuandmete subjekt on andnud loa, tuleb kohe lõpetada isikuandmete subjekti nõudmisel. Antud nõue peab sisaldama isikuandmete subjekti perekonnanime, eesnime, kontaktandmeid (telefoninumber, e-posti aadress või postiaadress) ning loetelu isikuandmetest, mille töötlemine tuleb lõpetada. Käesolevas nõues nimetatud isikuandmeid võib töödelda ainult see Operaator, kellele nõue on saadetud.
5.8.4 Nõusolek levitamiseks lubatud isikuandmete töötlemiseks lõpetab oma tegevust operaatorile käesoleva poliitika punktis 5.8.3 osutatud isikuandmete töötlemise nõue saamise hetkest.
- Isikuandmete töötlemise põhimõtted
6.1 Isikuandmete töötlemine toimub seadusliku ja õiguslikee alusel.
6.2 Isikuandmete töötlemine piirdub konkreetsete, eelnevalt kindlaksmääratud ja õiguslike eesmärgide saavutamisega. Isikuandmete töötlemine, mis on vastuolus isikuandmete kogumise eesmärkidega, ei ole lubatud.
6.3 Ei ole lubatud ühendada andmebaase, mis sisaldavad isikuandmeid, mida töödeldakse omavahel kokkusobimatutel eesmärkidel.
6.4 Töödeldakse ainult neid isikuandmeid, mis vastavad nende töötlemise eesmärkidele.
6.5 Töödeldavate isikuandmete sisu ja ulatus vastavad esitatud töötlemise eesmärkidele. Ei ole lubatud isikuandmete ülemäärane töötlemine märgitud töötlemise eesmärkide suhtes.
6.6 Isikuandmete töötlemisel tagatakse isikuandmete täpsus, piisavus ja vajaduse korral aktuaalsus isikuandmete töötlemise eesmärgi suhtes. Operaator võtab ette vajalikud meetmed ja/või tagab nende vastuvõtmist ebatäielike või ebatäpsete andmete kustutamiseks või täpsustamiseks.
6.7 Isikuandmeid säilitatakse nii kaua, kui vaja isikuandmesubjekti tuvastamine,aga mitte kauem kui seda nõuavad isikuandmete töötlemise eesmärgid, kui isikuandmete säilitamise tähtaeg ei ole määratud GDPR poolt, lepinguga, mille isikuandmete subjekti osapoolena on soodustatud isik või käendaja. Töödeldavad isikuandmed hävitatakse või muudetakse isikustamatuks, kui töötlemise eesmärgid on saavutatud või kui need ei ole enam vajalikud nende eesmärkide saavutamiseks, kui föderaalseadusega ei ole ette nähtud teisiti.
- Isikuandmete töötlemise eesmärgid
7.1 Kasutaja isikuandmete töötlemise eesmärk:
– Kasutaja teavitamine e-kirjade saatmise või telefoni teel ;
– võimaldada kasutajale juurdepääs veebilehel https://bsfactory.ee sisalduvatele teenustele, teabele ja/või materjalidele;
7.2 Operaatoril on samuti õigus saata Kasutajale teateid uute toodete ja teenuste, eripakkumiste ja erinevate sündmuste kohta. Kasutaja võib alati keelduda infosõnumite saamisest, saates operaatori e-posti aadressile af@bsfactory.ee teade märgusõnaga “Keeldun teavitustest uute toodete ja teenuste ning eripakkumiste kohta”.
7.3 Internetistatistika teenuste kaudu kogutud anonüümseid kasutajaandmeid kasutatakse selleks, et koguda teavet Kasutajate veebilehel tegevuste kohta, et parandada veebilehe ja selle sisu kvaliteeti.
- Isikuandmete töötlemise õiguslikud alused
8.1 Operaatori poolt isikuandmete töötlemise õiguslikuteks alusteks on
– GDPR;
– Kasutajate nõusolek nende isikuandmete töötlemiseks, isikuandmete töötlemiseks, mis on lubatud levitamiseks.
8.2. Operaator töötleb kasutaja isikuandmeid ainult juhul, kui kasutaja täidab neid ja/või saadab need ise veebilehe https://bsfactory.ee spetsiaalsete vormide kaudu või saadab need Operaatorile e-posti teel. Vastavate vormide täitmisega ja/või oma isikuandmete saatmisega Operaatorile väljendab Kasutaja oma nõusolekut antud Poliitikaga.
8.3 Operaator töötleb Kasutaja isikustamatuid andmeid, kui see on Kasutaja brauseri seadistustes lubatud (küpsiste salvestamine ja JavaScripti tehnoloogia kasutamine on lubatud).
8.4 Isikuandmete subjekt otsustab iseseisvalt oma isikuandmete edastamise üle ja annab nõusoleku vabalt, omal tahtel ja oma huvides.
- Isikuandmete töötlemise tingimused
9.1 Isikuandmete töötlemine toimub isikuandmesubjekti nõusolekul tema isikuandmete töötlemiseks.
9.2 Isikuandmete töötlemine on vajalik lepingu täitmiseks, kus osapoolena on soodustatud isik või käendaja on isikuandmete subjekt, samuti lepingu sõlmimiseks isikuandmete subjekti algatusel või lepingu sõlmimiseks, mille kohaselt on isikuandmete subjekt soodustatud isik või käendaja.
9.3 Isikuandmete töötlemine on vajalik operaatori või kolmandate isikute õiguste ja seaduslike huvide teostamiseks või ühiskondlikult oluliste eesmärkide saavutamiseks, tingimusel et seejuures ei rikuta isikuandmete subjekti õigusi ja vabadusi.
9.4 Toimub isikuandmete töötlemine, millele on andmesubjekti poolt või tema taotlusel antud piiramatu isikute ringile juurdepääs (edaspidi “avalikult kättesaadavad isikuandmed”).
9.5 Toimub isikuandmete töötlus, mis kuuluvad avalikustamisele või kohustusliku avamisele vastavalt GDPR sätetele.
- Isikuandmete kogumise, säilitamise, edastamise ja muu töötlemise kord
Operaatori poolt töödeldavate isikuandmete turvalisus tagatakse, rakendades õiguslikke, organisatsioonilisi ja tehnilisi meetmeid, mis on vajalikud isikuandmete kaitse valdkonnas kehtivate õigusaktide nõuete täieliku mahus täitmiseks.
10.1 Operaator tagab isikuandmete säilitamist ja rakendab kõik võimalikud meetmed, et välistada juurdepääsu isikuandmetele kõrvaliste isikute poolt.
10.2 Kasutaja isikuandmeid mitte mingil tingimustel ei edastata kolmandatele isikutele, välja arvatud juhtudel, mis on seotud kehtivate õigusaktide rakendamisega või kui isikuandmete subjekt on andnud Operaatorile nõusoleku andmete edastamiseks kolmandale isikule tsiviilõiguslikust lepingust tulenevate kohustuste täitmiseks.
10.3 Kui isikuandmetes tuvastatakse ebatäpsusi, võib kasutaja ise oma isikuandmeid aktualiseerida, saates Operaatori e-posti aadressile af@bsfactory.ee teate, märgega “Isikuandmete aktualiseerimine”.
10.4 Isikuandmete töötlemise tähtaeg määratakse kindlaks eesmärgi saavutamisel, milleks isikuandmeid koguti, välja arvatud juhul, kui lepingus või kohaldatavas seadusandluses ei ole sätestatud teistsugust tähtaega.
Kasutaja võib oma nõusoleku isikuandmete töötlemiseks igal ajal tagasi kutsuda, saates Operaatori e-posti aadressile af@bsfactory.ee teate, märgega “Isikuandmete töötlemiseks antud nõusoleku tagasikutsumine”.
10.5 Kogu teave, mille koguvad välised teenused, sealhulgas maksesüsteemid, sidevahendid ja muud teenusepakkujad, salvestatakse ja töödeldakse nende osapoolte (Operaatorite) poolt vastavalt nende Kasutajakokkuleppele ja Privaatsuspoliitikale. Isikuandmete subjekt ja/või Kasutaja on kohustatud iseseisvalt ja õigeaegselt nimetatud dokumentidega tutvuma. Operaator ei vastuta kolmandate isikute, sealhulgas käesolevas punktis osutatud teenusepakkujate tegevuste eest.
10.6. Operaator tagab isikuandmete töötlemisel isikuandmete konfidentsiaalsuse.
10.7. Operaator säilitab isikuandmeid sellisel kujul, mis võimaldab isikuandmete subjekti tuvastamist mitte kauem, kui isikuandmete töötlemise eesmärgid seda nõuavad, välja arvatud juhul, kui isikuandmete säilitamise tähtaeg on kehtestatud seadusega, lepinguga, kus osapoolena, soodustatud isikuna või käendajana on isikuandmete subjekt.
10.8. Isikuandmete töötlemise lõpetamise tingimuseks võib olla isikuandmete töötlemise eesmärkide saavutamine, isikuandmesubjekti nõusoleku tähtaja möödumine või nõusoleku tagasikutsumine isikuandmesubjekti poolt, samuti isikuandmete ebaseadusliku töötlemise avastamine.