Privaatsuspoliitika ja isikuandmete töötlemise reeglid
PRIVAATSUSPOLIITIKA
Osaühing KORPORACIJA TJANŠI (edaspidi „Müüja“) austab teie (edaspidi „Külastaja“ või „Ostja“) privaatsust ning seetõttu kogub, säilitab, kasutab ja avaldab teie isiklikke andmeid, sh andmeid, mida saadakse Külastajatelt Müüja poolt kontrollitud internetipoe www.tiens.lt (edaspidi „Veebileht“) kasutamisel ainult vastavalt siin privaatsuspoliitikas (edaspidi „Privaatsuspoliitika“) kirjeldatud reeglitele ning vastavalt asjakohastele seadusenõuetele, sh Euroopa Parlamendi ja nõukogu 27. aprilli 2016 määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi „Isikuandmete kaitse üldmäärus“).
Vastutava töötlejana tegutseval Müüjal on õigus Külastajate ja Ostjate Isikuandmeid töödelda, sh veebikaubanduse ja otseturunduse eesmärgil ning muudel eesmärkidel vastavalt Privaatsuspoliitikas ja/või muudes Reeglite dokumentides sätestatud korrale.
1. MÕISTED
1.1. Privaatsuspoliitikas suurtähega märgitud mõistete ja väljendite definitsioonid on toodud Veebilehe kasutustingimustes, teistes Reeglite osaks olevates dokumentides ja/või muudes Veebilehel saadaolevates nõuetes ja juhistes, välja arvatud juhul, kui käesolevas dokumendis suurtähega märgitud mõisteid koos nende põhjendustega kasutatakse sissejuhatuses märgitud tähenduses või järgnevates tähendustes:
1.1.1. „Isikuandmed“ on igasugused tuvastatud või tuvastatava füüsilise isikuga (andmesubjektiga) seotud andmed. Tuvastatav füüsiline isik on selline isik, keda saab otseselt või kaudselt tuvastada, eriti just selliste identifikaatorite kaudu nagu nimi, isikukood, asukohaandmed, veebiidentifikaator või muud faktorid, mis seonduvad selle füüsilise isiku füüsilise, füsioloogilise, geneetilise, mentaalse, majandusliku, kultuurilise või sotsiaalse identiteediga.
1.1.2. „Küpsised“ on väikesed tekstifailid, mis saadetakse teie brauserisse ja salvestatakse arvutis, nutitelefonis või muus Veebilehele sisselogimiseks kasutatavas seadmes.
2. ÜLDSÄTTED
2.1. Müüja tagab Külastajate ja Ostjate poolt Veebilehe kasutamisel esitatud andmete turvalisuse ja konfidentsiaalsuse vastavalt Privaatsuspoliitikas sätestatud nõuetele.
2.2. Veebilehe kaudu oma Isikuandmeid avaldades ning Veebilehe muid funktsioone kasutades kinnitad, et nõustud Privaatsuspoliitika ja Reeglitega ning samuti nõustud sellega, et sinu Isikuandmeid töödeldakse vastavalt Privaatsuspoliitikas kehtestatud korrale.
2.3. Privaatsuspoliitika kohaldub igale isikule, kes külastab Veebilehte ja/või kasutab Veebilehele paigaldatud tööriistu, ostab Kaupu või kasutab Veebilehte või selle osa või teenuseid, tööriistu või sisu muul viisil. Kui sa ei nõustu Privaatsuspoliitikaga, ei või sa kasutada Veebilehte ega Veebilehe teenuseid, tööriistu ega muud sisu.
3. ANDMETE KOGUMINE VEEBILEHE KÜLASTAMISE AJAL
3.1. Iga kord, kui külastad Veebilehte informatsiooni saamise eesmärgil, st et sa ei loo kontot ega logi oma kontole sisse, kogume ainult sellist informatsiooni, mida edastab meie serveritele sinu brauser. Sellist informatsiooni kogutakse ja töödeldakse meie õigustatud huvi põhjal ainult sel määral, kui on tehniliselt vajalik meie Veebilehe kasutatavuse tagamiseks, et kindlustada järjepidev süsteemi turvalisus ja stabiilsus. Sellistel juhtudel võidakse koguda järgnevaid andmeid: IP-aadress (anonüümne), sisselogimise kuupäev ja kellaaeg, ajatsooni erinevus GTM-süsteemis, päringu sisu (spetsiifiliselt lehelt), sisselogimisviis, HTTP staatuse kood, edastatud andmete hulk vastavalt toimingule, veebileht, mille kaudu päring esitati, informatsioon kasutatud brauseri ja selle versiooni kohta. Sinu toimingutest sõltumata sisaldab see protseduur andmete automaatset kogumist ja säilitamist kuni andmete kogumise eesmärgi saavutamiseni (näiteks Veebilehe kasutatavuse tagamiseks kogutud andmed kustutatakse pärast vastavat sessiooni ning registreerimisfailides säilitatavad andmed hiljemalt 7 päeva pärast toimingut ning kui andmeid säilitatakse kauem, siis kustutatakse IP-aadress, et sind ei oleks võimalik tuvastada).
3.1.1. Veebileht võib automaatselt koguda sinu kohta Küpsistes salvestatud andmeid. Küpsiste kasutamise kohta leiad rohkem informatsiooni Privaatsuspoliitika osast 10.
4. ANDMETE KOGUMINE JA KOGUTAVATE ANDMETE LIIGID
4.1. Kui Ostja loob endale kasutajakonto ja logib hiljem oma kontole sisse, kogub ja salvestab Müüja Ostjat identifitseerivaid Isikuandmeid. Sellisel viisil kogutud Isikuandmed võivad sisaldada järgmist:
4.1.1. ees- ja perekonnanimi, sünniaeg või isikukood, elukoht (aadress), telefoninumber, e-posti aadress, Ostja ID number (müügiesindaja ID), sugu (valikuline), pangaandmed, abikaasa andmed (kui abikaasad kasutavad ühiselt üht müügiesindaja ID-d) ja muud sinu kontol olevad andmed;
4.1.2. Ostja lojaalsuse ja müügiarendamisega seotud teave - andmed Ostja valitud liitumispaketi kohta, kaasatud uute Ostjate kohta, Ostjale TIENSi boonuste plaani alusel antud kvalifikatsioonitaseme kohta, registreerimiskuupäeva kohta, Ostjale kohaldatud soodustuste kohta, komisjonitasude kohta (kui kehtib), Ostja foto (üksnes juhul, kui see vabatahtlikult üles laaditakse), andmed Ostja sponsorite kohta (isikud, kes Müüja kaupu sulle soovitasid ning kutsusid sind Müüja võrgustikuga ühinema (ID, ees- ja perekonnanimi));
4.1.3. kui Ostja taotleb ostetud/omandatud Kaupade kohta arvet, siis finantsteave arvete saamiseks ja väljastamiseks Kaupade ostmisel ning käibemaksukood, kui see on olemas;
4.1.4. informatsioon Ostja poolt Veebilehel sooritatud toimingute kohta (sealhulgas ostude ajalugu);
4.1.5. kui ostja on juriidiline isik – siis võidakse töödelda juriidilise isiku esindaja Isikuandmeid (ees- ja perekonnanimi);
4.1.6. mis tahes muu Veebilehe kasutamisega seotud informatsioon, sealhulgas sisselogimisalane teave, lehe ülevaatlik statistika ja tavapärased sisselogimisandmed;
4.1.7. Küpsiste kasutamisega saadud teave vastavalt Privaatsuspoliitika Küpsiste kasutamise reeglitele osas 10;
4.1.8. igasugune veebilehe kaudu sisestatud informatsioon, sh valik saada või mitte saada Müüjalt reklaame vastavalt Privaatsuspoliitika osale 6.
5. ANDMETE TÖÖTLEMINE, KASUTAMISE JA SÄILITAMISE EESMÄRGID
5.1. Sinu Isikuandmete kogumise ja töötlemise põhieesmärgiks on tagada Veebilehel tehtavate toimingute ning Kaupade ostmise ajal sujuvad ja katkestusteta operatsioonid ning kõikide operatsioonide turvalisus, tõhusus ja asjakohasus. Käesolevalt teavitame sind, et Müüjal on õigus sinu Isikuandmeid järgnevatel eesmärkidel kasutada:
5.1.1. Müüja kui Isikuandmete Vastutava töötleja sõltumatu funktsioneerimise tagamiseks ning materjalide ja finantsressursside haldamiseks, sh raamatupidamine, arvete väljastamine Ostjatele (Isikuandmeid töödeldakse meile rakenduvate seaduslike kohustuste täitmiseks). Sel eesmärgil töötleme Ostjate ees- ja perekonnanime, aadressi ja telefoninumbrit, aga ka Privaatsuspoliitika punktis 4.1.3 nimetatud informatsiooni;
5.1.2. elektroonse kaubanduse elluviimiseks, sh lepingute täitmine Kaupade ostuks/müügiks kasutajatele Ettevõtte omandusse kuuluvate või Ettevõtte poolt kontrollitavate veebilehtede kaudu (kasutajakontode loomine, Ostja tuvastamine, Kaupade müük, Kaupade kättetoimetamine, rikutud õiguste ning seaduslike huvide kaitse, Ostjate lojaalsuse propageerimine ning muud ostu-müügi suhetest tingitud kohustused). Sel eesmärgil võib osutuda vajalikuks sinuga telefoni või e-posti teel ühendust võtmine. Isikuandmeid töödeldakse sinuga sõlmitud lepingu täitmiseks ning võime töödelda Privaatsuspoliitika punktides 4.1.1–4.1.4 nimetatud informatsiooni, aga õigustatud huvi korral ka Privaatsuspoliitika punktis 4.1.5 nimetatud informatsiooni.
5.1.3. Veebilehe parendamiseks, et seda vastavalt sinu vajadustele kohandada, sh kohandada, hinnata ja parandada i) Kaupadega seotud ostu- ja müügitehingute tegemist Veebilehe tööriistade kaudu, ii) Veebilehe teenuseid, iii) Veebilehe sisu ja/või iv) reklaami (Isikuandmeid töödeldakse meie õigustatud huvi või sinu nõusoleku alusel). Neil eesmärkidel võime töödelda Privaatsuspoliitika punktis 4.1.7 nimetatud andmeid;
5.1.4. otseturunduse eesmärgil sinu eraldi nõusoleku alusel või meie õigustatud huvi alusel (juhul, kui võtame sinuga ühendust e-posti teel ning sa ei väljenda keeldumist oma andmete töötlemiseks sellel eesmärgil ning me oleme sulle andnud võimaluse väljendada oma keeldumist Isikuandmete töötlemisest sel eesmärgil koos iga pakkumisega);
5.1.5. et tagada ligipääs Veebilehel pakutavatele teenustele ja informatsioonile ning kus vajalik, ennetada, tuvastada ja uurida keelatud või ebaseaduslikke tegevusi Veebilehel (töötleme Isikuandmeid õigustatud huvi alusel);
5.1.6. e-posti või muude kanalite kaudu saadud päringute haldamiseks ning nende kohta küsimuste esitamiseks (kui päring ei tulnud Ostjalt või ei ole seotud Lepingu täitmisega);
5.1.7. Veebilehel Privaatsuspoliitikas mitte mainitud eesmärkidel muid teenuseid ja abi pakkudes, aga ka muudel eesmärkidel, mis on teavet kogudes iga kord eraldi nimetatud.
5.2. Privaatsuspoliitika punkti 4.1 alusel edastatud Isikuandmete andmine ning nõusolek nende töötlemisega on vabatahtlik, kuid vajalik Veebilehe eesmärgipärase ja täieliku kasutamise võimaldamiseks, sh Müüja poolt esitatud Toodete ostutellimuste töötlemiseks ning muude sind puudutavate lepinguliste kohustuste nõuetekohaseks täitmiseks, sulle uudiskirjade saatmiseks jne.
5.3. Müüja kaitseb sinu Kaubatellimusel olevaid tegelikke andmeid. Ostjana on sul ligipääs Müüjale esitatud Kaubatellimustel olevale informatsioonile; sa saad kõiki Müüjale esitatud Kaubatellimusi üle vaadata ning oma kontaktandmeid muuta, kui logid oma Kontole sisse ja kasutad seal olevaid tööriistu. Sa pead oma kontole ligi pääsemise andmed alles hoidma ega tohi neid avaldada kolmandale poolele (mõned nõuanded Veebilehe turvaliseks kasutamiseks on toodud Privaatsuspoliitika osas 11).
5.4. Privaatsuspoliitika kohaselt on Müüjal samuti õigus kasutada sinu Isikuandmeid ettevõttesisestel eesmärkidel, sh sinuga e-posti teel ühendust võtmiseks, et saata sulle infot Toodete, Veebilehe, sinu poolt Veebilehel tehtud elektroonsete kauplemistoimingute kohta jne.
5.5. Privaatsuspoliitika punktis 5.1.1 nimetatud Isikuandmete kogumise eesmärkide täitmiseks töödeldakse Isikuandmeid 10-aastase (kümneaastase) perioodi vältel; Privaatsuspoliitika punktis 5.1.2 nimetatud eesmärgi täitmiseks – kuni klient kasutab Kasutajakontot ning 10 (kümne) aastat alates Ostja viimasest sisselogimisest oma Kontole; Privaatsuspoliitika punktis 5.1.4 nimetatud eesmärgil – 2 (kaks) aastat alates nõusoleku andmise kuupäevast (neile isikutele, kes on andnud nõusoleku oma Isikuandmete töötlemiseks otseturunduse eesmärgil) või kuni Ostjaga sõlmitud müügiesindaja lepingu lõppemiseni (välja arvatud juhul, kui oled väljendanud oma keeldumist andmete töötlemise lubamisest sel eesmärgil); Privaatsuspoliitika punktis 5.1.6 nimetatud eesmärgil – ainult nii kaua, kui on Isikuandmete töötlemise eesmärgi täitmiseks ning esitatud päringutele vastamiseks ja nende haldamiseks vajalik. Teavitame, et Isikuandmeid võib säilitada pikema perioodi vältel juhul, kui teatud Isikuandmete säilitamine on seaduste järgi kohustuslik.
6. OTSETURUNDUS
6.1. Privaatsuspoliitika punktis 5.1.4 nimetatud põhjustel, sh sinult eraldi nõusoleku saamisel, registreerimisvormi esitamisel või muul viisil (nö „linnukesega kasti“ märgistamisel) saadame sulle Müüja kommerts- ja reklaamteavet – informatsiooni Veebilehe, Müüja poolt pakutavate teenuste, Kaupade, sooduskampaaniate, uudiste ja muu informatsiooni kohta sinu poolt antud posti- ja/või e-posti aadressil ja/või telefoninumbril. Nõusolek sellise informatsiooni saamiseks on vabatahtlik, ei ole Kaubatellimuste esitamiseks vajalik ning nõusoleku saab igal ajal tagasi võtta. Kui sa ei anna eraldi nõusolekut, kuid otsustad hiljem Müüjalt selles punktis kirjeldatud kommerts- ja reklaaminfot ning uudiseid saada või kui otsustad sellise informatsiooni saamisest keelduda või oma Isikuandmete töötlemise eesmärgi vaidlustada, saad igal ajal esitada selleks taotluse e-posti aadressil info@tiens.lt või kasutades muid Veebilehe sätteid (kui need on olemas).
6.2. Igal juhul ei saa sa keelduda Müüja või Veebilehe (sh Reeglite) kaudu Kaupade ostmisega seotud haldusinformatsiooni saamisest, välja arvatud juhul, kui Konto kustutatakse. Veelgi enam – sa ei saa keelduda Müüja poolt saadetavast õigusalasest informatsioonist, mis on seotud Kaupade ostmise ja/või Veebilehe kasutamisega.
7. ANDMETE AVALDAMINE (SH EDASTAMINE KOLMANDATESSE RIIKIDESSE)
7.1. Müüjal on õigus sinu Isikuandmeid avaldada vaid õigusliku aluse olemasolul (näiteks kui seadused nii sätestavad, kui seda nõuab sinuga sõlmitud leping või meil on sinult eraldi nõusolek). Sellist informatsiooni avaldatakse Leedu Vabariigis kehtivate seaduste ja reeglite alusel.
7.2. Müüja võib sinu Isikuandmeid edastada järgnevatele isikutele (need isikud on Müüja poolt hoolikalt välja valitud ning neid kontrollitakse regulaarselt):
7.2.1. Müüja partneritele – kolmandatele isikutele, keda Müüja palkab teenuse osutamiseks ning kes osutavad Kaubatellimuste täitmisel ning muude teenuste pakkumisel sulle teenuseid. Näiteks Müüja partnerid Kaupade tarnimisteenuse osutamisel, maksete kogumisel või teiste Ostja poolt tellitud teenuste osutamisel;
7.2.2. muudele kolmandatele isikutele, kui esitad vastava taotluse oma Isikuandmete esitamiseks (või kolmandatele isikutele, kellest on sind teavitatud muul viisil ning kokku on lepitud informatsiooni nõuetekohane edastamine spetsiifilise teenuse pakkumiseks);
7.2.3. muudele äriüksustele, kui Müüja ühineb muu juriidilise isikuga, kui Müüja omandab muu juriidilise isiku või kui Müüja omandatakse muu juriidilise isiku poolt, aga ka Veebilehe üleandmisel või Veebilehega seotud varade üleandmisel:
7.2.4. samuti Vastutavate töötlejatena tegutsevatele Müüja partneritele, kes pakuvad Veebilehe tuge ja/või hooldust ning mis tahes muid teenuseid, mis aitavad Müüjal Kaupade müügiga seotud tegevusi arendada ja ellu viia ning Veebilehel muid toiminguid teha, sh a) ettevõte Amazon Web Services, Inc., mis pakub serveriteenust Isikuandmete säilitamiseks Singapuris ja USAs (ning isikuandmeid edastatakse nimetatud riikidesse); b) ettevõte Tiens Europe GmbH (Saksamaal asuv ettevõte, juriidilise isiku number 2641878, ametlik aadress Katharinenstr. 12, Berliin, Saksamaa Liitvabariik) ning Tiens Group Co (Hiinas asuv ettevõte, juriidilise isiku number 120000000002187, ametlik aadress No.18 YuanQuan Road, WuQing Development Area, New-tech Industrial Park, Tianjin, 301700, Hiina), mis töötleb Isikuandmeid Ostjatele rakendatavate allahindluste arvestamiseks (ning Isikuandmeid edastatakse nimetatud riikidesse); (c) UAB AITI GROUP (juriidilise isiku number 301170916), mis hooldab Müüja tark- ja riistvara; d) aga ka Müüja poolt volitatud ning Müüja nimel tegutsevad isikud, kes otsivad Ostjaid ning allkirjastavad nendega Ettevõtte nimel koostöölepinguid; e) muud isikud (sh Müüja kliendid – müügiesindajad), kes spetsiifilistel juhtudel täidavad vastavaid Isikuandmete töötlemise ülesandeid (näiteks Nõusolekute ja Isikuandmete kogumine nende töötlemiseks otseturunduse eesmärgil) vastavalt Müüja juhistele;
7.2.4. seadustes ning riigiasutuste poolt sätestatud juhtudel, sh Leedu Vabariigi rahandusministeeriumi alluvuses tegutseva maksuameti jaoks.
7.3. Veebilehel Kontot luues ning Müüja Ostjaks saades on sind informeeritud ning sa nõustud käesolevaga, et Müüja ja sinu vahel sõlmitud müügiesindaja lepingu nõuetekohaseks täitmiseks ning pidades silmas Müüja tegevuse eripärasid on Müüjal õigus edastada Ostja Isikuandmeid (Ostja ees- ja perekonnanimi, isikukood, käibe ja allahindlustega seotud müügiandmed) Ostja otsesele sponsorile, aga ka edastada teatud Isikuandmeid (Ostja ees- ja perekonnanimi, isikukood, käibe ja allahindlustega seotud müügiandmed) Ostja otsese sponsori sponsoritele. Osasid eelnimetatud Isikuandmetest (kliendi ees- ja perekonnanimi ning isikukood) võib edastada ka sinu poolt sponsoreeritava Sponsori Ostjatele. Müüja Ostjate andmete kaitse tagamiseks võid sa Müüjalt saadud Ostjate Isikuandmeid kasutada ainult Müüjaga sõlmitud lepingu täitmiseks, kuid mitte ühelgi sellele eesmärgile mittevastaval meetodil.
7.4. Privaatsuspoliitika punktis 7.2 viidatud juhtudel edastab Müüja minimaalse vajaliku hulga sinu Isikuandmetest. Müüja ei avalda sinu Isikuandmeid kolmandatele isikutele ega laiemalt ilma sinu selgelt väljendatud nõusolekuta (antud enne või eraldi), välja arvatud juhtudel, kui see on vajalik Privaatsuspoliitika sätete täitmiseks või Müüjal on seaduslik kohustus andmeid avaldada.
7.5. Müüja võib sinu Isikuandmeid lisaks riigile, kus need koguti, töödelda ka muudes riikides (sh kolmandates riikides), kus Isikuandmete töötlemise reegleid reguleerivad seadused võivad olla leebemad ning mille kohta puudub Euroopa Komisjoni otsus Isikuandmete kaitse üldmäärusele vastavuse osas ning Isikuandmete kaitse üldmääruse turvameetmed ei pruugi seal kehtida, eriti just mis puutub Privaatsuspoliitika lõike 7.2.4 punkte a ja b.
7.5.1. Sinu isikuandmeid (Kliendi ees- ja perekonnanimi, identifitseerimisnumber (müügiesindaja ID), asetus müügiesindajate struktuuris (sponsori ID, ees- ja perekonnanimi), aga ka kliendi müügiandmed, ostjate ID-d ning müügiandmed) edastatakse Andmesubjekti nõusoleku alusel ettevõtte Amazon Web Services, Inc. serveritele Singapuris ja USAs, aga ka ettevõttele Tiens Group Co Hiinas (Ostjatele rakenduvate allahindluste arvestamiseks);
7.5.2. kui isikuandmed edastatakse USAsse ettevõttele Web Services, Inc., kehtivad Euroopa Liidu ja USA vahelise andmekaitseraamistiku põhimõtted, mis tagavad teenusepakkuja vastavuse Euroopa Liidu privaatsusstandardite nõuetele;
7.5.3. Isikuandmete edastamisele Singapuri ja Hiinasse ei rakendu ühtki nõuetekohasust puudutavat Euroopa Komisjoni otsust (see tähendab, et Euroopa Liit ei ole otsustanud, kas need riigid tagavad isikuandmete kaitse üldmääruse tingimustele vastava Isikuandmete kaitse ning Isikuandmete kaitse üldmääruse artiklis 46 nimetatud turvameetmed ei rakendu (näiteks võivad isikuandmed olla nende riikide teenusepakkujate juures ligipääsematud või ei rakendata turvameetmeid));
7.5.4. seetõttu on Isikuandmete edastamisega Singapuri või Hiinasse seotud võimalikud riskid (mida ei saa hetkel kõrvaldada). Näiteks võidakse Isikuandmeid edastada kolmandatele riikidele nende kogumise eesmärgile mittevastaval eesmärgil (näiteks reklaamieesmärkidel), andmesubjektil võib olla keeruline või võimatu kasutada enda kui Andmesubjekti õigusi seoses Isikuandmete edastamisega kolmandatesse riikidesse, kuna seal rakendatavad tehnilised ja organisatoorsed meetmed ei vasta täielikult isikuandmete kaitse üldmääruse nõuetele (kvaliteedi ja kvantiteedi osas), nii et Isikuandmete sobimatu töötlemise tõenäosus võib seal olla suurem.
Kontot luues ja/või Kaupu tellides palutakse sul väljendada oma Nõusolekut Isikuandmete eelkirjeldatud töötlemise ning avaldamisega. Pane tähele, et Isikuandmete töötlemine on vajalik selleks, et Müüja saaks täita sinuga sõlmitud lepingut ning arvestada sulle rakenduvaid allahindlusi ning ilma sellise nõusolekuta ei saa Müüja vastavaid toiminguid teha, seega ei saa sa Ostjaks (müügiesindajaks) hakata ega tooteid osta. Sul on õigus oma nõusolek tagasi võtta, kuid sellisel juhul kaotad sa oma Ostja (müügiesindaja) staatuse. Privaatsuspoliitika selles punktis sätestatud juhtudel teeb Müüja kõik võimaliku sinu Isikuandmete turvalisuse tagamiseks seadustes sätestatud korras, kasutades selleks saadaolevaid turvameetmeid ning tagades sinu kui Andmesubjekti õiguste kaitse.
8. OSTJATE POOLT VEEBILEHEL ESITATUD ISIKUANDMETE TÖÖTLEMISEGA SEOTUD ÕIGUSED JA KOHUSTUSED
8.1. Ostjana registreerumisel, st Veebilehel Konto avamisel (loomisel), palutakse sul esitada Isikuandmeid.
8.2. Pärast Ostjaks saamist saad oma Kontole sisse logida ja iseseisvalt registreerimisvormil esitatud Isikuandmeid kontrollida, täiendada, uuendada või kustutada. Käesolevaga saad aru ning nõustud oma Isikuandmeid muutma kohe, kui neis tekib muudatus või tuvastatakse ebatäpsus. Kui sinu arvates sellest otsusest ei piisa, on sul võimalik Müüjalt lisavõimalusi taotleda, kasutades e-posti aadressi info@tiens.lt või tavaposti aadressi, mis on toodud Privaatsuspoliitika punktis 12.4.
8.3. Sinu sisselogimisparool on Sinu Konto võti. Parooli loomisel tuleks kasutada mittekorduvaid tähti, numbreid ja erisümboleid ning Konto parooli ei tohiks kellegagi jagada. Kontole sisselogimisel saad oma andmeid alati muuta. Kui sa oma parooli unustad või sul esineb muid sisselogimisega seotud probleeme, võta meiega ühendust e-posti aadressil info@tiens.lt.
8.4. Kui jagad oma parooli või muud Kontoga seotud teavet teiste isikutega, siis oled ise vastutav kõigi oma kontol tehtavate toimingute eest, välja arvatud juhul, kui tõestatakse vastupidist. Palume tähele panna, et kui logid Veebilehele ühiskasutuses olevast arvutist, saavad teatud sinu kohta käivat teavet vaadata ka isikud, kes sinuga sama arvutit kasutavad.
8.5. Kui kaotad oma parooli, ei saa sa kontrollida oma Isikuandmetega tehtavaid toiminguid ja sinu nimel võidakse võtta kohustusi, mille eest jääd sina vastutavaks. Seetõttu peaksid kahtluse korral, et keegi teine saab su parooli kasutada, kohe Müüjat sellest teavitama (Privaatsuspoliitika punktis 12.4 esitatud Müüja kontaktandmetele) ja Kontole logimiseks kasutatava parooli ära muutma.
8.6. Andmesubjektina on sul kõik rakenduvates seadustes sätestatud õigused, sh järgnevad õigused:
8.6.1. õigus oma nõusolek tagasi võtta. Kui oled Isikuandmete töötlemiseks juba oma nõusoleku andnud, võid selle igal ajal tagasi võtta (nõusoleku tagasivõtmine ei mõjuta enne nõusoleku tagasivõtmist nõusoleku põhjal toimunud Isikuandmete töötlemise seaduslikkust);
8.6.2. õigus ligipääsule. Sa saad tutvuda oma Isikuandmetega, mida Müüja töötleb. Sul on õigus saada infot selle kohta, kuidas andmeid töödeldakse, kui kaua su andmeid säilitatakse ning kes ja millises ulatuses sinu kohta andmeid saab. Siiski võib andmetele ligipääsemise õigus olla seadustega piiratud;
8.6.3. õigus andmete parandamisele. Sul on õigus paluda Müüjalt sinuga seotud Isikuandmete parandamist, kui need on vigased, ebatäpsed või ebatäielikud;
8.6.4. vaidlustamisõigus. Teatavatel asjaoludel on sul õigus oma Isikuandmete töötlemine vaidlustada, sh juhtudel, kui Isikuandmeid töödeldakse õigustatud huvi alusel. Samuti on sul õigus vaidlustada oma Isikuandmete kasutamine otseturunduse eesmärgil (ainult juhul, kui me sel eesmärgil andmeid töötleme). Kui soovid toiminguid vaidlustada, palutakse sul anda põhjendused/selgitada, miks me ei peaks sinu Isikuandmeid enam endisel viisil töötlema;
8.6.5. õigus töötlemist piirata. Kui sa arvad, et Müüja töödeldavad Isikuandmed on ebakorrektsed või sa ei nõustu andmete kasutamisega, võid paluda, et selliste andmete kasutamisel piirduks Müüja vaid nende säilitamisega. Andmete kasutamine piiratakse üksnes säilitamiseni, kuniks tuvastatakse andmete korrektsus või kuniks tuvastatakse, kas Müüja õigustatud huvi kaalub üle sinu huvid;
8.6.6. Isikuandmete kustutamise õigus. Kui sinu Isikuandmeid on ebaseaduslikult töödeldud, sa vaidlustad oma Isikuandmete sellise töötlemise või leidub veel seadustes sätestatud põhjuseid, on sul õigus nõuda andmete kustutamist, rakendades seadustega sätestatud piiranguid;
8.6.7. andmete ülekantavuse õigus. Sul on õigus saada enda kohta käivaid ja Müüjale edastatud Isikuandmeid süsteemsel, üldkasutataval ja arvutiga loetaval kujul ning sul on õigus paluda selliste andmete saatmist teisele vastutavale töötlejale vastavalt seadustes sätestatud korrale;
8.7. Samuti on sul õigus esitada riiklikule andmekaitseametile kaebus, kui sa arvad, et sinuga seotud Isikuandmete töötlemine on olnud ebaseaduslik. Siiski on sul alati õigus esmalt meiega kontakteeruda Privaatsuspoliitika punktis 12.4 kirjeldatud meetoditel, kui sul peaks tekkima lisaküsimusi või kui sa soovid realiseerida ülal-loetletud Isikuandmete töötlemisega seotud õigusi.
8.8. Kui esitad taotluse Isikuandmete töötlemisega seotud õiguste realiseerimiseks, palutakse sul oma identiteeti tõendada (näiteks kui esitad taotluse posti teel või kulleriga, siis peaksid kaasa panema ka notariaalselt kinnitatud isikut tõendava dokumendi koopia või muu seadustes sätestatud korra alusel kinnitatud isikut tõendava dokumendi koopia; elektroonselt saadetud taotlus peab olema digitaalallkirjastatud). Müüja vastab kõikidele Andmesubjekti õiguste rakendamisega seotud taotlustele hiljemalt ühe kuu jooksul taotluse saamise päevast, välja arvatud seadustes sätestatud erandite korral.
9. ANDMEKAIITSE
9.1. Eeskätt püüab Müüja tagada oma Külastajate ja/või Ostjate andmete turvalisuse. Edastatud informatsiooni ja andmete turvalisuse tagamiseks rakendab Müüja tehnilisi ja organisatoorseid meetmeid, mis vastavad pakutava teenuse turvariskide tasemele. Müüja kasutab mõistlikke füüsilisi, elektroonseid ja menetlusalaseid meetmeid ja meetodeid, et kaitsta olemasolevat informatsiooni (sh Isikuandmeid) kadumise, varguse ja mis tahes ebaseadusliku kasutamise, avaldamise või muutmise eest.
9.2. Kõigi Ostja valitud Kaupade eest maksmisega seotud sisselogimiste puhul luuakse turvaline ühendus Kolmanda isiku veebilehega.
9.3. Vaatamata asjaolule, et Müüja kasutab eespool nimetatud mõistlikke vahendeid, ei saa Müüja tagada sinu Isikandmete turvalisust, kuna need esitatakse või sisestatakse veebis. Lisaks sellele ei pruugi Müüja poolt rakendatud vahendid olla piisavad, kui sa turvalisuse reegleid ei järgi. Esiteks ei tohi Ostjad oma kasutajanimesid ja paroole kolmandate isikutega jagada. Palume tähele panna, et Veebilehe vahendites palutakse sul e-posti aadress ja parool esitada ainult Kontole sisselogimisel. Selleks, et vältida kõrvaliste isikute juurdepääsu oma Kontole, palume pärast kasutamise lõppu Kontolt ja/või Veebilehelt välja logida.
9.4. Ka omaenda tegevusega saab vähendada Isikuandmete ebaseadusliku kasutamise riski, käitudes hoolikalt ja kasutades mõistlikke turvavahendeid, näiteks keerulist parooli, kõige uuemat viirusetõrje tarkvara jne.
10. KÜPSISTE POLIITIKA
10.1. Veebilehel kasutatakse küpsiseid. Küpsised ei saa sinu arvutis programme käivitada ega viirusi edasi kanda. Müüja kasutab küpsiseid järgmistel eesmärkidel:
10.1.1. Veebilehe nõuetekohaseks tööks ja mugavama sirvimiskogemuse tagamiseks (nt et toetada sinu sessiooni pärast sisselogimist jne);
10.1.2. reklaamiks ja otseturunduseks;;
10.1.3. Veebilehe statistiliste andmete kogumiseks ning Veebilehe arendamiseks;
10.1.4. Veebileht kasutab veebilehtede töö analüüsimiseks ettevõtte Google Inc. (edaspidi „Google“) poolt arendatud ja pakutud rakendust Google Analytics. Google Analytics kasutab küpsiseid, mis aitavad meil sinu Veebilehe kasutustihedust analüüsida. Küpsiste poolt Veebilehe kasutamise kohta genereeritud teave edastatakse ja kogutakse USAs asuvasse Google'i serverisse. Google kasutab neid andmeid, et analüüsida Veebilehe kasutust, koostab Veebilehe operaatorile lehe populaarsuse kohta aruandeid ning osutab muid Veebilehe ja selle kasutamisega seotud teenuseid. Kui teed oma brauseri tarkvaraseadetes teatud muudatusi, saad Google'i poolt paigaldatavad Küpsised ära keelata, aga pea meeles, et see võib sul teatud Veebilehe funktsioonide kasutamist takistada. See veebileht kasutab Google Analytics rakendust laiendusega „_anonymizelp()“, seepärast töödeldakse IP-aadressid ümber lühemasse vormi ning selle tulemusel ei ole võimalik IP-aadressi kindla isikuga seostada. Juhtudel, kus sinu kohta kogutavad andmed sisaldavad Isikuandmeid, kõrvaldatakse Isikuandmed viivitamatult. Kui sinu andmed edastatakse USAsse, peab Google kinni Euroopa Liidu ja USA vahelisest andmekaitseraamistikust, millega tagatakse, et teenusepakkuja vastab ELi privaatsusstandarditele. Rohkem infot Google Analytics rakenduse kohta on saadaval siin. Alternatiivne meetod Google Analytics rakenduse blokeerimiseks on paigaldada Google’i poolt pakutav väike plugin, mis on saadaval siin.
10.2. Kõik Veebilehel kasutatavad küpsised võivad olla ajutised või alalised:
10.2.1. ajutised Küpsised kehtivad; neid ei saa brauseri kasutamise ajal eemaldada ning need eemaldatakse, kui brauseri sulged. Need Küpsised salvestavad nö sessiooni ID, et sinu brauser saaks kasutussessiooni ajal erinevaid päringuid esitada.
10.2.2. alalisi Küpsiseid ei eemaldata ka pärast brauseri sulgemist ning nendes salvestatud informatsioon lihtsustab edaspidi ligipääsu Kontole (parool, kasutajanimi). Sellised Küpsised kiirendavad ja parandavad Veebilehe kasutamist.
10.3. Veebilehe kasutamisega kinnitad oma nõusolekut ning lubad Müüjal oma terminalseadmesse (arvuti, nutitelefon jne) Küpsiseid paigaldada.
10.4. Kui su brauser seda lubab, võid alati Küpsistest keelduda, kuid neist keeldumine võib mõjutada Veebilehe kasutuskogemust. Küpsiseid saab eemaldada kahel viisil:
10.4.1. saad oma brauseris üle vaadata juba arvutisse paigaldatud Küpsiseid ning neid ükshaaval kustutada. Tehtavad toimingud on erinevad (kõige populaarsemate brauserite Küpsiseid puudutavad juhised avanevad brauseri nimel klõpsates: Opera, Firefox, Chrome, Safari, Internet Explorer), seega tuleks spetsiifiline toiming määratleda kasutatava brauseri põhjal;
10.4.2. lisaks võid seadistada oma brauseri Küpsiseid blokeerima või mis tahes Küpsise paigaldamise kohta teavitust saatma. Tehtavad toimingud on iga brauseri puhul erinevad ning spetsiifilised toimingud tuleks valida kasutatava brauseri põhjal.
10.5. Küpsiste blokeerimine või piiramine võib mõjutada Veebilehe mõnesid funktsioone.
10.6. Alltoodud tabel näitab, milliseid Küpsiseid Müüja Veebilehel kasutatakse:
Kasutatud küpsis |
Eesmärk |
Kehtivuse lõpp |
Küpsise tüüp |
NOPCOMMERCE.AUTH (LT,LV,EE) |
Kasutatakse Kontole loginud Ostja sessiooni toetamiseks. |
Sessiooni lõpp |
Väga tähtis |
Asp.Net_SessionId |
Kasutatakse Veebilehe töö tagamiseks. |
Sessiooni lõpp |
Väga tähtis |
AWSELB |
Kasutatakse viimase Külastaja või Ostja poolt külastatud serveri registreerimiseks. |
5 minutit |
Funktsionaalsus |
Nop.customer |
Kasutatakse Veebilehe Külastaja või Ostja kohta käivate andmete registreerimiseks. |
1 aasta |
Funktsionaalsus |
_utma |
"Google Analytics" süsteem kasutab neid Küpsiseid Kasutaja või Ostja Veebilehe kasutusandmete analüüsimiseks. |
2 aastat |
Efektiivsus |
_utmb |
"Google Analytics" süsteem kasutab neid Küpsiseid Külastaja või Ostja Veebilehe kasutusandmete analüüsimiseks. |
30 minutit |
Efektiivsus |
_utmc |
"Google Analytics" süsteem kasutab neid Küpsiseid Külastaja või Ostja Veebilehe kasutusandmete analüüsimiseks. |
Sessiooni lõpp |
Efektiivsus |
_utmt |
"Google Analytics" süsteem kasutab neid Küpsiseid Külastaja või Ostja Veebilehe kasutusandmete analüüsimiseks. |
10 minutit |
Efektiivsus |
_utmz |
"Google Analytics" süsteem kasutab neid Küpsiseid Külastaja või Ostja Veebilehe kasutusandmete analüüsimiseks. |
1 aasta |
Efektiivsus |
gr_session_id_ |
Kasutatakse Külastaja või Ostja Veebilehe kasutuse andmete analüüsiks |
30 minutit |
Efektiivsus |
gr_user_id |
Kasutatakse Külastaja või Ostja Veebilehe kasutuse andmete analüüsiks |
3 aastat |
Efektiivsus |
insert_cookie |
"Google Analytics" süsteem kasutab neid Küpsiseid Külastaja või Ostja Veebilehe kasutusandmete analüüsiks |
Sessiooni lõpp |
Efektiivsus |
10.7. Palume tähele panna, et Küpsiseid võivad kasutada ka Müüja partnerid ja muud kolmandad isikud, kelle üle Müüjal kontrolli ei ole. Müüja ei saa vastutada ja ei vastuta selliste isikute tegude eest. Kui esineb kahtlus, et Müüja partnerid või muud kolmandad isikud, kelle üle Müüjal kontrolli ei ole, kasutavad Küpsiseid, peaksid ühendust võtma konkreetse Müüja partneri või mis tahes kolmanda poolega.
11. KOLMANDAD POOLED
11.1. Käesolev Privaatsuspoliitika käsitleb antud Veebilehe kaudu sinu kohta käiva teabe kogumist ja avalikustamist, välja arvatud juhul, kui Privaatsuspoliitikas on sõnaselgelt teisiti sätestatud. Kui jagad selle Veebilehe või mis tahes muu veebilehekülje kasutamisel Isikuandmeid teiste isikutega, näiteks Ostjate või kolmandate isikutega, võivad vastava teabe kasutamisele ja rakendamisele kohalduda teised reeglid.
11.2. Veebileht võib sisaldada viiteid teistele veebilehtedele. Müüja ei saa nende veebilehtede sisu kontrollida ja ei vastuta nende sisu eest. Need veebilehed võivad kohaldada oma privaatsuspoliitikaid, millega soovitame sul eraldi tutvuda.
11.3. Müüjal ei ole kontrolli kolmandate isikute poolt sulle rakendatavate privaatsuspoliitikate ja/või muude reeglite üle. Seetõttu vastutad nende eest ise ning kohustud neid järgima omal vastutusel. Müüja ei vastuta Veebilehel viidatud teiste veebilehe privaatsuspoliitikate ja sisu eest, ega ka Veebilehele viitavate veebilehtede privaatsuspoliitikate ning sisu eest. Lingile, logole või muule Veebilehe elemendile vajutamisel või Veebilehel pakutavate teenuste, sealhulgas võrgusuhtluse kasutamisel palume arvestada, et eelnimetatud elementide vajutamisel võite antud Veebilehelt lahkuda.
12. VAIDLUSTE LAHENDAMINE JA LÕPPSÄTTED
12.1. Privaatsuspoliitika on Reeglite lahutamatu osa.
12.2. Müüja jätab endale õiguse omal äranägemisel korrigeerida (sealhulgas muuta, toimetada, täiendada, tühistada ja eemaldada) käesolevat Privaatsuspoliitikat või selle mis tahes osa, samuti kogu sellega seotud informatsiooni. Privaatsuspoliitikat muudetakse vastavalt Reeglites kehtestatud korrale.
12.3. Vaidluste lahendamisel kohaldatavad kehtivad seadused ja reeglid on toodud Veebilehe Kasutustingimustes.
12.4. Kui soovid meid Privaatsuspoliitika rikkumistest teavitada, vajad abi või sul on küsimusi, ettepanekuid ja/või nõudeid Reeglite, sealhulgas käesoleva Privaatsuspoliitika tõlgendamise ja/või rakendamise kohta, palume Müüja poole pöörduda, kasutades alltoodud kontaktandmeid. Vastame kõigile sinu kirjalikele päringutele hiljemalt 14 (neljateistkümne) päeva jooksul alates nende kättesaamisest, välja arvatud Reeglites sätestatud juhtudel.
Müüja kontaktandmed:
Osaühing KORPORACIJA TJANŠI
Ulonų g. 5, LT-08240, Vilnius, Leedu Vabariik
E-mail: info@tiens.lt
Tel: 370 5 212 2212
ISIKUANDMETE TÖÖTLEMISE REEGLID
1. ÜLDSÄTTED
1.1. Isikuandmete töötlemise eest Vastutava töötleja – osaühingu KORPORACIJA TJANŠI, juriidilise isiku number 111733040, ametlik aadress Ulonų g. 5, Vilnius, Leedu Vabariik („Ettevõte“) Isikuandmete töötlemise reeglite („Reeglid“) eesmärgiks on reguleerida isikuandmete töötlemist Ettevõttes, et tagada vastavus Euroopa Parlamendi ja nõukogu 27. aprilli 2016 määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta („Isikuandmete kaitse üldmäärus“), Leedu Vabariigi isikuandmete kaitse seadusega („Seadus“), Leedu Vabariigi elektroonse kommunikatsiooni seadusega („LEC“) ning muude isikuandmete töötlemisele rakenduvaid nõudeid sisaldavate seadustega.
1.2. Reeglite eesmärgiks on kehtestada isikuandmete töötlemise põhireeglid, andmesubjekti õiguste realiseerimise kord, andmeturvalisuse tehnilised ja organisatoorsed meetmed ning muud isikuandmete töötlemisega seotud asjad.
1.3. Reeglid on koostatud Seaduse, Isikuandmete kaitse üldmääruse ning muude isikuandmete kaitset reguleerivate õigusaktide põhjal.
2. REEGLITES KASUTATUD MÕISTED
2.1. Reeglites kasutatud mõisted vastavad Isikuandmete kaitse üldmääruses ja Leedu Vabariigi isikuandmete kaitse seaduses kasutatud mõistetele ning neil on järgnevad tähendused:
2.1.1. „Isikuandmed“ on igasugused tuvastatud või tuvastatava füüsilise isikuga (andmesubjektiga) seotud andmed. Tuvastatav füüsiline isik on selline isik, keda saab otseselt või kaudselt tuvastada, eriti just selliste identifikaatorite kaudu nagu nimi, isikukood, asukohaandmed, veebiidentifikaator või muud faktorid, mis seonduvad selle füüsilise isiku füüsilise, füsioloogilise, geneetilise, mentaalse, majandusliku, kultuurilise või sotsiaalse identiteediga.
2.1.2. „Isikuandmetega seotud rikkumine“ on turvanõuete rikkumine, mis põhjustab edastatud, salvestatud või muul viisil töödeldud isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
2.1.3. „Töötaja“ on isik, kes on Ettevõttega sõlminud töölepingu või muu sarnase lepingu ning kes on Ettevõtte juhi poolt määrarud isikuandmeid töötlema või kelle isikuandmeid töödeldakse.
2.1.4. „Vastuvõtja“ on füüsiline või juriidiline isik, avalik asutus, agentuur või muu organisatsioon, kellele avaldatakse isikuandmeid ning kes võib, aga ei pruugi olla kolmandaks pooleks.
2.1.5. „Andmesubjekti nõusolek“ tähendab vabatahtlikult antud, spetsiifilist, informeeritud ning üheseltmõistetavat tahteavaldust, millega andmesubjekt nõustub kinnituse või selge jaatava tegevuse kaudu endaga seotud isikuandmete töötlemisega.
2.1.6. „Andmete avaldamine“ tähendab isikuandmete avaldamist edastamise või muul viisil kättesaadavaks tegemise teel (v.a massimeedias avaldamine).
2.1.7. „Töötlemine“ on isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
2.1.8. „Isikuandmete automatiseeritud töötlemine“ on mistahes toiming, mis viiakse isikuandmetega ellu osaliselt või täielikult automatiseeritud viisil.
2.1.9. „Volitatud töötleja“ on füüsiline või juriidiline isik (kes ei ole Vastutava töötleja töötaja), kes töötleb isikuandmeid Vastutava töötleja nimel. Antud reeglite kinnitamise hetkel on Ettevõte volitanud isikuandmeid töötlema järgnevad Volitatud töötlejad:
(i) Amazon Web Services, 410 Terry Avenue North, Seattle WA 98109, USA, veebileht: http://aws.amazon.com, kes pakub Ettevõttele/müüjale servereid isikuandmete salvestamiseks USAs ja Singapuris (ning isikuandmed edastatakse nimetatud riikidesse);
(ii) Tiens Europe GmbH, ettevõte, mis asub Saksamaa Liitvabariigis ning tegutseb vastavalt Saksamaa õigusele; juriidilise isiku number 2641878, ametlik aadress Katharinenstr. 12, Berliin, Saksamaa Liitvabariik, e-mail: info@tiens.eu, samuti Tiens Group Co, mis on Hiinas asuv ning vastavalt Hiina seadustele tegutsev ettevõte, juriidilise isiku number 120000000002187, ametlik aadress No.18 YuanQuan Road, WuQing Development Area, New-tech Industrial Park, Tianjin, 301700, Hiina, kes vastutab Isikuandmete töötlemise eest (ning isikuandmeid edastatakse nendesse riikidesse) Ettevõtte klientidele rakenduvate allahindluste arvestamise eesmärgil;
(iii) UAB AITI GROUP, äriregistri kood 301170916, ametlik aadress Minties g. 12-56, Vilnius, Leedu Vabariik, ettevõte, mis vastutab Ettevõtte tark- ja riistvara hooldamise eest;
(iv)UR Irido OÜ, äriregistri kood 12592617, ametlik aadress Timuti 9-8 Tartu 50115, Eesti, kes on Ettevõtte poolt volitatud otsima uusi müügiesindajaid ja kliente (müügiesindajaid) ning allkirjastama nende isikutega koostöölepinguid, aga ka koguma Ettevõtte nimel nende Isikuandmeid;
(v) muud isikud, sh Ettevõtte kliendid/müügiesindajad, kes teatud olukordades teevad Andmete töötlemisega seotud toiminguid (näiteks Nõusolekute ning Isikuandmete kogumine nende töötlemiseks otseturunduse eesmärgil) Ettevõtte juhiste kohaselt.
2.1.10. „Vastutav töötleja“ on füüsiline või juriidiline isik, kes üksi või ühiselt koos teistega määratleb Isikuandmete töötlemise eesmärgi ja vahendid. Vastutavaks töötlejaks on osaühing KORPORACIJA TJANŠI, äriregistri kood 111733040, ametlik aadress Ulonų g. 5, Vilnius, Leedu Vabariik või „Ettevõte“.
2.1.11. „Isikuandmete eriliigid“ on isikuandmed, mis paljastavad isiku rassilise või etnilise päritolu, poliitilised põhimõtted, religioossed või filosoofilised uskumused, kuuluvuse ametiühingutesse ning geneetilised, biomeetrilised ja terviseandmed või andmed, mis puudutavad füüsilise isiku seksuaalelu või seksuaalset orientatsiooni või teavet isiku kriminaalandmete kohta.
2.1.12. „Nõusolek“ tähendab vabatahtlikku tahteavaldust, millega Andmesubjekt lubab töödelda oma isikuandmeid talle teadaolevatel eesmärkidel.
2.1.13. „Otseturundus“ tähendab kaupade või teenuste pakkumist isikutele ja/või isikute arvamuse küsimist pakutud toodete või teenuste kohta e-posti, telefoni või muu otsekanali kaudu.
2.1.14. „Kolmas pool“ on füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud Andmesubjekt, Vastutav töötleja, Volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda Vastutava töötleja või Volitatud töötleja otseses alluvuses.
2.2. Need Reeglid sisaldavad teavet, mida Vastutav töötleja peab vastavalt õiguslikele nõuetele jagama andmeid töödeldes nende Töötlemistegevuste kohta, mille eest ta vastutab. Vajadusel esitatakse need Reeglid Andmete töötlemise kohta info säilitamise tõendina järelevalveasutusele.
3. ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED JA KRITEERIUMID
3.1. Isikuandmeid töödeldakse ning avaldatakse Kolmandatele pooltele vastavalt nendele Reeglitele, Isikuandmete kaitse üldmäärusele, Seadusele ning muudele õigusaktidele.
3.2. Oma kohustuste täitmisel peavad isikuandmete töötlemise eest vastutavad Ettevõtte Töötajad, aga ka muud Isikuandmeid töötlevad isikud järgima neid Reegleid ning õigusaktidega sätestatud konfidentsiaalsus- ja turvanõudeid, aga ka järgnevaid põhimõtteid:
3.2.1.isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus (eesmärgi piirang);
3.2.2. Isikuandmete kogumine ja töötlemine põhineb sihipärasusel ning proportsionaalsusel; Andmesubjektidelt ei küsita andmeid, mis ei ole Ettevõttele töötlemise eesmärgi seisukohast asjakohased; üleliigseid andmeid ei koguta ega töödelda (Isikuandmete minimeerimise põhimõte);
3.2.3. Isikuandmeid töödeldakse Andmesubjekti suhtes läbipaistval, õiglasel ja seaduslikul viisil (õiguspärasuse, õigluse ja seaduslikkuse põhimõte);
3.2.4. Isikuandmed on täpsed ning neid ajakohastatakse, kui see on Töötlemise jaoks vajalik; ebatäpsed, ebatäielikud ja/või seaduste ja/või Reeglite nõudeid silmas pidamata töödeldud andmed korrigeeritakse, täiendatakse, hävitatakse või nende töötlemine lõpetatakse selliste asjaolude ilmnemisel (täpsuse põhimõte);
3.2.5. Isikuandmeid säilitatakse sellises formaadis, mille alusel saab Andmesubjekti tuvastada ainult nii kaua, kui see on antud Isikuandmete kogumise eesmärgi seisukohast vajalik. Isikuandmeid võib säilitada pikema perioodi vältel vaid kujul, kui Isikuandmeid töödeldakse üksnes arhiveerimise eesmärgil avalikes huvides, kusjuures rakendatakse vastavaid tehnilisi ja organisatoorseid meetmeid, et tagada Andmesubjekti õiguste ja vabaduste optimaalne kaitse (säilitamispiirangute põhimõte);
3.2.6. Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata või ebaseadusliku töötlemise ning juhusliku kaotamise, hävitamise või kahjustamise tõkestamine, kasutades selleks asjakohaseid tehnilisi või organisatoorseid meetmeid (terviklikkuse ja konfidentsiaalsuse põhimõte).
3.3. Isikuandmeid töödeldakse Ettevõttes vastavalt Isikuandmete seadusliku töötlemise kriteeriumidele ainult juhul, kui kehtib mõni järgnevatest olukordadest:
3.3.1. Andmesubjekt annab oma nõusoleku. Kui Isikuandmeid töödeldakse sellisel alusel, salvestab Vastutav töötleja tõendid, mis kinnitavad Nõusoleku saamist Isikuandmete töötlemiseks;
3.3.2. kui üks pooltest on Andmesubjekt, sõlmitakse või teostatakse leping (sh Andmesubjekti palvel toimingute tegemiseks enne lepingu sõlmimist);
3.3.3. Vastutav töötleja on kohustatud töötlema Isikuandmeid vastavalt seadustele ja muudele õigusaktidele (Vastutav töötleja on seaduse ees vastutav);
3.3.4. eesmärgiks on Andmesubjekti põhihuvide kaitsmine;
3.3.5. töötlemine on vajalik Vastutava töötleja või Kolmanda poole õigustatud huvi alusel, mille põhjal avaldatakse neile Isikuandmeid tingimusel, et tagatud on Andmesubjekti huvide kaitse, mis ei või ületada Isikuandmetega seotud põhiõiguste ja –vabaduste kaitset.
3.4. Ettevõtte juht või tema poolt volitatud isik peab tagama vastavuse Isikuandmete kaitse põhimõtetega, kasutades selleks sobivaid organisatoorseid meetmeid (korraldusi, juhiseid, soovitusi jne) ning see isik peab suutma tõestada nimetatud põhimõtetest kinnipidamist.
4. ISIKUANDMETE TÖÖTLEMISE EESMÄRK JA ULATUS; ANDMESUBJEKTIDE KATEGOORIAD NING TÖÖTLEMISE ÕIGUSLIK ALUS
4.1. Isikuandmeid kogutakse ja töödeldakse Ettevõttes üksnes vastavalt seadustes sätestatud korrale.
4.2. Isikuandmeid töödeldakse Ettevõttes järgnevatel õiguspärastel eesmärkidel:
4.2.1. Töötajate Isikuandmeid töödeldakse Ettevõtte kui Vastutava töötleja sõltumatu toimimise tagamiseks personalijuhtimise eesmärgil;
4.2.2. klientide ja partnerite Isikuandmeid töödeldakse Ettevõtte kui Vastutava töötleja sõltumatu toimimise tagamiseks ning materjalide ja finantsressursside majandamiseks, sh raamatupidamine ning klientidele väljastatavate arvete ning sissetulevate arvete üle arvestuse pidamine;
4.2.3. elektroonse kaubanduse elluviimiseks, sh lepingute täitmine kaupade ostuks/müügiks kasutajatele Ettevõtte omandusse kuuluvate või Ettevõtte poolt kontrollitavate veebilehtede kaudu (kasutajakontode loomine, ostja tuvastamine, kaupade müük, kaupade kättetoimetamine, rikutud õiguste ning seaduslike huvide kaitse, ostjate lojaalsuse propageerimine ning muud ostu-müügi suhetest tingitud kohustused). Sel eesmärgil töödeldakse Ettevõtte poolt kontrollitavate veebilehtede kasutajate Isikuandmeid.
4.2.4. otseturunduse elluviimiseks; töödeldakse üksnes Ettevõtte olemasolevate või potentsiaalsete klientide andmeid, mis saadakse otse Andmesubjektidelt, kusjuures Ettevõte viitab selgelt, et Isikuandmeid hakatakse töötlema Otseturunduse eesmärgil ning saab Andmesubjektilt nõusoleku Isikuandmete töötlemiseks sellel konkreetselt eesmärgil. Kui kaupade müümise käigus on Andmesubjektidelt, kes on Seaduse kohaselt kliendid, saadud isikuandmeid (ees- ja perekonnanimi ning e-posti aadress), võib Ettevõte kasutada selliseid andmeid Andmesubjekti eraldi nõusolekuta oma sarnaste toodete ja teenuste turustamiseks, tingimusel, et klientidel on selge, tasuta ning lihtne võimalus eelnimetatud eesmärgil Isikuandmete kasutamise lubamisest loobuda või sellest keelduda, kui klient ei keeldunud selliste andmete kasutamisest juba alguses iga pakkumist sisestades;
4.2.5. et pakkuda allahindlusi ja/või komisjonitasusid Ettevõtte kaupade ostjatele, kes on Ettevõttega sõlminud müügiesindaja lepingu ning et selliseid isikuid tuvastada, neilt võlgu sisse nõuda (kui arveid ei tasuta õigeaegselt) ning muude müügiesindaja lepingu sõlmimiseks ja täitmiseks vajalike tegevuste läbiviimiseks;
4.2.6. päringute haldamiseks ning neile vastamiseks töödeldakse Ettevõttele e-kirja või muude kanalite kaudu päringu saatnud isikute Isikuandmeid (isikud, kes ei ole Ettevõtte kliendid ning lepingute täitmisega mitteseotud päringute korral).
4.3. Ettevõtte poolt töödeldavate isikuandmete ulatus:
4.3.1. Ettevõte ei töötle Isikuandmete Eriliike, välja arvatud juhtudel, kus Ettevõtte Töötaja jagab teavet oma tervisliku seisundi kohta, millel on otsene mõju tema tööfunktsioonidele ning võimalusele oma tööd vastavalt seadustes sätestatud korrale teha või muudel seadustega sätestatud juhtudel;
4.3.2. Reeglite punktis 4.2.1 mainitud eesmärkidel töödeldakse Isikuandmeid ainult sellises ulatuses, mis on vajalik Ettevõtte kui Volitatud töötleja jaoks vajalike personalijuhtimise funktsioonide tagamiseks. Töötlemisele kuuluvad järgnevad Töötajate Isikuandmed:
4.3.2.1. lepingute koostamise ja täitmise jaoks (Töötaja tuvastamine, lepinguliste kohustuste täitmine, kommunikatsioon jne) on töödeldavad andmed eesnimi, perekonnanimi, isikukood, aadress, palgainfo, pangaandmed, täistööaja ja puhkeaja andmed, ametinimetus, isiklik telefoninumber, isiklik e-posti aadress ning üritustel tehtud foto- ja videomaterjal;
4.3.2.2. Volitatud töötlejale rakenduvate kohustuste täitmiseks võivad seaduses sätestatud korras olla töödeldavateks andmeteks töötaja ees- ja perekonnanimi, sotsiaalkindlustuse kood, pereseis, laste arv ning sellised Töötajaga seotud terviseandmed, millel võib olla töötaja tööfunktsioonidele ning nende täitmise suutlikkusele otsene mõju.
4.3.3. Reeglite punktis 4.2.2 sätestatud eesmärkidel võivad kliendi või partneri töödeldavateks andmeteks olla eesnimi, perekonnanimi, aadress, telefoninumber, käibemaksukood (kui see on olemas);
4.3.4. elektroonse kaubandusega tegelemiseks (vastavalt Reeglite punktile 4.2.3) lepingute koostamise ja täitmise alusel võib Ettevõte töödelda järgnevaid Andmesubjektide/klientide/füüsiliste isikute Isikuandmeid: ees- ja perekonnanimi, e-posti aadress, abikaasa andmed (kui mõlemad abikaasad kasutavad sama müügiesindaja ID-d), toodete ostuajalugu ning seotud informatsioon, identifitseerimisnumber (müügiesindaja ID), sugu (valikuline), käibemaksukood (kui on olemas), pangaandmed, teave isiku poolt valitud liikmesuskomplekti kohta, ostjale antud kvalifikatsioonitase, registreerimiskuupäev, allahindluste ja/või komisjonitasudega seotud informatsioon, ostja foto (ainult juhul, kui ostja selle vabatahtlikult üles laadib), ostja sponsoritega seotud info – need on isikud, kes Ettevõtte tooteid osjale soovitasid ja kutsusid teda Ettevõtte veebilehega liituma (ID, ees- ja perekonnanimi) ning kui Ettevõtte klient on juriidiline isik – seda juriidilist isikut esindava isiku Isikuandmed (ees- ja perekonnanimed) võivad samuti kuuluda õigustatud huvi korral töötlemisele;
4.3.5. vastavalt Reeglite punkti 4.2.4 nõuetele võidakse Otseturunduse eesmärgil ning Nõusoleku põhjal või Ettevõtte õigusliku huvi korral töödelda järgnevaid Isikuandmeid: ees- ja perekonnanimi, aadress, telefoninumber, e-posti aadress, isiku vanus;
4.3.6. Reeglite punktis 4.2.5 nimetatud eesmärgil võidakse lepingute sõlmimise ja täitmise eesmärgil töödelda järgnevaid Isikuandmeid: isikukood või sünnikuupäev, e-posti aadress, elukoht (aadress), isiku ees- ja perekonnanimi, telefoninumber, isiku nimi, postiaadress, müügiandmed ning isikliku äritegevuse tulemused (ainult mitteautomeeritud kujul (paberformaadis)), sponsori andmeid, abikaasa andmed (kui abikaasad teevad müügiesindajatööd ühiselt);
4.3.7. Reeglite punktis 4.2.6 nimetatud eesmärgil võib töödelda inimeste igasuguseid Isikuandmeid – e-posti aadress, nimi, telefoninumber jne.
5. ISIKUANDMETE SAAMINE JA ANDMINE (SH EDASTAMINE KOLMANDATESSE RIIKIDESSE)
5.1. Isikuandmed saadakse otse Andmesubjektilt (või Andmesubjekti tööandjalt), aga ka Kolmandatelt pooltelt (sponsori Isikuandmeid võib saada ka sponsoreeritud müügiesindajalt) automeeritud või mitteautomeeritud viisil. Kui Isikuandmeid antakse mitteautomeeritud viisil, edastavad Ettevõtte töötajad või Ettevõtte poolt volitatud isikud (sh Volitatud töötlejad) Isikuandmed vastavatesse andmebaasidesse.
5.2. Ettevõtte poolt töödeldavaid Isikuandmeid võib avaldada Kolmandatele pooltele ainult juhul, kui Isikuandmete edastamisel on õiguslik alus vastavalt Leedu Vabariigi seadustes sätestatud korrale ning juhtudel, mis on sätestatud Ettevõtte omanduses olevatel või ettevõtte poolt kontrollitavatel veebilehtedel avaldatud reeglites või muudes Isikuandmete töötlemist puudutavates ning Andmesubjektidele edastatud või kättesaadavaks tehtud dokumentides või informatsioonis, aga ka rakenduvates õigusaktides.
5.3. Ettevõte teavitab Andmesubjekti hiljemalt hetkel, mil Isikuandmed edastatakse esmakordselt Kolmandatele pooltele, välja arvatud juhtudel, kus seadustes või muudes õigusaktides on määratletud selliste andmete kogumise ja Vastuvõtjatele edastamise kord.
5.4. Isikuandmeid võib edastada automeeritud või mitteautomeeritud viisil.
5.5. Reeglite punktis 4.2.1 nimetatud eesmärgil töödeldavaid isikuandmeid võivad edastada sotsiaalkindlustus- ja tööministeeriumi alluvusse kuuluv riiklik sotsiaalkindlustusamet, Leedu Vabariigi maksuameti alluvusse kuuluv maksuamet, sotsiaalkindlustus- ja tööministeeriumi tööinspektsioon ning muud institutsioonid õigusaktides määratletud ulatuses või institutsioonide nõudel, et täita õigusaktidega või vastavate ametiasutuste poolt määratletud nõudeid.
5.6. Ettevõttega sõlmitud lepingute nõuetekohaseks täitmiseks ning vastavalt Ettevõtte poolt tehtavate toimingute iseloomule on ettevõttel Reeglite punktides 4.2.3 ning 4.2.5 toodud eesmärkidel õigus avaldada töödeldud Isikuandmeid, mis kuuluvad klientidele (kliendi ees- ja perekonnanimi, ID-number, müügi- ja komisjonitasude andmed, e-posti aadress ja telefoninumber) klientide sponsorite suunamise eesmärgil ning osalisi Isikuandmeid (kliendi ees- ja perekonnanimi, ID-number, müügi- ja komisjonitasude andmed) kliendi otsese sponsori sponsorile. Osasid eelnimetatud Isikuandmetest (kliendi ees- ja perekonnanimi, ID-number) võidakse edastada ka Ettevõtte klientidele, kelle sponsoriks antud klient on.
5.7. Ettevõte võtab tarvitusele kõik mõistlikud sammud, et Vastuvõtjale ei edastataks ega tehtaks avalikuks ebatäpseid, ebatäielikke või vananenud andmeid. Sel eesmärgil tagab Ettevõte praktilises ulatuses Isikuandmete kvaliteedi enne nende edastamist või avalikuks tegemist Vastuvõtjatele. Kui ilmneb, et edastatud on ebaõigeid Isikuandmeid või Isikuandmeid on edastatud ebaseaduslikult, teavitatakse Vastuvõtjat sellest viivitamatult. Sellisel juhul Isikuandmed parandatakse või kustutatakse või piiratakse nende töötlemist.
5.8. Kui Andmesubjekt ei suuda täita Ettevõttega sõlmitud lepingus määratletud kohustusi võlgade tasumisel, on Ettevõttel õigus edastada Andmesubjekti Isikuandmed võlgade tasumise eesmärgil Andmesubjekti sellest eelnevalt teavitades inkassoettevõttele, aga ka Kolmandatele pooltele, kellel on asjaga seotud õiguslikke huvisid.
5.9. Muudel juhtudel Isikuandmeid ei edastata, välja arvatud juhtudel, mis on lahutamatult seotud Kolmandate poolte poolt Ettevõttele või Andmesubjektile osutatavate teenustega (näiteks toodete kättetoimetamine osjatele (Andmesubjektidele), finants- või õigusnõu andmine, Isikuandmete töötlemiseks kasutatavate programmide uuendamine jne) või kui Ettevõtte juht otsustab teisiti, aga ka seadustes sätestatud juhtudel (näiteks Isikuandmete edastamisel Leedu Vabariigi rahandusministeeriumi alluvusse kuuluvale maksuametile). Andmesubjektide Isikuandmeid edastatakse Kolmandatele pooltele ainult kindla teenuse osutamiseks vajalikul määral.
5.10. Vastutav töötleja teavitab igasugustest Isikuandmete parandamistest või kustutamistest või töötlemise piiramisest juhul, kui Andmesubjekt kasutab Reeglite punktides 8.1.3, 8.1.4 ja 8.1.5 nimetatud õigusi iga Vastuvõtjat, kellele Isikuandmeid on edastatud, välja arvatud juhul, kui see osutub võimatuks või selleks tehtud pingutus on ebaproportsionaalne. Vastutav töötleja informeerib Andmesubjekti sellistest Vastuvõtjatest, kui Andmesubjekt on selleks soovi avaldanud.
5.11. Isikuandmete edastamine kolmandatesse riikidesse. Ettevõte ei töötle isikuandmeid ainult selles riigis, kus neid kogutakse, vaid edastab neid ka teistesse riikidesse (sealhulgas kolmandatesse riikidesse), kus võivad kehtida lõdvemad Isikuandmete kaitset puudutavad õigusaktid ning mille suhtes puudub Euroopa Komisjoni otsus Isikuandmete kaitse üldmääruse nõuetele vastavuse ning vastavate turvameetmete kohta, eriti just Reeglite punktides 2.1.9 (i) ja (ii) täpsustatu osas:
5.11.1. Reeglite puntides 4.2.3 ja 4.2.5 nimetatud eesmärkidel töödeldavad isikuandmed (kliendi ees- ja perekonnanimi, identifitseerimisnumber (Müügiesindaja ID), positsioon müügiesindajate struktuuris (sponsori ID ning ees- ja perekonnanimi), aga ka kliendi müügiandmed, ostja ID ja ostuandmed) edastatakse Andmesubjekti nõusoleku alusel ettevõtte Amazon Web Services, Inc. serveritele Singapuris ja USAs, aga ka ettevõttele Tiens Group Co Hiinas (Ostjatele rakenduvate allahindluste arvestamiseks);
5.11.2. kui isikuandmed edastatakse USAsse ettevõttele Web Services, Inc, kehtivad Euroopa Liidu ja USA vahelise andmekaitseraamistiku põhimõtted, mis tagavad teenusepakkuja vastavuse Euroopa Liidu privaatsusstandardite nõuetele;
5.11.3. Isikuandmete edastamisele Singapuri ja Hiinasse ei rakendu ühtki nõuetekohasust puudutavat Euroopa Komisjoni otsust (see tähendab, et Euroopa Liit ei ole otsustanud, kas need riigid tagavad isikuandmete kaitse üldmääruse tingimustele vastava isikuandmete kaitse ning isikuandmete kaitse üldmääruse artiklis 46 nimetatud turvameetmed ei rakendu (näiteks võivad isikuandmed olla nende riikide teenusepakkujate juures ligipääsematud või ei rakendata turvameetmeid));
5.11.4. seetõttu on Isikuandmete edastamisega Singapuri või Hiinasse seotud võimalikud riskid (mida ei saa hetkel kõrvaldada). Näiteks võidakse isikuandmeid edastada kolmandatele riikidele nende kogumise eesmärgile mittevastaval eesmärgil (näiteks reklaamieesmärkidel), andmesubjektil võib olla keeruline või võimatu kasutada enda kui Andmesubjekti õigusi seoses Isikuandmete edastamisega kolmandatesse riikidesse, kuna seal rakendatavad tehnilised ja organisatoorsed meetmed ei vasta täielikult isikuandmete kaitse üldmääruse nõuetele (kvaliteedi ja kvantiteedi osas), nii et Isikuandmete sobimatu töötlemise tõenäosus võib seal olla suurem.
6. VOLITATUD TÖÖTLEJATE ÕIGUSED JA KOHUSTUSED
6.1. Ettevõttel on õigus volitada füüsilisi või juriidilisi isikuid (Volitatud töötlejaid) töötlema Ettevõtte poolt kontrollitavaid Isikuandmeid. Vastutava töötleja loal võib Volitatud töötleja palgata mistahes Kolmandaid pooli oma funktsioone täitma, kuid Volitatud töötleja vastutab selliste Kolmandate poolte tegevuse/tegevusetuse eest samamoodi nagu enda tegevuse/tegevusetuse eest.
6.2. Volitatud töötleja ning Vastutav töötleja kohustuvad rakendama asjakohaseid organisatoorseid ja tehnilisi meetmeid, mis on vajalikud Isikuandmete kaitsmiseks juhusliku või ebaseadusliku hävitamise, muutmise, avaldamise või mistahes muu ebaseadusliku kasutamise eest. Eelnimetatud meetmed tagavad kaitstavate Isikuandmete liigile ning nende kasutamisega seotud riskidele vastava turvalisuse taseme ning need täpsustatakse Reeglites, aga ka Vastutava töötleja ja Volitatud töötleja vahel sõlmitavas lepingus.
6.3. Kui Ettevõte volitab Volitatud töötlejat Isikuandmeid töötlema, valib Ettevõte sellise Volitatud töötleja, kes tagab vajalikud tehnilised ja organisatoorsed andmekaitse meetmed ning tagab vastavate meetmete rakendamise.
6.4. Enne Ettevõtte nimel Isikuandmete töötlemise õiguse andmist informeeritakse Volitatud töötlejat, et andmeid töödeldakse üksnes vastavalt Ettevõtte juhistele.
6.5. Suhted Ettevõtte ja Volitatud töötleja vahel, kes ei ole Vastutav töötleja, reguleeritakse kirjaliku lepinguga, välja arvatud juhtudel, kui sellised suhted on määratletud seadustes või muudes õigusaktides, millega määratletakse andmete töötlemise subjekt ja kestus, töötlemise iseloom ja eesmärk, Isikuandmete liigid ning Andmesubjektide liigid, aga ka Vastutava ja Volitatud töötleja õigused ja kohustused ning muud sätted, millele viidatakse õigusaktides, sh Isikuandmete kaitse üldmääruses.
6.6. Ettevõtte töötajad, Volitatud töötlejad ning nende esindajad, kes osalevad Isikuandmete töötlemises, peavad kaitsema avalikustamisele mittekuuluvate Isikuandmete konfidentsiaalsust. See kohustus kehtib ka pärast teistele töökohtadele liikumist või pärast töösuhte või lepinguliste suhete lõppemist.
6.7. Nende Reeglite koostamise hetkel Ettevõtte poolt volitatud Volitatud töötlejate nimekiri on toodud Reeglite punktis 2.1.9. Vastavalt sellele on Volitatud töötlejad kohustatud tagama kõik tehnilised meetmed Isikuandmete turvalisuse kindlustamiseks ning vastutavad igasuguste seadustes sätestatud turvameetmetele mittevastavuste ning muude seotud rikkumiste eest. Tehniliste turvameetmete rikkumise tuvastamisel peavad Volitatud töötlejad kompenseerima Ettevõttele või Kolmandatele pooltele seotud kahjud.
7. RAKENDATUD TURVAMEETMED
7.1. Andmesubjektide Isikuandmeid säilitatakse andmebaasides, mida haldavad Ettevõtte poolt volitatud Volitatud töötlejad või kandjad ja arhiivid, mis on kohandatud vastavalt töötlemismeetodile (automeeritud või mitte-automeeritud).
7.2. Isikuandmete kaitse juhusliku või ebaseadusliku hävitamise, muutmise, avaldamise või muu ebaseadusliku töötlemise eest on tagatud Reeglites ning rakenduvates seadustes sätestatud organisatoorsete ja tehniliste meetmete rakendamise kaudu.
7.3. Ettevõte rakendab asjakohaseid organisatoorseid meetmeid (Reeglite koostamine, Töötajatele Reeglite tutvustamine, kontroll Reeglite järgimise üle, erinevate valdkondade töö organiseerimiseks kordade loomine, arvutite hoidmine lukustatud ruumides, arvutitesse sisselogimine, arvutivõrkude ja andmebaaside kaitsmine paroolidega jne) ning tehnilised meetmed (viirusetõrjetarkvara ning operatsioonsüsteemide ja töökohtade kaitse, Ettevõtte valduste järelevalve, alarmsüsteemi paigaldamine valdustele, koodilukk) eesmärgiga kaitsta Isikuandmeid juhusliku või ebaseadusliku hävitamise, muutmise, avaldamise või muul ebaseaduslikul viisil töötlemise eest.
7.4. Eelnevad meetmed tagavad kaitstavate Isikuandmete liigile ning nende haldamisega seotud riskidele vastava turvalisuse taseme.
7.5. Ettevõtte Tegevjuht hindab Isikuandmete töötlemisega seotud riske ning annab Ettevõtte Töötajatele ja/või Volitatud töötlejale korralduse rakendada riskihindamise tulemuste kohaselt andmeturvalisuse meetmed.
7.6. Ettevõtte ja/või Volitatud töötleja poolt järgnevate riskifaktorite vastu võetud Isikuandmete kaitse meetmed on järgnevad:
7.6.1. volitamata tarkvara kasutajad: luua kasutajatele sisselogimiskord, reguleeritud kasutajaõigused tarkvara kasutamisel, kasutajate logiandmed salvestatakse registrites, muud meetmed;
7.6.2. volitamata füüsiline ligipääs riistvarale: lukustatavad valdused, valdustele paigaldatud alarmsüsteem, ligipääs valduste kontrollsüsteemidele, muud meetmed;
7.6.3. vargus: piiratud füüsiline ligipääs teenindusjaamadele, piiratud tarkvaraligipääs Isikuandmetele, Isikuandmetele ligipääsu paroolidele seatud nõuded, muud meetmed;
7.6.4. volitamata ühendumine võrguga: sisevõrk on tulemüüriga kaitstud, kontroll Töötajate sisevõrgu kasutuse üle, Vastutava töötleja ning Volitatud töötleja Töötajate või nende volitatud isikute kontrollitud ligipääs võrgule, Isikuandmetele on ligipääs ainult neil isikutel, kes vajavad seda oma tööülesannete täitmiseks, muud meetmed;
7.6.5. Ettevõtte ja Volitatud töötlejate töötajate ja/või nende volitatud isikute tehtud vead: põhitreening Ettevõtte tarkvara kasutamiseks, täpsed ja täielikud tööjuhendid (korrad);
7.6.6. pahavara: viirusetõrjeprogramm paigaldatud töökohtadele, pahavara leviku korral peavad Ettevõtte töötajad ning Volitatud töötleja viivitamatult rakendama vastutavaid isikuid, muud meetmed;
7.6.7. illegaalse tarkvara kasutamine: kasutada ainult legaalset tarkvara, pidev töökohtadel kasutatava tarkvara kontroll, muud meetmed;
7.6.8. arvutiriistvara rikked: seadmete järelevalve vastavalt tootjate soovitustele, hooldust ja rikete parandamist teevad kvalifitseeritud spetsialistid, olulisima riistvara tehnilist seisukorda jälgitakse pidevalt, muud meetmed;
7.6.9. tulekahju: valdustesse on paigaldatud tulekustutid, hoone valdustesse on paigaldatud suitsu- ja soojusandurid, Ettevõtte ja Volitatud töötleja valdustes on suitsetamine keelatud, muud meetmed;
7.6.10. voolukatkestused ning kommunikatsiooniliinide rikked: kaablid on paigaldatud isolatsiooniga torudesse, elektri- ja andmekaablid on turvaliselt isoleeritud, perioodiline kaablite kontroll, muud meetmed;
7.6.11. volitamata ligipääs Isikuandmetele: registreerumine on kontrollitud ja andmed salvestatakse, õiguste andmine on reguleeritud, sh salvestatakse ligipääs Isikuandmetele, kindel arv ebaõnnestunud ühendusi, Isikuandmetega seotud andmeid säilitatakse üks aasta, muud meetmed (mis rakenduvad Isikuandmete töötlemisele Reeglite punktides 4.2.3 ja 4.2.5 sätestatud eesmärkidel);
7.6.12. Isikuandmete kaotamine: tagatakse, et infotehnoloogiate testimist ei teostata reaalsetel Isikuandmetel (rakendub Isikuandmete töötlemisele Reeglite punktides 4.2.3 ja 4.2.5 sätestatud eesmärkidel).
7.7. Isikuandmeid võivad töödelda ning kasutada ainult Ettevõtte juhi poolt volitatud isikud, kellel on vastavaid andmeid vaja oma töökohustuste täitmiseks ning kes on tutvunud antud Reeglitega ning nendega kursisolemist allkirjaga kinnitanud. Sellised isikud tutvuvad ning näitavad teistele isikutele ainult selliseid dokumente ja/või andmeid, millega tutvumine on nende töökohustuste täitmiseks vajalik.
7.8. Isikud, kelle töökohustused on otseselt seotud Isikuandmete töötlemise ning kasutamisega, aga ka töötajad, kes tutvuvad Ettevõtte poolt töödeldavate Isikuandmetega, kinnitavad antud Reeglitega tutvumist allkirjaga (Lisa 1 – Kinnitus Isikuandmete töötlemist puudutavate Reeglitega tutvumise kohta) ning kohustuvad Reeglitest kinni pidama ja säilitama Isikuandmete konfidentsiaalsust, kui vastavad Isikuandmed ei ole määratud avaldamisele.
7.9. Ettevõtte Töötajad ning Volitatud töötleja peavad kinni konfidentsiaalsusnõudest ning hoiavad salastatuna Isikuandmeid, millega nad on töökohustusi täites tutvunud, välja arvatud juhul, kui sellised andmed on rakenduvate seaduste nõudel avalikud või kui Andmesubjekt annab Nõusoleku sellise informatsiooni avaldamiseks või kui see on vajalik kriminaalse või seadusevastase tegevuse ärahoidmiseks seadustes sätestatud juhtudel, aga ka muudel seadustes nimetatud asjaoludel. Ettevõtte Töötajad ning Volitatud töötleja peavad konfidentsiaalsuspõhimõtetest kinni ka pärast töölepingu või lepinguliste suhete lõppemist mistahes alustel.
7.10. Töötajad, kes vastutavad Töötlemisfunktsioonide eest ning jälgivad ja ennetavad Isikuandmete juhuslikku või seadusvastast hävitamist, muutmist ja avaldamist või muul ebaseaduslikul viisil töötlemist, säilitavad dokumente andmehulkadena asjakohasel ja turvalisel viisil ning väldivad ebavajalike koopiate tegemist. Isikuandmeid sisaldavaid dokumente ei hoita nähtaval ega kergesti ligipääsetaval kohal.
7.11. Ligipääs andmetele antakse ainult sellistele isikutele, kellel on neid andmeid vaja oma töökohustuste täitmiseks. Arvutitesse, arvutivõrku ja andmebaasi sisse logivad Ettevõtte töötajad peavad kasutama paroole, mis salvestatakse kodeerituna ning mis vastavad järgnevatele nõuetele:
7.11.1. antud, muudetud ja kaitstud nende konfidentsiaalsuse tagamiseks;
7.11.2. unikaalsed ning koosnevad vähemalt 8 sümbolist;
7.11.3. koostamisel ei ole kasutatud isiklikku informatsiooni;
7.11.4. vahetatakse vähemalt iga kahe kuu tagant;
7.11.5. esmakordsel sisselogimisel on muutmine kohustuslik.
7.12. Teatavatel asjaoludel (töötaja vahetumine, sissemurdmise ohu korral, kahtluse korral, et parool sai Kolmandale poolele teatavaks jne) vahetatakse parool.
7.13. Kui Töötajad, kes täidavad Isikuandmete töötlemise funktsioone ja/või saavad Ettevõtte poolt töödeldavate isikuandmetega tutvuda, kahtlustavad, et töödeldavate Isikuandmete turvalisust või nende Reeglite sätteid võidakse rikkuda, peavad nad viivitamatult teavitama sellistest kahtlustest Ettevõtte juhti ning võtma tarvitusele Ettevõtte juhi poolt määratud meetmed, et võimalikku rikkumist vältida või see kõrvaldada, kui rikkumine on juba toimunud.
8. ANDMESUBJEKTIDE ÕIGUSED
8.1. Andmesubjektil on kõik Seaduses ning muudes õigusaktides, aga ka nendes Reeglites sätestatud õigused:
8.1.1. olla teadlik (teavitatud) oma Isikuandmete töötlemisest:
8.1.1.1. seadustes täpsustatud informatsioon Andmesubjekti Isikuandmete töötlemise kohta antakse Andmesubjektile Isikandmete saamise hetkel (näiteks lepingu allkirjastamisel – lepingutes, Ettevõtte veebilehel jne). Edasist informatsiooni Andmesubjekti isikuandmete töötlemise kohta antakse Andmesubjektile temaga koostöö tegemise ajal viisil, mis vastab Andmesubjekti seosele Ettevõttega, välja arvatud juhul, kui isikul on vastav informatsioon juba olemas ja sel määral, kui sellist informatsiooni eksisteerib;
8.1.1.2. kui Isikuandmed kogutakse otse Andmesubjektilt, antakse talle Isikuandmete kogumise ajal järgnev informatsioon:
8.1.1.2.1. Ettevõtte identiteet ning kontaktandmed;
8.1.1.2.2. Isikuandmete kogumise eesmärk ning Töötlemise õiguslik alus;
8.1.1.2.3. asjassepuutuvate Isikuandmete liigid;
8.1.1.2.4. Vastuvõtjad või Vastuvõtjate kategooriad;
8.1.1.2.5. Isikuandmete säilitamise periood või kui see ei ole võimalik, siis perioodi määratlemise kriteeriumid;
8.1.1.2.6. kui Töötlemine toimub vastavalt Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f (isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral), siis Vastutava töötleja või Kolmanda poole õigustatud huvid;
8.1.1.2.7. info õiguse kohta nõuda Vastutavalt töötlejalt ligipääsu oma Isikuandmetele ning nende parandamist ja kustutamist või Andmesubjekti puudutavate Isikuandmete töötlemise piiramist, aga ka info andmete ülekantavuse õiguse kohta;
8.1.1.2.8. kui Töötlemine põhineb Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a (Nõusolek), siis info õiguse kohta oma Nõusolek igal hetkel tagasi võtta, ilma et see mõjutaks enne Nõusoleku tagasivõtmist toimunud Töötlemise seaduslikkust;
8.1.1.2.9. info õiguse kohta esitada järelevalveasutusele kaebus;
8.1.1.2.10. Isikuandmete päritoluallikas ning kus kohaldatav, kas andmed pärinesid avalikult kättesaadavatest ressurssidest;
8.1.2. omada ligipääsu oma Isikuandmetele ning olla informeeritud oma andmete töötlemise viisidest ning saada seadustes sätestatud teavet:
8.1.2.1. Andmesubjektil on õigus nõuda Vastutavalt töötlejalt kinnitust, kas teda puudutavaid Isikuandmeid töödeldakse ning kui neid töödeldakse, siis pääseda ligi oma Isikuandmetele, mida Ettevõttes töödeldakse ning saada järgnevat teavet:
8.1.2.1.1. Isikuandmete töötlemise eesmärk;
8.1.2.1.2. vastavalt milliseid Isikuandmeid töödeldakse;
8.1.2.1.3. vastavate Isikuandmete Vastuvõtjad (kellele on Isikuandmeid avaldatud või kellele neid avaldatakse);
8.1.2.1.4. vastavate Isikuandmete säilitamise periood;
8.1.2.1.5. õigus nõuda Vastutavalt töötlejalt Isikuandmete parandamist või kustutamist või Andmesubjekti puudutavate Isikuandmete töötlemise piiramist või vaidlustada selline töötlemine ning esitada vastav nõue järelevalveasutusele;
8.1.2.1.6. kui Töötlemine põhineb Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktil a, siis õigus oma Nõusolek igal hetkel tagasi võtta, ilma et see mõjutaks enne Andmesubjekti-poolse Nõusoleku tagasivõtmist toimunud Töötlemise õiguspärasust;
8.1.2.1.7. Isikuandmete allikad (kui Isikuandmeid saadakse muult isikult kui Andmesubjekt);
8.1.2.2. kui Ettevõte on Andmesubjekti avalduse kätte saanud, esitab Ettevõte nõutud andmed põhjendamatu viivituseta või viitab põhjustele, miks Ettevõte keeldus vastava avalduse täitmisest;
8.1.3. taotleda oma Isikuandmete parandamist:
8.1.3.1. kui Andmesubjekt avastab oma Isikuandmetega tutvudes ebatäpsusi, esitab Andmesubjekt Isikuandmed verifitseerinud Ettevõttele taotluse ebatäpsete Isikuandmete parandamiseks või täiendamiseks;
8.1.4. taotleda Isikuandmete kustutamist (õigus olla unustatud):
8.1.4.1. Vastutav töötleja kustutab Isikuandmed põhjendamatu viivituseta, kui seda saab õigustada mõnega järgnevatest asjaoludest:
8.1.4.1.1. Isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
8.1.4.1.2. Andmesubjekt võtab töötlemiseks antud Nõusoleku tagasi ning puudub muu õiguslik alus isikuandmete töötlemiseks;
8.1.4.1.3. Andmesubjekt esitab töötlemisele vastuväite vastavalt Reeglite punktile 8.3.1 ning töötlemiseks pole ülekaalukaid seaduslikke põhjuseid;
8.1.4.1.4. Isikuandmeid on ebaseaduslikult töödeldud;
8.1.4.1.5. muudel seadustes sätestatud juhtudel.
8.1.4.2. Teatud seadustes sätestatud juhtudel, sh juhtudel, kui töötlemine on kohustuslik Euroopa Liidu või Leedu Vabariigi poolt sätestatud seadusliku kohustuse täitmiseks või õigusliku nõude esitlemiseks, täitmiseks või kaitsmiseks, ei kehti Reeglite punkt 8.1.4.1;
8.1.4.3. Kui Andmesubjekt esitab Ettevõttele taotluse selle õiguse realiseerimiseks, verifitseerib Ettevõtte selliste Isikuandmete töötlemise õigusjärgsuse ning muud asjaolud, millel võib Isikuandmete kustutamisele mõju olla ning hävitab viivitamatult alusetult töödeldud Isikuandmed;
8.1.5. taotleda oma Isikuandmete töötlemise piiramist, v.a andmete säilitamine:
8.1.5.1. Andmesubjektil on õigus taotleda Vastutavalt töötlejalt oma Isikuandmete töötlemise piirangut mõnel järgnevatest asjaoludest:
8.1.5.1.1. Andmesubjekt vaidlustab Isikuandmete täpsuse, võimaldades Vastutaval töötlejal teatud perioodi vältel verifitseerida Isikuandmete täpsus;
8.1.5.1.2. Töötlemine on ebaseaduslik ning Andmesubjekt vaidlustab Isikuandmete kustutamise ja nõuab selle asemel nende kasutamise piiramist;
8.1.5.1.3. Vastutav töötleja ei vaja enam Töötlemise eesmärgi kohaselt Isikuandmeid, kuid neid on vaja Andmesubjektil õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;
8.1.5.1.4. Andmesubjekt kasutab oma õigust Reeglite punkti 8.2.1 alusel Töötlemine vaidlustada, kuni on tuvastatud, kas Vastutava töötleja õigustatud põhjused ületavad Andmesubjekti põhjendused.
8.1.5.2. Kui Töötlemine on piiratud vastavalt Reeglite punktile 8.1.5.1, töödeldakse Isikuandmeid (välja arvatud, mis puutub andmete salvestamisse) ainult Andmesubjekti nõusolekul õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või teise füüsilise või juriidilise isiku õiguste kaitsmiseks või Euroopa Liidu või Leedu Vabariigi oluliste avalike huvidega seotud põhjustel;
8.1.5.3. Andmesubjekti, kes on taotlenud Töötlemise piiramist Reeglite punkti 8.1.5.1 alusel, informeeritakse Vastutava töötleja poolt enne Töötlemise piiramise lõpetamist;
8.1.5.4. kui Andmesubjekt esitab Ettevõttele taotluse selle õiguse kasutamiseks, tuvastab Ettevõte selliste Isikuandmete töötlemise õigusjärgsuse ning muud asjaolud, mis võivad Töötlemise piiramist mõjutada ning piirab viivitamatult sellise Töötlemise, välja arvatud salvestamise.
8.1.6. õigus Isikuandmete ülekandmisele:
8.1.6.1. Andmesubjektil on õigus saada Vastutavale töötlejale antud Isikuandmeid süsteemsel, üldkasutataval ning arvutiga loetaval kujul ning tal on õigus saata selliseid andmeid teistele Vastutavatele töötlejatele (kui see on tehniliselt võimalik, on Andmesubjektil õigus taotleda Vastutavalt töötlejalt Isikuandmete saatmist otse teisele Vastutavale töötlejale) ning Vastutav töötleja ei sea sellisele tegevusele ühtki takistust (kummagi tingimuse puhul):
8.1.6.1.1. töötlemine põhineb Nõusolekul või lepingul;
8.1.6.1.2. töötlemine viiakse läbi automeeritud viisil.
8.2. Andmesubjektil on ka õigus:
8.2.1. keelduda seotud Isikuandmete töötlemisest, kui selline töötlemine on õigustatud Reeglite punktis 3.3.5 toodud alustel. Kui Andmesubjekt esitab sellise taotluse, lõpetab Ettevõte kõik töötlemisega seotud tegevused tasuta ning põhjendamatute viivitusteta, välja arvatud juhtudel, kus Vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles Andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.
8.2.2. Isikuandmete töötlemise Nõusolek tagasi võtta, kui tema Isikuandmeid töödeldakse Nõusoleku alusel. Andmesubjekt võib samuti tagasi võtta Nõusoleku, mille andis Ettevõttele Isikuandmete töötlemiseks Otseturunduse eesmärgil, logides selleks sisse Ettevõtte omanduses olevale või Ettevõtte kontrollitavale veebilehele, kui selline funktsioon on saadaval. Kui Andmesubjekti keeldumine on õiguslikult põhjendatud, lõpetab Ettevõte põhjendamatu viivituseta töötlemistegevuse.
8.3. Kui punktis 4.3. loetletud Isikuandmetes on muudatusi, teavitab Andmesubjekt Ettevõtet nendest muudatustest vastavalt Ettevõtte omanduses oleva või Ettevõtte poolt kontrollitava veebilehe reeglitele ja/või muudele seotud dokumentidele. Andmesubjektid vastutavad ise endaga seotud Isikuandmete uuendamise ja täpsustamise eest. Muudetud, uuendatud või täpsustatud Isikuandmed muudetakse ja salvestatakse automaatselt. Kui andmeid ei muudeta automaatselt, uuendavad Töötajad andmed Andmesubjekti taotlusel Ettevõtte andmebaasides. Kui Andmesubjekt ei ole andnud uuendatud ja/või täpsustatud informatsiooni, ei tohi Ettevõte andmeid uuendada ega täpsustada.
8.4. Andmesubjekti õigused rakendatakse, sh Isikuandmete parandamine ja hävitamine või nende töötlemise piiramine, Andmesubjektilt vastava taotluse saamise alusel (taotlus on isiku poolt loetavalt allkirjastatud, sisaldab Andesubjekti ees- ja perekonnanime, elukohta, saatmise kuupäeva ning teavet selle kohta, millises ulatuses Andmesubjekti taotlust rakendada).
8.5. Andmesubjektile või tema volitatud esindajale võib teavet edastada ainult sellise Andmesubjekti kohta, kelle kohta on esitatud taotlus informatsiooni edastamiseks ning ühegi muu Andmesubjekti kohta informatsiooni ei edastata.
8.6. Andmesubjekti taotluse võib edastada isiklikult (Ettevõtte ametlikule aadressile), e-kirja teel või kulleriga (e-mail: info@tiens.lt), aga ka muudel Ettevõtte valduses olevatel ja/või veebilehtede kaudu kontrollitavatel viisidel. Kõik Andmesubjekti õiguste realiseerimisega seotud esitatud taotlused antakse üle isikutele, kes vastutavad Andmesubjekti õiguste korraldamise ning õigeaegse rakendamise eest.
8.7. Ettevõte tagab, et kogu Andmesubjekti andmete töötlemisega seotud info edastatakse Andmesubjektile selgel, arusaadaval ja vastuvõetaval kujul.
8.8. Taotlust esitades peab Andmesubjekt oma isikut tõendama:
8.8.1. taotlust registreerivale Töötajale taotlust esitades esitab isik andmete kinnitamiseks isikut tõendava dokumendi;
8.8.2. posti või kulleri kaudu taotlust esitades esitab Andmesubjekt ka notariaalselt kinnitatud koopia oma isikut tõendavast dokumendist või dokumendi koopia, mis on kinnitatud muu seadustes sätestatud korra alusel;
8.8.3. taotlust elektroonsel teel esitades allkirjastab isik taotluse digiallkirjaga.
8.9. Kui Ettevõttel on õigustatud kahtlusi taotluse esitanud isiku identiteedi osas, võib Ettevõte küsida lisainformatsiooni, mis on vajalik Andmesubjekti isiku tõendamiseks.
8.10. Andmesubjekt võib realiseerida oma õigusi individuaalselt või esindaja kaudu (viimasel juhul on vajalik esindatust tõendava dokumendi esitamine).
8.11. Kui Andmesubjekti taotlus on kätte saadud, täidab Ettevõte nõutud tegevused põhjendamatu viivituseta, kuid mitte hiljem kui 1 (ühe) kuu jooksul taotluse saamise päevast või keeldub Andmesubjekti taotlust täitmast ning informeerib Andmesubjekti tegevustest, mis teostati alates taotluse kättesaamisest samal viisil, millel saadi Andmesubjekti taotlus (välja arvatud juhul, kui Andmesubjekt on selgelt avaldanud soovi saada vastust mõnel muul viisil).
8.12. Vastutaval töötlejal on õigus Andmesubjekti taotluse alusel tegutsemisest keelduda või võtta tegevuse eest mõistlikku tasu halduskulude katteks seoses informatsiooni või aruannete edastamisega või taotletud tegevustega, kui Andmesubjekti taotlused on ilmselgelt õigustamatud või ebaproportsionaalsed, eriti nende korduva sisu tõttu. Õigustatud juhtudel põhjendab Ettevõte mõistlikul viisil Andmesubjekti õiguste rakendamise taotluse täitmata jätmise.
8.13. Vastutav töötleja edastab Andmesubjektile informatsiooni tasuta, välja arvatud Reeglites ja õigusaktides sätestatud juhtudel.
8.14. Andmesubjekt võib Ettevõtte kui Vastutava töötleja tegevuse (tegevusetuse) vaidlustada riiklikus andmekaitseametis vastavalt seadustes sätestatud korrale, kui talle tundub, et tema Isikuandmeid töödeldes rikuti õigusnõudeid.
9. ISIKUANDMETE SÄILITAMISE PERIOOD NING ISIKUANDMETE HÄVITAMINE
9.1. Isikuandmeid säilitatakse ainult senikaua, kui see on Isikuandmete töötlemise eesmärgi täitmiseks vajalik, st Isikuandmeid säilitatakse:
9.1.1. Reeglite punktis 4.2.1 nimetatud eesmärgil – kuni Töötaja ja Ettevõtte vahelise töösuhte lõpetamiseni, kusjuures Töötaja ees- ja perekonnanimi, isikukood, aadress, laste isikukoodid ning muud Isikuandmed, millele on seadustega määraud säilitamiskohustus – 10-aastase (kümneaastase) perioodi vältel alates Töötaja ja Ettevõtte vahelise töölepingu lõpetamisest, kuid igal juhul rakenduvates seadustes nimetatud perioodi vältel.
9.1.2. Reeglite punktis 4.2.2 nimetatud eesmärgil – 10-aastase (kümneaastase) perioodi vältel;
9.1.3. Reeglite punktis 4.2.3 nimetatud eesmärgil – senikaua, kuni klient kasutab oma kontot ning 10-aastase (kümneaastase) perioodi vältel kasutaja viimasest sisselogimisest Ettevõte omanduses olevale või Ettevõtte poolt kontrollitavale veebilehele;
9.1.4. Reeglite punktis 4.2.4 nimetatud eesmärgil – 2-aastase (kaheaastase) perioodi vältel alates Nõusoleku andmise päevast (isikutele, kes andsid oma Nõusoleku Isikuandmete töötlemiseks Otseturunduse eesmärgil) või kuni Andmesubjektiga sõlmitud koostöölepingu lõppemiseni, kui Andmesubjekt ei keeldunud Isikuandmete kogumise hetkel Töötlemisest;
9.1.5. Reeglite punktis 4.2.5 nimetatud eesmärgil – 10-aastase (kümneaastase) perioodi vältel alates Ettevõttega koostöö lõpetamise päevast;
9.1.6. Reeglite punktis 4.2.6 nimetatud eesmärgil – ainult nii kaua, kui see on Isikuandmete töötlemise eesmärgi saavutamiseks vajalik ning et vastata esitatud päringutele ja päringute haldamiseks.
9.2. Kui Isikuandmeid töödeldakse mitteautomeeritud viisil (näiteks kui need on toodud Ettevõttega sõlmitud lepingutes), säilitatakse neid Töötlemise eesmärgi jaoks sätestatud perioodi vältel, kuid mitte kauem kui seadustes dokumentide säilitamiseks määratud ajalimiidi vältel.
9.3. Kui Isikuandmed ei ole enam nende töötlemise eesmärgil vajalikud (sh Isikuandmete säilitamisperioodi lõppemisel) või Andmesubjekt esitab taotluse Isikuandmete töötlemise lõpetamiseks Reeglite punktis 8.1.4 sätestatud juhtudel, siis Isikuandmed hävitatakse. Ettevõtte dokumentide koopiad, programmid ja arvutifailid, mis sisaldavad Isikuandmeid, hävitatakse sel määral, kui see on vajalik andmete sisu taastamise takistamiseks. Isikuandmete hävitamine teostatakse ning protokollitakse vastavalt Ettevõtte juhi sätestatud korrale.
10. ISIKUANDMETE TURVALISUSE RIKKUMISED JA RIKKUMISTE HALDAMINE
10.1. Kui Töötajad või teised Isikuandmete töötlemise funktsioone täitma volitatud isikud ja/või Ettevõtte poolt töödeldavatele Isikuandmetele ligipääsu omavad isikud (sh Vastutavad töötlejad) kahtlustavad, et töödeldavate Isikuandmete turvalisust võib olla/on rikutud (sh Isikuandmete turvalisuse rikkumine) või antud Reeglite sätteid on rikutud, peavad nad igasugustest kahtlustest viivitamatult teavitama Ettevõtte juhti ja/või juhi poolt volitatud isikuid ning võtma tarvitusele võimaliku rikkumise vältimise või rikkumise toimepaneku korral selle kõrvaldamise meetmed. Pärast riskifaktorite, Isikuandmete turvalisuse rikkumise mõju ning tagajärgede hindamist võib Ettevõtte juht vastu võtta Isikuandmete turvalisuse rikkumise või selle tagajärgede kõrvaldamiseks vajaliku otsuse.
10.2. Isikuandmete turvalisuse rikkumise korral teavitab Vastutav töötleja tarbetu viivituseta ning vastavalt praktilisele vajadusele, kuid mitte hiljem kui 72 tunni jooksul alates rikkumisest teadlikuks saamisest järelevalveasutust Isikuandmete turvalisuse rikkumisest, välja arvatud juhul, kui rikkumine ei kujuta tõenäoliselt riski füüsiliste isikute õigustele ja vajadustele. Kui järelevalveasutust ei teavitata 72 tunni jooksul, edastatakse neile ka viivituse põhjus.
10.3. Reeglite punktis 10.2 täpsustatud teavitus sisaldab järgnevaid andmeid:
10.3.1. Isikuandmete rikkumise kirjeldus, sh, kui võimalik, hõlmatud Andmesubjektide kategooriad ja umbkaudne arv ning hõlmatud Isikuandmete kategooriad ning umbkaudne kogus;
10.3.2. teavet omava kontaktisiku ees- ja perekonnanimi ning kontaktandmed;
10.3.3. Isikuandmete rikkumise tõenäoliste tagajärgede kirjeldus;
10.3.4. Vastutava töötleja poolt Isikuandmete rikkumisega tegelemiseks tarvitusele võetud või välja pakutud meetmete kirjeldus, meetmed võimaliku kahjuliku mõju leevendamiseks;
10.3.5. muu Vastutava töötleja meelest vajalik teave.
10.4. Vastutav töötleja dokumenteerib kõik Isikuandmete turvalisuse rikkumised, protokollides kõik Isikuandmete turvalisuse rikkumisega seotud faktid, mõju ja võetud parandusmeetmed. Selline dokumentatsioon võimaldab järelevalveasutusel tuvastada vastavust Reeglite selle osa sätetega.
10.5. Kui Isikuandmete turvalisuse rikkumine võib kujutada tõsist riski füüsiliste isikute õigustele ja vabadustele, teavitab Vastutav töötleja põhjendamatu viivituseta Andmesubjekti Isikuandmete turvalisuse rikkumisest, kirjeldades Isikuandmete turvalisuse rikkumise asjaolusid selges ja lihtsas keeles ning esitades vähemalt Reeglite punktides 10.3.2, 10.3.3 ja 10.3.4 loetletud faktid. Selle punkti kohane Andmesubjekti teavitamine ei ole vajalik järgnevatel juhtudel:
10.5.1. Vastutav töötleja rakendas vajalikke tehnoloogilisi ja organisatoorseid turvameetmeid (esmalt meetmed, millega tagatakse Isikuandmete loetamatus isikute jaoks, kellel puuduvad volitused Isikuandmetega tutvumiseks, näiteks krüpteerimist kasutades) ning selliseid meetmeid rakendati Isikuandmetele, mida Isikuandmete turvalisuse rikkumine puudutas;
10.5.2. Vastutav töötleja on võtnud vajalikud meetmed tagamaks, et tõenäoliselt ei materialiseeru enam kõrge risk Andmesubjektide õigustele ja vabadustele;
10.5.3. selleks tehtav pingutus oleks ebaproportsionaalne. Sellisel juhul tehakse avalik teavitus või võetakse sarnane meede, mille kaudu Andmesubjekte teavitatakse samavõrra efektiivsel viisil.
11. VASTUTUS
11.1. Andmete töötlemise ja andmekaitse põhimõtete järgimise tagab Ettevõtte juht või tema poolt volitatud isik, kasutades selleks vastavaid organisatoorseid meetmeid (näiteks korraldused, juhised, soovitused jne).
11.2. Ettevõtte juht võib Isikuandmete kaitsmise eest vastutavaks määrata Ettevõtte üksuse või isiku.
11.3. Olemasolevate või tulevaste Andmesubjektide teenindamise eest vastutavad ja/või nendega koostööd tegevad Ettevõtte Töötajad vastutavad Andmesubjektide nõuetekohase informeerimise eest andmete kaitsmist ja töötlemist puudutavatest õigustest.
11.4. Ettevõtte Töötajad, kelle funktsioonid on otseselt seotud Isikuandmete kasutamise või töötlemisega, on vastutavad seadustes sätestatud korras.