Selles privaatsuspoliitikas („privaatsuspoliitika”) kirjeldame, kuidas Ammende Hotell OÜ („ettevõte”) töötleb oma töötajate, klientide või ettevõttega muul moel koostööd tegevate inimeste isikuandmeid ning milliseid meetmeid me isikuandmete kaitsmiseks rakendame.
Isikuandmeid töödeldakse isikuandmete kaitse üldmääruse (määrus (EL) 2016/679) ning muude siseriiklike ja Euroopa privaatsusseaduste ning regulatsioonide (ühiselt „andmekaitseseadus”) kohaselt.
1. ULATUS
Käesolev privaatsuspoliitika kohaldub kõigile isikuandmetele, mida vastutava töötlejana töötleme.
Ettevõte töötleb näiteks töötajate, ajutiste töötajate, füüsilisest isikust ettevõtjate, töö- ja ametikohale kandideerijate, tarnijate kontaktisikute, klientide ja külaliste ja muude koostööpartnerite isikuandmeid.
2. EESMÄRK
Selle privaatsuspoliitika eesmärk on selgitada, milliseid isikuandmeid me töötleme ning kuidas ja miks seda teeme. Lisaks kirjeldab see privaatsuspoliitika meie kohustusi ja vastutust andmete kaitsmisel.
See privaatsuspoliitika ei kajasta meie andmekaitsealaseid tegevusi ammendavalt, erinevates valdkondades, nagu nt turvalisus, sätestatakse täpsemad reeglid ja juhendid, millest mõistlikus ulatuses ettevõtte siseselt ka teavitame.
MÕISTED
Selles privaatsuspoliitikas kasutatakse mõisteid järgmises tähenduses:
EMP – Euroopa majanduspiirkond
GDPR – on ELi isikuandmete kaitse üldmäärus (general data protection regulation, (EU) 2016/679), mille rakendamine algab 25. mail 2018.a.
Isikuandmed – on igasugused andmed ja teave, mis on seotud füüsilise isiku ehk inimesega ja mis võimaldavad selle inimese isikut tuvastada. Isik on tuvastatav, kui tema isikut saab andmete põhjal ebaproportsionaalse pingutuseta mõistlikus ulatuses tuvastada. Tuvastamise aluseks võib olla näiteks nimi, isikukood, asukohateave, võrguidentifikaator või füüsiline, füsioloogiline, geneetiline, vaimne, majanduslik, kultuuriline või sotsiaalne tunnus või selliste tunnuste kombinatsioon.
Isikuandmete eriliigid – on isikuandmed, millest ilmneb inimese rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, aga ka geneetilised andmed, inimese kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
Isikuandmetega seotud rikkumine – on turberikkumine, mille tagajärg on edastatavate, talletatavate või muul viisil töödeldavate isikuandmete tahtmatu või ebaseaduslik hävimine, kaotsiminek, muutmine, lubamatu avaldamine või lubamatu juurdepääs neile andmetele.
Klient – on füüsiline isik, kellele ettevõte seoses oma majandustegevusega osutab teenuseid ja/või pakub kaupu.
Kolmas isik – on füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja või volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses.
Koostööpartner – füüsiline isik, kes on ettevõtte tarnija või muu juriidilisest isikust koostööpartneri töötaja/esindaja/kontaktisik.
Külastajakaardi andmed – turismiseaduses nõutud andmed majutusettevõtte külastaja kohta: nimi, sünniaeg, kodakondsus ja aadress; temaga koos majutatava abikaasa ja alaealise nimi, sünniaeg ja kodakondsus; majutusteenuse osutamise aeg; kui tegemist ei ole Eesti, EMP lepinguriigi või Šveitsi kodaniku või Eestis elamisloa või elamisõiguse alusel elava välismaalasega, siis ka: reisidokumendi liik, number ja selle välja andnud riik.
Profiilianalüüs – on igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud selle füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega.
Töötlemine – on isikuandmetega tehtav toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine. Töötlemine võib toimuda käsitsi või automatiseeritud süsteeme, näiteks IT-süsteeme, kasutades.
Töövõtja – on füüsiline isik (st mitte ettevõte), kellega ettevõte on sõlminud töövõtulepingu (teenuse osutamise leping), siia kuuluvad ka ettevõtte juhtorganite liikmed.
Vastutav töötleja – on isik, kes otsustab, miks ja kuidas (st mis eesmärkidel ja viisidel) isikuandmeid töödeldakse. Vastutava töötleja kindlakstegemisel võib olla abi järgmistele küsimustele vastamisest.
- Kes otsustab, milliseid isikuandmeid säilitatakse?
- Kes otsustab, mis eesmärkidel isikuandmeid kasutatakse?
- Kes otsustab, mis viisil isikuandmeid töödeldakse?
Kui isik otsustab ise tema valduses olevate isikuandmete töötlemise üle ja on nende eest vastutav, siis on ta vastutav töötleja.
Volitatud töötleja – on isik, kes töötleb isikuandmeid vastutava töötleja nimel. Kui isikuandmed on isiku valduses või ta töötleb neid, kuid tal ei ole voli nende töötlemise üle otsustamiseks, st ta töötleb neid vastutava töötleja juhiseid järgides, siis on see isik volitatud töötleja. Volitatud töötlejaks võib olla nt teenuse osutaja (näiteks palgaarvestusteenuse osutaja).
1. ISIKUANDMETE KATEGOORIAD
1.1 Töötajad ja töövõtjad
Ettevõte töötleb oma töötajate, töö- ja ametikohtadele (nt juhatuse liikmed) kandideerijate ja töövõtjate kohta, samuti endiste töötajate ja endiste töövõtjate kohta.
Need isikuandmed hõlmavad järgmist:
- isiklikud andmed, nagu nimi, sünniaeg, pangakonto andmed, lähisugulased, sotsiaalmeedia konto andmed, viisa-/passi-/ID kaardi andmed või vastava dokumendi koopia;
- kontaktandmed, nagu aadress ja telefoninumber, e-posti aadress;
- personalifaili andmed, muu hulgas: töösuhte tingimused, koolitusandmed, töötulemuste hindamised/hinnangud, edutamised, isiklikud arenguplaanid, käitumis- ja distsiplinaarandmed, töö asukoht, palgaandmed, pangakonto andmed ning maksukohustuslase number ja isikukood;
- töösuhete ajaloo / kandideerimise andmed, näiteks hariduse ja varasemate töösuhete ajalugu;
- pereliikmete andmed, näiteks laste sünniajad ja nimed (need on asjakohased näiteks juhul, kui inimene taotleb vanemapuhkust);
- ametiühingu liikmesust puudutavad andmed;
- tööalase sooritusega seotud andmed, näiteks töötajate iga-aastane palga ülevaatamine, psühhomeetrilised testid jne.
- Isikuandmete eriliigid: meditsiinilised andmed, näiteks arstitõendid ja haiguslehed;
Ülaltoodud loetelu ei ole ammendav, kuid hõlmab kõige sagedamini kogutavaid, kasutatavaid ja muul viisil töödeldavaid isikuandmeid.
1.2 Kliendid
Ettevõte töötleb ka oma klientide isikuandmeid. Need isikuandmed võivad hõlmata järgmist:
- isiklikud andmed, nagu nimi, sünniaeg/isikukood;
- kontaktandmed, näiteks aadress ja telefoninumber, e-posti aadress;
- külastajakaardi andmed;
- krediitkaardi andmed nagu kaardi number, kehtivusaeg, CVV
- isiklikke eelistusi puudutavad andmed, nagu näiteks muusika eelistus, patjade arv.
1.3 Koostööpartnerid
Ettevõte töötleb oma koostööpartnerite isikuandmeid. Selliseid isikuandmed võivad hõlmata järgmist:
- isiklikud andmed, näiteks nimi, ametinimetus, ametikoht, tööalased identifitseerimisnumbrid, osakond, äriüksus (sh koolituse/kontrollimise jaoks kogutavad kontaktandmed);
- kontaktandmed, näiteks meiliaadress, telefoninumbrid ja töö asukoht;
- maksuandmed, näiteks käibemaksu-/maksukohustuslase numbrid.
2. ANDMETE TÖÖTLEMISE EESMÄRGID
Ettevõte töötleb isikuandmeid nendel eesmärkidel, milleks isikuandmed on kogutud.
Töötajate isikuandmeid töötleme näiteks järgmistel eesmärkidel:
- töölepinguseaduses ettevõttele sätestatud tööandja kohustuste täitmine;
- palga ja hüvitiste haldamine;
- personalitegevuste, soorituse ja talendi juhtimine;
- siseauditid;
Klientide ja koostööpartnerite isikuandmeid töötleme näiteks järgmistel põhjustel:
- turismiseaduses sätestatud majutusettevõtte kohustuste täitmine (nt külastajakaardi täitmine ja säilitamine 2.a. jooksul;
- kliendi/koostööpartneriga sõlmitud lepingu ettevalmistamine ja selle täitmine;
- turundus ja avalikud suhted;
- ettevõtte toodete ja teenuste täiustamine;
- uurimistöö ja statistiline analüüs;
- ettevõtte äristrateegia kujundamine;
- ettevõtte või meie klientide ja töötajate suhtes ebaseadusliku ja/või kuritegeliku käitumise vältimine ja tuvastamine.
Aeg-ajalt võime töödelda isikuandmeid ka muudel põhjustel. Ettevõte püüab tagada inimeste teavitamise nende isikuandmete töötlemise eesmärkidest isikuandmete saamise ajal. Kui see pole võimalik või mõistlik, siis üritame inimesi teavitada esimesel võimalusel pärast isikuandmete saamist või muul viisil töötlemist.
3. PROFIILIANALÜÜS
Ettevõte teeb erinevate inimeste (nt töötajate, töövõtjate ja töö- või ametikohale kandideerijate aga ka klientide) osas profiilianalüüsi. Ettevõte tegeleb järgmist tüüpi profiilianalüüsiga:
Ettevõte töötleb selliseid andmeid, kui: a) see on seadustega sõnaselgelt lubatud; b) see on vajalik lepingu sõlmimiseks või täitmiseks või c) inimene on andnud selleks nõuetekohase nõusoleku.
Juhul, kui teeme automatiseeritud otsuseid, sealhulgas profiilianalüüsi, siis teavitame inimesi kasutatavast loogikast ja sellest, milline on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.
4. ANDMESUBJEKTI ÕIGUSED
Inimestel on andmekaitseseaduse alusel oma isikuandmetega seonduvalt teatud õigused.
4.1. Õigus andmetega tutvuda – teil on õigus teada, milliseid andmeid teie kohta säilitatakse ja kuidas neid töödeldakse.
4.2. Õigus andmete parandamisele – teil on õigus nõuda oma isikuandmete parandamist, juhul kui need on ebaõiged.
4.3. Õigus andmete kustutamisele („õigus olla unustatud“) – teil on teatud juhtudel õigus nõuda, et me teie isikuandmed kustutaksime (nt kui meil ei ole neid enam vaja, te võtate tagasi meile andmete töötlemiseks antud nõusoleku, jne).
4.4. Õigus töötlemise piiramisele – teil on teatud juhtudel õigus keelata või piirata oma isikuandmete töötlemist teatud ajaks (nt kui olete esitanud vastuväite andmetöötluse osas).
4.5. Õigus esitada vastuväiteid – konkreetsest olukorrast lähtuvalt on teil õigus esitada oma isikuandmete töötlemise osas vastuväiteid kui teie andmete töötlemine toimub meie õigustatud huvist lähtudes või avalikust huvist lähtudes. Otseturunduse eesmärgil isikuandmete töötlemisele võib esitada vastuväiteid igal ajal.
4.6 Õigus andmete ülekandmisele – Juhul, kui isikuandmete töötlemine põhineb inimese nõusolekul või ettevõttega sõlmitud lepingul ja andmeid töödeldakse automatiseeritult, siis on inimesel õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale. Samuti on tal õigus nõuda, et ettevõte edastaks andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav.
4.7. Automaatse otsuste tegemine (sh profiilianalüüs) – juhul, kui olete teid teavitanud, et teostame automatiseeritud töötlusel põhinevat otsustamist (sh profiiilianalüüsi), mis toob kaasa teid puudutavaid õiguslikke tagajärgi või avaldab teile märkimisväärset mõju, siis võite nõuda, et otsust ei tehtaks üksnes automatiseeritud töötluse alusel.
Andmesubjekti õiguste ja taotluste protseduuris on selgitatud, kuidas eespool nimetatud õigustega seotud taotlusi saab esitada ja kuidas ettevõte selliseid taotlusi haldab.
4.8 Lisaks õigusele salvestistega tutvuda on isikul õigus kasutada ka kõiki muid andmesubjekti õigusi, mis on sätestatud Euroopa Parlamendi ja Nõukogu määruses (EL) 2016/679. Andmesubjekti õigused on kirjeldatud ka Ammende Hotelli privaatsuspoliitika punktis 4 („Andmesubjekti õigused“). Ja andmete kogumise aluseks olevate õiguslike analüüsidega Oma õiguste teostamiseks palume ühendust võtta Ammende Villa tegevjuhiga Sven-Erik Volberg epost sven-eri.volberg@ammende.ee või 44 37 888
4.9 Kaebused Kõikidel andmesubjektidel on õigus pöörduda kaebusega riikliku andmekaitse järelevalve teostaja poole, kui andmesubjekt leiab, et temaga seotud isikuandmete töötlemine ei vasta andmekaitseseaduste ja üldiste andmekaitsereeglite sätetele. Eestis on riiklikuks järelevalve teostajaks Andmekaitse Inspektsioon.
5. TURVE
5.1 Turbemeetmed
Ettevõttes on kehtestatud füüsilised, tehnilised ja organisatsioonilised meetmed isikuandmete kaitsmiseks ebaseadusliku või omavolilise hävitamise, kaotsimineku, muutmise, avaldamise, omandamise või neile lubamatu juurdepääsu eest.
Ettevõtte kasutab näiteks järgmisi füüsilisi andmeturbe meetmeid:
- isikuandmeid sisaldavaid paberkandjal dokumente hoitakse lukustatud ruumides ja kappides, millele on ligipääs vaid teatud töötajatel oma tööülesannete täitmiseks;
- andmete töötlemise ruumid ja IT-süsteemid on piisavalt kaitstud tule, ülekuumenemise, vee, voolukõikumiste ja voolukatkestuste eest;
Tehniliste turbemeetmetena on ettevõttes kasutusel näiteks:
- videovalve;
- kõik tööarvutid on töötaja lahkumisel parooliga ekraanisäästjaga kaitstud;
- on tagatud, et IT-süsteem ei võimalda uusi sisenemiskatseid ja lukustab kasutajatunnuse, kui ebaõnnestunud sisenemiskatsete arv ületab teatud piiri;
- on tagatud, et eriti ohustatud süsteemid (nt sülearvutid, nutitelefonid) on piisavalt hästi kaitstud (kasutades näiteks krüpteerimist või muid viise);
Organisatsiooniliste turbeneetmetena kasutame:
- juurdepääsud olulistele IT süsteemidele ja ruumidele on reguleeritud;
- kõigile IT süsteemide kasutajatele on määratud rollid ja profiilid;
- on kindlaks määratud, millistele andmetele millised kasutajad ligi pääseda tohivad ning ligipääsuõigused vastavad töötaja tööülesannetest tulenevatele vajadustele;
- on tagatud, et ligipääsuõigused tühistatakse töötaja lahkumisel ettevõttest;
- on tagatud, et avalikult kasutatavatest ruumidest ei pääse ilma volituseta ruumidesse, mida kasutatakse isikuandmete töötlemiseks;
- ettevõtte külastajate (st mitte avalikult kasutatavate ruumide külastajate) tarvis on koostatud külastuskord ning külastajate andmed, saabumis- ja lahkumisajad registreeritakse saabumisel ja lahkumisel;
- ruumid, kus asuvad IT-süsteemile ligipääsu võimaldavad arvutid ja ruumid, kus hoitakse isikuandmeid sisaldavaid dokumente, on kontrolli/valve all ka peale tööaja lõppu;
5.2 Isikuandmetega seotud rikkumised
Ettevõtte tegeleb isikuandmetega seotud rikkumistega vastavalt isikuandmetega seotud rikkumisele reageerimise protseduuris sätestatule. Juhised isikuandmetega seotud rikkumiste tuvastamise ja sellest teatamise kohta leiate isikuandmete rikkumisele reageerimise protseduurist.
6. ISIKUANDMETE AVALDAMINE
Ettevõte võib aeg-ajalt isikuandmeid kolmandatele isikutele avaldada või neil ettevõttes töödeldavatele isikuandmetele juurde pääseda (näiteks kui õiguskaitseasutus või Andmekaitse Inspektsioon esitab kehtiva nõude isikuandmetele juurdepääsemiseks).
Ettevõte võib jagada isikuandmeid ka: a) teise ettevõttega samasse kontserni kuuluva isikuga (nt emaettevõte ja tütarettevõtted, kontserni lõplik kasusaaja ja selle tütarettevõtted); b) valitud muude osapooltega, sh äripartnerid, tarnijad ja töövõtjad; c) muude osapooltega, kui müüme või ostame teisi ettevõtteid või varasid (st tehingute tegemisel), või d) kui ettevõttel on seaduslik kohustus isikuandmeid avaldada (see hõlmab teabevahetust teiste ettevõtete ja organisatsioonidega pettuste vältimiseks).
Kui ettevõte sõlmib muude osapooltega lepinguid isikuandmete töötlemiseks ettevõtte nimel, tagab ta sobivate lepinguliste kaitsemeetmete olemasolu isikuandmete kaitsmiseks, kasutades muuhulgas andmekaitse standardklausleid, mis on välja töötatud ettevõtte nimel andmeid töötlevate isikutega sõlmitavatesse lepingutesse lisamiseks.
Ettevõte avaldab isikuandmeid või annab neile juurdepääsu järgmiste isikute kategooriatele allpool selgitatud eesmärkidel:
- sideteenuste osutajad – töötajate kõne- ja andmesideteenuste korraldamiseks;
- palgaarvestuse teenuse osutajad – töötajate palgaarvestuse pidamiseks;
- töötervishoiuteenuse osutajad – töötajate töötervishoiu korraldamiseks;
- värbamisagentuurid – uute töötajate/töövõtjate leidmiseks;
- turundusettevõtted – ettevõtte poolt nimetatud klientidele otseturunduse tegemiseks;
- kindlustusvahendajad ja kindlustusandjad – ettevõtte töötajate reisi-, õnnetusjuhtumi-, vms sellise kindlustuse tegemiseks;
7. ANDMETE SÄILITAMINE
Ettevõte säilitab isikuandmeid ainult seni, kuni selliste isikuandmete säilitamist peetakse vajalikuks eesmärkidel, milleks neid isikuandmeid koguti. Isikuandmeid säilitatakse asjakohaste seaduste ja ettevõtte põhimõtete kohaselt.
Ettevõte lähtub isikuandmete säilitamisel järgmistest kriteeriumidest:
- kui kaua kui on vaja isikuandmeid säilitada selleks, et pakkuda oma teenuseid
- kui isikul on ettevõtte juures kliendikonto või kliendikaart, siis säilitame isikuandmeid terve konto/kaardi aktiivsusaja või nii kaua kui neid on vaja isikule teenuste osutamiseks
- kui ettevõttel on seadusest tulenev, lepinguline või muu sarnane kohustus isiku andmete säilitamiseks, siis seni kuni on vajalik sellise kohustuse täitmiseks
- peale lepingulise suhte lõppemist säilitame teatud andmeid nii kaua, kui kaua on isikul (andmesubjektil) või ettevõttel endal õigus esitada lepingu alusel nõudeid teise poole vastu
Mõned näited:
- Külastajakaardi andmeid säilitame turismiseaduse nõuete kohaselt 2 aastat alates kaardi täitmisest.
- Töölepingu kirjalikke dokumente säilitame töölepingu seaduse nõuete kohaselt 10 aastat töölepingu lõppemisest.
- Krediitkaardiandmeid säilitame kuni meievahelise majutusteenuse lepingu nõuetekohase täitmiseni.
Täpsemad kriteeriumid sätestatakse ettevõtte isikuandmete registris.
8. ANDMEEDASTUS VÄLJASPOOLE EMPd
Aeg-ajalt võib ettevõttel olla vaja edastada isikuandmeid väljaspoole EMPd. Selline edastus toimub kehtiva andmekaitseseaduse kohaselt[1]. Ettevõte võtab tarvitusele mõistlikke abinõusid tagamaks, et isikuandmeid koheldakse EMPst väljapoole edastamisel turvaliselt ja selle privaatsuspoliitika kohaselt.
Ettevõte edastab isikuandmeid järgmistesse asukohtadesse väljaspool EMPd allpool nimetatud eesmärkidel, kasutades järgmisi meetmeid isikuandmete kaitseks:
- Seaduslikku õigust omavad asutused
- Kohtuotsuse alusel
9. VASTUTUSALAD
Ettevõte vastutab isikuandmete töötlemise eest. Üldine vastutus selle privaatsuspoliitika järgimise eest ettevõttes lasub ettevõtte juhtkonnal, kes määrab peamise kontakti seoses i) ettevõtte töötajate ja töövõtjate isikuandmete töötlemise; ii) klientide ja koostööpartnerite isikuandmete töötlemise ja iii) ettevõttes töödeldavate isikuandmete turvalisusega.
Kõigil ettevõtte töötajatel, kes puutuvad kokku isikuandmete töötlemisega on kohustus järgida kõige ajakohasemat avaldatud versiooni sellest privaatsuspoliitikast. Kõikide küsimuste puhul tuleb ühendust võtta tegevjuhiga (Sven-Erik Volberg)
10. SEOTUD REEGLID JA PROTSEDUURID
Seda privaatsuspoliitikat tuleb lugeda koos järgmiste reeglite ja protseduuridega:
- Isikuandmetega seotud rikkumistele reageerimise protseduur
- Andmekaitse standardklauslid andmetöötluslepingutesse
- Andmesubjekti õiguste ja taotluste protseduur
- Privaatsusteade (töötajatele, klientidele)
- Isikuandmete register
[1] GDPR artiklid 45-49 sätestavad millal ja mis tingimustel on andmete edastamine lubatud. GDPRi artikkel 45 kohaselt võib isikuandmeid EList väljapoole edastada siis, kui Euroopa komisjon on teinud otsuse, et selline kolmas riik, territoorium või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba. Sellised riigid, territooriumid või rahvusvahelised organisatsioonid avaldatakse Euroopa Liidu Teatajas ja komisjoni veebilehel.