Selles privaatsuspoliitikas („privaatsuspoliitika”) kirjeldame, kuidas Ammende Hotell OÜ
(„ettevõte”) töötleb oma töötajate, klientide või ettevõttega muul moel koostööd tegevate
inimeste isikuandmeid ning milliseid meetmeid me isikuandmete kaitsmiseks rakendame.
Isikuandmeid töödeldakse isikuandmete kaitse üldmääruse (määrus (EL) 2016/679) ning
muude siseriiklike ja Euroopa privaatsusseaduste ning regulatsioonide (ühiselt
„andmekaitseseadus”) kohaselt.
Selles privaatsuspoliitikas kasutatud mõisted on defineeritud 2. leheküljel.

1. ULATUS
Käesolev privaatsuspoliitika kohaldub kõigile isikuandmetele, mida vastutava töötlejana
töötleme.
Ettevõte töötleb näiteks töötajate, ajutiste töötajate, füüsilisest isikust ettevõtjate, töö- ja
ametikohale kandideerijate, tarnijate kontaktisikute, klientide ja külaliste ja muude
koostööpartnerite isikuandmeid.

2. EESMÄRK
Selle privaatsuspoliitika eesmärk on selgitada, milliseid isikuandmeid me töötleme ning
kuidas ja miks seda teeme. Lisaks kirjeldab see privaatsuspoliitika meie kohustusi ja
vastutust andmete kaitsmisel.
See privaatsuspoliitika ei kajasta meie andmekaitsealaseid tegevusi ammendavalt,
erinevates valdkondades, nagu nt turvalisus, sätestatakse täpsemad reeglid ja juhendid,
millest mõistlikus ulatuses ettevõtte siseselt ka teavitame.

MÕISTED
Selles privaatsuspoliitikas kasutatakse mõisteid järgmises tähenduses:
EMP – Euroopa majanduspiirkond (hetkel kehtiva regulatsiooni kohaselt kuuluvad EMPsse
kõik Euroopa Liidu liikmesriigid ning Norra, Island ja Liechtenstein).
GDPR – on ELi isikuandmete kaitse üldmäärus (general data protection regulation, (EU)
2016/679), mille rakendamine algab 25. mail 2018.a.
Isikuandmed – on igasugused andmed ja teave, mis on seotud füüsilise isiku ehk inimesega
ja mis võimaldavad selle inimese isikut tuvastada. Isik on tuvastatav, kui tema isikut saab
andmete põhjal ebaproportsionaalse pingutuseta mõistlikus ulatuses tuvastada. Tuvastamise
aluseks võib olla näiteks nimi, isikukood, asukohateave, võrguidentifikaator või füüsiline,
füsioloogiline, geneetiline, vaimne, majanduslik, kultuuriline või sotsiaalne tunnus või selliste
tunnuste kombinatsioon.
Isikuandmete eriliigid – on isikuandmed, millest ilmneb inimese rassiline või etniline
päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse
kuulumine, aga ka geneetilised andmed, inimese kordumatuks tuvastamiseks kasutatavad
biomeetrilised andmed, terviseandmed või andmeid füüsilise isiku seksuaalelu ja seksuaalse
sättumuse kohta.
Isikuandmetega seotud rikkumine – on turberikkumine, mille tagajärg on edastatavate,
talletatavate või muul viisil töödeldavate isikuandmete tahtmatu või ebaseaduslik hävimine,
kaotsiminek, muutmine, lubamatu avaldamine või lubamatu juurdepääs neile andmetele.
Klient – on füüsiline isik, kellele ettevõte seoses oma majandustegevusega osutab
teenuseid ja/või pakub kaupu.
Kolmas isik – on füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja
arvatud andmesubjekt, vastutav töötleja või volitatud töötleja ja isikud, kes võivad
isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses.
Koostööpartner – füüsiline isik, kes on ettevõtte tarnija või muu juriidilisest isikust
koostööpartneri töötaja/esindaja/kontaktisik.
Külastajakaardi andmed – turismiseaduses nõutud andmed majutusettevõtte külastaja
kohta: nimi, sünniaeg, kodakondsus ja aadress; temaga koos majutatava abikaasa ja
alaealise nimi, sünniaeg ja kodakondsus; majutusteenuse osutamise aeg; kui tegemist ei ole
Eesti, EMP lepinguriigi või Šveitsi kodaniku või Eestis elamisloa või elamisõiguse alusel
elava välismaalasega, siis ka: reisidokumendi liik, number ja selle välja andnud riik.
Profiilianalüüs – on igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab
isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks,
eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud selle füüsilise
isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide,
usaldusväärsuse, käitumise, asukoha või liikumisega.
Töötlemine – on isikuandmetega tehtav toiming või toimingute kogum, nagu kogumine,
dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine,
päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel
kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine. Töötlemine võib toimuda käsitsi või automatiseeritud süsteeme, näiteks IT-süsteeme, kasutades.
Töövõtja – on füüsiline isik (st mitte ettevõte), kellega ettevõte on sõlminud töövõtulepingu
(teenuse osutamise leping), siia kuuluvad ka ettevõtte juhtorganite liikmed.
Vastutav töötleja – on isik, kes otsustab, miks ja kuidas (st mis eesmärkidel ja viisidel)
isikuandmeid töödeldakse. Vastutava töötleja kindlakstegemisel võib olla abi järgmistele
küsimustele vastamisest.
– Kes otsustab, milliseid isikuandmeid säilitatakse?
– Kes otsustab, mis eesmärkidel isikuandmeid kasutatakse?
– Kes otsustab, mis viisil isikuandmeid töödeldakse?
Kui isik otsustab ise tema valduses olevate isikuandmete töötlemise üle ja on nende eest
vastutav, siis on ta vastutav töötleja.
Volitatud töötleja – on isik, kes töötleb isikuandmeid vastutava töötleja nimel. Kui
isikuandmed on isiku valduses või ta töötleb neid, kuid tal ei ole voli nende töötlemise üle
otsustamiseks, st ta töötleb neid vastutava töötleja juhiseid järgides, siis on see isik volitatud
töötleja. Volitatud töötlejaks võib olla nt teenuse osutaja (näiteks palgaarvestusteenuse
osutaja).

1. ISIKUANDMETE KATEGOORIAD
1.1 Töötajad ja töövõtjad
Ettevõte töötleb oma töötajate, töö- ja ametikohtadele (nt juhatuse liikmed) kandideerijate ja
töövõtjate kohta, samuti endiste töötajate ja endiste töövõtjate kohta.
Need isikuandmed hõlmavad järgmist:
 isiklikud andmed, nagu nimi, sünniaeg, pangakonto andmed, lähisugulased,
sotsiaalmeedia konto andmed, viisa-/passi-/ID kaardi andmed või vastava dokumendi
koopia;
 kontaktandmed, nagu aadress ja telefoninumber, e-posti aadress;
 personalifaili andmed, muu hulgas: töösuhte tingimused, koolitusandmed, töötulemuste
hindamised/hinnangud, edutamised, isiklikud arenguplaanid, käitumis- ja
distsiplinaarandmed, töö asukoht, palgaandmed, pangakonto andmed ning
maksukohustuslase number ja isikukood;
 töösuhete ajaloo / kandideerimise andmed, näiteks hariduse ja varasemate töösuhete
ajalugu;
 pereliikmete andmed, näiteks laste sünniajad ja nimed (need on asjakohased näiteks
juhul, kui inimene taotleb vanemapuhkust);
 ametiühingu liikmesust puudutavad andmed;
 tööalase sooritusega seotud andmed, näiteks töötajate iga-aastane palga ülevaatamine,
psühhomeetrilised testid jne.
 Isikuandmete eriliigid: meditsiinilised andmed, näiteks arstitõendid ja haiguslehed;
Ülaltoodud loetelu ei ole ammendav, kuid hõlmab kõige sagedamini kogutavaid, kasutatavaid
ja muul viisil töödeldavaid isikuandmeid.
1.2 Kliendid
Ettevõte töötleb ka oma klientide isikuandmeid. Need isikuandmed võivad hõlmata järgmist:
 isiklikud andmed, nagu nimi, sünniaeg/isikukood;
 kontaktandmed, näiteks aadress ja telefoninumber, e-posti aadress;
 külastajakaardi andmed;
 krediitkaardi andmed nagu kaardi number, kehtivusaeg, CVV
 isiklikke eelistusi puudutavad andmed, nagu […].
 Isikuandmete eriliigid:
1.3 Koostööpartnerid
Ettevõte töötleb oma koostööpartnerite isikuandmeid. Selliseid isikuandmed võivad hõlmata
järgmist:
 isiklikud andmed, näiteks nimi, ametinimetus, ametikoht, tööalased
identifitseerimisnumbrid, osakond, äriüksus (sh koolituse/kontrollimise jaoks kogutavad
kontaktandmed);
 kontaktandmed, näiteks meiliaadress, telefoninumbrid ja töö asukoht;
 maksuandmed, näiteks käibemaksu-/maksukohustuslase numbrid.

2. ANDMETE TÖÖTLEMISE EESMÄRGID
Ettevõte töötleb isikuandmeid nendel eesmärkidel, milleks isikuandmed on kogutud.
Töötajate isikuandmeid töötleme näiteks järgmistel eesmärkidel:
 töölepinguseaduses ettevõttele sätestatud tööandja kohustuste täitmine;
 palga ja hüvitiste haldamine;
 personalitegevuste, soorituse ja talendi juhtimine;
 siseauditid;

Klientide ja koostööpartnerite isikuandmeid töötleme näiteks järgmistel põhjustel:
 turismiseaduses sätestatud majutusettevõtte kohustuste täitmine (nt külastajakaardi
täitmine ja säilitamine 2.a. jooksul;
 kliendi/koostööpartneriga sõlmitud lepingu ettevalmistamine ja selle täitmine;
 turundus ja avalikud suhted;
 ettevõtte toodete ja teenuste täiustamine;
 uurimistöö ja statistiline analüüs;
 ettevõtte äristrateegia kujundamine;
 ettevõtte või meie klientide ja töötajate suhtes ebaseadusliku ja/või kuritegeliku käitumise
vältimine ja tuvastamine.
Aeg-ajalt võime töödelda isikuandmeid ka muudel põhjustel. Ettevõte püüab tagada inimeste
teavitamise nende isikuandmete töötlemise eesmärkidest isikuandmete saamise ajal. Kui
see pole võimalik või mõistlik, siis üritame inimesi teavitada esimesel võimalusel pärast
isikuandmete saamist või muul viisil töötlemist.

3. PROFIILIANALÜÜS
Ettevõte teeb erinevate inimeste (nt töötajate, töövõtjate ja töö- või ametikohale
kandideerijate aga ka klientide) osas profiilianalüüsi. Ettevõte tegeleb järgmist tüüpi
profiilianalüüsiga:
Ettevõte töötleb selliseid andmeid, kui: a) see on seadustega sõnaselgelt lubatud; b) see on
vajalik lepingu sõlmimiseks või täitmiseks või c) inimene on andnud selleks nõuetekohase
nõusoleku.
Juhul, kui teeme automatiseeritud otsuseid, sealhulgas profiilianalüüsi, siis teavitame inimesi
kasutatavast loogikast ja sellest, milline on sellise töötlemise tähtsus ja prognoositavad
tagajärjed andmesubjekti jaoks.

4. ANDMESUBJEKTI ÕIGUSED
Inimestel on andmekaitseseaduse alusel oma isikuandmetega seonduvalt teatud õigused.
4.1. Õigus andmetega tutvuda – teil on õigus teada, milliseid andmeid teie kohta säilitatakse
ja kuidas neid töödeldakse.
4.2. Õigus andmete parandamisele – teil on õigus nõuda oma isikuandmete parandamist,
juhul kui need on ebaõiged.
4.3. Õigus andmete kustutamisele („õigus olla unustatud“) – teil on teatud juhtudel õigus
nõuda, et me teie isikuandmed kustutaksime (nt kui meil ei ole neid enam vaja, te võtate
tagasi meile andmete töötlemiseks antud nõusoleku, jne).
4.4. Õigus töötlemise piiramisele – teil on teatud juhtudel õigus keelata või piirata oma
isikuandmete töötlemist teatud ajaks (nt kui olete esitanud vastuväite andmetöötluse osas).
4.5. Õigus esitada vastuväiteid – konkreetsest olukorrast lähtuvalt on teil õigus esitada oma
isikuandmete töötlemise osas vastuväiteid kui teie andmete töötlemine toimub meie
õigustatud huvist lähtudes või avalikust huvist lähtudes. Otseturunduse eesmärgil
isikuandmete töötlemisele võib esitada vastuväiteid igal ajal.
4.6 Õigus andmete ülekandmisele – Juhul, kui isikuandmete töötlemine põhineb inimese
nõusolekul või ettevõttega sõlmitud lepingul ja andmeid töödeldakse automatiseeritult, siis on
inimesel õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale
esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus
edastada need andmed teisele vastutavale töötlejale. Samuti on tal õigus nõuda, et ettevõte
edastaks andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav.
4.7. Automaatse otsuste tegemine (sh profiilianalüüs) – juhul, kui olete teid teavitanud, et
teostame automatiseeritud töötlusel põhinevat otsustamist (sh profiiilianalüüsi), mis toob
kaasa teid puudutavaid õiguslikke tagajärgi või avaldab teile märkimisväärset mõju, siis võite
nõuda, et otsust ei tehtaks üksnes automatiseeritud töötluse alusel.
Andmesubjekti õiguste ja taotluste protseduuris on selgitatud, kuidas eespool nimetatud
õigustega seotud taotlusi saab esitada ja kuidas ettevõte selliseid taotlusi haldab.

5. TURVE
5.1 Turbemeetmed
Ettevõttes on kehtestatud füüsilised, tehnilised ja organisatsioonilised meetmed
isikuandmete kaitsmiseks ebaseadusliku või omavolilise hävitamise, kaotsimineku,
muutmise, avaldamise, omandamise või neile lubamatu juurdepääsu eest.
Ettevõtte kasutab näiteks järgmisi füüsilisi andmeturbe meetmeid:
 isikuandmeid sisaldavaid paberkandjal dokumente hoitakse lukustatud ruumides ja
kappides, millele on ligipääs vaid teatud töötajatel oma tööülesannete täitmiseks;
 andmete töötlemise ruumid ja IT-süsteemid on piisavalt kaitstud tule, ülekuumenemise,
vee, voolukõikumiste ja voolukatkestuste eest;
 [vajadusel muutke ja täiendage ülaltoodut]

Tehniliste turbemeetmetena on ettevõttes kasutusel näiteks:
 videovalve;
 kõik tööarvutid on töötaja lahkumisel parooliga ekraanisäästjaga kaitstud;
 on tagatud, et IT-süsteem ei võimalda uusi sisenemiskatseid ja lukustab
kasutajatunnuse, kui ebaõnnestunud sisenemiskatsete arv ületab teatud piiri;
 on tagatud, et eriti ohustatud süsteemid (nt sülearvutid, nutitelefonid) on piisavalt hästi
kaitstud (kasutades näiteks krüpteerimist või muid viise);
 [vajadusel muutke ja täiendage ülaltoodut]
Organisatsiooniliste turbeneetmetena kasutame:
 juurdepääsud olulistele IT süsteemidele ja ruumidele on reguleeritud;
 kõigile IT süsteemide kasutajatele on määratud rollid ja profiilid;
 on kindlaks määratud, millistele andmetele millised kasutajad ligi pääseda tohivad ning
ligipääsuõigused vastavad töötaja tööülesannetest tulenevatele vajadustele;
 on tagatud, et ligipääsuõigused tühistatakse töötaja lahkumisel ettevõttest;
 on tagatud, et avalikult kasutatavatest ruumidest ei pääse ilma volituseta ruumidesse,
mida kasutatakse isikuandmete töötlemiseks;
 ettevõtte külastajate (st mitte avalikult kasutatavate ruumide külastajate) tarvis on
koostatud külastuskord ning külastajate andmed, saabumis- ja lahkumisajad
registreeritakse saabumisel ja lahkumisel;
 ruumid, kus asuvad IT-süsteemile ligipääsu võimaldavad arvutid ja ruumid, kus hoitakse
isikuandmeid sisaldavaid dokumente, on kontrolli/valve all ka peale tööaja lõppu;
5.2 Isikuandmetega seotud rikkumised
Ettevõtte tegeleb isikuandmetega seotud rikkumistega vastavalt isikuandmetega seotud
rikkumisele reageerimise protseduuris sätestatule. Juhised isikuandmetega seotud
rikkumiste tuvastamise ja sellest teatamise kohta leiate isikuandmete rikkumisele
reageerimise protseduurist.

6. ISIKUANDMETE AVALDAMINE
Ettevõte võib aeg-ajalt isikuandmeid kolmandatele isikutele avaldada või neil ettevõttes
töödeldavatele isikuandmetele juurde pääseda (näiteks kui õiguskaitseasutus või
Andmekaitse Inspektsioon esitab kehtiva nõude isikuandmetele juurdepääsemiseks).
Ettevõte võib jagada isikuandmeid ka: a) teise ettevõttega samasse kontserni kuuluva
isikuga (nt emaettevõte ja tütarettevõtted, kontserni lõplik kasusaaja ja selle tütarettevõtted);
b) valitud muude osapooltega, sh äripartnerid, tarnijad ja töövõtjad; c) muude osapooltega,
kui müüme või ostame teisi ettevõtteid või varasid (st tehingute tegemisel), või d) kui
ettevõttel on seaduslik kohustus isikuandmeid avaldada (see hõlmab teabevahetust teiste
ettevõtete ja organisatsioonidega pettuste vältimiseks).
Kui ettevõte sõlmib muude osapooltega lepinguid isikuandmete töötlemiseks ettevõtte nimel,
tagab ta sobivate lepinguliste kaitsemeetmete olemasolu isikuandmete kaitsmiseks,
kasutades muuhulgas andmekaitse standardklausleid, mis on välja töötatud ettevõtte nimel
andmeid töötlevate isikutega sõlmitavatesse lepingutesse lisamiseks.
Ettevõte avaldab isikuandmeid või annab neile juurdepääsu järgmiste isikute kategooriatele
allpool selgitatud eesmärkidel:
 sideteenuste osutajad – töötajate kõne- ja andmesideteenuste korraldamiseks;
 palgaarvestuse teenuse osutajad – töötajate palgaarvestuse pidamiseks;
 töötervishoiuteenuse osutajad – töötajate töötervishoiu korraldamiseks;
 värbamisagentuurid – uute töötajate/töövõtjate leidmiseks;
 turundusettevõtted – ettevõtte poolt nimetatud klientidele otseturunduse tegemiseks;
 kindlustusvahendajad ja kindlustusandjad – ettevõtte töötajate reisi-, õnnetusjuhtumi-,
vms sellise kindlustuse tegemiseks;

7. ANDMETE SÄILITAMINE
Ettevõte säilitab isikuandmeid ainult seni, kuni selliste isikuandmete säilitamist peetakse
vajalikuks eesmärkidel, milleks neid isikuandmeid koguti. Isikuandmeid säilitatakse
asjakohaste seaduste ja ettevõtte põhimõtete kohaselt.
Ettevõte lähtub isikuandmete säilitamisel järgmistest kriteeriumidest:
 kui kaua kui on vaja isikuandmeid säilitada selleks, et pakkuda oma teenuseid
 kui isikul on ettevõtte juures kliendikonto või kliendikaart, siis säilitame isikuandmeid terve
konto/kaardi aktiivsusaja või nii kaua kui neid on vaja isikule teenuste osutamiseks
 kui ettevõttel on seadusest tulenev, lepinguline või muu sarnane kohustus isiku andmete
säilitamiseks, siis seni kuni on vajalik sellise kohustuse täitmiseks
 peale lepingulise suhte lõppemist säilitame teatud andmeid nii kaua, kui kaua on isikul
(andmesubjektil) või ettevõttel endal õigus esitada lepingu alusel nõudeid teise poole
vastu.
Mõned näited:
 Külastajakaardi andmeid säilitame turismiseaduse nõuete kohaselt 2 aastat alates kaardi
täitmisest.
 Töölepingu kirjalikke dokumente säilitame töölepingu seaduse nõuete kohaselt 10 aastat
töölepingu lõppemisest.
 Krediitkaardiandmeid säilitame kuni meievahelise majutusteenuse lepingu nõuetekohase
täitmiseni.
Täpsemad kriteeriumid sätestatakse ettevõtte isikuandmete registris.

8. ANDMEEDASTUS VÄLJASPOOLE EMPd
Aeg-ajalt võib ettevõttel olla vaja edastada isikuandmeid väljaspoole EMPd. Selline edastus
toimub kehtiva andmekaitseseaduse kohaselt 1 . Ettevõte võtab tarvitusele mõistlikke
abinõusid tagamaks, et isikuandmeid koheldakse EMPst väljapoole edastamisel turvaliselt ja
selle privaatsuspoliitika kohaselt.
Ettevõte edastab isikuandmeid järgmistesse asukohtadesse väljaspool EMPd allpool
nimetatud eesmärkidel, kasutades järgmisi meetmeid isikuandmete kaitseks:
[Selgituseks, tagatiseks võib olla, nt siduvad kontsernisised eeskirjad, standardsed
andmekaitseklauslid Euroopa komisjoni poolt vastu võetud vormis, jne (vt GDPR Art. 46-49)]

1 GDPR artiklid 45-49 sätestavad millal ja mis tingimustel on andmete edastamine lubatud. GDPRi artikkel 45
kohaselt võib isikuandmeid EList väljapoole edastada siis, kui Euroopa komisjon on teinud otsuse, et selline
kolmas riik, territoorium või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks
edastamiseks ei ole vaja eriluba. Sellised riigid, territooriumid või rahvusvahelised organisatsioonid avaldatakse
Euroopa Liidu Teatajas ja komisjoni veebilehel.

9. VASTUTUSALAD
Ettevõte vastutab isikuandmete töötlemise eest. Üldine vastutus selle privaatsuspoliitika
järgimise eest ettevõttes lasub ettevõtte juhtkonnal, kes määrab peamise kontakti seoses i)
ettevõtte töötajate ja töövõtjate isikuandmete töötlemise; ii) klientide ja koostööpartnerite
isikuandmete töötlemise ja iii) ettevõttes töödeldavate isikuandmete turvalisusega.
Kõigil ettevõtte töötajatel, kes puutuvad kokku isikuandmete töötlemisega on kohustus
järgida kõige ajakohasemat avaldatud versiooni sellest privaatsuspoliitikast.

10. SEOTUD REEGLID JA PROTSEDUURID
Seda privaatsuspoliitikat tuleb lugeda koos järgmiste reeglite ja protseduuridega:
– Isikuandmetega seotud rikkumistele reageerimise protseduur
– Andmekaitse standardklauslid andmetöötluslepingutesse
– Andmesubjekti õiguste ja taotluste protseduur
– Privaatsusteade (töötajatele, klientidele)
– Isikuandmete register