I OSA
ÜLDSÄTTED
1. Atea AS andmesubjekti õiguste rakendamise ja andmesubjekti taotluste menetlemise korra kirjelduse (edaspidi – Kirjeldus) eesmärk on sätestada ettevõttes Atea AS (edaspidi – Ettevõte) andmesubjektide õiguste rakendamise kord, et Ettevõte saaks viia ellu vastutuse põhimõtet.
2. Andmesubjekti õiguste teostamisel juhindutakse Euroopa Parlamendi ja Nõukogu 27. aprilli 2016 määrusest (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (Isikuandmete kaitse üldmäärus, edaspidi – GDPR) ja Eesti Vabariigi isikuandmete kaitse seadusest (edaspidi – IKS).
3. Kirjelduses kasutatavad mõisted vastavad GDPR-is kasutatavatele mõistetele.
4. Kirjeldus on koostatud, juhindudes GDPR-ist.
5. Ettevõtte poolt töödeldavate isikuandmete kategooriad, andmesubjektide kategooriad, isikuandmete töötlemise eesmärgid, õiguslikud alused ja andmesaajad on sätestatud Atea AS isikuandmete töötlemise eeskirjas ja privaatsuspoliitikas (viimane on avaldatud internetis).
6. Ettevõte võtab tarvitusele asjakohased meetmed, et anda kogu andmete töötlemisega seotud teave ja teabevahetus edasi andmesubjektile kokkuvõtlikul, läbipaistval, arusaadaval ja hõlpsasti juurdepääsetaval kujul, selges ja lihtsas keeles. Teave esitatakse kirjalikult või muul viisil, sealhulgas elektrooniliselt.
II OSA
ÕIGUS SAADA TEAVET ISIKUANDMETE TÖÖTLEMISE KOHTA
7. Teave Ettevõttes töödeldavate isikuandmete kohta, mis on nimetatud GDPR-i
artiklites 13 ja 14, esitatakse kirjalikult isikuandmete saamise ajal, Ettevõtte intranetis ja veebilehel (sõltuvalt töödeldavatest andmetest).
8. Andmesubjektidelt isikuandmete kogumise korral esitatakse andmesubjektidele
andmesubjektiga suhtlemise ajal teave isikuandmete töötlemise kohta andmesubjekti soovitud viisil.
9. Kui isikuandmed ei ole saadud andmesubjektilt, esitatakse teave andmesubjektile:
9.1. põhjendatud ajavahemiku jooksul isikuandmete saamisest, kuid mitte hiljem kui ühe kuu jooksul, võttes arvesse konkreetseid isikuandmete töötlemise asjaolusid;
9.2. kui isikuandmeid kasutatakse andmesubjektiga suhtlemiseks, siis hiljemalt andmesubjektiga esimese kontakti ajal;
9.3. kui on kavas avaldada isikuandmeid teisele andmesaajale, siis hiljemalt andmete
esmakordsel avalikustamisel.
10. Seda teavet ei edastata:
10.1. kui andmesubjektil on see teave juba olemas;
10.2. kui sellise teabe edastamine on võimatu või nõuaks ebaproportsionaalseid
jõupingutusi või võib tõsiselt ohustada töötlemise eesmärkide saavutamist. Sellistel juhtudel võtab Ettevõte tarvitusele asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitseks, sealhulgas teabe avalikustamine;
10.3. andmete saamine või avalikustamine on sõnaselgelt ette nähtud Euroopa Liidu või liikmesriigi õigusaktides, mis kehtivad Ettevõttele ja mis näevad ette nõuetekohased andmesubjekti õigustatud huvide kaitsemeetmed;
10.4. kui isikuandmeid tuleb hoida konfidentsiaalsena vastavalt Euroopa Liidu või
liikmesriigi õigusaktides sätestatud ametisaladuse hoidmise kohustusele.
III OSA
ÕIGUS TUTVUDA OMA ISIKUANDMETEGA
11. Kui andmesubjekt esitab taotluse tutvuda tema kohta töödeldavate isikuandmetega, peab Ettevõte esitama:
11.1. teabe, kas andmesubjekti isikuandmeid töödeldakse või mitte;
11.2. GDPR artikli 15 lõigetes 1 ja 2 sätestatud isikuandmete töötlemisega seotud teave, kui töödeldakse andmesubjekti isikuandmeid;
11.3. töödeldavate isikuandmete koopia.
12. Andmesubjektil on õigus paluda töödeldavate isikuandmete koopiat ka muul kui
Ettevõtte pakutaval kujul, kuid temalt võidakse selle eest nõuda halduskulude katteks
teenustasu. Otsuse tasu suuruse kohta võtab vastu Ettevõtte juht.
13. Andmesubjekti teavitatakse viivitamata kirjalikult kõigist juurdepääsuõiguse
andmisest keeldumisest või piiramisest ning sellise keeldumise või piiramise põhjustest, kui nõutava teabe esitamist tuleb piirata vastavalt GDPR-i artikli 23 lõikele 1 (riigi julgeolek; riigikaitse; avalik julgeolek; süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine; kuritegevuse ennetamine; Euroopa Liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus; kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse; reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine,
avastamine ja nende eest vastutusele võtmine; jälgimine, kontrollimine või regulatiivsete ülesannete täitmine (ka juhtumipõhiselt), mis on seotud avaliku võimu teostamisega; andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse; tsiviilõiguslike nõuete täitmise tagamine).
IV OSA
ÕIGUS ISIKUANDMETE PARANDAMISELE
14. Andmesubjektil on õigus nõuda, juhindudes GDPR-i artiklist 16, et teda puudutavad ebaõiged isikuandmed parandatakse ja mittetäielikud isikuandmed täiendatakse.
15. Veendumaks, et andmesubjekti isikuandmed on ebatäpsed või puudulikud, võib
Ettevõte paluda andmesubjektil esitada seda tõendavaid tõendeid.
16. Kui andmesubjekti isikuandmed (parandatud andmesubjekti taotlusel) on edastatud andmesaajatele, teavitab Ettevõte sellest neid andmesaajaid, välja arvatud juhul, kui see oleks võimatu või nõuaks ebaproportsionaalseid jõupingutusi. Andmesubjektil on õigus nõuda, et temale esitatakse teave selliste andmete saajate kohta.
V OSA
ÕIGUS ANDMETE KUSTUTAMISELE (ÕIGUS OLLA UNUSTATUD)
17. Andmesubjekti õigust oma isikuandmed kustutada (õigus olla unustatud) rakendatakse ainult GDPR-i artiklis 17 sätestatud juhtudel.
18. Andmesubjekti õiguse oma isikuandmed kustutada (õigus olla unustatud) võib jätta rakendamata GDPR-i artikli 17 lõikes 3 sätestatud juhtudel.
19. Kui andmesubjekti isikuandmed (kustutatud andmesubjekti taotlusel) on edastatud andmesaajatele, teavitab Ettevõte sellest neid andmesaajaid, välja arvatud juhul, kui see oleks võimatu või nõuaks ebaproportsionaalseid jõupingutusi. Andmesubjektil on õigus nõuda, et temale esitatakse teave selliste andmete saajate kohta.
VI OSA
ÕIGUS ISIKUANDMETE TÖÖTLEMISE PIIRAMISELE
20. GDPR-i artikli 18 lõikes 1 sätestatud juhtudel on Ettevõte kohustatud rakendama
andmesubjekti õigust isikuandmete töötlemise piiramisele. Kui isikuandmete töötlemine on piiratud, võib selliseid isikuandmeid töödelda, v.a. säilitamine, vaid andmesubjekti nõusolekul või õigusnõuete koostamiseksa, esitamiseks või kaitsmiseks või selleks, et kaitsta teise füüsilise või juriidilise isiku õigusi või seoses Euroopa Liidu või Eesti Vabariigi olulise avaliku huviga.
21. Isikuandmed, mille töötlemine on piiratud, säilitatakse, andmesubjekti aga
teavitatakse kirjalikult või elektrooniliselt enne isikuandmete töötlemise piiramise lõpetamist.
22. Kui andmesubjekti isikuandmed (mille töötlemine on piiratud andmesubjekti
taotlusel) on edastatud andmesaajatele, teavitab Ettevõte sellest neid andmesaajaid, välja arvatud juhul, kui see oleks võimatu või nõuaks ebaproportsionaalseid jõupingutusi. Andmesubjektil on õigus nõuda, et temale esitatakse teave selliste andmete saajate kohta.
VII OSA
ANDMETE ÜLEKANDMISE ÕIGUS
23. Andmesubjekti andmete ülekandmise õigust, mis on sätestatud GDPR-i artiklis 20, rakendab Ettevõte vaid automatiseeritud vahendite kaudu töödeldavatele isikuandmetele, mille töötlemine põhineb nõusolekul või lepingul.
24. Andmesubjektil ei ole õigust andmete ülekandmisele nende isikuandmete suhtes,
mida töödeldakse mitteautomatiseeritud viisil süstematiseeritud failides, näiteks
pabertoimikutes.
25. Andmesubjekt, pöördudes seoses andmete ülekandmise õigusega, peab märkima, kas ta soovib, et tema isikuandmed edastataks talle või teisele vastutavale töötlejale.
26. Andmesubjekti taotlusel ülekantud andmeid automaatselt ei kustutata. Kui
andmesubjekt seda soovib, peab ta pöörduma andmete vastutava töötleja poole seoses õigusega nõuda andmete kustutamist (õigus olla unustatud).
VIII OSA
ÕIGUS ESITADA VASTUVÄITEID SEOSES ANDMETE TÖÖTLEMISEGA
27. Andmesubjektil on juhindudes GDPR-i artiklist 21 õigus oma konkreetsest
olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, et Ettevõte ei töötleks tema isikuandmeid, kui selline andmete töötlemine toimub avalikes huvides oleva ülesande täitmise eesmärgil või vastutavale töötlejale antud avaliku valitsemise funktsiooni teostamiseks või kui isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral (välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille tõttu on vaja tagada isikuandmete kaitse, eriti kui andmesubjektiks on laps), sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes.
28. Kui isikuandmeid töödeldakse otseturunduse eesmärgil, on andmesubjektil õigus igal ajal esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sh profiilianalüüsi suhtes, sel määral, mil see on seotud kõnealuse otseturundusega.
29. Kui andmesubjekt esitab vastuväiteid andmete töötlemisele otseturunduse eesmärgil, ei tohi isikuandmeid sellel eesmärgil enam töödelda.
30. Andmesubjekti teavitatakse andmesubjekti õigusest esitada vastuväiteid hiljemalt
esmasel kontaktil andmesubjektiga kirjalikult või elektrooniliselt.
31. Kui andmesubjekt väljendab oma mittenõustumist isikuandmete töötlemisega,
toimub selline töötlemine ainult juhul, kui motiveeritult on otsustatud, et isikuandmete töötlemise põhjused kaaluvad üles andmesubjekti huvid, õigused ja vabadused, või kui isikuandmed on vajalikud, et esitada, täita või kaitsta õiguslikke nõudeid.
IX OSA
ÕIGUS NÕUDA, ET EI KOHALDATAKS VAID AUTOMATISEERITUD ANDMETE
TÖÖTLUSEL PÕHINEVATE ÜKSIKOTSUSTE TEGEMIST, SEALHULGAS
PROFIILIANALÜÜSI
32. Juhindudes GDPR-i artiklist 22, on andmesubjektil õigus, kui see ei ole vastuolus
GDPR-i artikli 22 lõikega 2, nõuda, et talle ei kohaldataks vaid automatiseeritud andmete töötlemisega, sealhulgas profileerimisega põhinevat otsust, mille tõttu tekivad talle õiguslikud tagajärjed või mis mõjutab teda sarnasel moel oluliselt.
33. Kui andmesubjekt taotleb automatiseeritud andmetöötlusel põhineva otsuse
läbivaatamist, peab vastutav töötleja põhjalikult hindama kõiki asjakohaseid andmeid, sealhulgas andmesubjekti esitatud teavet, ja esitama oma järeldused asjaomasele andmesubjektile.
X OSA
ÕIGUS VABALT JA TAKISTAMATULT TÜHISTADA ANTUD NÕUSOLEK
34. Sel juhul, kui isikuandmeid töödeldakse, tuginedes andmesubjekti nõusolekule, on andmesubjektil õigus antud nõusolek igal ajal tühistada, juhindudes GDPR-i artikkel 7 lõikest 3.
35. Nõusoleku tühistamine ei mõjuta nõusolekul põhinevate andmete töötlemise
seaduslikkust, mis on tehtud enne nõusoleku tühistamist. Andmesubjekti teavitatakse sellest enne nõusoleku andmist.
XI OSA
ÕIGUS ESITADA KAEBUS ANDMEKAITSE INSPEKTSIOON
36. Juhindudes GDPR-i artikkel 77 lõikest 1, on igal andmesubjektil õigus esitada kaebus seoses Ettevõtte teostatava isikuandmete töötlemisega järelevalveasutusele – Eesti Vabariigi Andmekaitse Inspektsioonile.
37. Andmesubjektil on õigus esitada kaebus Andmekaitse Inspektsioonile ise või
andmesubjekti esindaja kaudu, samuti tema volitatud mittetulundusühingu, organisatsiooni või ühenduse kaudu, mis vastab GDPR-i artikli 80 nõuetele.
XII OSA
ANDMESUBJEKTI ÕIGUSTE RAKENDAMISE TAOTLUSE ESITAMINE
38. Andmesubjektil on õigus taotleda andmesubjekti õiguste rakendamist kirjalikult,
esitades taotluse isiklikult, posti teel või elektrooniliselt.
39. Kui andmesubjekti õiguste rakendamist taotletakse kirjalikult, esitades isikliku
taotluse, peab andmesubjekt oma isikusamasust kinnitama, esitades isikut tõendava dokumendi. Kui seda ei tehta, andmesubjekti õigusi ei rakendata. See säte ei kehti, kui andmesubjekt pöördub seoses teavitusega isikuandmete töötlemise kohta GDPR-i artikli 13 ja 14 alusel.
40. Kui andmesubjekti õiguste rakendamist taotletakse kirjalikult, esitades taotluse posti teel, tuleb koos taotlusega esitada ka notariaalselt kinnitatud isikusamasust tõendava dokumendi koopia. Kui taotlus esitatakse elektrooniliselt, tuleb taotlus allkirjastada kvalifitseeritud digiallkirjaga või tuleb see moodustada elektrooniliste vahenditega, mis võimaldavad tagada teksti ühtsuse ja muutmatuse. See säte ei kehti, kui andmesubjekt pöördub seoses teavitusega isikuandmete töötlemise kohta GDPR-i artikli 13 ja 14 alusel.
41. Taotlus andmesubjekti õiguste rakendamise kohta peab olema loetav ja isiku poolt allkirjastatud (kehtib ainult kirjaliku taotluse esitamisel), see peab sisaldama andmesubjekti eesnime, perekonnanime, isikukoodi või muud identifitseerimisnumbrit, mille järgi Ettevõte saab tuvastada isiku, aadressi ja / või muid kontaktandmeid kontakti hoidmiseks või millele soovitakse vastust andmesubjekti õiguste rakendamise kohta.
42. Kõigil juhtudel tuleb taotluses täpsustada, milliseid andmesubjekti õigusi soovitakse rakendada (II – X osa), samuti lisateave, mis võimaldaks andmesubjekti õigust õigesti rakendada (nt eelneva nõusoleku tühistamisel, lisades, millal ja mis eesmärgil on andmesubjekt andnud Ettevõttele nõusoleku oma isikuandmete töötlemiseks).
43. Oma õigusi saab andmesubjekt rakendada ise või esindaja kaudu.
44. Isiku esindaja peab taotluses märkima oma eesnime, perekonnanime, aadressi ja / või muud kontaktandmed, millele isiku esindaja soovib vastust saada, samuti esindatava isiku eesnime, perekonnanime ja isikukoodi või muu identifitseerimisnumbri, mille abil Ettevõte saab isiku tuvastada, ja esitama esindamist tõendava dokumendi või notariaalselt või muus
õigusaktidega kehtestatud korras kinnitatud koopia.
45. Kui on kahtlusi andmesubjekti isikusamasuse või tema esindaja esindusaluste suhtes, võib Ettevõte paluda lisateavet.
46. Kõigis küsimustes, mis on seotud andmesubjekti isikuandmete ja oma õiguste
rakendamisega, peab andmesubjekt pöörduma andmekaitseametniku poole e-posti aadressil dpo@atea.lt või postiaadressil Järvevana tee 7b 10132 Tallinn Eesti. Kui pöördute andmekaitseametniku poole posti teel, tuleb konfidentsiaalsuse tagamiseks ümbrikule märkida, et kirjavahetus on adresseeritud Atea AS andmekaitseametnikule.
XIII OSA
ANDMESUBJEKTI ÕIGUSTE RAKENDAMISE TAOTLUSE MENETLEMINE
47. Ettevõte ei või keelduda andmesubjekti taotlusest rakendada oma õigusi, välja
arvatud siis, kui Ettevõte ei saa tuvastada andmesubjekti isikusamasust.
48. Kui on saadud andmesubjekti taotlus, esitatakse mitte hiljem kui ühe kuu jooksul
taotluse saamisest temale teave selle kohta, millised toimingud on teostatud tema taotluse alusel. Kindlaks määratud ühe kuu pikkust perioodi võib vajadusel pikendada veel kaheks kuuks, võttes arvesse taotluste keerulisust ja arvu. Andmete vastutav töötleja teavitab ühe kuu jooksul taotluse saamisest andmesubjekti sellisest pikendamisest, lisades ka hilinemise põhjused. Kui andmesubjekt esitab taotluse elektrooniliste vahendite kaudu, esitatakse teave temale võimalusel samuti elektrooniliste vahendite kaudu, välja arvatud juhtudel, kui andmesubjekt palub esitada see teisiti. Kui teabe esitamisega viivitatakse, teavitatakse sellest
andmesubjekti kindlaksmääratud tähtaja jooksul, märkides viivituse põhjused ja võimaluse esitada kaebus Andmekaitse Inspektsioonile.
49. Kui taotlust ei esitata vastavalt Kirjelduse osas XII sätestatud korrale ja nõuetele, siis seda ei töödelda ning sellest teavitatakse andmesubjekti viivitamata, kuid mitte hiljem kui 5 tööpäeva jooksul, põhjendades taotluse rahuldamisest keeldumist.
50. Kui taotluse läbivaatamise käigus selgub, et andmesubjekti õigusi piiratakse GDPRi artikli 23 lõikes 1 sätestatud alustel, teavitatakse sellest andmesubjekti.
51. Andmesubjekti poolt nõutav tema õiguste rakendamise kohta käiv teave esitatakse riigikeeles.
52. Kõik toimingud, mis põhinevad andmesubjekti taotlustel rakendada andmesubjekti õigusi, tehakse ja teave edastatakse tasuta, välja arvatud Kirjelduses sätestatud erandjuhtudel (punktid 12 ja 53).
53. Kui andmesubjekti taotlus on ilmselgelt põhjendamata ja ebaproportsionaalne,
näiteks seoses selle korduva sisuga, võib Ettevõte:
53.1. võtta põhjendatud tasu, võttes arvesse teabe esitamise või teadete või tegevuste, mille teostamist palutakse, halduskulusid, või
53.2. keelduda toimingute teostamisest taotluse alusel.
54. Ettevõte on kohustatud tõestama, et taotlus on ilmselgelt põhjendamata või
ebaproportsionaalne.
XIV OSA
LÕPPSÄTTED
55. Isiku, kelle andmeid töödeldakse, õigused sätestavad IKS ja GDPR.
56. Töötajatele tutvustatakse käesolevat Kirjeldust Ettevõttes sätestatud korras. Teised andmesubjektid saavad selle kirjeldusega tutvuda Ettevõtte veebilehel.