I OSA
ÜLDSÄTTED
1. Isikuandmetega seotud rikkumise menetlemise korra kirjelduse (edaspidi tekstis –
Kirjeldus) eesmärk on sätestada isikuandmetega seotud rikkumise kord Atea AS-s (edaspidi – Ettevõte), tagades Eesti Vabariigi isikuandmete kaitse seaduse (edaspidi – IKS), Euroopa Parlamendi ja Nõukogu (EL) 2016. a. 27. aprilli määruse 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (Isikuandmete kaitse üldmäärus, edaspidi tekstis – GDPR) ja teiste õigusaktide, mis määravad kindlaks isikuandmete töötlemise ja kaitse, järgimise ja rakendamise.
2. Kirjelduses kasutatavad mõisted vastavad GDPR-is kasutatavatele mõistetele.
3. Kirjeldus on koostatud, juhindudes GDPR-ist.
II OSA
TEGEVUSED ISIKUANDMETEGA SEOTUD RIKKUMISE KORRAL
4. Isikuandmetega seotud rikkumiseks loetakse ükskõik millist tahtlikku või tahtmatut
isikuandmete turvanõuete rikkumist, kui juhuslikult või ebaseaduslikult:
4.1. isikuandmed hävitatakse, kaotatakse või muudetakse;
4.2. isikuandmed avalikustatakse ilma loata;
4.3. kõrvalised isikud, kellel ei ole vastavat luba, saavad juurdepääsu isikuandmetele.
5. Isik, kellel on teavet võimaliku isikuandmetega seotud rikkumise kohta, peab sellest viivitamatult teavitama Ettevõtte andmekaitseametnikku (dpo@atea.lt).
6. Isikuandmetega seotud rikkumiste haldamine toimub Ettevõttes vastavalt Atea Group sisekorrale GDPR-PR01, mis reguleerib Ettevõtte töötajate vastutust ja tegevust isikuandmetega seotud võimaliku rikkumise korral.
7. Isikuandmetega seotud rikkumise korral teavitab vastutav töötleja viivitamata,
võimalusel 72 tunni jooksul hetkest, kui ta sai teada isikuandmetega seotud rikkumisest, kompetentset järelevalveasutust, välja arvatud siis, kui isikuandmetega seotud rikkumine ei tekita ohtu füüsiliste isikute õigustele ja vabadustele. Kui isikuandmetega seotud rikkumine tekitab ohtu füüsiliste isikute õigustele ja vabadustele, kuid järelevalveasutust ei teavitata isikuandmetega seotud rikkumisest 72 tunni jooksul, teavitamiskohustus säilib, kuid teatisese lisatakse ka hilinemise põhjused.
8. Suure ohu korral andmesubjektide õigustele ja vabadustele tuleb isikuandmetega
seotud rikkumise kohta teavet anda viivitamata ka andmesubjektidele, keda rikkumine mõjutab või võib mõjutada.
9. Kui andmete volitatud töötleja on teada saanud isikuandmetega seotud rikkumisest, teavitab ta viivitamatult (kuid mitte hiljem kui 3 tunni jooksul) andmete vastutavat töötlejat.
10. Kirjelduse punktides 7-Error! Reference source not found. olevad teatised
sisaldavad:
10.1. isikuandmetega seotud rikkumise laadi, sealhulgas võimalusel vastavate
andmesubjektide kategooriaid ja nende ligikaudset arvu, samuti vastavate isikuandmete kirjete liike ja nende ligikaudset arvu;
10.2. andmekaitseametniku või teise kontaktisiku, kes saab anda rohkem teavet, nime ja kontaktandmeid;
10.3. isikuandmetega seotud rikkumisega kaasnevad võimalikud tagajärjed;
10.4. vahendid, mida vastutav töötleja võttis tarvitusele või pani ette tarvitusele võtta, et oleks kõrvaldatud isikuandmetega seotud rikkumine, sealhulgas võimalusel vahendid võimalike negatiivsete tagajärgede vähendamiseks.
11. Kui teavet ei saa esitada korraga, võib teavet edaspidi põhjendamatult viivitamata
esitada etappide kaupa.
12. Vastutav töötleja peab tagama, et kõik isikuandmetega seotud rikkumised, sealhulgas ka need, millega seoses ei ole teavitamiskohustust, nagu on kirjeldatud käesolevas Kirjelduse osas, isikuandmetega seotud rikkumisega seotud faktid, nende mõju ning parandustoimingud, mida võeti tarvitusele, oleksid nõuetekohaselt dokumenteeritud ja kaitstud.
13. Kirjelduse käesolevas osas käsitletud isikuandmetega seotud rikkumise korral teavitab Ettevõtte andmekaitseametnik Ettevõtte vastavaid töötajaid ning annab juhiseid nende isikuandmetega seotud rikkumise haldamisega seotud ülesannete ja funktsioonide täitmise kohta.
14. Isikuandmetega seotud rikkumise korral, mida on käesolevas Kirjelduse osas
kirjeldatud, koostab Ettevõtte andmekaitseametnik ennetavate tegevustega tegevuskava, mille eesmärk on ennetada analoogset või sarnast isikuandmetega seotud rikkumist tulevikus, ja esitab selle kinnitamiseks Ettevõtte juhile. Kinnitatud plaani elluviimise eest vastutab Ettevõtte juht või tema määratud vastutavad isikud.
III OSA
LÕPPSÄTTED
15. Töötajatele tutvustatakse käesolevat Kirjeldust Ettevõttes sätestatud korras. Teised andmesubjektid saavad selle Kirjeldusega tutvuda Ettevõtte veebilehel