Ettevõtte privaatsuspoliitika ja GDPR

Artikli kirjutamisel on kasutatud erinevaid teabeallikaid. Isolta ei vastuta artikli seaduspärasuse eest. Soovitame kontrollida vajalikud probleemkohad advokaadiga või kasutada muud ametlikku allikat.

Enne uue Isikuandmete kaitse üldmääruse tulekut on kõigil vastutavatel töötlejatel kohustuslik luua privaatsuspoliitika dokument. Sellega seoses tuleb mõningaid asju tähele panna. Kogusime sulle siia artiklisse kokku selle, mida peab edaspidi ettevõtte privaatsuspoliitikast leidma.

Üldist privaatsuspoliitikas

Privaatsuspoliitika on dokument, mis tuleb luua iga isikuregistri kohta. See tähendab, et igal sinu poolt hallataval registril peab olema privaatsuspoliitika, näiteks isikuregister, kliendiregister, turundusregister. Privaatsuspoliitika peab olema avalik ja kättesaadav. Soovitatav on lisada see enda koduleheküljele.

Järgnevalt käime läbi privaatsuspoliitika põhipunktid ja sellega seotud mõisted.

Vastutav töötleja

Privaatsuspoliitikas peab välja tooma, kelle kasutuseks isikuregister luuakse. Selleks võib olla ühendus või asutus, kuid mitte üksikud töötajad, ettevõtte osakond või teine ettevõte, kes võib olla näiteks sinu eest registri haldaja.

Kontaktisik andmekogumit puudutavates asjades

Andmekogumile tuleb määrata kontaktisik, kellele võib esitada erinevaid töötlemisega seotud küsimusi. Igal andmesubjektil on õigus küsida näiteks seda, mis andmeid tema kohta säilitatakse, kuhu neid andmeid kasutatakse jne. Tavaliselt on kontaktisikuks ettevõtja ise, tegevjuht või muu määratud isik, kes vastutab andmekogumi eest.

Andmekogumi nimi

Kõigil andmekogumitel peab olema nimi, mis kirjeldab selle sihtotstarvet. Näiteks kliendiregister või tööotsijate register.

Isikuandmete töötlemise eesmärk

Isikuandmete kogumi töötlemisel peab olema eesmärk – isikuandmeid ei tohiks ilma sihtotstarbeta säilitada. Töötlemise eesmärk võib olla näiteks kliendisuhete haldamine, turunduse ja teenuse kvaliteedi parendamine.

Siikohal võib privaatsuspoliitikas märkida ka võimalikke isikuandmete töötlemise allhankeid. Seega, kui sul on väliseid teenuse pakkujaid, kes töötlevad isikuandmeid sinu eest või kellele oled andnud kasutusõigused, siis seda tuleks privaatsuspoliitikas kindlasti mainida.

Andmekogumi sisu

Siikohal tuleks välja tuua milliseid isikuandmeid andmekogumisse võib salvestada (PS! See ei tähenda, et neid ilmtingimata salvestatakse). Täpsustama peab salvestatavad isikuandmed, näiteks nimi, sünniaeg ja kontaktandmed. Muus osas piisab teabe sisu kirjeldamiseks infoliikide ja rühmade kirjeldus, näiteks klientide esitatud tellimused, kliendi tehniliste andmete salvestamine, kasutustingimustega seotud andmete salvestamine.

Regulaarsed andmeallikad

Kuskohast enda andmeid kogud? Siinkohal too välja kust saad regulaarselt andmeid, näiteks kodulehel olev pakkumise blanket või teenuse kasutusest kogunevad andmed.

Andmeallikateks võivad olla ka välised registrid, kellelt saad andmeid loovutuse teel, näiteks teenuse pakkujad, kes müüvad kliendiandmeid. Pane tähele, et loovutuse puhul tuleb ära märkida sihtotstarve. Sihtotstarve võib lähtuda seadusest või andmesubjekti nõusolekust.

Andmete reeglitekohased loovutused

Isikuandmete kogumi andmed on eelkõige mõeldud ainult sinu kasutuseks ja seega sina vastutad nende eest.

Kui peaksid isikuandmeid loovutama, siis seda tuleks privaatsuspoliitikas välja tuua ja ka ka seda, kellele, miks ja mis andmeid loovutad. Loovutus on põhjendatud andmesubjekti nõusolekuga või kui seadus seda nõuab. On üsna levinud, et andmesubjekti nõusolek saadakse hetkel, kui ta nõustub kasutustingimustega.

Tähele tuleks panna siiski seda, et loovutamine ja töötlemise allhange on kaks eri asja. Võid kasutada väliseid teenuseid andmete töötlemiseks, kuid enamikul juhtudest ei pea sa neid andmeid sellele teenusepakkujale loovutama.

Andmete edastamine väljapoole Euroopa Liitu või Euroopa Majanduspiirkonda

Privaatsuspoliitikas tuleks kindlasti mainida, kui andmeid loovutatakse Euroopa Liidust või Euroopa Majanduspiirkonnast väljapoole.

Andmekogumi andmekaitse põhimõtted

Vastutav töötleja vastutab privaatsuspoliitikasse koguvate andmete õiguspärase säilitamise eest. Sul on vajalik välja tuua kuidas andmeid kaitstakse, kas kasutusõigusi andmetele on ettevõttesisiseselt piiratud ja kuidas on andmekaitse tagatud ettevõttest väljapool olevate eest. Siinkohal on hea meeles pidada, et ei ole vajalik kõike detailselt märkida, sest see võib andmekaitse ohtu seada. Soovitame kirjeldada seda üldisemalt.

Lisamaterjalid

Infot uuest Isikuandmete kaitse üldmäärusest leiad muu hulgas ka siit:

EU GDPR

Andmekaitse Inspektsiooni juhendmaterjalid

Kas artiklist jäi sinu jaoks miskit puudu? Sooviksid saada lisainfot andmekaitse määrusest ja selle mõjust Isolta kasutajatele? Võta meiega ühendust vestlusakna kaudu.