GDPR-i vastavuse põhimõtted

Ülevaade GDPR-i nõuete järgimise põhimõtetest ja meie pühendumusest isikuandmete kaitsele

GDPR vastavuspõhimõtted tagavad andmete seadusliku kasutamise, läbipaistvuse, vastutuse ja isikuõiguste tugeva kaitse.

Eesti Firma (juriidiline nimetus Eesti Firma OÜ, registrikood 14164797, aadress Vesivärava 50, 10152 Tallinn, Eesti) jaoks on teie isikuandmete kaitse meie peamine prioriteet. Meie pühendumus privaatsusele tugineb põhiprintsiipidele, mis on sätestatud isikuandmete kaitse üldmääruses (EL) 2016/679 (GDPR).

Need põhimõtted juhivad kõiki otsuseid, kuidas me teie andmeid töötleme, ning moodustavad aluse meie sisemistele protseduuridele. Allpool selgitame üksikasjalikult iga põhimõtet, kirjeldades selle praktilist rakendamist ja teie õigusi andmesubjektina. Tähelepanu: detailne info konkreetsete andmetöötlusviiside ja kaitsemeetmete kohta on esitatud meie Privaatsuspoliitikas.

Seaduslikkus, õiglus ja läbipaistvus

Me töötleme teie isikuandmeid seaduslikult, õiglaselt ja teile läbipaistval viisil. See tähendab, et kõik andmetöötluse tegevused viiakse läbi õiguslikul alusel, ausalt ja avatult teie kui andmesubjekti suhtes. Selle põhimõtte raames järgime järgmisi lähenemisviise:

  • Seaduslikkus: Me kogume ja kasutame teie isikuandmeid ainult selgete ja seaduslike alustega. Teisisõnu, iga andmetöötlus toimub rangelt vastavalt kehtivatele õigusaktidele. Meie õiguslikud alused hõlmavad teie teadlikku nõusolekut (kui see on vajalik), lepinguliste kohustuste täitmist, seadusest tulenevate nõuete järgimist või meie õigustatud ärihuve, mis ei riku teie õigusi. Teid teavitatakse alati sellest, millisele õiguslikule alusele toetudes teie andmeid töödeldakse.
  • Õiglus: Tagame, et andmete töötlemine toimub ausalt. See tähendab, et me ei kogu andmeid petlikul viisil ega kasuta neid teie kahjuks. Me ei eksita teid kunagi seoses andmete kogumise eesmärkide või kasutusviisidega. Lisaks võtame arvesse teie huve ja õigusi – näiteks tagame teie õiguste (nt õigus andmetele juurde pääseda) diskrimineerimiseta täitmise, olenemata teenuse kasutamise tingimustest. Andmeid töödeldakse viisil, mis ei kahjusta ebaõiglaselt teie privaatsust.
  • Läbipaistvus: Oleme avatud ja selgelt suhtlevad selle osas, miks ja kuidas teie andmeid kasutatakse. Kogu teave andmete töötlemise kohta on esitatud selges keeles, vältides liigset juriidilist žargooni. Meie privaatsuspoliitika ja muud teavitused on alati hõlpsasti kättesaadavad, et te saaksite igal hetkel teada, milliseid andmeid me kogume, millisel alusel ja mis eesmärkidel. Vajadusel kasutame teavitamisel kihilist lähenemist – rõhutame peamisi punkte ning anname täiendavat infot linkide või hüpikinfo kaudu. Uuendame pidevalt oma teavet, et see oleks ajakohane, ning teavitame teid olulistest muudatustest. Tänu sellisele läbipaistvusele on teil alati selge ülevaade sellest, kuidas teie isikuandmeid töödeldakse.

Eesmärgi piirang

Me kogume ja kasutame isikuandmeid ainult konkreetsetel, eelnevalt kindlaksmääratud ja seaduslikel eesmärkidel, millest teid eelnevalt teavitame. See tähendab, et teie andmeid kasutatakse ainult sellel eesmärgil, milleks need algselt koguti. Me ei kasuta isikuandmeid mingil uuel, algsete eesmärkidega kokkusobimatul viisil. Näiteks kui esitate meile oma e-posti aadressi meie teenuse uuenduste saamiseks, ei edasta me seda ilma teie teadmise ja nõusolekuta partneritele reklaammaterjalide saatmiseks.

Kõik töötlemise eesmärgid on täpselt dokumenteeritud – meie siseregistrites ja avalikes dokumentides (näiteks privaatsuspoliitikas) on märgitud, milleks konkreetseid andmeid kogutakse. Kui tekib vajadus kasutada andmeid uuel eesmärgil, mis ei vasta algsele, saame teilt eelnevalt eraldi nõusoleku või tagame muu seadusliku aluse andmete töötlemiseks. Nii võite kindel olla, et teie isikuandmeid ei kasutata ootamatul ja algsete eesmärkide raamidest väljuval viisil.

Andmete minimeerimine

Järgime andmete minimeerimise põhimõtet, mis tähendab, et kogume ainult neid isikuandmeid, mis on tõesti vajalikud määratud töötlemise eesmärkide täitmiseks. Praktikas rakendame seda järgmiselt:

  • Küsime teilt ainult minimaalseid andmeid, mis on vajalikud teenuse osutamiseks või lepingu täitmiseks. Meie veebivormid ja küsitlused on koostatud nii, et vältida liigse info kogumist. Näiteks kui veebiseminarile registreerimiseks vajame teie nime ja e-posti, ei küsi me lisateavet, mis pole selle eesmärgiga seotud.
  • Põhimõte „ei midagi üleliigset“ aitab meil vähendada teie privaatsusega seotud riske. Mida vähem andmeid salvestatakse ja töödeldakse, seda väiksem on andmelekkimise või volitamata juurdepääsu tõenäosus. Me ei kogu andmeid „igaks juhuks“, säilitades teavet, mis võib ehk kunagi tulevikus vajalikuks osutuda. Kõik andmepäringud on selgelt põhjendatud konkreetse vajadusega.
  • Samuti vaatame regulaarselt üle kogutavate andmete hulga ning eemaldame protsessidest kõik väljad või päringud, mis pole vajalikud. Sel moel tagame, et iga suhtluse puhul küsime teilt ainult neid andmeid, mis on tõesti vajalikud seatud eesmärkide saavutamiseks.

Täpsus

Isikuandmete hoidmine täpsete ja ajakohastena on veel üks meie oluline põhimõte. Teeme kõik mõistlikud jõupingutused, et teid puudutav teave oleks õige, täielik ja värske, kuna sellest sõltub meie teenuste kvaliteet ja teie usaldus. Täpsuse tagamiseks rakendame järgmisi meetmeid:

  • Regulaarne uuendamine: Kui teie isikuandmed muutuvad (näiteks uuendate oma kontakttelefoninumbrit või aadressi), kanname need muudatused viivitamatult oma süsteemidesse. Me püüame vältida olukordi, kus otsuseid tehakse aegunud või vale teabe alusel.
  • Vigade parandamine: Kui avastate, et mõni teie kohta käiv teave on ebatäpne või aegunud, saate meid sellest alati teavitada – teeme kiiresti vajalikud parandused. Lisaks on teil õigus nõuda ebatäpsete andmete parandamist (õigus andmete parandamisele) ja me tagame selle täieliku täitmise, pakkudes mugavaid viise meile vigadest teatamiseks.
  • Kriitiliste andmete kontrollimine: Juhtudel, kui andmete täpsus on eriti oluline (näiteks finantstehingute tegemiseks või õiguslikult olulise teenuse osutamiseks), võime andmete kontrollimiseks ja kinnitamiseks astuda lisasamme. See võib hõlmata täiendavate tõendavate dokumentide küsimist või andmete ülekontrollimist koos teiega. Kõik need meetmed on suunatud sellele, et meie andmebaasides säiliks üksnes tõene ja kontrollitud teave.
  • Ebatäpsete andmete kustutamine: Vastavalt GDPR nõuetele tuleb ebatäpsed või mittetäielikud andmed, mida ei saa parandada, kustutada põhjendamatu viivituseta. Järgime seda reeglit: kui mingi teave osutub töötlemise eesmärkide seisukohalt ebatäpseks ja seda pole võimalik parandada, kustutame selle, et vältida võimalikke negatiivseid tagajärgi.

Ka teie koostöö on andmete täpsuse tagamisel oluline: palume meid teavitada, kui teie isikuandmed muutuvad või vajavad parandamist. Hindame kõrgelt teie proaktiivsust, sest täpsed andmed on tõhusa teeninduse ja teie õiguste kaitse eelduseks.

Säilitamise tähtaja piiramine

Säilitame isikuandmeid mitte kauem kui vaja eesmärkide saavutamiseks, milleks need koguti. Säilitamise tähtaja piiramise põhimõte tähendab, et igal andmekategoorial on määratletud säilitamisperiood, mille lõppedes andmed turvaliselt kustutatakse või anonümiseeritakse. Kuidas me seda tagame:

  • Selged säilitamistähtajad: Erinevat tüüpi isikuandmetele määrame mõistlikud säilitamistähtajad, arvestades töötlemise eesmärki, meie õiguslikke ja lepingulisi kohustusi ning õigusaktide nõudeid. Näiteks tehinguandmeid võime säilitada nii kaua, kui nõuavad maksu- või raamatupidamisnormid, samas kui ühekordse teenuse osutamiseks kogutud andmeid säilitame lühemat aega. Kõik tähtajad kajastuvad meie sisepoliitikates, mida järgime rangelt.
  • Regulaarne läbivaatamine: Vaatame regulaarselt üle oma säilitamispoliitikaid, et tagada nende ajakohasus. Kui äriprotsessid või seadused muutuvad, korrigeerime vastavalt andmete säilitamise tähtaegu. Selline audit võimaldab tuvastada isikuandmeid, mida enam vaja pole. Teostame kontrolli kasutamata või vananenud andmete osas ja kustutame need, kui nende hoidmine ei ole õiguslikult põhjendatud.
  • Turvaline kustutamine: Kui säilitamistähtaeg lõpeb (või andmed muutuvad varem mittevajalikuks), kustutame isikuandmed viisil, mis ei võimalda nende taastamist või isiku tuvastamist. Kui kohene kustutamine pole tehniliselt võimalik, anonümiseerime esmalt andmed (eemaldame seose teie identiteediga) ja kustutame need hiljem esimesel võimalusel. Võime andmeid säilitada pikemalt, ainult juhul, kui see on seadusega lubatud – näiteks arhiveerimise eesmärgil avalikes huvides, teaduslikel või statistilistel eesmärkidel vastavalt GDPR artiklile 89(1). Ka neil juhtudel tagame piisavad privaatsuskaitsemeetmed.

Minimeerides isikuandmete säilitamise aega, vähendame riski, et andmeid kasutatakse mittesihipäraselt või need muutuvad ajapikku lekete suhtes haavatavaks. Võite olla kindel, et ei säilita teie andmeid kauem kui vajalik ning järgime rangelt kehtestatud tähtaegu.

Terviklus ja konfidentsiaalsus

Rakendame kõiki meetmeid teie isikuandmete tervikluse ja konfidentsiaalsuse tagamiseks, ehk kaitsmiseks volitamata juurdepääsu, muutmise, avaldamise või hävitamise eest. See andmekaitse põhimõte viiakse ellu terviklikult – tehniliste ja organisatsiooniliste vahenditega. Mida teeme teie andmete kaitsmiseks:

  • Kaasaegsed turvatehnoloogiad: Rakendame asjakohaseid tehnilisi turvameetmeid isikuandmete kaitseks. Need hõlmavad andmete krüpteerimist, tulemüüre, viirusetõrjelahendusi, sissetungimise tuvastamise süsteeme ja muid küberturbe vahendeid. Meetmed on proportsionaalsed töödeldavate andmete laadi, mahu ja võimalike riskidega. Näiteks tundlikud andmed võivad olla krüpteeritud kujul ja juurdepääs andmesüsteemidele on rangelt piiratud volitatud isikutega. Hindame regulaarselt riske ja uuendame kaitsevahendeid uute ohtude tõrjumiseks. IT-taristu turvalisust jälgitakse pidevalt, uuendused ja parandused rakendatakse viivitamatult.
  • Organisatsioonilised meetmed ja ligipääsu kontroll: Lisaks tehnoloogiale on meil paika pandud ranged organisatsioonilised reeglid andmete käsitlemiseks. Teie andmetele pääsevad ligi ainult töötajad või volitatud isikud, kelle tööülesanded seda nõuavad (minimaalse juurdepääsu põhimõte). Need isikud tegutsevad oma pädevuse piires ja saavad andmekaitsealase väljaõppe. Sõlmime konfidentsiaalsuslepingud (NDA) töötajate ja kolmandate osapooltega, kel on andmetele juurdepääs. Korraldame regulaarselt koolitusi, et personal oleks kursis andmekaitsega.
  • Tegevuskavad ja kontroll: Oleme välja töötanud protseduurid turvaintsidentide puhuks. Võimaliku andmelekkega reageerime kohe, vajadusel teavitades ka ametivõime ja andmesubjekte. Kõiki juhtumeid analüüsime, et tulevikus sarnaseid olukordi vältida. Meie turvasüsteemid läbivad regulaarseid kontrolle ja auditeid, tagades kaitse vastavuse kehtivatele standarditele.

Vastutus

Eesti Firma OÜ mõistab täielikult oma vastutust GDPR-i põhimõtete järgimisel ja on suuteline seda vastavust tõendama. Vastutuse põhimõte tähendab, et me mitte ainult ei täida nõudeid, vaid suudame ka praktikas ja dokumentaalselt oma vastavust tõendada. Allpool selgitame, kuidas vastutuse põhimõte meie ettevõttes rakendub:

  • Sisseehitatud vastavus: Oleme GDPR-i nõuded integreerinud kõigisse äriprotsessidesse. Iga isikuandmetega töötav töötaja tunneb ja järgib andmekaitse põhimõtteid. Meil on olemas selged poliitikad ja juhendid, mis reguleerivad andmete kogumist, kasutamist, edastamist ja säilitamist ning mis on töötajatele teatavaks tehtud. GDPR-i põhimõtted on osa meie ettevõtte kultuurist, tagades ühtlaselt kõrge andmetöötluse standardi kõigil tasanditel.
  • Määratud andmekaitse eest vastutav isik: Vastavalt seadusele on meil määratud andmekaitsespetsialist (Data Protection Officer, DPO) – Ilja Nikiforov, kelle kontaktid leiate allpool. Tema ülesandeks on jälgida GDPR-i nõuete täitmist ettevõtte sees, nõustada töötajaid privaatsusküsimustes ning olla kontaktisikuks nii teile kui ka järelevalveasutustele. DPO olemasolu on üks meie vastutuse ja tõsise suhtumise tõestusi andmekaitsesse.
  • Sisemised auditid ja riskihindamine: Viime regulaarselt läbi sisemisi kontrolle (vajadusel kaasame ka välisauditeid), hindamaks meie tegevuse vastavust GDPR-ile. Analüüsime võimalikke riske turvalisusele ja privaatsusele ning võtame kontrollide tulemuste põhjal meetmeid olukorra parandamiseks. Selline pidev kontroll ja täiustamine võimaldab meil hoida kaitsemeetmed ajakohastena ning kiiresti reageerida muutustele – olgu selleks uued ohud, andmete mahu kasv või seadusandlikud muudatused.
  • Koolitus ja teadlikkuse tõstmine: Investeerime töötajate andmekaitsealasesse koolitusse. Korraldame regulaarselt koolitusi, infokirju ja teadmiste kontrolle, et igaüks oleks kursis viimaste arengute ja nõuetega valdkonnas. Andmete turvalisus sõltub suuresti inimeste tegevusest, seetõttu kujundame ettevõttes kultuuri, kus igaüks mõistab oma rolli ja vastutust.
  • Valmidus aruandluseks: Oleme alati valmis tõendama GDPR-ile vastavust nii teile kui ka järelevalveasutustele. Meie läbipaistvus väljendub ka selles: teil on õigus teha päringuid oma andmete kohta ning me esitame teile kogu vajaliku info. Samuti on meil ette valmistatud dokumentatsioon ja protsessid järelevalveasutuste kontrollide jaoks, kinnitamaks meie vastutustundlikkust. Mõistame, et klientide usaldus sõltub otseselt meie vastutustundest, seega on vastutuse põhimõte meie ettevõtte tegevuse alustalaks.

Kokkuvõte

Meie põhimõtteline pühendumus teie privaatsuse kaitsmisele ja teie usalduse säilitamisele tähendab, et GDPR-i nõuetele vastavus pole meile lihtsalt formaalsus, vaid osa igapäevasest tööst. Kõigi eespool kirjeldatud põhimõtete – seaduslikkuse, õigluse, läbipaistvuse, eesmärgi piiramise, andmete minimeerimise, täpsuse, säilitamise tähtaja piiramise, tervikluse ja konfidentsiaalsuse ning vastutuse – järgimine tagab, et teie isikuandmeid töödeldakse korrektselt ja turvaliselt. Me teeme rohkem, kui seadus nõuab, sest hindame kõrgelt teie usaldust.

GDPR-i vaimule truuks jäädes täiustame jätkuvalt oma andmekaitsetavasid ning reageerime kiiresti regulatiivsetele muudatustele. Võite olla kindlad: teie isikuandmed on heades kätes ning töötame pidevalt selle nimel, et see nii ka jääks.

Uuendused ja juriidiline teave

Jätame endale õiguse seda dokumenti aeg-ajalt uuendada või muuta, kajastamaks muudatusi meie andmetöötluse tavades, seadusandlikes nõuetes või regulatsioonides. Kõik uuendused avaldatakse sellel lehel ja viimase uuenduse kuupäev (märgitud allpool) muudetakse vastavalt. Soovitame teil seda jaotist aeg-ajalt üle vaadata, et olla kursis GDPR-i põhimõtete värskeima versiooniga.

Pange tähele, et käesolev dokument täiendab meie privaatsuspoliitikat ja muid seotud dokumente, kuid ei asenda neid. Erimeelsuste korral kehtib privaatsuspoliitika. Käesolev dokument on informatiivse iseloomuga ning selgitab meie lähenemist GDPR-i nõuete täitmisele.

Kontaktandmed

Kui teil on küsimusi, märkusi või päringuid seoses isikuandmete kaitse või sellega, kuidas me teie andmeid töötleme, võtke meiega julgelt ühendust. Oleme alati valmis aitama ning hindame teie tagasisidet.

  • Ettevõte: Eesti Firma OÜ
  • Andmekaitsespetsialist (DPO): Ilja Nikiforov
  • Email: info@eestifirma.ee
  • Telefon: +372 641 7777
  • Aadress: Vesivärava 50, Tallinn, Eesti, 10152

Püüame kõigile pöördumistele vastata operatiivselt ja täielikult. Kui soovite teavet enda andmete või oma õiguste rakendamise kohta, vastame GDPR-iga ettenähtud tähtaja jooksul (tavaliselt ühe kuu jooksul). Täname, et usaldate Eesti Firma OÜ-d oma andmete kaitsmisel – omalt poolt teeme kõik võimaliku selle usalduse õigustamiseks.

 

et EST
VÕTKE MEIEGA ÜHENDUST

    Method of communication:

    Required field

    Täname!

    Teie sõnum on edukalt kätte saadud!
    Võtame TeMeie konsultandid võtavad teiega ühendust esimesel võimalusel.