Ettevõtte privaatsuspoliitika ja GDPR
Artikli kirjutamisel on kasutatud erinevaid teabeallikaid. Isolta ei vastuta artikli seaduspärasuse eest. Soovitame kontrollida vajalikud probleemkohad advokaadiga või kasutada muud ametlikku allikat.
Enne uue Isikuandmete kaitse üldmääruse tulekut on kõigil vastutavatel töötlejatel kohustuslik luua privaatsuspoliitika dokument. Sellega seoses tuleb mõningaid asju tähele panna. Kogusime sulle siia artiklisse kokku selle, mida peab edaspidi ettevõtte privaatsuspoliitikast leidma.
Üldist privaatsuspoliitikas
Privaatsuspoliitika on dokument, mis tuleb luua iga isikuregistri kohta. See tähendab, et igal sinu poolt hallataval registril peab olema privaatsuspoliitika, näiteks isikuregister, kliendiregister, turundusregister. Privaatsuspoliitika peab olema avalik ja kättesaadav. Soovitatav on lisada see enda koduleheküljele.
Järgnevalt käime läbi privaatsuspoliitika põhipunktid ja sellega seotud mõisted.
Vastutav töötleja
Privaatsuspoliitikas peab välja tooma, kelle kasutuseks isikuregister luuakse. Selleks võib olla ühendus või asutus, kuid mitte üksikud töötajad, ettevõtte osakond või teine ettevõte, kes võib olla näiteks sinu eest registri haldaja.
Kontaktisik andmekogumit puudutavates asjades
Andmekogumile tuleb määrata kontaktisik, kellele võib esitada erinevaid töötlemisega seotud küsimusi. Igal andmesubjektil on õigus küsida näiteks seda, mis andmeid tema kohta säilitatakse, kuhu neid andmeid kasutatakse jne. Tavaliselt on kontaktisikuks ettevõtja ise, tegevjuht või muu määratud isik, kes vastutab andmekogumi eest.
Andmekogumi nimi
Kõigil andmekogumitel peab olema nimi, mis kirjeldab selle sihtotstarvet. Näiteks kliendiregister või tööotsijate register.
Isikuandmete töötlemise eesmärk
Isikuandmete kogumi töötlemisel peab olema eesmärk – isikuandmeid ei tohiks ilma sihtotstarbeta säilitada. Töötlemise eesmärk võib olla näiteks kliendisuhete haldamine, turunduse ja teenuse kvaliteedi parendamine.
Siikohal võib privaatsuspoliitikas märkida ka võimalikke isikuandmete töötlemise allhankeid. Seega, kui sul on väliseid teenuse pakkujaid, kes töötlevad isikuandmeid sinu eest või kellele oled andnud kasutusõigused, siis seda tuleks privaatsuspoliitikas kindlasti mainida.
Andmekogumi sisu
Siikohal tuleks välja tuua milliseid isikuandmeid andmekogumisse võib salvestada (PS! See ei tähenda, et neid ilmtingimata salvestatakse). Täpsustama peab salvestatavad isikuandmed, näiteks nimi, sünniaeg ja kontaktandmed. Muus osas piisab teabe sisu kirjeldamiseks infoliikide ja rühmade kirjeldus, näiteks klientide esitatud tellimused, kliendi tehniliste andmete salvestamine, kasutustingimustega seotud andmete salvestamine.
Regulaarsed andmeallikad
Kuskohast enda andmeid kogud? Siinkohal too välja kust saad regulaarselt andmeid, näiteks kodulehel olev pakkumise blanket või teenuse kasutusest kogunevad andmed.
Andmeallikateks võivad olla ka välised registrid, kellelt saad andmeid loovutuse teel, näiteks teenuse pakkujad, kes müüvad kliendiandmeid. Pane tähele, et loovutuse puhul tuleb ära märkida sihtotstarve. Sihtotstarve võib lähtuda seadusest või andmesubjekti nõusolekust.
Andmete reeglitekohased loovutused
Isikuandmete kogumi andmed on eelkõige mõeldud ainult sinu kasutuseks ja seega sina vastutad nende eest.
Kui peaksid isikuandmeid loovutama, siis seda tuleks privaatsuspoliitikas välja tuua ja ka ka seda, kellele, miks ja mis andmeid loovutad. Loovutus on põhjendatud andmesubjekti nõusolekuga või kui seadus seda nõuab. On üsna levinud, et andmesubjekti nõusolek saadakse hetkel, kui ta nõustub kasutustingimustega.
Tähele tuleks panna siiski seda, et loovutamine ja töötlemise allhange on kaks eri asja. Võid kasutada väliseid teenuseid andmete töötlemiseks, kuid enamikul juhtudest ei pea sa neid andmeid sellele teenusepakkujale loovutama.
Andmete edastamine väljapoole Euroopa Liitu või Euroopa Majanduspiirkonda
Privaatsuspoliitikas tuleks kindlasti mainida, kui andmeid loovutatakse Euroopa Liidust või Euroopa Majanduspiirkonnast väljapoole.
Andmekogumi andmekaitse põhimõtted
Vastutav töötleja vastutab privaatsuspoliitikasse koguvate andmete õiguspärase säilitamise eest. Sul on vajalik välja tuua kuidas andmeid kaitstakse, kas kasutusõigusi andmetele on ettevõttesisiseselt piiratud ja kuidas on andmekaitse tagatud ettevõttest väljapool olevate eest. Siinkohal on hea meeles pidada, et ei ole vajalik kõike detailselt märkida, sest see võib andmekaitse ohtu seada. Soovitame kirjeldada seda üldisemalt.
Lisamaterjalid
Infot uuest Isikuandmete kaitse üldmäärusest leiad muu hulgas ka siit:
Andmekaitse Inspektsiooni juhendmaterjalid
Kas artiklist jäi sinu jaoks miskit puudu? Sooviksid saada lisainfot andmekaitse määrusest ja selle mõjust Isolta kasutajatele? Võta meiega ühendust vestlusakna kaudu.