METIDA ISIKUANDMETE TÖÖTLEMISE POLIITIKA
ÜLDSÄTTED
1. METIDA UAB (edaspidi "METIDA") isikuandmete töötlemise poliitika (edaspidi "poliitika") on osa avalikult kättesaadavatest isikuandmete töötlemise eeskirjadest, mis reguleerib füüsiliste isikute, kelle andmeid B töötleb, töötlemise eesmärke, kehtestab nende õiguste kasutamise korra, kehtestab organisatsioonilised ja tehnilised meetmed andmete kaitsmiseks ning reguleerib isikuandmete töötleja kasutamise juhtumeid. 2. Poliitika põhineb: 2.1. Leedu Vabariigi isikuandmete õigusliku kaitse seadus; 2.2. isikuandmete kaitse üldmäärus (edaspidi "GDPR"); 2.3. Leedu Vabariigi advokatuuri ja patendivolinike seadus; 2.4. Leedu Vabariigi valitsuse 28. veebruari 2001. aasta otsus nr 228 "Andmete andmesubjektile andmete esitamise eest tasu maksmise korra ja registreeritud andmetöötlejatelt andmete kogumise eest tasu maksmise korra heakskiitmise kohta"; 2.5. muud õigusaktid, mis reguleerivad isikuandmete töötlemist ja kaitset. 3. Poliitikat kohaldatakse füüsiliste isikute andmete automatiseeritud ja mitteautomatiseeritud isikuandmete struktureeritud failide töötlemise suhtes. 4. Poliitika sätestab ka ettevõtte töötajate õigused, kohustused ja vastutuse. Siin sätestatud nõuded on siduvad kõigile ettevõtte töötajatele, kes töötlevad isikuandmeid või saavad neist teada neile usaldatud ülesannete täitmise käigus. 5. Käesolevat poliitikat peavad järgima ka andmetöötlejad, kui see ei ole sätestatud nende lepingutes või andmetöötluslepingutes METIDAga.
ALUSKONTSEPTSIOONID
6. "isikuandmed/andmed" - igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta, keda saab otseselt või kaudselt tuvastada, eelkõige tunnuse, näiteks nime, isikukoodi, asukohaandmete ja internetitunnuse või ühe või mitme füüsilise isiku füüsilise, füsioloogilise, geneetilise, majandusliku, vaimse, kultuurilise või sotsiaalse identiteediga seotud teguri alusel. 7. Andmekaitseametnik - METIDA töötaja, kes valitakse olemasolevate töötajate hulgast ametialaste omaduste, eelkõige andmekaitsealaste õigusaktide ja -tavade tundmise ning GDPRi artiklis 39 osutatud ülesannete täitmise võime alusel ja kes aitab kaasa nõuetele vastavuse tagamisele vastutuse meetmete rakendamise kaudu (nt andmekaitsealase mõjuhindamise ja auditite läbiviimise või nende läbiviimisele kaasaaitamise kaudu). Andmekaitseametnik on ka ühenduslüliks erinevate sidusrühmade (nt järelevalveasutused, andmesubjektid ja osakonnad) vahel. 8. Töötaja - isik, kes lepingu või ametikoha alusel täidab korrapäraselt ülesandeid METIDA nimel ja/või huvides. 9. "Töötlemine" - mis tahes toiming või toimingute jada, mis tehakse isikuandmete või isikuandmete kogumitega, olenemata sellest, kas see toimub automatiseeritult või mitte, näiteks kogumine, salvestamine, sorteerimine, säilitamine, korrastamine, kohandamine või muutmine, väljavõtete tegemine, juurdepääs, kasutamine, avalikustamine edastamise, levitamise või muul viisil kättesaadavaks tegemise, muude andmetega kooskõlastamise või ühendamise, piiramise, kustutamise või hävitamise teel. 10. Andmete vastutav töötleja - METIDA, kes määrab klientide, muude füüsiliste isikute või töötajate andmete töötlemisel kindlaks nende andmete kasutamise viisid ja vahendid. 11. Andmesubjekt - Klient, muu füüsiline isik või Töötaja, kelle andmeid vastutav töötleja töötleb. 12. Andmetöötleja - üksus, kes töötleb ettevõtte hallatavaid isikuandmeid vastavalt sõlmitud teenuse osutamise või muudele lepingutele. 13. Andmete edastamine - isikuandmete avalikustamine nende edastamise või muul viisil kättesaadavaks tegemise teel. 14. Klient - füüsiline või juriidiline isik, kellele Ettevõte osutab kokkulepitud teenuseid. 15. Liigsed andmed - isikuandmed, mis ei ole vajalikud selleks, milleks neid kogutakse.
ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED JA EESMÄRGID
16. MEETODID Oma ülesannete täitmisel ja isikuandmete töötlemisel peavad töötajad: 16.1. töötlema neid seaduslikult, õiglaselt ja läbipaistvalt; 16.2. koguma andmeid kindlaksmääratud, selgesõnaliselt ja seaduslikel eesmärkidel ning mitte töötlema neid viisil, mis ei ole nende eesmärkidega kooskõlas; 16.3. järgima otstarbekuse, proportsionaalsuse ja andmete minimeerimise põhimõtteid ning mitte nõudma andmesubjektidelt liigseid andmeid; 16.4. tagama selle täpsuse ja vajaduse korral ajakohastama seda; 16.5. parandab, täiendab, hävitab või peatab ebatäpsete või ebatäielike isikuandmete töötlemise; 16.6. säilitama neid nii, et neid ei ole võimalik tuvastada kauem, kui on vajalik nende eesmärkide saavutamiseks, milleks andmeid koguti ja töödeldi; 16.7. töödelda neid nii, et asjakohaste tehniliste või korralduslike meetmete abil tagatakse isikuandmete piisav turvalisus, sealhulgas kaitse loata töötlemise, ebaseadusliku töötlemise, juhusliku kadumise, hävimise või kahjustamise eest (terviklikkuse ja konfidentsiaalsuse põhimõte). 17. Ettevõtte andmetöötlusprotsesside üle teostab järelevalvet andmekaitseametnik. 18. Kogu teave klientide ja neile osutatavate teenuste kohta on konfidentsiaalne ja jääb selleks ka pärast teenuste lõpetamist.
ANDMESUBJEKTIDE ÕIGUSED JA NENDE KASUTAMISE KORD
Andmesubjektide õigused ja teadlikkus
19. Andmesubjektidel on õigus:
19.1. teada (saada teavet) oma andmete töötlemisest;
19.2. saada juurdepääs oma isikuandmetele ja nende töötlemisele, saada teavet selle kohta, millistest allikatest ja milliseid andmeid on kogutud, mis eesmärgil neid töödeldakse, millistele vastuvõtjatele neid vähemalt 1 aasta jooksul edastatakse või on edastatud, ning saada koopiaid dokumentidest, mis sisaldavad nende isikuandmeid, esitades ettevõttele isikut tõendava dokumendi või elektroonilise sidevahendi abil, mis võimaldab isiku nõuetekohast tuvastamist;
19.3. taotleda oma isikuandmete parandamist/kustutamist või piirata oma andmete töötlemist;
19.4. esitada vastuväiteid oma andmete töötlemisele;
19.5. taotleda oma andmete edastamist teisele vastutavale töötlejale või nende edastamist otse andmesubjektile andmesubjektile sobival kujul (ainult need andmed, mille andmesubjekt on ettevõttele esitanud);
19.6. esitada kaebus järelevalveasutusele;
19.7. võtta tagasi antud nõusolek (kui andmeid töödeldakse nõusoleku alusel).
20. Kõigil juhtudel peab ettevõte andma andmesubjektile tema poolt taotletud teavet (välja arvatud juhul, kui andmesubjektil on selline teave juba olemas):
20.1. oma nime, juriidilise isiku numbri ja registrijärgse asukoha;
20.2. andmekaitseametniku kontaktandmed;
20.3. millistel eesmärkidel ja õiguslikul alusel töödeldakse andmesubjekti isikuandmeid;
20.4. andmete saajad, nende kategooriad;
20.5. andmete säilitamise aeg või selle aja määramise kriteeriumid;
20.6. muu lisateave (milliseid isikuandmeid andmesubjekt peab esitama ja millised on nende esitamata jätmise tagajärjed, samuti teave andmesubjekti õiguse kohta tutvuda oma isikuandmetega ja õiguse kohta taotleda ebaõigete, ebatäielike või ebatäpsete isikuandmete parandamist), niivõrd kui see on vajalik isikuandmete nõuetekohase töötlemise tagamiseks, ilma et see piiraks andmesubjekti õigusi.
ANDMESUBJEKTI ÕIGUSTE KASUTAMISE KORD
21. Ettevõte peab: 21.1. võimaldama andmesubjektile käesolevas eeskirjas sätestatud õiguste kasutamist, välja arvatud seaduses sätestatud juhtudel, kui see on vajalik riigi julgeoleku või riigikaitse, avaliku korra, kuritegude ennetamise, uurimise, avastamise või nende eest vastutusele võtmise, riigi oluliste majanduslike või finantshuvide, teenistus- või kutse-eetika rikkumiste ennetamise, uurimise ja avastamise, andmesubjekti õiguste ja vabaduste või teiste isikute õiguste ja vabaduste kaitse tagamiseks; 21.2. tagama, et kogu teave esitatakse andmesubjektile selgelt ja arusaadavalt. 21.3. annab andmesubjektile vastuse hiljemalt 20 (kahekümne) tööpäeva jooksul alates taotluse saamisest. Andmete esitamisest keeldumise korral esitatakse põhjendatud vastus taotluse mittetäitmise kohta. 21.4. Andmesubjekti taotlusel teavitama andmesubjekte viivitamata isikuandmete parandamisest või hävitamisest või töötlemistoimingute peatamisest, välja arvatud juhul, kui sellise teabe andmine oleks võimatu või ülemäära keeruline (andmesubjektide suure arvu, andmete kestuse või põhjendamatute kulude tõttu). Sellisel juhul teavitatakse viivitamatult riigi andmekaitseinspektsiooni.
22. Ettevõte esitab andmed andmesubjektile tasuta. Teatud juhtudel (kui andmesubjekt kuritarvitab selgelt oma õigusi, taotleb põhjendamatult korduvalt teavet, väljavõtteid, dokumente) võib sellise teabe ja andmete edastamine olla tasuline.
22.1. Andmesubjektid võivad oma õiguste kasutamisega seoses võtta ühendust ettevõttega järgmistel kontaktidel: ada@metida.com.
ANDMETE EDASTAMINE ANDMETE SAAJATELE
23. Ettevõte esitab andmesubjektide isikuandmed kooskõlas õigusaktides sätestatud nõuetega ja tagab andmete konfidentsiaalsuse.
24. Ühekordsete andmete esitamise korral eelistab äriühing andmete esitamist elektroonilisel teel.
25. Isikuandmete esitamist riigi- ja kohaliku omavalitsuse asutustele ja organitele, kui need asutused ja organid saavad isikuandmeid seadusega ettenähtud kontrolliülesannete täitmiseks, ei käsitata andmete esitamisena andmete saajatele.
ETTEVÕTTE POOLT TÖÖDELDAVAD ANDMED
26. Teenuste osutamise eesmärgil töödeldakse juriidiliste isikute esindajate andmeid.
26.1. Töötlemise aluseks on lepingu sõlmimine ja täitmine.
26.2. Töödeldavad andmed – Nimi, perekonnanimi, aadress, telefoninumber, e-posti aadress, muud kontaktandmed.
Töödelda võib ka muid andmeid, mis on vajalikud Ettevõtte teenuste osutamiseks ja/või mille on esitanud Klient või tema esindaja.
26.3 Andmete säilitamise aeg – Andmeid töödeldakse nii kaua, kui see on vajalik töötlemise eesmärkide saavutamiseks.
Teatud andmeid, kui töötlemine on kohaldatava õiguse kohaselt vajalik, tuleb töödelda seadusega ettenähtud aja jooksul, kuid mitte kauem kui 50 aastat.
26.4 Andmete allikad – Andmed saadakse otse andmesubjektidelt või nende esindajatelt.
26.5 Andmete säilitamise kohad – Ettevõtte andmebaasis luuakse Kliendi kaart, mis sisaldab Kliendi isikuandmeid.
Andmeid võidakse töödelda ka nende olemasolul dokumentides, mis on loodud või saadud teenuste osutamise käigus või elektroonilises postis.
26.6 Isikud (isikute rühmad), kellele andmeid edastatakse - andmeid ei edastata kolmandatele isikutele.
Kliendi või tema esindaja taotlusel, seaduslikul alusel või edastamise loal võib andmeid edastada kohtutele, riigiasutustele, menetlusosalistele jne, kui see on vajalik kliendile teenuste osutamiseks või kui seda nõuab kohaldatav õigus.
Kliendi esindajate andmeid sisaldavatesse andmebaasidesse pääsevad ligi ettevõtted, kes osutavad ettevõttele IT-teenuseid.
Ettevõte nõuab, et andmetöötlejad töötleksid andmeid vastavalt Leedu Vabariigis ja Euroopa Liidus kehtivatele õigusaktidele.
26.7. Andmete edastamine kolmandatesse (ELi/EMP-välistesse) riikidesse - Isikuandmeid ei edastata kolmandatesse riikidesse, välja arvatud juhul, kui see on vajalik Kliendile teenuste nõuetekohaseks osutamiseks ja sellest teavitatakse Kliendi esindajat.
26.8. Eriliste isikute ja alaealiste andmete töötlemine – Ettevõte ei töötle alaealiste või eriliste isikute andmeid sel eesmärgil.
26.9 Kas andmesubjektid on teadlikud töötlemisest ja oma õigustest – Klientide esindajad on nõusoleku andmisega ettevõtte teenuste osutamiseks neile teadlikud, et ettevõte töötleb nende esitatud isikuandmeid. Klientide esindajaid teavitatakse nende õigustest ka Ettevõtte veebilehel avaldatud poliitikast.
27. Teenuste osutamise eesmärgil töödeldavad füüsiliste isikute andmed.
27.1. Andmete töötlemise aluseks on lepingu sõlmimine ja täitmine.
27.2. Töödeldavad andmed – Nimi, perekonnanimi, aadress, isikukood, toimiku number, keel, käibemaksukohustuslase number (kui on), aadress, telefoninumber, e-posti aadress, muud kontaktandmed.
Muid andmeid võib töödelda, mis on vajalikud Ettevõtte teenuste osutamiseks ja/või Kliendi poolt esitatavad andmed.
27.3 Andmete säilitamise aeg – andmeid töödeldakse nii kaua, kui see on vajalik töötlemise eesmärkide saavutamiseks.
Teatud andmeid, kui töötlemine on kohaldatava õiguse kohaselt vajalik, tuleb töödelda seadusega ettenähtud aja jooksul, kuid mitte kauem kui 50 aastat.
27.4 Andmete allikad – Andmed saadakse kliendilt.
Teatud juhtudel võib andmeid saada ka kaudselt, nt toimikutest.
27.5 Andmete säilitamiskohad – Kliendi kaart, mis sisaldab tema isikuandmeid, luuakse Ettevõtte andmebaasis.
Andmeid võidakse töödelda ka teenuste osutamise käigus loodud või saadud dokumentides või elektroonilises postis.
27.6 Isikud (isikute rühmad), kellele andmeid edastatakse – andmeid ei edastata kolmandatele isikutele.
Kliendi taotlusel, seaduslikul alusel või edastamise loal võib andmeid edastada kohtutele, riigiasutustele, menetlusosalistele jne, kui see on vajalik kliendile teenuste osutamiseks või kui seda nõuab kohaldatav õigus.
Juurdepääs andmebaasidele, kus isikuandmeid säilitatakse, on võimaldatud ettevõtjale IT-teenuseid osutavatele ettevõtetele.
Ettevõte nõuab, et andmetöötlejad töötleksid andmeid vastavalt Leedu Vabariigis ja Euroopa Liidus kehtivatele õigusaktidele.
27.7. Andmete edastamine kolmandatesse (ELi/EMP-välistesse) riikidesse – Isikuandmeid ei edastata kolmandatesse riikidesse, välja arvatud juhul, kui see on vajalik kliendile teenuste nõuetekohaseks osutamiseks ja klienti on sellest teavitatud.
27.8 Alaealiste ja eraisikute andmete töötlemine – Ettevõte võib töödelda alaealiste ja eraisikute andmeid, kui need andmed saadakse teenuste osutamise käigus ja need on vajalikud nende teenuste osutamiseks.
27.9.Kas andmesubjekte on teavitatud töötlemisest ja nende õigustest – Andmesubjektid mõistavad, et ettevõte töötleb nende isikuandmeid oma klientidele teenuste osutamiseks. Andmesubjekte teavitatakse nende andmete töötlemisest ja sellest tulenevatest õigustest ka ettevõtte veebilehel avaldatud poliitikast.
28. Potentsiaalsete klientide andmeid töödeldakse lepingu sõlmimise eesmärgil.
28.1. Töötlemise aluseks on lepingu sõlmimine ja täitmine.
28.2. Töödeldavad andmed – Nimi, perekonnanimi, aadress, telefoninumber, e-posti aadress, muud kontaktandmed.
Töödelda võib ka muid andmeid, mis on vajalikud ettevõtte teenuste osutamiseks ja/või mida potentsiaalne klient või tema esindaja esitab.
28.3. Andmete säilitamise aeg – Andmeid töödeldakse selle alusel kuni lepingu sõlmimiseni/tellimuse kinnitamiseni või koostööst loobumiseni.
28.4 Andmete allikad – Andmed saadakse otse andmesubjektidelt.
28.5 Andmete säilitamiskohad – Teenuste osutamiseks peetavate läbirääkimiste puhul säilitatakse andmesubjekti või tema esindaja andmeid e-kirjades/kohtumiste protokollides jne.
Andmeid võib töödelda ka tulevase teenuse osutamise eesmärgil loodud või saadud dokumentides.
Teatud tingimustel, mis takistavad lepingu kohest sõlmimist või läbirääkimiste käigus, võib potentsiaalsete klientide või nende esindajate andmeid salvestada ettevõtte andmebaasis ka pärast potentsiaalsete kliendikaartide loomist.
28.6 Isikud (isikute rühmad), kellele andmeid edastatakse – Andmeid ei edastata kolmandatele isikutele.
Potentsiaalse Kliendi taotlusel, seaduslikul alusel või andmete edastamise loal võib andmeid edastada kohtutele, riigiasutustele, menetlusosalistele jne, kui see on vajalik lepingu sõlmimiseks.
Klientide esindajate isikuandmeid sisaldavatele andmebaasidele on juurdepääs IT-teenuseid pakkuvatel ettevõtetel.
Ettevõte nõuab, et andmetöötlejad töötleksid andmeid kooskõlas Leedu Vabariigis ja Euroopa Liidus kehtivate õigusaktidega.
28.7. Andmete edastamine kolmandatesse (ELi/EMP-välistesse) riikidesse – Isikuandmeid ei edastata kolmandatesse riikidesse, välja arvatud juhul, kui see on vajalik potentsiaalsele Kliendile teenuste osutamise alustamiseks ja sellest teavitatakse Klienti või tema esindajat.
28.8. Erisikute ja alaealiste andmete töötlemine – Ettevõte ei töötle alaealiste või erisikute andmeid sel eesmärgil, välja arvatud juhul, kui need andmed on vajalikud potentsiaalsele kliendile teenuste osutamise alustamiseks.
28.9. Kas andmesubjektid on töötlemisest ja oma õigustest teadlikud – Potentsiaalsed kliendid või nende esindajad on oma isikuandmete esitamisel teadlikud, et ettevõte töötleb nende isikuandmeid. Ilma neid andmeid esitamata ei oleks võimalik pidada läbirääkimisi edasise teenuse osutamise üle. Potentsiaalseid kliente või nende esindajaid teavitatakse nende õigustest ka ettevõtte veebilehel avaldatud poliitikast.
29. Ettevõtte värbamisprotsessis osaleda soovivate isikute andmete töötlemine sisemise halduse eesmärgil.
29.1. Töötlemise alus – Vabadele töökohtadele kandideerijad annavad oma nõusoleku (positiivse toiminguga) oma andmete töötlemiseks kuni valikumenetluse lõpuni.
29.2 Töödeldavad andmed – Nimi, perekonnanimi, sünniaeg, e-posti aadress, telefoninumber, haridustase, varasemad tööandjad. Samuti võidakse töödelda muid andmeid, mis on esitatud kandidaatide esitatud dokumentides, sealhulgas, kuid mitte ainult, elulookirjelduses (CV).
Juhul kui Leedu Vabariigi õigusaktidega kehtestatakse täiendavad piirangud sellele, milliseid andmeid kandidaatide kohta võib töödelda, tagab ettevõte, et töödeldakse ainult neid kandidaatide isikuandmeid, mida võib töödelda.
29.3. Andmete säilitamise aeg – Pärast ametikoha valiku lõpetamist kustutatakse edutute kandidaatide andmed, välja arvatud juhul, kui kandidaadid on andnud eraldi nõusoleku oma andmete edasiseks töötlemiseks.
29.4 Andmete allikad – Kandidaadid esitavad oma isikuandmed ettevõttele kandideerimisel. Teatud juhtudel, kui valikumenetlus toimub kolmandate isikute (ettevõtte andmetöötlejad) kaudu, esitatakse andmed kõigepealt neile ja alles seejärel ettevõttele. Kõikidel juhtudel on ettevõte vastutavaks andmetöötlejaks.
29.5 Andmete säilitamiskohad – kandidaatide andmeid säilitatakse struktureeritult ettevõtte andmebaasides.
Kandidaatide CV-d või kaaskirju võib säilitada ka paberkandjal.
Isikud (isikute rühmad), kellele andmeid edastatakse – Kandidaatide andmeid ei edastata kolmandatele isikutele.
Andmebaasi, kus kandidaatide andmeid säilitatakse, saavad kasutada ettevõtte IT-teenuste pakkujad.
Ettevõte võib kasutada värbamise eesmärgil kolmandaid isikuid, sealhulgas, kuid mitte ainult, ettevõtteid, portaale ja üksikisikuid, kes viivad läbi värbamisprotsessi või abistavad seda. Ettevõte nõuab, et need andmetöötlejad töötleksid andmeid vastavalt Leedu Vabariigis ja Euroopa Liidus kehtivatele seadustele ja määrustele.
29.7 Andmete edastamine kolmandatele (ELi/EMP-välistele) riikidele – Kandidaatide isikuandmeid ei edastata kolmandatele riikidele.
29.8. Eriandmete ja alaealistega seotud andmete töötlemine – Eriandmeid ei töödelda, välja arvatud juhul, kui kandidaat ise otsustab selliseid andmeid enda kohta esitada.
Alaealised ei ole ettevõtte teenistuses ja seetõttu nende andmeid ei töödelda.
29.9. Kas andmesubjektid on teadlikud töötlemisest ja oma õigustest – Kandidaate teavitatakse nende andmete töötlemisest ja nende õigustest, sealhulgas õigus taotleda ettevõttelt oma andmete kustutamist. Teave on esitatud ettevõtte veebilehel avaldatud poliitikas.
30. Nende isikute andmete töötlemine, kes on taotlenud osalemist ettevõtte värbamisprotsessis sisemise halduse eesmärgil pärast värbamisprotsessi lõppu, eesmärgiga pakkuda neile tulevikus tööd. Samuti nende isikute andmete töötlemine, kes taotlevad tööd ettevõttesse ilma konkreetse värbamisprotsessita sisehalduse eesmärgil, eesmärgiga pakkuda tulevast tööd.
30.1 Töötlemise alus – Ettevõte töötleb kandidaatide andmeid ainult nende individuaalse nõusoleku alusel.
30.2. Töödeldavad andmed – nimi, perekonnanimi, sünniaeg, e-posti aadress, telefoninumber, haridus, endised tööandjad. Samuti võidakse töödelda muid andmeid, mis on märgitud kandidaatide esitatud dokumentides, sealhulgas, kuid mitte ainult, elulookirjelduses (CV).
Juhul kui Leedu Vabariigi õigusaktidega kehtestatakse täiendavad piirangud sellele, milliseid andmeid kandidaatide kohta võib töödelda, tagab ettevõte, et töödeldakse ainult neid kandidaatide isikuandmeid, mida võib töödelda.
30.3. Andmete säilitamisperiood – nimetatud eesmärkidel töödeldakse andmeid maksimaalselt kaks aastat alates nõusoleku andmise kuupäevast. Kui ettevõte teeb kandidaadile tööpakkumise ja kandidaat keeldub, kuid annab nõusoleku oma isikuandmete edasiseks töötlemiseks, töödeldakse andmeid kaks aastat alates uuendatud nõusoleku andmisest.
30.4 Andmete allikad – kandidaadid esitavad oma isikuandmed, kui nad kandideerivad ettevõttele. Mõnel juhul, kui valikumenetlus toimub kolmandate isikute kaudu, esitatakse andmed kõigepealt neile ja seejärel ettevõttele. Kõigil juhtudel on ettevõte andmete vastutav töötleja.
30.5 Andmete säilitamiskohad – kandidaatide andmeid töödeldakse struktureeritult ettevõtte andmebaasides.
Kandidaatide CV-d või kaaskirju võib säilitada ka paberkandjal.
30.6 Isikud (isikute rühmad), kellele andmeid edastatakse – kandidaatide andmeid ei edastata kolmandatele isikutele.
Andmebaas, milles kandidaatide andmeid hoitakse, on kättesaadav ettevõtte IT-teenuste pakkujatele.
Ettevõte võib kasutada värbamiseks kolmandate isikute teenuseid, sealhulgas, kuid mitte ainult, ettevõtteid, portaale ja üksikisikuid, kes viivad läbi värbamisprotsessi või abistavad seda.
Ettevõte nõuab, et andmetöötlejad töötleksid andmeid vastavalt Leedu Vabariigis ja Euroopa Liidus kehtivatele seadustele ja määrustele.
30.7 Andmete edastamine kolmandatele (ELi/EMP-välistele) riikidele – Kandidaatide isikuandmeid ei edastata kolmandatele riikidele.
30.8. Eriliste isikute ja alaealiste andmete töötlemine – Erilisi andmeid ei töödelda, välja arvatud juhul, kui kandidaat ise otsustab neid andmeid esitada.
Alaealised ei tööta ettevõttes ja seetõttu nende andmeid ei töödelda.
30.9. Kas andmesubjektid on teadlikud töötlemisest ja oma õigustest – Kandidaate teavitatakse nende andmete töötlemisest ja nende õigustest, sealhulgas õigus taotleda ettevõttelt oma andmete kustutamist. Teave on esitatud ettevõtte veebilehel avaldatud poliitikas.
31. Otseturunduse eesmärgil.
31.1 Andmete töötlemise aluseks on nõusolek.
Teatud juhtudel võib isikuandmeid töödelda ka õigustatud huvi alusel. Arvestades, et ettevõte on spetsialiseerunud intellektuaalomandiõiguse valdkonnale, on nii ettevõtte kui ka tema klientide (kliendiesindajate) või partnerite huvides saada asjakohast teavet selle valdkonna kontekstis. Sel põhjusel võib ettevõtte klientidele või teistele isikutele, kes on huvitatud sellise teabe saamisest, saata otseturundusteateid, mis sisaldavad asjakohast teavet või ettevõtte töötajate väljaandeid. Kõigile adressaatidele antakse võimalus igal ajal loobuda andmete töötlemisest turunduslikel eesmärkidel.
31.2. Töödeldavad andmed – nimi, perekonnanimi, ametinimetus, töökoht, e-posti aadress, telefoninumber – võivad olla töödeldud ka muud kontaktandmed.
Mõnel juhul, nt visiitkaardi puhul, võidakse töödelda ka pilti.
31.3 Andmete säilitamise aeg – andmete töötlemine nõusoleku alusel ei tohi ületada 4 aastat. Kui 4-aastane periood ei ole veel lõppenud, võib ettevõte paluda andmesubjektil nõusolekut pikendada. Nõusoleku pikendamise korral säilitatakse andmeid maksimaalselt 8 aastat (kokku).
Juhul kui andmeid töödeldakse mõlema poole õigustatud huvi alusel, töödeldakse andmeid seni, kuni andmesubjekt loobub sellisest töötlemisest.
31.4 Andmete allikad – andmed saadakse otse Andmesubjektidelt.
31.5 Andmete säilitamiskohad – Andmesubjektikaardid luuakse ettevõtte andmebaasides. Andmeid võib salvestada ka spetsiaalsetes rakendustes või elektroonilises postis.
Andmeid võib säilitada ka füüsilisel kujul, näiteks visiitkaartidel või paberkandjal nõusolekuvormidel.
31.6 Isikud (isikute rühmad), kellele andmeid edastatakse – Andmeid ei edastata kolmandatele isikutele.
Andmebaasidele, milles andmeid säilitatakse, on juurdepääs ettevõtjale IT-teenuseid pakkuvatel ettevõtetel.
Ettevõte nõuab, et andmetöötlejad töötleksid andmeid vastavalt Leedu Vabariigis ja Euroopa Liidus kehtivatele õigusaktidele.
31.7. Andmete edastamine kolmandatele (ELi/EMP-välistele) riikidele – Isikuandmeid ei edastata kolmandatele riikidele.
31.8 Eriliste isikute ja alaealiste andmete töötlemine – Ettevõte ei töötle alaealiste või eriliste isikute isikuandmeid sel eesmärgil. Siiski ei kontrolli Ettevõte otseturunduse eesmärgil andmete kogumisel Andmesubjektide vanust, kuna seda käsitatakse liigsete andmete kogumisena.
31.9. Kas andmesubjekte teavitatakse töötlemisest ja nende õigustest – Andmesubjekte teavitatakse nende õigustest seoses isikuandmete kaitsega, kui nad annavad nõusoleku andmete töötlemiseks otseturunduse eesmärgil. Andmesubjekte teavitatakse nende õigustest ka ettevõtte veebisaidil avaldatud poliitikas.
32. Ettevõte võib sisemise halduse eesmärgil töödelda ka muid isikuandmeid, mille töötlemine on määratletud ettevõtte poolt vastu võetud isikuandmete töötlemise eeskirjades.
ORGANISATSIOONILISED JA TEHNILISED MEETMED ISIKUANDMETE KAITSMISEKS
33. Ettevõte teeb kõik endast oleneva, et tagada oma organisatsiooniliste ja tehniliste andmete turvameetmete vastavus GDPRi ja muude õigusaktide nõuetele. Isikuandmete kaitsmiseks juhusliku või ebaseadusliku hävitamise, muutmise, avalikustamise või muu ebaseadusliku töötlemise eest võetakse järgmised infrastruktuuri-, haldus- ja telekommunikatsioonilised (elektroonilised) meetmed:
33.1. riistvara nõuetekohane asukoht ja hooldus, infosüsteemide hooldus, võrguhaldus, internetiühenduse turvalisus ja muud infotehnoloogilised meetmed:
33.2. ranget vastavust tuletõrjeteenistuse kehtestatud standarditele;
33.3. asjakohane töökorraldus ja muud haldusmeetmed;
33.4. asjakohaste andmeturbemeetmete rakendamine;
33.5. praktilised katsed isikuandmete taastamiseks hädaolukorras;
33.6. andmete taastamise tagamine viimasest olemasolevast varukoopiast, kui andmed lähevad kaduma arvuti riistvararikke, tarkvaravea või muu andmete terviklikkuse rikkumise tõttu;
33.7. muud vajalikud meetmed.
34. Ettevõtte andmekaitseametnik vastutab organisatsiooniliste ja tehniliste andmete turvameetmete rakendamise eest.
35. Töötajad, kes töötlevad isikuandmeid, järgivad konfidentsiaalsuse põhimõtet ja hoiavad saladuses kõik andmesubjekte puudutavad andmed, mis on neile teatavaks saanud nende tööülesannete täitmisel. See kohustus kehtib ka pärast ettevõtte teisele ametikohale üleviimist või pärast töö- või lepingulise suhte lõppemist ettevõttega.
36. Töötajad töötlevad isikuandmeid automaatselt ainult pärast seda, kui neile on antud juurdepääs asjaomasele infosüsteemile. Juurdepääsu isikuandmetele võib anda ainult sellele isikule, kellele isikuandmed on vajalikud tema ülesannete täitmiseks. Juurdepääs tühistatakse töösuhte lõppemisel.
37. Töötajad annavad isikuandmeid sisaldavaid dokumente üle ainult nendele töötajatele, kellel on oma ülesannete või individuaalsete ülesannete tõttu õigus isikuandmeid töödelda.
38. Töötajad, kes täidavad andmesubjekti andmete töötlemise ülesandeid, peavad vältima juhuslikku või ebaseaduslikku töötlemist ning säilitama dokumente asjakohasel ja turvalisel viisil (vältides andmesubjekti andmete tarbetute koopiate kogumist jne). Andmesubjekti andmeid sisaldavate dokumentide koopiad hävitatakse nii, et neid ei saa reprodutseerida ja nende sisu ei ole võimalik tuvastada.
39. Töötajate arvutid, kus hoitakse isikuandmeid sisaldavaid faile, ei ole kättesaadavad teistest arvutitest võrgus. Nende arvutite viirusetõrjetarkvara hoitakse ajakohasena.
40. Isikuandmeid sisaldavaid faile ei reprodutseerita digitaalselt, st failide koopiaid ei tehta kohalikele arvutiplaatidele, kaasaskantavatele andmekandjatele, kaugfailide salvestamiseks jne, välja arvatud juhul, kui see on vajalik.
41. Ettevõttes tagatakse turvaliste protokollide ja/või paroolide kasutamine, kui isikuandmeid edastatakse väliste andmevõrkude kaudu.
42. Välistel andmekandjatel ja e-kirjades sisalduvate isikuandmete turvakontroll ja kustutamine pärast kasutamist tagatakse nende ülekandmisega andmebaasidesse.
43. Andmekaitseametnik tagab, et nende eesmärkide saavutamiseks on võetud asjakohased organisatsioonilised meetmed:
43.1. loata juurdepääsu kontroll ettevõtte ruumidesse ukselukustussüsteemi ja üldise turvahäiresüsteemi abil;
43.2. ettevõtte sisemise arvutivõrgu kindlustamine.
44. Töötajad korraldavad oma töö nii, et teised isikud saaksid võimalikult vähe teada töödeldavatest isikuandmetest. Seda sätet rakendatakse:
44.1. mitte jättes järelevalveta dokumente, mis sisaldavad töödeldavaid isikuandmeid, või arvutit, mis võimaldab avada isikuandmeid sisaldavaid faile nii, et neis sisalduvat teavet võivad lugeda töötajad, kellel ei ole õigust asjaomaseid isikuandmeid töödelda, praktikandid või muud isikud;
44.2. dokumentide säilitamine nii, et neid (või nende osi) ei saa lugeda volitamata isikud;
44.3. kui isikuandmeid sisaldavaid dokumente edastatakse teistele töötajatele, osakondadele või büroodele isikute kaudu, kellel ei ole õigust isikuandmeid töödelda, või posti või kulleriga, tuleb need edastada pitseeritud läbipaistmatus ümbrikus. See punkt ei kehti, kui nimetatud teated edastatakse isiklikult ja konfidentsiaalselt.
45. Andmekaitseametnik vastutab isikuandmete rikkumise haldamise ja sellele reageerimise eest.
ISIKUANDMETE TÖÖTLEJA KASUTAMINE
46. Kui ettevõte volitab andmete töötlejat isikuandmete töötlemiseks, sätestatakse andmekaitsepõhimõtted, eeskirjad ja vastutuse tingimused teenuslepingus või selle puudumisel poolte vahelises eraldi kirjalikus kokkuleppes isikuandmete asjakohase töötlemise kohta.
47. Otsuse, kas andmesubjekti andmete töötlemine antakse üle andmetöötlejale, teeb ettevõtte juhtivpartner või, kui ta ei saa seda teha, teised ettevõtte töötajad, kes võivad tegutseda ettevõtte nimel, vastavalt ettevõtte poolt heakskiidetud isikuandmete töötlemise eeskirjadele.
48. Äriühing peab valima andmetöötleja, kellel on vajalikud teadmised, usaldusväärsus ja ressursid tehniliste ja organisatsiooniliste andmekaitsemeetmete rakendamiseks ja nende meetmete, sealhulgas käesolevas eeskirjas käsitletud tehniliste ja organisatsiooniliste andmete turvameetmete järgimise tagamiseks.
49. Kui ettevõte lubab andmetöötlejal töödelda isikuandmeid, peab ta täpsustama, et isikuandmeid töödeldakse vastavalt ettevõtte juhistele ja heakskiidetud eeskirjadele ning milliseid töötlemistoiminguid peab andmetöötleja tegema. Ettevõte teavitab andmetöötlejat ka andmete töötlemise kestusest, laadist, tüübist, andmesubjektide kategooriatest, andmetöötleja kohustusest kustutada või tagastada isikuandmed pärast teenuste osutamise lõppu ning muudest ettevõtte poolt heakskiidetud andmetöötlusnõuetest.
50. Andmetöötlejatega lepingut sõlmides tagab ettevõte, et isikuandmete töötlemine toimub konfidentsiaalselt ja et andmetöötleja saab ettevõtte eelneva kirjaliku nõusoleku, kui ta kavatseb kasutada töötlemiseks kolmandaid isikuid (alltöötlejaid).
51. Andmekaitseametnik hoiab, vaatab läbi ja vajaduse korral algatab lepingute uuendamise/muutmise/lõpetamise ja koostöö andmetöötlejatega.
LÕPPSÄTTED
52. Ettevõte tagab, et töötajaid, kellel on õigus isikuandmeid töödelda, teavitatakse täielikult selliste andmete töötlemisest ja selle eeskirjadest. Andmekaitseametnik vastutab isikuandmete töötlemisega tegelevate töötajate asjakohase teavitamise korraldamise ja rakendamise eest.
53. Andmekaitseametnik vastutab poliitika sätete järgimise jälgimise ning selles sätestatud sätete jälgimise ja korrapärase ajakohastamise eest.