ISIKUANDMETE TÖÖTLEMISE PÕHIMÕTTED

Kinnitatud ja kehtivad alates 25.05.2018.

1. Käesolevates Isikuandmete töötlemise põhimõtetes kasutatud mõistetel on järgmised tähendused.

1.1. Isikuandmed – igasugune teave füüsilise isiku kohta, kes on tuvastatud või kelle isikusamasuse saab otse või kaudselt tuvastada (andmesubjekt), nt ees- ja perekonnanime, isikukoodi, asukohaandmete või veebipõhise tunnuse või füüsiliste, füsioloogiliste, geneetiliste, vaimsete ja muude tunnuste põhjal.

1.2. Isik – füüsiline isik, kelle Isikuandmeid töödeldakse (andmesubjekt), nt Võimalik kandidaat, Kandidaat, Ajutine töötaja, Haldustöötaja või muu füüsiline isik.

1.3. Vastutav isik – isik, kes vastutab Isikuandmete kaitse eest ja kelle Vastutav töötleja, sealhulgas andmekaitseametnik, on nimetanud (nagu isikuandmete kaitse üldmääruses määratletud). Vastutava töötleja nimetatud andmekaitseametniku e-posti aadress on dpo@biuro.eu.

1.4. Isikuandmete kaitse üldmäärus – Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.

Isikuandmete kaitse üldmäärus on kättesaadav siit:

 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG

1.5. Biuro kontsern koosneb järgmistest äriühingutest: UAB “Biuro Baltic”, UAB “Biuro”, UAB „Darbius“, UAB “Workis”, SIA “Biuro”, SIA „Biuro Latvia“, SIA „Starjobs“, OÜ „Biuro“, WORKIS OÜ, UAB “Biuro go”, UAB "Biuro MSP".

1.6. Andmetöötlus – automaatne või mitteautomaatne toiming, mida Isikuandmetega tehakse, nt kogumine, dokumenteerimine, korraldamine, struktureerimine, säilitamine, kohandamine või muutmine, vaatamine, kasutamine, avalikustamine, piiramine, kustutamine või hävitamine jne.

1.7. Võimalik kandidaat – füüsiline isik, kelle Isikuandmed on tavaliselt avalikult kättesaadavad või eri tööotsingu andmebaasides avaldatud või kes on need ise kättesaadavaks teinud, kui ta on esitanud oma andmed, et temaga saaks ühendust võtta eesmärgiga teha ettepanek teha Volitatud töötlejaga koostööd, osaleda valikumenetluses ja olenevalt värbamistulemustest olla tööle värvatud. Võimalik kandidaat, kes täidab oma Isikuandmete vormi, muutub Kandidaadiks.

1.8. Kandidaat – füüsiline isik, kellega Vastutav töötleja on juba ühendust võtnud ja kes on seejärel otsustanud teha Vastutava töötlejaga koostööd ning kes on täitnud nõutavad vormid ja esitanud oma Isikuandmed, mida Vastutav töötleja vajab, et esitada võimalikke tööpakkumisi ja/või kutsuda valikumenetluses osalema ning pärast valikumenetluse edukat läbimist teha ettepanek töölepingu sõlmimiseks.

1.9. Ajutine töötaja – Kandidaat, kes läbis edukalt valikumenetluse ja sõlmis ajutise töölepingu.

1.10. Haldustöötaja – tavaliselt Vastutava töötleja haldustöötaja, kes töötab Isikuandmetega; haldustöötaja võib olla esindaja, agent või isik, kes täidab Vastutava töötleja korraldusi, tuginedes muule alusele ja omades juurdepääsu Isikuandmetele.

1.11. Rikkumine – Isikuandmete rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, säilitatavate või muul viisil töödeldavate Isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.

1.12. Põhimõtted – Biuro kontserni Isikuandmete töötlemise põhimõtted.

1.13. Järelevalveasutus – sõltumatu avalik asutus, mis on loodud selleks, et teha järelevalvet Andmetöötluse nõuetele vastavuse üle, samuti kasutada ja täita muid isikuandmete kaitse üldmääruses märgitud õiguseid ja ülesandeid. Juhtiv järelevalveasutus on Eesti Vabariigis asutatud riigieelarveline institutsioon ehk Andmekaitse Inspektsioon.

Link riigi andmekaitse inspektsiooni kodulehele: http://www.aki.ee/ 

1.14. Volitatud töötleja – füüsiline või juriidiline isik, kes töötleb Vastutava töötleja nimel Isikuandmeid, st abistab Vastutavat töötlejat ja täidab tema korraldusi.

1.15. Vastutav töötleja – Biuro kontserni mis tahes äriühing, kes tegutseb Isikuandmete vastutava töötlejana ning määrab üksi või koos teistega kindlaks Andmetöötluse eesmärgid ja vahendid. See määratlus viitab olenevalt kontekstist Biuro kontserni mis tahes eraldi äriühingule või kõikidele Biuro kontserni äriühingutele. Biuro kontsern, kes tegutseb Isikuandmete töötlejana, kas üksikult või koos teistega määratleb kindlaks Andmetöötluse eesmärgid ja vahendid. See määratlus viitab sõltuvalt kontekstist mis tahes ühele Biuro kontserni ettevõttele või kõikidele Biuro kontserni ettevõtetele.

2. Käesolevate Põhimõtete eesmärk on määrata kindlaks peamised eeskirjad Andmetöötluseks, mida iga Biuro kontserni äriühing kui Vastutav töötleja teeb, tagades vastavuse isikuandmete kaitse üldmäärusele ja muudele kohaldatavatele õigusaktidele ning nende nõuetekohase rakendamise. Biuro kontsern kui Vastutav töötleja, tagab isikuandmete kaitse üldmääruse ja teiste kohaldatavate seaduste järgimise ja nõuetekohase rakendamise.

3. Esiteks peab Vastutav töötleja Isikuandmeid töödeldes järgima järgmisi isikuandmete kaitse üldmääruse põhimõtteid: eesmärgi piirang (Andmetöötlus üksnes viisil, mis vastab esialgu kindlaks määratud eesmärkidele); võimalikult väheste andmete kogumine (üksnes määral, mil Isikuandmed on vajalikud); õiguspärasus, õiglus ja läbipaistvus; õigsus; säilitamise piirang (andmeid ei hoita kauem, kui on konkreetseks eesmärgiks vaja); usaldusväärsus ja konfidentsiaalsus, samuti vastutus (Vastutav töötleja suudab tõendada, et ta täidab oma kohustusi).

4. Kõik Haldustöötajad peavad järgima põhimõtetes ette nähtud nõudeid, töödeldes Isikuandmeid Vastutava töötleja andmebaasides, olenemata sellest, kuidas Isikuandmed saadi/koguti. Sama kehtib juhul, kui nad saavad teada Isikuandmeid oma ülesandeid täites. Isikuandmeid võivad töödelda ja kasutada üksnes need Haldustöötajad, kelle jaoks see on vajalik nende ülesannete täitmiseks ning kes on Põhimõtetega tutvunud (st kes on töölepingut sõlmides seda allkirjaga kinnitanud). Nendel Haldustöötajatel on õigus tutvuda selliste dokumentide ja/või andmetega või neid teistele tutvustada üksnes määral, mil see on vajalik nende ülesannete täitmiseks.

5. Põhimõtete rakendamise ja vastavuse ülalnimetatud isikuandmete kaitse põhimõtetele tagab Vastutava töötleja Juht koos Vastutavate isikutega, kehtestades asjakohased meetmed ning tehes järelevalvet selle üle, kas nõuetekohased meetmed on tagatud.

Vastutavate isikute asjaomane loetelu on kättesaadav igale Vastutavale töötlejale Biuro kontserni andmebaasi kaudu.

6. Vastutav töötleja töötleb Isikuandmeid õiguspäraste eesmärkide saavutamisel ning viisil, mis on kindlaks määratud iga Vastutava töötleja veebisaidil või mobiilirakenduses. Üksikasjalikku teavet Andmetöötluse kohta esitatakse ja see on kättesaadav siseses andmebaasis üksnes Vastutavatele isikutele. Teavet andmete töötlemise kohta kooskõlas isikuandmete kaitse üldmäärusega esitatakse Isikutele nende keeles ja tabeli vormis: teave isikuandmete, eesmärkide, töötlemise õigusliku aluse, isikute kategooriate, säilitamistähtaja, volitatud töötlejate ja andmete vastuvõtjate kohta, samuti muu teave vajaduse korral (nt kust andmed on saadud, kui neid ei ole saadud Isikult; kas andmeid kantakse edasi kolmandasse riiki väljaspool EMPd; tagajärjed, kui Isikuandmeid ei esitata).

Tabel on kättesaadav Vastutava töötleja veebisaidil rubriigis „Isikuandmed“.

7. Erandjuhtudel, mil töödeldakse Isikuandmete erikategooriaid, nt karistusregistri andmeid, terviseandmeid, ametiühingutes osalemise andmeid jne, kontrollivad Haldustöötajad lisaks, kas kõiki nõutavaid meetmeid on kasutatud, ning teevad lisatoimingud (nt hangivad töötlemiseks eraldi nõusoleku) ja võtavad lisameetmeid (nt hoiduvad andmete säilitamisest Vastutava töötleja andmebaasis või muus kasutatavas programmis), kui see on vajalik.

Isikuandmete erikategooriate töötlemise toiminguid ja nende järjestust on kirjeldatud Biuro kontserni sisekorras „Erikategooria Isikuandmete töötlemine“.

8. Isikuandmeid võib hankida otse Isikutelt ja kolmandatelt isikutelt automaatsete või mitteautomaatsete vahendite abil, nagu on märgitud Andmetöötlemist käsitlevas tabelis. Kui Isikuandmeid esitatakse mitteautomaatsete vahendite kaudu, sisestavad Haldustöötajad kogutud andmed käsitsi Vastutava töötleja andmebaasi.

Tabel on kättesaadav Vastutava töötleja veebisaidil rubriigis „Isikuandmed“.

9. Töödeldud Isikuandmeid võib edastada teistele isikutele üksnes isikuandmete kaitse üldmääruses või muudes kohaldatavates õigusaktides sätestatud korras ning ainult käesolevates Põhimõtetes või Andmetöötlemist käsitlevas tabelis märgitud juhtudel. Isikuandmeid võib edastada väljapoole Euroopa Liidu või Euroopa Majanduspiirkonna piire üksnes siis, kui on tagatud Isikuandmete kaitse piisav tase. Vastutav töötleja kasutab Andmetöötluseks Volitatud töötlejaid, st serveri ja pilvandmetöötluse teenuste pakkujaid, kes võivad tegutseda väljaspool Euroopa Liidu ja Euroopa Majanduspiirkonna piire. Seega võidakse Isikuandmeid edastada kolmandatesse riikidesse määral, mil see on vajalik Volitatud töötlejale antud Andmetöötlemise ülesannete täitmiseks.

Tabel on kättesaadav Vastutava töötleja veebisaidil rubriigis „Isikuandmed“.

10. Vastutav töötleja võib esitada Isikuandmeid kohtutele, õiguskaitseasutustele, kohtutäituritele, notaribüroodele, advokaatidele ja nende abidele, riigiasutustele ja kohalikele omavalitsustele, äriühingutele, institutsioonidele ja organisatsioonidele, äriühingute halduritele, kui on algatatud pankrotimenetlus, jms isikutele. Isikuandmeid võib esitada ka teenuseosutajatele, kui see on seotud Vastutava töötleja teenuste (nt finants- või õigusnõu, Isikuandmeid töötlevate programmide ajakohastamine) osutamisega. Andmeid esitatakse, kui see on vajalik, et kaitsta õiguslikke huve või ära hoida kuritegusid või ebaseaduslikke tegusid või, kui see on õigusaktidega nõutav, neid uurida (nt esitatakse teave liiklusõnnetuste, varguste, põhjustatud kahju jne kohta), samuti muudel õigusaktidega ette nähtud juhtudel. Andmeid esitatakse üksnes määral, mil see on vajalik.

Isikuandmete esitamise toiminguid ja nende järjestust on kirjeldatud Biuro kontserni sisekorras „Andmete edastamine“.

11. Vastutav töötleja võib kasutada Volitatud töötlejaid. Volitatud töötleja tegevust ja kohustusi reguleerib Vastutava töötleja ja Volitatud töötleja leping, välja arvatud juhtudel, mil Andmetöötlus kooskõlas õigusaktiga, mis on volitatud töötleja suhtes kohustuslik. Vastutava töötleja äranägemisel võib Andmetöötlemisega seotud küsimusi reguleerida ka teenuse osutamist käsitleva põhilepingu või Vastutava töötleja ja Volitatud töötleja vahel sõlmitud mis tahes muud liiki lepingu lisas (st eraldi lepingu sõlmimine on vabatahtlik).

Volitatud töötleja kaasamise toiminguid ja nende järjestust on kirjeldatud Biuro kontserni sisekorras „Volitatud töötleja kaasamine“.

12. Rakendatakse tehnilisi ja korralduslikke turvameetmeid. Vastutav töötleja valib ja rakendab oma äranägemisel asjakohaseid korralduslikke (nt põhimõtete koostamine, nende rakendamise kontroll, salasõnaga kaitstud juurdepääs arvutitele, arvutivõrgule ja andmebaasile) ja tehnilisi (viirustõrjeprogrammide kasutamine, ruumidesse alarmsüsteemi paigaldamine, isikute kinnistule juurdepääsu füüsiline kontroll jne) meetmeid. Vastutav töötleja ja tema Haldustöötajad võtavad oma tegevuse käigus pidevalt arvesse olemasolevaid riske ning püüavad neid võimalikult suurel määral vähendada või vältida.

Üksikasjalik korralduslike ja tehniliste meetmete loetelu on esitatud lisas nr 1 „Rakendatavate tehniliste ja korralduslike meetmete loetelu“.

13. Haldustöötajad peavad tagama Isikuandmete konfidentsiaalsuse ja hoidma salajas Isikuandmeid, millest nad on oma ülesandeid täites teada saanud, välja arvatud juhul, kui see teave on kooskõlas kohaldatavate õigusaktidega avalikult kättesaadav või isik on andnud selliseks avalikustamiseks nõusoleku või see on vajalik kuritegude või muude ebaseaduslike tegude ennetamiseks, samuti muudel juhtudel. See kohustus jääb kehtima ka pärast töö- või muud liiki lepingu lõpetamist Vastutava töötleja ja Haldustöötaja vahel. Sel eesmärgil võib sõlmida Haldustöötajaga lisaks konfidentsiaalsuslepinguid.

14. Kui Haldustöötajad, kes täidavad Andmetöötlemise ülesandeid (sealhulgas töötajad, kes üksnes tutvuvad Isikuandmetega), avastavad Isikuandmete turvalisuse või käesolevate Põhimõtete sätete rikkumise või kahtlustavad seda, peavad nad sellest rikkumisest või kahtlusest Vastutavat isikut viivitamata teavitama (võimaluse korral ühe tunni jooksul pärast avastamist). Pärast teatamist peab Haldustöötaja võtma Vastutava isiku (või Vastutava töötleja Juhi) nõutavaid meetmeid, et võimalikku rikkumist ära hoida või ilmnenud rikkumine kõrvaldada. Rikkumise korral peab Vastutav töötleja järelevalveasutust rikkumisest viivitamata ja võimaluse korral 72 tunni jooksul alates rikkumise hetkest teavitama ning võib Isikut teavitada.

(Võimalikust) rikkumisest teavitamise toiminguid ja nende järjestust on kirjeldatud Biuro kontserni sisekorras „Rikkumisest teavitamine“.

15. Isikul on kõik isikuandmete kaitse üldmääruse alusel kehtestatud õigused, sealhulgas õigus teada (olla teavitatud) oma Isikuandmete töötlemisest, omada juurdepääsu enda Isikuandmetele ja teabele, õigus teada, kuidas tema Isikuandmeid töödeldakse, saada teavet kogutud andmete allikate ja liigi, töötlemise eesmärgi ning andmete vastuvõtjate kohta, õigus Isikuandmeid parandada, nõuda nende kustutamist, töötlemist piiramist või töötlemise lõpetamist (välja arvatud säilitamine). Põhimõtetele, isikuandmete kaitse üldmäärusele või muudele kohaldatavatele õigusaktidele mittevastavuse korral on Isikul õigus ka oma isikuandmete töötlemiseks antud nõusolek tagasi võtta, taotleda töödeldud andmete kustutamist ja andmete ülekantavust või esitada kaebus Järelevalveasutusele

16. Isik võib igal ajal kasutada oma õiguseid, mis on käesolevates põhimõtetes loetletud, esitades kirjaliku taotluse isiklikult, posti teel või elektrooniliste vahendite (e-post dpo@biuro.eu) kaudu. Kui Vastutav töötleja (tema Haldustöötaja) saab sellise taotluse, käsitletakse seda tasuta 30 päeva jooksul ning see kas rahuldatakse (kui Vastutav töötleja leiab, et taotlus on põhjendatud) või lükatakse tagasi, esitades selle otsuse põhjused.

Isiku õigustega seotud taotluste käsitlemise toiminguid ja nende järjestust on kirjeldatud Biuro kontserni sisekorras „Andmesubjektide õigused“.

17. Kui Isik leiab, et tema õiguseid seoses Andmetöötlemisega on rikutud, saab ta esitada Järelevalveasutusele kaebuse. Isik võib seoses oma õiguste rikkumisega pöörduda ka asjaomase Järelevalveasutuse poole oma elukohariigis, kes edastab nõude juhtivale Järelevalveasutusele ja uurib seda koos juhtiva Järelevalveasutusega isikuandmete kaitse üldmääruses kehtestatud korras.

18. Kui Isikuandmed ei ole enam töötlemise eesmärgil vajalikud, kustutatakse need automaatsete vahendite abil, või kui Isik esitab kehtiva taotluse Isikuandmete kustutamiseks, kustutatakse Isikuandmed Vastutava töötleja kehtestatud korras selliselt, et nende sisu ei saa enam taastada ega tuvastada.

Isikuandmete kustutamise toiminguid ja nende järjestust on kirjeldatud Biuro kontserni sisekorras „Andmesubjektide õigused“.

18.1. Haldustöötajad, kes Isikuid otse teenindavad või nendega töötavad, on kohustatud selgitama Isikutele nende Andmetöötluse ja kaitsega seotud õiguseid. Haldustöötajad vastutavad Põhimõtete rikkumise eest õigusaktides sätestatud korras.

18.2. Andmetöötlusega seotud juhised, mis on esitatud Biuro kontserni sisekordades, muu Haldustöötajatele kättesaadav teave seoses Andmetöötlusega, samuti Biuro kontserni veebisaitide ja mobiilirakenduste kaudu avaldatud teave on käesolevate põhimõtete lahutamatu osa.

19. Vastutavad töötlejad võivad kasutada ka videovalvet.  Isikute videoandmete töötlemist reguleerib eraldi dokument.

20. Käesolevad Põhimõtted tuleb korrapäraselt ja vähemalt iga kahe aasta tagant üle vaadata ning neid vajaduse korral ajakohastada. Nii Põhimõtete kehtiv versioon kui ka eelmised versioonid avaldatakse. Põhimõtted ning nende muudatused ja täiendused kiidab heaks Vastutavatest töötlejatest ühe Vastutava töötleja Juht – UAB Biuro Balticu juht ning Biuro kontserni äriühingud peavad neid järgima. Muudetud Põhimõtted jõustuvad järgmisel päeval pärast nende heakskiitmist. Haldustöötajad tutvuvad käesolevate Põhimõtetega töölepingut sõlmides ning on kohustatud tutvuma Põhimõtete muudatuste ja täiendustega, kontrollides korrapäraselt, kas on heaks kiidetud Põhimõtete uusi muudatusi või täiendusi.

LISAD:

Lisa nr. 1: Tabel "Isikuandmed"

Lisa nr. 2:Rakendatud tehniliste ja korralduslike meetmete loetelu

 

LISA NR 1

isikuandmete töötlemise põhimõtete juurde

ANDMETÖÖTLUSE EESMÄRK ISIKUANDMETE SUBJEKTID ISIKUANDMED ÕIGUSLIK ALUS SÄILITAMISE TÄHTAEG (KRITEERIUMID)
Tööd otsivatele isikutele neile huvi pakkuda võivate tööpakkumiste esitamine ja nende vestlusele kutsumine. Potentsiaalsed kandidaadid Isikuandmed, mis on Internetis kättesaadavad ja avalikult kättesaadavad tööotsingute andmebaasides või Isiku poolt teistsugusel kujul esitatud (nt kommentaarid avaldatud tööpakkumisele): osakond, kandidaadi allikas, kommentaarid CRM-is enne intervjuud, e-posti aadress, sugu, sünniaasta, eeldatav intervjuu kuupäev, keeleoskus, nimi, perekonnanimi, telefoninumbrid, palga ootused, SMS-i ajalugu, oleku muutus, tööpakkumine, CV, CRM-i ID, omadused, kvalifikatsioon, sertifikaadid, võimed. Töötlemine on vajalik Vastutava töötleja õigustatud huvideks, välja arvatud juhul, kui Isiku huvid või põhiõigused ja -vabadused, mis vajavad Isikuandmete kaitset, on tähtsamad. Antud juhul on õigustatud huviks Isikute isikupärastatud teenindamine ja nendega suhtlemine. Vastutav töötleja on valmis pakkuma teenuseid Potentsiaalsetele Kandidaatidele (sealhulgas, kuid mitte ainult, tööpakkumiste esitamine, valiku tegemise üritustele kutsumine jne) ning see on vajalik ka Vastutava töötleja äritegevuse teostamiseks. 6 kuud
Teenuste osutamine Isikutele - Kandidaatidele - eelkõige tööotsimisel abistamine, kandidaatidele võimalike sobivate tööpakkumiste valimine, Vastutava töötleja partnerite pakutavate vabade positsioonide aktiivne otsimine ja teave vabade positsioonide kohta Kandidaadid Peamiselt töödeldakse Isikult otse saadud Isikuandmeid: nimi, perekonnanimi, aadress, keeleoskus, sünnikuupäev, osakond, kommentaarid CRM-is, eelnev tööhõive ajalugu, info olemasoleva isikliku auto kohta, e-posti aadress, allikad, kust kandidaat sai teada Biuro poolt pakutavatest tööpakkumistest, sugu, kvalifikatsioon, sertifikaadid, võimed, mobiiltelefoni number, telefoninumbrid, foto, soovituste sisu, palga ootused, SMS-teadete ajalugu (Vastutava töötleja ja Isiku vahel), CV, taotletav töökoht, staatuse muutmine, töökogemus, puue, omadused, CRM-i tunnus, meditsiinilise tõendi koopia (kui see on vajalik ametikoha jaoks), teie valikul Facebooki, Google'i profiili ID ja Facebooki, Google'i profiilifotod identifitseerimiseks, Personaalne ID, et kinnitada, et saate allkirjastada lepingu digitaalselt, koolituse testi tulemused, linn, eelmiste tööandjate hinnang. Töötlemine on vajalik lepingu täitmiseks, mille pooleks Isik on, või lepingueelsete sammude tegemiseks Isiku nimel. 2 aastat pärast Isikuandmete täitmise vormi või 2 aastat pärast töölepingu sõlmimist (arvestamata seda, kas töösuhe on tähtaegne või tähtajaline, kui töösuhe kestab vähem kui 2 aastat, määratakse tähtaeg uuesti uue lepingu sõlmimisel). Vabatahtlikult ehk Isiku valikul (vormi täitmisel sellega nõustumisel) - pikendatud tähtajaks - töötamise tähtaeg pluss 2 aastat töölepingu lõppemisest.
Teavitamine uutest teenustest, äritegevuse uudistest, üritustest, pakutavate teenuste täiendustest ja muust sarnasest teabest Kandidaadid / Töötajad / Potentsiaalsed kliendid / Kliendid Töödeldakse Isikuga suhtlemiseks vajalikke Isikuandmeid: nimi, perekonnanimi, kontaktandmed (e-posti aadress ja mobiiltelefoni number). Isik on andnud nõusoleku oma Isikuandmete töötlemiseks sellel konkreetsel eesmärgil. Lepingu sõlmimise tähtajaks. Kui Kandidaatide Isikuandmeid töödeldakse, loetakse Vastutava töötleja ja Kandidaadi vahel sõlmitud teenuse osutamise lepingu tähtajaks 2 aastat pärast Isikuandmete vormi täitmist, 2 aastat pärast töölepingu sõlmimist leping (olenemata sellest, kas töösuhe on tähtajatu või tähtajaline) või Isiku valikul töölepingu tähtajana pluss 2 aastat töölepingu lõpetamisest (vabatahtlik).
Töölepingu täitmine Töötajad/Administratiivtöötajad Enamik Isikuandmeid kogutakse otse Isikult, kuid teatud Isikuandmeid võib koguda teistest allikatest (kolmandad isikud): nimi, perekonnanimi, aadress, määramise teave, keeleoskus, kohtutäituri kohtuasjad, sünnikuupäev, tegevusala, linn, kommentaarid CRM-s, kohustuslik tervisetõendi sertifikaat, CV, aadressid, töölepingu andmed ja töölepingu täitmiseks vajalikud andmed (sh maksuvaba summa, sotsiaalkindlustuse number, puhkuse kuupäevad, lõpetamise kuupäev jne), tunnistused, välismaalase staatus, sugu, IBAN-number, CRM-i ID, perekonnaseisund ja laste andmed (vajaduse korral), telefoninumbrid, kliendi süsteemis määratud ID-id, isikukood, foto, kutsekvalifikatsioon, palga ootused, sanitaarraamat, SMS-i suhtluse ajalugu, omadused, eelistatud ajakava, rasedus- ja sünnituspuhkuse kuupäev, koolituse testi tulemused, allkiri, elukoht kohalikus riigis, elamisluba kohalikus riigis, puue, pensionikindlustus.
Kolmanda Isiku Isikuandmed (vabatahtlik tingimusel, et Töötaja annab sellisele Isikule kehtiva nõusoleku oma Isikuandmete töötlemiseks): nimi ja perekonnanimi, isikukood (ID) ja kontonumber.
Töötlemine on vajalik lepingu täitmiseks, mille pooleks Isik on, või lepingueelsete sammude tegemiseks Isiku nimel. Reeglina töölepingu tähtajaks, samas teatud Isikuandmeid säilitatakse kauem, et täita seadusest tulenevad arhiveerimise kohustuse tähtajad.
Lepingueelne suhe, nõudluse alased uuringud, samuti, et rakendada lepingujärgseid õigusi ja täita kohustusi Potentsiaalsed kliendid/Kliendid Potentsiaalsed tarnijad/tarnijad Isikuandmed, mis on vajalikud lepingueelsete ja lepingulise suhte tähtaja jooksul kontakteerumiseks ja suhtlemiseks: nimi, perekonnanimi, ametikoha nimi, mobiiltelefoni number, e-posti aadress, töökoha aadress, skype kontakt, kommentaarid CRM-is, finants- või pangateave, allkiri, e-posti kommunikatsiooniajalugu, ettevõtte nimi. Õigustatud huvi: enne lepingu sõlmimist - isikupärastatud teenuse osutamine ja suhtlemine potentsiaalsete klientidega. Vastutav töötleja kavatseb osutada teenuseid potentsiaalsetele klientidele (sealhulgas, kuid mitte ainult, pakkuda potentsiaalseid kandidaate vabadele positsioonidele) ning see on vajalik ka Vastutava töötleja äritegevuse teostamiseks.
Õigustatud huvi: Vastutav töötleja on valmis potentsiaalsetelt tarnijatelt teenuseid saama (sealhulgas, kuid mitte ainult, saamaks potentsiaalsete tarnijate pakkumisi, nendega ühenduse võtmiseks) ja see on vajalik ka Vastutava töötleja äritegevuse teostamiseks.
3 aastat pärast viimast kontakti potentsiaalse kliendi või potentsiaalse tarnijaga. Juhtudel, kui leping on sõlmitud - 10 aastat pärast lepingu lõpetamist, välja arvatud juhul, kui õigusaktides on nõutud pikema tähtajaga arhiveerimine.


ANDMETE ALLIKAD: Ülaltoodud Isikuandmeid võidakse koguda nii otse Isikutelt kui ka kolmandatelt isikutelt, kes neid omavad (nt tööotsimise andmebaasid, kohtutäiturite andmed, riigi- ja kohaliku omavalitsuse asutused, endised tööandjad jne).
STATISTIKA JA ARHIVEERIMISE EESMÄRGID: Ülaltoodud Isikuandmeid võidakse töödelda avalikes huvides toimuva arhiveerimise või statistilisel eesmärgil, kui see on kooskõlas ülaltoodud töötlemise eesmärkidega. Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise või statistilisel eesmärgil toimub, kuivõrd Vastutav töötleja on hinnanud selliste eesmärkide täitmise võimalikkust, töödeldes andmeid, mis ei võimalda enam Isikute tuvastamist, ning tagades et sobivad turvameetmed on kasutusele võetud (nt andmete pseudonümiseerimine).
ANDMETE VASTUVÕTJAD JA VOLITATUD TÖÖTLEJAD:
Isikutele või kolmandatele isikutele teenuseid osutades on Vastutavad töötlejad kohustatud Isikuandmeid edastama ka kolmandatele isikutele.
Lisaks Vastutava töötleja poolt osutatud teenustele, kasutatakse teatud kolmandate isikute teenuseid, et tagada enda teenuste toimimine (nt pilveteenuse pakkujad). Isikuandmete edastamine sellistele kolmandatest isikutest teenusepakkujatele on vajalik, et need kolmandad isikud saaksid oma teenuseid osutada. Selliseid kolmandaid isikuid loetakse volitatud töötlejateks. Sellistele kolmandatele isikutele edastatakse Isikuandmeid minimaalselt ulatuses, mis on vajalik nende poolsete teenuste osutamiseks. Kõik kolmandatest isikutest teenusepakkujad, kellele Vastutav töötleja Isikuandmeid edastab, järgivad Vastutava töötleja juhiseid Isikuandmete töötlemise osas.
Peamised andmete vastuvõtjad on: Biuro kontserni ettevõtted, Vastutava töötleja tarnijad (sõltuvalt olukorrast vastutavad töötlejad või volitatud töötlejad); Kliendid, võlausaldajad; avalikud asutused.


LISA NR 2

isikuandmete töötlemise põhimõtete juurde

Kinnitatud ja kehtivad alates 25. mai 2018

TEHNILISED JA KORRALDUSLIKUD MEETMED
Vastutav töötleja tagab, et täidetakse turvalisuse ja andmekaitse, sealhulgas Isikuandmete ja konfidentsiaalse teabe kaitsmise, uusimaid nõudeid, Praegused tehnoloogiad ja nendega seotud protsessid, poliitika ja auditid tagavad kaitsemeetmete järgimise ja pideva paranemise. Täiendavad üksikasjad tehniliste ja korralduslike meetmete kohta, mida on andmekaitse eesmärgil rakendatud, on järgmised (kuid mitte ainult):

  1. Juurdepääsukontroll (hoone / kontorid / andmekeskus) - selleks, et vältida volitamata juurdepääsu andmetöötlussüsteemidele, milles Isikuandmeid töödeldakse:
    • Signalisatsioon
    • Fotoelektrilised andurid / liikumisandurid
    • Võtmete kasutamise kord (võtmete väljaandmine jne)
    • Kiipkaart / transponderiga lukustussüsteem
    • Manuaalne lukustussüsteem (võivad kasutada üksnes võtmetöötajad juurdepääsukontrolli süsteemide tõrke korral)
    • Videovalve sissepääsude juures (Vilniuse kontor ja andmekeskus Vilniuses
    • Turvalukud
    • Puhastusteenindajate hoolikas valimine
    • Rakendatakse eraldi, konkreetset ja dokumenteeritud juurdepääsukontrolli, mille kohaselt pääsevad andmekeskustele ja serveriruumidele juurde üksnes volitatud isikud. Volitatud isikute sisenemine dokumenteeritakse, registreerides ees- ja perekonnanime. Andmekeskuste puhul rakendatakse eraldi juurdepääsukontrolli süsteeme.
  2. Juurdepääsukontroll (süsteemid) – eesmärgiga hoida ära olukorda, kus andmetöötlussüsteeme kasutavad selleks volitamata isikud:
    • Kasutajaõiguste määramine
    • Salasõnade andmine
    • Kasutajanime/salasõna abil autentimine
    • Tarkvarapõhiste tulemüüride kasutamine
    • Kasutajaprofiilide loomine
    • Lisameetmed: turvapaikade haldus, miinimumnõuded salasõna keerukusele, kohustuslik salasõna vahetamine, viirustõrjevahendite kasutamine
    • IT-süsteemide kasutajaprofiilide määramine
    • Nutitelefonide keskse halduse kasutamine (näiteks nutitelefonide kaugkustutus)
    • Tarkvarapõhise tulemüüri kasutamine (kontori kliendid)
  3. Juurdepääsukontroll (andmed) – eesmärgiga tagada, et andmetöötlussüsteemi volitatud kasutajad pääsevad juurde üksnes andmetele, mille jaoks neid on volitatud, ning ära hoida Isikuandmete loata lugemist andmete kasutamise, liikumise või hoidmise ajal:
    • Lubade andmise põhimõtete koostamine
    • Administraatorite arvu vähendamine üksnes nii-öelda absoluutselt vajalikuni
    • Rakendusele juurdepääsu logimine, eriti andmete sisestamise, muutmise ja kustutamise ajal
    • Andmekandja puhastamise tagamine enne korduskasutust
    • Purustite või teenuste kasutamine (võimaluse korral koos privaatsusmärgisega)
    • Õiguste haldamine süsteemiadministraatorite poolt
    • Salasõna kasutamise põhimõtted, mis hõlmavad salasõna pikkust, salasõna muutmise haldamist
    • Andmekandjate turvaline hoidmine
  4. Edastamise kontroll – eesmärgiga tagada, et Isikuandmeid ei saa elektroonilise edastamise, transportimise või kettal hoidmise ajal lugeda, kopeerida ega muuta
    • Andmete vastuvõtjate ja andmete esitamise ajavahemike, sealhulgas kokkulepitud kustutusaegade dokumenteerimine
    • Kogu teabevahetuse TLS krüpteerimine (veebiklient, rakendusliidesed, mobiilirakendused)
  5. Sisendi kontroll – eesmärgiga tagada, et saab olla kindel, hiljem kontrollida ja kindlaks määrata, kas ja kelle poolt on Isikuandmeid andmetöötlussüsteemidesse sisestatud, neid seal muudetud või neist eemaldatud:
    • Andmete sisestamise, muutmise ja kustutamise jälgitavus konkreetsete kasutajanimede (mitte kasutajarühmade) järgi valdkondades, mis on Vastutaja töötleja hinnangul seotud suurema rikkumise riskiga.
    • Õiguste andmine andmete sisestamiseks, muutmiseks või kustutamiseks, tuginedes lubade andmise põhimõtetele
    • Nende vormide säilitamine, mille kaudu andmed on automaatse töötlemise käigus saadud
  6. Korralduste andmise kontroll – eesmärgiga tagada, et volitatud töötleja poolt andmesubjekti taotlusel töödeldavaid Isikuandmeid töödeldakse ainult vastavalt andmesubjekti juhistele:
    • Töövõtja valimine tema ajaloo läbivaatamise kaudu (eelkõige seoses andmete turvalisusega)
    • Kirjalikud juhised töövõtjale (näiteks andmetöötluslepingu kaudu) (isikuandmete kaitse üldmäärus)
    • Tõhusad kontrolliõigused volitatud töötlejate üle on kokku lepitud
    • Töövõtja töötajate kohustus säilitada andmete konfidentsiaalsus (isikuandmete kaitse üldmäärus)
    • Andmete turvalise hävitamise tagamine pärast lepingu lõppu
    • Töövõtjate ja nende tegevuse pidev ülevaatamine
  7. Kättesaadavuse kontroll – eesmärgiga tagada, et Isikuandmeid kaitstakse juhusliku hävimise või kaotsimineku eest
    • Puhvertoiteallikad (UPS
    • Tuletõrje- ja suitsuandurite süsteemid
    • Andmetaaste testimine
    • Andmete varukoopiate ettevõtteväline turvaline säilitamine
    • Üleujutuspiirkondades asuvad serveriruumid veepiirist kõrgemal
    • Kliimaseadme kasutamine serveriruumides
    • Varundamis- ja taastamispõhimõtete koostamine
    • Serveriruumid ei või asuda sanitaarruumide all
    • Kaks andmekeskust aktiivsed / aktiivselt konfigureeritud

 

© 2012-2020 BIURO.