GDPR

Praktiline juhend Euroopa Liidu isikuandmete kaitse üldmäärusele, 15.05.2018

Info Euroopa Liidu Andmekaitse üldmääruse (GDPR) kohta ning kuidas Erplyt nõuetele vastavalt kasutada, 07.03.2018

1 Seaduse mõistes on isikuandmeteks:

Kõik andmed, mille alusel on võimalik tuvastada konkreetset isikut, on isikuandmed. Isikuandmeteks võib olla näiteks:
- Auto numbrimärk (sest seda saab isikuga kokku viia sõidukiregistri alusel).
- Kliendikaardi number (selle alusel saab kliendi Erplyst välja otsida).
- Kasutajanimi (sest mõni kasutaja võib olla valinud endale kasutajanime, mis sisaldab tema ees- ja perekonnanime).

Andmesubjekt saab ainult olla eraisik ja mitte ettevõte. Firmal võib aga olla eraisikust esindaja, ja esindaja andmetele rakenduvad sarnased tingimused nagu ükskõik millisele teisele eraisikule.

Kliendikaart Erplys ei klassifitseeru isikuandmeteks sel juhul, kui kaardilt on isikustatud info eemaldatud; sel juhul ei ole kliendikaart ühegi isikuga seostatav.

Igasugune informatsioon, mille abil saab isikut tuvastada.
Igasugune informatsioon, mida isik soovib kaitsta.
Ainult andmed, mis otseselt või kaudselt viitavad kellegi rassile, etnilisele päritolule, usulistele vaadetele või tervisele.
2 Mis on uue andmekaitse üldmääruse kohaselt isikuandmete töötlus?
Igasugune tegevus isikuandmetega on alati isikuandmete töötlus. Ei ole vahet, kas andmed muutuvad või mitte.

Erply kassas võivad olla isikuandmete töötluse tegevused näiteks:
- Uue kliendiprofiili loomine.
-Kliendikaardi vaatamine.
-Kliendi profiili muutmine.
-Püsikliendi otsimine.
-Müügitehingu läbiviimine.
-Isikuandmete sisestamine tehingule käsitsi (näiteks märkmetesse).

Kõik tegevused, mida tehakse isikuandmetega.
Kõik tegevused, mida tehakse isikuandmetega, välja arvatud kustutamine ja hävitamine.
Ainult tegevused, mis on seotud andmete jagamisega sotsiaalmeedias, e-posti või interneti teel.
Ainult tegevused, kus andmeid kasutatakse kooskõlastatud eesmärgil, milleks neid on kogutud.
3 Kui klient loovutab enda isikuandmeid, siis on andmete küsijal kohustus võtta kliendilt ka nõusolek, millega ta lubab oma andmeid töödelda. Milline järgnevatest on õige?
Kliendi nõusolek peab alati olema vabalt antud. See tähendab, et klienti ei tohi sundida nõusolekut andmetöötluseks andma ehk kliendil peab olema alati valikuvõimalus — välja arvatud juhul, kui ilma nende andmeteta ei ole kliendile võimalik toodet või teenust pakkuda.

Kõik andmed, mida kliendilt küsitakse, peavad omama eesmärki, ja koguda ei tohiks rohkem andmeid, kui selleks eesmärgiks minimaalselt vajalik. Eesmärgid peavad olema selgelt eristatud.

Näiteks võib üheks eesmärgiks olla "müük isikustatud püsikliendile" (kes saab seeläbi vastavaid hüvesid: püsikliendisoodustusi).

Nõusolekud tuleb koguda ka turunduslikeks eesmärkideks, iga turunduskanali jaoks eraldi.

Kui eesmärk muutub, milleks andmeid koguti, siis tuleb nõusolekut kliendilt uuesti küsida.

Klienti tuleb enne nõusoleku andmist informeerida töötlusest ja kaasnevatest õigustest (õigus andmete ajakohastamiseks, kustutamiseks, õigus saada andmetest koopiat, vaidlustada töötlust, võtta nõusolekut tagasi jne.) Nõusolek peab olema dokumenteeritud (taasesitatavas vormis), et seda oleks võimalik kasutada hiljem tõendava märkmena kliendipoolsest nõusolekust.

Nõusolek peab olema vabalt antud, konkreetse eesmärgi tarbeks, informeeritud ja ühemõtteliselt selge.
Nõusolek on kokkulepe, kus töödeldavad andmed on selgelt määratletud ja kliendi poolt loovutatud. Andmeid võib kasutada kes tahes töötleja või volitatud töötleja.
Kui töötluse eesmärk muutub, siis võib andmeid ka uuel eesmärgil kasutada.
4 Tingimused andmetöötluse nõusolekule. Millised järgmistest väidetest on õiged?
Kui küsida kliendi andmeid, siis tuleb seda alati koguda nii, et oleks tagantjärele võimalik kliendi nõusolekut tõendada. Selleks võib olla paberkandjal registreerimisvorm või ajatempliga märge andmebaasis. Nõusolek on kehtiv seni, kuni klient pole seda tagasi võtnud või leppe tingimused pole kehtivust lõpetanud. Klient võib võtta nõusoleku tagasi mistahes ajal.

Nõusolek peab olema alati eraldi pakutavast teenusest või tootest. Näiteks ostu-müügitehing ei ole kehtiv alus andmete kogumiseks, kui toodet või teenust on võimalik pakkuda ka anonüümselt — seega peab andmeid ja nõusolekut küsima pakutavast teenusest või tootest eraldi.

Et koguda alaealiste andmeid, tuleb võtta nõusolek lapsevanemalt või seaduslikult hooldajalt.

Andmete koguja peab olema võimeline kliendi antud nõusolekut tagantjärele tõendama.
Nõusolek peab olema eristatav teistest nõusolekutest ja tingimustest.
Nõusolek peab olema vabalt antav.
Nõusolek peab olema tagasi võetav igal ajal.
Kui pakutakse teenust otse lapsele, siis on töötlemine seaduslik juhul, kui on saadud lapsevanema või õigusliku hooldaja nõusolek andmetöötluseks või kui laps on vähemalt 16 aastat vana.
Vasta
5 Millised järgmistest andmekategooriatest on delikaatsed?
Delikaatseteks peetakse andmeid, mis võivad viidata isiku rassile, etnilisele taustale, poliitilisele arvamusele, usulistele või filosoofilistele veendumustele ja ametiühingusse kuuluvusele. Samuti kuuluvad sellist tüüpi andmete hulka biomeetrilised ja geneetilised andmed, terviseandmed ja seksuaalsele orientatsioonile või seksuaalelule viitavad andmed.

Sellised andmed on tundlikud seetõttu, et nende andmetega on võimalik andmesubjektile kergesti kahju tekitada.

Biomeetrilisi andmeid saab kasutada isikutuvastuseks ja jälituseks. Vaadete ja harjumuste analüüs võib isiku liigitada ebasoovitavatesse sihtgruppidesse. Ametiühingukuuluvust võib kurjasti ära kasutada tööandja.

Tundlikke isikuandmeid Erplys hoida ei ole lubatud.

Krediitkaardiandmed
Ametiühingu andmed
Passi number
Isikukood
Seksuaalne orientatsioon
Etniline taust
Vasta
6 Isikuandmete hulka kuuluvad:
Isikuandmed on alati mistahes andmed, mida saab kasutada kliendi tuvastamiseks. See kehtib ka juhul, kui andmed ei asu samas asukohas, kuid andmeid väliste andmetega kokku viies annavad tuvastatava tervikinfo (telefoninumber, meiliaadress, kodune aadress jne).

Andmed, mis tekivad töötluse käigus (logid, arved, maksed), võivad sisaldada isikuandmeid, kui need sisaldavad koopiat isikuandmetest (meiliaadress, telefoninumber jne).

Kogu teave, mille klient on töötlemiseks andnud.
Kõik andmed, mida on töötlemise kaudu kliendi kohta kogutud ja loodud.
Andmed, mida saab kasutada isiku tuvastamiseks.
Andmed, mis võimaldavad isikut tuvastada, kuid on salvestatud krüpteeritud kujul.
Andmed, mida on võimalik isikuga seostada teiste andmebaaside kaudu.
Mitte-digitaalses vormis andmed, mis viitavad konkreetsele isikule (lepingud, arved, tšekid jne).
Vasta
7 Isikuandmed. Milliseid järgmistest andmetüüpidest võib pidada isikuandmeteks?
Andmeid tuleks hinnata nii, et kui nende kasutamisel on võimalik kuidagi identifitseerida kindlat isikut, siis tuleks pidada neid isikuandmeteks.

Auto registrinumbrit saab kokku viia auto omanikuga. Kasutajanimi võib sisaldada viidet reaalsele isikule (väga tihti näiteks tema pärisnime) ja isegi paroolis võib isik olla kasutanud tema endaga seotud informatsiooni. Aadressi ja IP-aadressi järgi on võimalik tuvastada isiku asukoht ja reeglina on kliendikaardid seotud kindla isikuga.

Auto registreerimisnumber
Täisnimi
Meiliaadress
Postiaadress
Kliendikaardi number
IP-aadress (virtuaalne asukoht)
Kasutaja kasutajanimi
Kasutaja parool
Pangakonto number
Ametinimetus
Vasta
8 Andmetöötlus on seaduslik, kui:
Andmete kogumine ja töötlemine peab alati olema teostatud kooskõlas kliendi nõusolekuga. Kui klient on andnud oma nõusoleku läbi lepingu, mis kirjeldab vajadust andmetele ja nende töötlusele (sisaldab andmekogumise teavitust), et oleks võimalik täita kahe osapoole vahelist kokkulepet, siis on andmetöötlus samuti lubatud.
Isik on andnud nõusoleku kindlale eesmärgile, mille raames tema andmeid töödeldakse.
Isik pole otseselt nõusolekut andnud, kuid temaga on sõlmitud leping, mis annab seadusliku aluse andmetöötluseks
Vasta
9 Kui klient registreerub püsikliendiks, mis hetkel peaks ta andma oma nõusoleku andmetöötlusele?
Nõusolek tuleb kliendilt alati koguda enne isikuandmete saamist.

Enne, kui andmed töötlemiseks võetakse, peab klienti ka teavitama tema õigustest, töötluse eesmärkidest ning muudest töötlusega seotud asjaoludest, et klient mõistaks, millele ta täpselt oma nõusolekut annab.

Peale seda, kui teda on teavitatud töötluse eesmärgist ja tema õigustest, ning enne isikuandmete kogumist.
Enne, kui teda on teavitatud töötluse eesmärgist ja tema õigustest.
Enne isikuandmete töötlemise algust.
Enne isikuandmete avaldamist (internetis, e-poes, reklaami eesmärgil). Senikaua, kui isikuandmeid ei avalikustata (st. andmed jäävad firmasiseseks), ei pea klienti tema õigustest informeerima ja nõusolekut koguma.
10 Millised õigused kliendil on, kui tema isikuandmeid töödeldakse?
Klient võib alati küsida, kes lisaks otsesele töötlejale töötleb tema isikuandmeid ja sellist informatsiooni tuleb kliendile vajadusel väljastada, olgu see töötlemise ajal või nõusoleku võtmisel.

Kliendil on samuti õigus küsida koopiat tema kohta hoitavatest andmetest, sealhulgas ka tema kohta loodud andmeid (näiteks, millisesse kliendigruppi ta on määratud).

Samuti võib klient võtta tagasi oma nõusoleku erinevas mahus — korraga kõigile eesmärkidele või individuaalselt valida, milliste eesmärkidega ta edaspidi nõustub. Kui klient võtab nõusoleku tagasi, siis tuleb ka eemaldada ebavajalikuks muutunud info kliendi kohta (andmete minimaalsuse ja vajalikkuse nõue).

Kui kliendi nõudeid ei täideta, siis olenemata põhjusest võib klient esitada kaebuse andmekaitse inspektsioonile või minna oma õiguste kaitseks kohtusse.

Õigus teada kõigi teiste ettevõtete nimesid, kes andmetega kokku puutuvad (ettevõtte kaastöötlejad või volitatud töötlejad).
Õigus saada ligipääsu oma andmetele (nendega tutvuda).
Õigus isikuandmete ajakohastamiseks või parandamiseks.
Õigus olla unustatud (õigus andmete anonümiseerimisele või kustutamisele).
Õigus ajutisele töötluspiirangule (nt olukorras, kus andmete õigsus vajab kontrollimist, isik ei soovi, et tema andmeid kustutatakse, või kui ta on andmetöötluse vaidlustanud).
Õigus esitada kaebusi töötluse eesmärkide osas ja võtta oma nõusolek igal ajal täielikult või osaliselt tagasi.
Õigus esitada kaebus andmekaitse inspektsioonile või pöörduda kohtusse.
Õigus esitada kaebus politseile.
Õigus saada enda isikuandmetest väljavõtteid.
Vasta
11 Millised õigused on kliendil, kui ta nõuab andmete väljastamist?
Vorm, milles tuleb kliendi päritud andmeid väljastada, pole andmekaitse üldmääruse kohaselt selgelt määratletud ja seetõttu võib töötleja otsustada ise, millisel kujul andmed väljastatakse.

Kliendilt ei tohi tavaolukorras andmete ligipääsu ja väljastamise eest tasu nõuda. Kui klient oma õigust kuritarvitab, siis on ettevõttel õigus nõuda mõistlikkuse piires tasu, nt. korduvtöötluse kulude eest.

Kõik valed andmed isiku kohta tuleb uuendada. Seda ei pea tegema juhul, kui töödeldaksegi ajaloolisi või statistilisi andmeid. Samuti ei pea andmeid muutma, kui ettevõttel on kliendi vastu nõue (näiteks maksmata arved). Alles pärast kohustuste täitmist on kliendil õigus andmete muutmiseks.

Andmete koopia tuleb kliendile väljastada temale sobivas formaadis.
Andmete koopia tuleb võimaldada kliendile ilma selle eest tasu nõudmata.
Isikuandmeid tuleb alati muuta, kui klient esitab selleks nõude.
Isikuandmed tuleb alati kustutada, kui klient esitab selleks nõude.
12 Tingimused andmete töötlemisele. Millised järgnevatest väidetest on õiged?
Andmeid võib koguda sellises mahus, mida on minimaalselt tarvis töötlemise läbiviimiseks.

Kui klient on andnud nõusoleku, et ta soovib e-posti teel nädalapakkumisi, ei anna see põhjust näiteks tema telefoninumbri küsimiseks. Samas on telefoninumbri küsimine õigustatud, kui klient soovib, et talle teada antaks, kui tema soovitud toode kauplusesse jõuab.

Andmeid tuleb koguda minimaalselt — ainult neid andmeid, mida on töötlemiseks vaja.
Andmeid tuleb töödelda seaduslikult. Järgida tuleb nii seadusandlikke nõudeid kui ka andmekaitsepõhimõtteid.
Andmeid tuleb töödelda ausalt.
Andmeid tuleb töödelda läbinähtavalt ehk klient peab olema alati täielikult informeeritud töötlemise üksikasjadest.
Andmeid ei tohi töödelda eesmärkidel, milleks klient nõusolekut ei ole andnud.
Vasta
13 Kui klient annab oma isikuandmeid, siis millised järgmistest tegevustest on õiged?
Identifitseerimine tuleb alati läbi viia, kui kliendi andmeid kliendi nõudel töödeldakse või neid kogutakse. See välistab võimaluse, et keegi võib esineda võõra isikuna ja saavutada ligipääsu võõrastele andmetele.

Andmeid ei tohi hoiustada igavesti: andmetel peab olema kas ajaline või tingimuslik piirang. Püsikliendi andmed näiteks võiks kustutada juhul, kui klient ei ole teatud ajaperioodi jooksul ühtegi ostu teinud.

Kliendilt tuleb küsida isikut tõendavat dokumenti, et vältida identiteedivargust.
Identifitseerimine ei ole vajalik.
Enne andmete kogumist tuleb selgitada eesmärke, mille jaoks klient andmeid annab.
Enne andmete kogumist tuleb selgitada kliendile tema õigusi.
Klienti tuleb informeerida tema õigusest esitada kaebusi andmekaitse inspektsioonile või kohtule.
Kliendi informeerimine tema õigusest esitada kaebusi andmekaitse inspektsioonile või kohtule on valikuline.
Klienti tuleb informeerida andmete säilitamise perioodist (või tingimusest, mille täitumiseni andmeid hoitakse).
Kliendile tuleb anda ettevõtte (ja võimalusel ka ettevõtte esindaja) kontaktandmed, et klient saaks andmekaitsealaste küsimuste ja kaebuste korral ühendust võtta.
Vasta
14 Millal on põhjust kliendi andmeid vaadata, st. kliendikaarti avada?
Kliendi andmeid võib vaadata või kasutada ainult konkreetse eesmärgiga. Kõik andmetöötlustoimingud (vaatamine, muutmine, kustutamine, lisamine) logitakse.

Andmetöötlus kassas tuleks läbi viia ainult kliendi läheduses ja ainult juhul, kui klient on selgelt identifitseeritud.

Tasumata arvetest ülevaate saamiseks on pigem mõistlik kasutada laekumata arvete aruannet, üle tähtaja arvete aruannet või saldoaruannet, ning kliendikaart avada alles siis, kui aruanne selle kliendi kohta tõepoolest võlga näitab.

Kui klient on nõudnud kindla tegevuse teostamist (näiteks näidata tema andmeid).
Kliendikaarti võib vaadata igal ajal.
Viimaks läbi toiminguid, milleks klient on andnud nõusoleku.
Kliendi andmete uuendamiseks, kui klient on seda palunud ja teda on identifitseeritud.
Andmeid võib uuendada igal ajal ilma kliendi isikut tuvastamata.
Kui tekib huvi, et kas kliendil võib olla maksmata arveid.
Vasta
15 Mida tuleks teha, kui tundub, et andmed on lekkinud või neile on keegi väljastpoolt ettevõtet ligi pääsenud?
Kui andmed on lekkinud, siis tuleb tööandjat viivitamatult informeerida. Tööandja võtab ette seadusega ettenähtud sammud, teavitab andmekaitse inspektsiooni ja lekkest mõjutatud osapooli, ning võtab tarvitusele meetmed, et vältida edasisi intsidente.
Tööandjat tuleb kohe juhtunust teavitada.
Ei ole vaja midagi ette võtta, sest logidest on vajalik informatsioon välja loetav
Kassas olevad andmed on vabalt kasutamiseks ning nende töötlusele ei ole piiranguid. Ka klienti on eelnevalt teavitatud, et kassas on tema andmeid võimalik vabalt kätte saada
Skoor: 0/15