Privaatsuspoliitika

Meie kohustus

CF&S ESTONIA AS (edaspidi CE või ettevõte) kohustub tagama töödeldavate isikuandmete turvalisuse ja kaitse ning nõuetekohase ja järjepideva lähenemisviisi andmekaitsele. Oleme kehtestanud kindla ja tõhusa andmekaitsekava, mis vastab kehtivatele seadustele ja järgib andmekaitse põhimõtteid. Oleme teadlikud, et meie kohustus on seda kava ajakohastada ja laiendada, nii et see vastaks isikuandmete kaitse üldmääruse (GDPR) nõuetele.

CE kohustub kaitsma meie käsutuses olevaid isikuandmeid ning töötama välja sobiva ja tõhusa andmekaitsekorra, milles järgitakse ja arvestatakse uue määruse nõudeid. Selles isikuandmete puutumatust käsitlevas avalduses kirjeldatakse kokkuvõtlikult seda, kuidas oleme valmistunud järgima isikuandmete kaitse üldmäärust ja millised on meie eesmärgid. See hõlmab ka uute andmekaitsega seotud rollide, tegevuspõhimõtete, menetluste, kontrollide ja meetmete väljatöötamist ja rakendamist, et tagada maksimaalne ja pidev nõuetele vastavus.

CE kvaliteedisüsteemi on heaks kiitnud Lloyd’s Quality Assurance Limited. See vastab kvaliteedi tagamise standardile ISO 9001:2015 ning sisaldab ka andmete ohutu ja süsteemse haldamise ja töötlemise meetmeid.

Kuidas valmistume kohaldama isikuandmete kaitse üldmäärust (GDPR)

CE on juba kehtestanud järjepideva andmekaitse ja andmete turbetaseme kogu organisatsioonis. Meie eesmärk on tagada täielik vastavus isikuandmete kaitse üldmäärusele:

Teabeaudit – kogu ettevõtet hõlmava teabeauditi korraldamine, et teha kindlaks ja hinnata, millised isikuandmed on meie valduses, kust need on pärit, kuidas ja miks neid töödeldakse ning kas ja kellele need avaldatakse.
Tegevuspõhimõtted ja toimingud – andmekaitsepoliitika ja -toimingud, mis vastavad isikuandmete kaitse üldmääruse ja kõigi asjakohaste andmekaitseseaduste nõuetele ja standarditele, sealhulgas
- Andmekaitse – meie peamist andmekaitsepoliitikat ja -toiminguid käsitlevat dokumenti on ajakohastatud, et see vastaks isikuandmete kaitse üldmääruse standarditele ja nõuetele. Kehtestatud on aruandlus- ja juhtimismeetmed, millega tagame, et me mõistame, levitame ja tõendame piisavalt oma kohustusi ja vastutust, keskendudes eelkõige lõimprivaatsusele ja üksikisikute õigustele.
- Andmete säilitamine ja kustutamine – oleme ajakohastanud oma andmete säilitamise põhimõtteid ja ajakava, et järgida andmete minimeerimise ja piiratud säilitamise põhimõtet ning et isikuandmeid säilitataks, arhiveeritaks ja hävitataks nõuetekohaselt ja eetiliselt. Oleme kehtestanud spetsiaalsed andmekustutusprotseduurid, et olla vastavuses andmesubjektide uue õigusega andmed kustutada. Oleme teadlikud, millal see ja teised andmesubjektide õigused kehtivad ning kohaldame kõiki erandeid, vastamise tähtaegu ja teatamiskohustusi.
- Isikuandmetega seotud rikkumised – meie rikkumismenetlused tagavad, et meil on rakendatud ettevaatusabinõud ja meetmed, millega tuvastada, hinnata ja uurida isikuandmetega seotud rikkumisi ning neist võimalikult kiiresti teatada. Meie toimingud on usaldusväärsed ja neist on teavitatud kõiki töötajaid, et nad teaksid käsuliini ja vajalikke samme.
- Rahvusvaheline andmeedastus ja andmete avaldamine kolmandatele isikutele – kui CE säilitab isikuandmeid väljaspool EL-i või edastab neid väljapoole EL-i, on kehtestatud kindlad toimingud ja kaitsemeetmed, millega kaitsta ja krüptida andmeid ning säilitada nende terviklikkus. Vaatame pidevalt üle riigid, puhul on tehtud kaitse piisavuse otsus ning kus on kehtestatud siduvad ettevõtluseeskirjad. Nende riikide puhul, mille kohta sellist otsust tehtud ei ole, kohaldame standardseid andmekaitseklausleid või heakskiidetud tegevusjuhiseid. Kontrollime rangelt kõiki isikuandmete vastuvõtjaid, et hinnata ja veenduda, kas nad on kehtestanud vajalikud andmekaitsemeetmed, kas nad tagavad andmesubjektide õigused ja kas neil on andmesubjektide jaoks tõhusad asjakohased õiguskaitsevahendid.

Töötlemise õiguslik alus – vaatame läbi kõik töötlemistoimingud, et määratleda töötlemise õiguslik alus ja tagada iga aluse vastavus mingi tegevuse jaoks. Vajaduse korral peame arvet ka oma töötlemistoimingute üle, tagades, et meie isikuandmete kaitse üldmääruse artikli 30 kohased kohustused on täidetud.

Privaatsusteatis – meie privaatsusteatis on kooskõlas isikuandmete kaitse üldmäärusega. Kindlustame sellega, et kõik, kelle isikuandmeid töötleme, on teavitatud, miks me neid andmeid vajame, kuidas andmeid kasutatakse, millised on nende isikute õigused, kellele neid andmeid avaldatakse ja millised kaitsemeetmed on kehtestatud, et nende andmeid kaitsta.
Otseturundus – otseturunduse sõnastus ja protsessid, sealhulgas turundustellimuste selged nõusolekumehhanismid; selge teade ja loobumisviis ning tellimuse tühistamise võimalused kõikides edasistes turundusmaterjalides.
Andmekaitse mõju hinnangud (DPIA) – oleme välja töötanud ranged toimingud ja hindamismallid juhtudeks, kui on vaja töödelda hinnanguliselt suure riskiga andmeid, mille puhul töötlemine on suuremahuline või mis sisaldavad erikategooria või kriminaalkaristuste andmeid. Need mallid vastavad täielikult isikuandmete kaitse üldmääruse artikli 35 nõuetele. Rakendame dokumenteerimistoiminguid, registreerides iga hindamise. See võimaldab meil hinnata töötlemisega kaasnevat riski ja rakendada leevendusmeetmeid, et vähendada andmesubjekti(de)le tekkivat ohtu.
Lepingud töötlejatega – seal, kus kasutame meie nimel isikuandmeid töötlevat kolmandat poolt (nt palgaarvestus, värbamine, majutus jne), oleme teinud töötlejatega nõuetekohased lepingud, millega tagame, et nad täidavad ja mõistavad oma (isikuandmete kaitse üldmääruses sätestatud) kohustusi ja et ka meie neid kohustusi täidame. Need meetmed hõlmavad osutatava teenuse ja töötlemise vajalikkuse esialgset ja pidevat läbivaatamist, tehnilisi ja korraldusmeetmeid ning vastavust isikuandmete kaitse üldmäärusele (GDPR).

Andmesubjekti õigused

Lisaks eespool nimetatud põhimõtetele ja toimingutele, mis tagavad, et üksikisikud saavad nõuda oma andmete turvamist, oleme valmis andma teavet üksikisiku õiguse kohta pääseda juurde mis tahes isikuandmetele, mida CE nende puhul töötleb, ja nõuda allpool loetletud teavet:

- millised isikuandmed meil nende kohta on;
- isikuandmete töötlemise põhjus;
- asjaomaste isikuandmete liigid;
- kellele isikuandmeid on avaldatud/avaldatakse;
- kui kaua kavatseme isikuandmeid säilitada;
- kui isikuandmeid ei kogutud otse andmesubjektilt, siis millisest allikast;
- kui inimesel on õigus parandada või täiendada ebatäielikke või ebatäpseid andmeid, ja mida selleks teha;
- kui inimesel on õigus nõuda isikuandmete kustutamist (kui see on asjakohane) või nende töötlemise piiramist kooskõlas andmekaitseseadustega, samuti õigus esitada vastuväiteid meie otseturundusele ja saada teavet meie automaatsete otsuste kohta;
- kui inimesel on õigus esitada kaebus või otsida õigusabi ja kellega sellisel juhul ühendust võtta.

Infoturve ning tehnilised ja korraldusmeetmed

CE suhtub üksikisikute eraelu puutumatuse ja nende isikuandmete kaitse ja turvalisuse tagamisse väga tõsiselt ning võtab kõik mõistlikud meetmed ja ettevaatusabinõud, et meie töödeldavaid isikuandmeid kaitsta ja turvata. Oleme kehtestanud ranged infoturbepõhimõtted ja -toimingud, et kaitsta isikuandmeid volitamata juurdepääsu, muutmise, avalikustamise või hävitamise eest, ja meil on mitu turvameetmete kihti.

Isikuandmete kaitse üldmäärusega (GDPR) seotud rollid ja töötajad

CE ei ole kohustatud nimetama andmekaitseametnikku. Kui tunneme, et vajame tuge, tellime nõustamise kolmandatest isikutest ajatundjatelt.

Tavaolukorras vastutab GDPR-i tutvustamise eest ja hindab valmisolekut seda järgida, tuvastab puudused ning rakendab uusi tegevuspõhimõtteid, toiminguid ja meetmeid ettevõtte juhatus.

CE mõistab, et isikuandmete kaitse üldmäärusega kooskõlas olemiseks on esmatähtsad töötajate jätkuv teadlikkus ja arusaamine.

Kui teil on küsimusi, kuidas me valmistume järgima isikuandmete kaitse üldmäärust, saatke oma meil aadressile cfs@cfs.ee, märkides teemareale GDPR või ANDMEKAITSE.