Andmekaitsetingimused ja Isikuandmete Töötlemisülevaade

1.
Käesolevas dokumendis on toodud isikuandmete (Euroopa parlamendi ja nõukogu (EL) regulatsiooni 2016/679 ehk isikuandmete kaitse üldmääruse artikkel 4 tähenduses) töötlemise tingimused (Andmekaitsetingimused) ning ülevaade isikuandmete töötlemise põhimõtete kohta (Töötlemisülevaade) Almic OÜ (registrikood 10890199) (edaspidi ALMIC) poolt.
2.
ALMIC puutub isikuandmetega kokku mitmel erineval viisil ning erinevas rollis (vastutava töötlejana ja volitatud töötlejana).
2.1.
Vastutava töötlejana saab ALMIC enda valdusesse eelkõige need isikuandmed, mille ALMIC’u KLIENDID ise ALMIC’ule edastavad, eelkõige KLIENDI-suhte loomisel (lepingu sõlmimisel ja kasutajakonto registreerimisel ning domeeni registreerimisel) ja hilisemal andmete muutmisel. ALMIC saab teavet ka teenuste kasutamise põhjal (sh tellimuste tegemisel, teenuste ja kaupade eest arveldamisel, ALMIC’uga suhtlemisel erinevaid kanaleid pidi, küpsiste kasutamisel ja muul viisil). Seeläbi kogutakse andmeid selle kohta, milliseid teenuseid ja kuidas kasutaja kasutab ja millised on olnud kasutaja viimase aja eelistused, ettepanekud, probleemid. Teave, mida kogutakse ajal, kui kasutaja on kasutajakontole sisse loginud, seostatakse kasutajakontoga. Isikuandmete kogumisel ja töötlemisel piirdub ALMIC vähimaga, mis on vajalik isikuandmete töötlemise eesmärkide täitmiseks. 
2.1.1.
Veel puutub ALMIC vastutava töötlejana kokku tema enda töötajate ja teatud juhtudel muude isikute (nt koostööpartnerite) füüsilisest isikust esindajate isikuandmetega, aga ka nende füüsiliste isikute andmetega, kes pöörduvad ALMIC’u poole KLIENDIKS saamise küsimustes, kuid mingil põhjusel KLIENDIKS ei saa. Sellisel juhul kohalduvad käesolevad tingimused mutatis mutandis põhimõttel ainult sellisel määral, mis on asjakohane (nt kohaldab ALMIC nendele andmetele samasuguseid turvanõudeid, säilitamise nõudeid ja tähtaegu ning ALMIC ei kasuta neid andmeid mingil muul eesmärgil, kui ainult (töö)lepinguliste suhete täitmiseks ja vastavalt vastava isiku enda soovile ja nõusolekule isikuga suhtlemiseks (nt kirjale vastamiseks). Täiendavalt on ALMIC’ul õigus neid andmeid kasutada enda õiguste kaitseks (nt kohtuvaidluses vastava isikuga) või seadusest tuleneva kohustuse täitmiseks.
2.2.
Volitatud töötlejana puutub ALMIC kokku eelkõige nende isikuandmetega, mille vastutavaks töötlejaks on ALMIC’u KLIENDID. Sellisteks andmeteks võivad olla mitmesugused isikuandmed, mille täpsem sisu ei ole (ja ei saagi olla) ALMIC’ule teada (nt ALMIC’u taristus säilitatavad KLIENDI failid, andmebaasid, e-kirjad jms). Selliste isikuandmete vastutav töötleja on KLIENT. Kuivõrd ALMIC’ul puudub kontroll selle üle milliseid andmeid KLIENDID ALMIC’u taristusse laadivad, koguvad või muul viisil töötlevad, siis ei vastuta sellise töötlemise eest ALMIC, vaid vastav KLIENT. Volitatud töötlejana töötleb ALMIC selliseid isikuandmeid üksnes ja rangelt kooskõlas ALMIC’u ja KLIENDI vahelise teenuselepinguga ja selle lepingu täitmiseks (teenuselepingut ALMIC’u ja KLIENDI vahel, käsitleb ALMIC Euroopa parlamendi ja nõukogu (EL) regulatsiooni 2016/679 ehk isikuandmete kaitse üldmääruse artikkel 28 mõistes KLIENDI kui vastutava ja ALMIC kui volitatud töötleja vahelise kirjaliku lepinguna). Üldjuhul piirdubki selliste andmete töötlus ALMIC’u poolt, nende andmete säilitamisega ja/või rakenduse majutamisega, mille kaudu KLIENT ise andmeid töötleb. Erandjuhtudel võib andmete töötlus seisneda muudes toimingutes, kuid igal juhul on nende toimingute tegemise aluseks leping vastutava töötleja ja ALMIC’u vahel.
3.
ALMIC’u poolt isikuandmete töötlemise alus ja eesmärk tuleneb eelkõige lepingute sõlmimisest, täitmisest ja teenuse osutamisest seisnedes järgnevas:
3.1.
Vastutava töötlejana ALMIC kogub ja töötleb isikuandmeid teenuselepingute sõlmimiseks ja täitmiseks (sh teenuse osutamiseks). 
3.1.1.
Sellisteks isikuandmeteks on eelkõige nimi, isikukood/sünniaeg, aadress ja e-post, mis on vajalikud KLIENDI-isuhte loomiseks (lepingu sõlmimiseks) ja haldamiseks (nt isikusamasuse ja esindusõiguse tuvastamiseks tehingute tegemisel, arvete saatmiseks, kontakteerumiseks teenust puudutavates küsimustes, muudatustest, täiustustest, katkestustest jms teavitamiseks).
3.1.2.
Täiendavalt omandab ALMIC lepingu täitmise käigus andmeid KLIENDI kohta (nt suhtluskeele valik, KLIENDI eelistused teenuse kasutamisel, pangakonto andmed, KLIENDI seadmete andmed, teenuste ja kaupade ostuajalugu, ettemaksuandmed, võlgnevuse andmed), mille tekkimise toob kaasa KLIENDI enda käitumine (teenuse kasutamine). Selliseid andmeid kasutab ALMIC selleks, et teenust osutada, hallata ja muuta teenuse kasutamine KLIENDI jaoks võimalikult turvaliseks (nt. võimaldada rämpsposti ja pahavara tuvastamist) ja mugavaks (nt ei küsi korduvalt keele-eelistust; kui on kohustus tagastada, siis tagastab rahasumma samale kontole, kust KLIENT tasus; küpsiste kasutamisega jätab meelde KLIENDI eelistused pakkudes kasutajale kohandatud sisu, esitades kasutajale asjakohasemaid otsingutulemusi jne), või parendada teenust sisuliselt ja kvalitatiivselt. KLIENDIL on igal ajal õigus neid andmeid (sh eelistusi) muuta, misjärel lähtub ALMIC muudetud andmetest. 
3.1.3.
Lisaks kogub ALMIC aegajalt andmeid pakkudes KLIENTIDELE võimaluse vabatahtlikult andmeid ALMIC’ule edastada (nt tagasiside vormis), või esitavad KLIENDID andmeid omaalgatuslikult (nt kirjalik küsimus, pretensioon vms). Selliste andmete kasutamine sõltub nende andmete iseloomust, kuid nende andmete esitamata jätmine (nt tagasiside mitte andmine) ei mõjuta teenuse osutamist vaid on selgelt vabatahtlik ja sellisel juhul on andmete töötlemise aluseks isiku nõusolek, mis võib olla väljendatud nt KLIENDI-poolse küsimuse, palve, ettepaneku vms vormis.
3.1.4.
ALMIC ei kasuta isikuandmeid lepinguvälistel eesmärkidel, nt reklaami edastamiseks, või muuks turundustegevuseks, välja arvatud, kui vastavad isikud on selleks andnud selge nõusoleku koos võimalusega see nõusolek igal ajal tagasi võtta. 
3.1.5.
Selgituseks - ALMIC kasutab eeltoodud eesmärkidel ja alustel andmete kogumiseks mh küpsiseid ja teisi tehnoloogiaid. Küpsis on väike tekstilõik, mille külastatav veebisait saadab kasutaja internetibrauserile ning mis aitab veebisaidil meelde jätta teavet kasutaja külastuse kohta. See võib muuta järgmise külastuse lihtsamaks ja külastatava portaali kasulikumaks. ALMIC kasutab oma hallatavate portaalide ja toodete ja teenuste käitamiseks mitmeid eri tüüpi küpsiseid. Sealhulgas kasutab ALMIC nii ajutisi ehk seansiküpsiseid kui püsiküpsiseid, mis salvestuvad kasutaja arvutisse ega kustu ka pärast veebilehitseja sulgemist. ALMIC kasutab parima teenuse pakkumiseks nii esimese osapoole ehk autori enda küpsiseid kui kolmandate osapoolte küpsiseid (Google Analytics), mis pärinevad näiteks teiste võrgulehtede reklaamidelt, mis asuvad kasutaja poolt külastataval võrgulehel. Küpsistel on oluline roll, kuna nendeta oleks veebi kasutamine oluliselt ebamugavam. Eelnimetatud küpsiseid salvestatakse ka kasutaja internetibrauseris. Kasutaja saab konkreetsete ALMIC’u poolt kasutatavate küpsistega tutvuda oma internetibrauseri vahendusel. Samuti saab kasutaja määrata oma internetibrauseri blokeerima ALMIC’u kasutatavaid küpsiseid, sealhulgas kolmandate osapooltes küpsiseid, või näitama, kui küpsis määratakse. Küll aga tuleks meeles pidada, et küpsiste blokeerimise korral ei pruugi kasutajakontoga seotud teenused korrektselt toimida.
3.2.
Volitatud töötlejana töötleb ALMIC isikuandmeid rangelt vastutava töötlejaga (KLIENDIGA) sõlmitud teenuselepingu alusel (nt serveriteenuse leping) ja selle lepingu täitmiseks teenuse osutamiseks (nt andmete majutamiseks, rakenduse majutamiseks vms). Mitte ühelgi juhul ei töötle ALMIC volitatud töötlejana KLIENDI vastutusel olevaid isikuandmeid omal algatusel enda huvides lepinguvälistel eesmärkidel (nt reklaami edastamiseks vms).
4.
ALMIC võimaldab ligipääsu kasutaja isikuandmetele üksnes enda töötajatele, kes on saanud vastava väljaõppe. Kõnealustel isikutel on õigus isikuandmeid töödelda vaid ulatuses, mis on vajalik isikuandmete töötlemise eesmärkide saavutamiseks.
5.
ALMIC ei jaga kasutajate isikuandmeid kolmandate ettevõtete, organisatsioonide ja isikutega, välja arvatud juhul, kui ALMIC’ul on kasutaja nõusolek, tegu on süsteemi administraatori, haldaja või majutajaga ja info jagamine on möödapääsmatu lepingu täitmiseks . ALMIC võib kaasata isikuandmete töötlemisse volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et KLIENDI-andmete töötlemine vastab asjaomastes seadustes esitatud nõuetele ja tagatatud on andmesubjekti õiguste kaitse.  Kui isikuandmeid edastatakse kolmandasse riiki (see tähendab mitte Euroopa Liidu liikmesriiki), tagab ALMIC piisavad kaitsemeetmed isikuandmete kaitseks. ALMIC võib edastada või töödelda isikuandmeid väljaspool Euroopa Liidu/Euroopa Majanduspiirkonna piire, kui on olemas leping, mis sisaldab isikuandmete kaitse üldmäärusele vastavaid tüüptingimusi, heakskiidetud toimimisjuhendeid, sertifitseerimisi vms, riigis, kus vastuvõtja asub, on piisav andmekaitse tase vastavalt Euroopa Komisjoni otsusele, vastuvõtja on sertifitseeritud andmekaitseraamistiku Privacy Shield alusel.
6.
Üksikutel juhtudel võib isikuandmete töötlemise eesmärk ja alus tuleneda seadusest (nt seaduse alusel isikuandmete säilitamine teatud tähtaja jooksul  või seaduse sunnil  andmete edastamine uurimisasutusele, jälitusasutusele, prokuratuurile, kohtule, julgeolekuasutusele, Andmekaitse Inspektsioonile, Finantsinspektsioonile, Tarbijakaitse ja Tehnilise Järelevalve Ametile, Keskkonnainspektsioonile, Politsei- ja Piirivalveametile, Kaitsepolitseiametile ning Maksu- ja Tolliametile). Sellisel juhul on ALMIC kohustatud seadust täitma.
7.
ALMIC teeb kõik selleks, et kogutud isikuandmed oleksid õiged, piisavad ja asjakohased. KLIENTIDEL on igal ajal õigus enda isikuandmeid muuta, täpsustada ja parandada.
8.
KLIENDIL on õigus tutvuda kasutajakonto ja teenuste kasutamisel avaldatud, kogutud ja töödeldavate teda puudutavate isikuandmetega, samuti asjakohasel juhul, kui teave on vale, ebatäpne või puudulik, pakub ALMIC kasutajale võimalust seda kiiresti muuta või värskendada, vajadusel ka kustutada, välja arvatud juhul, kui ALMIC on kohustatud selle teabe säilitama seaduslikel, ärilistel või õiguslikel eesmärkidel. KLIENDIL on ka õigus nõuda isikuandmete töötlemise piiramist.
9.
KLIENDIL on igal ajal võimalik nõuda temaga seotud isikuandmete masinloetaval kujul üle andmist või edastamist teisele kasutaja poolt määratud teenust pakkuvale ettevõttele. Sellisel juhul edastab ALMIC andmed 60 (kuukümne) päeva jooksul, võttes arvesse ALMIC’u tehnilisi võimalusi. Eelviidatud tähtaega on ALMIC’ul võimalik mõjuval põhjusel pikendada ja (osaliselt) andmete üleandmisest keelduda, kui selleks on õiguslik alus. Eelnevale vaatamata ei saa ALMIC tagada ega olla vastutav selle eest, kas teine teenusepakkuja, kelle poole KLIENT saadud andmetega pöördub ja kellele üleandmist palub, on võimeline neid isikuandmeid (sellisel kujul) vastu võtma.
10.
ALMIC’u eesmärk on säilitada teenuseid nii, et need kaitseksid olemasolevat teavet juhuslike või pahatahtlike kahjustuste eest. Niisiis pärast seda, kui kasutaja on teabe kustutanud, ei pruugi ALMIC kustutada koheselt kõiki koopiaid aktiivsetest serveritest ega eemaldada teavet varusüsteemidest. Seda tehakse vajadusel 60 päeva möödumisel, välja arvatud nende andmete puhul, mille säilitamise kohustus tuleneb kehtivatest õigusnormidest ja -aktidest.
11.
ALMIC on võtnud tarvitusele kaasaegsed tehnilised ja korralduslikud turvameetmed selleks, et kaitsta isikuandmeid (nii vastutava töötlejana, kui ka volitatud töötlejana) seadusevastase ligipääsu, kustutamise, muutmise, avalikustamise, hävitamise, või muul viisil rikkumise eest. Selleks rakendame oma teenustele ja taristule (majutuspinnad, serverid, võrguseadmed, portaalid jne) asjakohaseid tehnilisi ja korralduslikke turvameetmeid ohule vastava turvalisuse taseme tagamiseks. Vastavad meetmed on kehtestatud ALMIC sisemiste turvaeeskirjadega, hõlmates mh vastavalt vajadusele järgmist:
  • konfidentsiaalse informatsiooni hulka kuuluvate isikuandmete pseudonümiseerimine ja krüpteerimine;
  • võime tagada konfidentsiaalse informatsiooni hulka kuuluvaid isikuandmeid töötlevate süsteemide ja teenuste kestev privaatsus, terviklikkus, kättesaadavus ja vastupidavus;
  • võime taastada õigeaegselt konfidentsiaalse informatsiooni hulka kuuluvate isikuandmete kättesaadavus ja juurdepääs füüsilise või tehnilise vahejuhtumi korral;
  • tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord konfidentsiaalse informatsiooni hulka kuuluvate isikuandmete töötlemise turvalisuse tagamiseks.
12.
ALMIC teavitab kasutajat olulistest turvariskidest, sealhulgas kasutajaga seotud andmete vargusest ning sissemurdmisest ALMIC’u valdustesse. Kõnealustest asjaoludest teavitab ALMIC ka Andmekaitse Inspektsiooni. Samuti võtab ALMIC tarvitusele vajalikud meetmed tekkinud olukorra tagajärgede leevendamiseks ning analoogsete riskide maandamiseks.
13.
Isikuandmete töötlemiseta ei ole ALMIC’u portaalide kasutajakonto registreerimine ja kasutamine ja teenuste osutamine võimalik. ALMIC tagab, et isikuandmete töötlemine toimub kooskõlas kehtivate õigusnormide ja õigusaktidega.
14.
KLIENDI-suhte lõppemisel on ALMIC õigustatud kõik kasutaja kohta kogutud ja salvestatud andmed, välja arvatud need andmed, mille säilitamise kohustus tuleneb kehtivatest õigusnormidest ja -aktidest kustutama. KLIENDIL on õigus nõuda, et ALMIC kustutaks andmed kuuekümne (60) päeva jooksul. On võimalik, et isikuandmete täielik kustutamine ALMIC’u poolt ei ole võimalik, kas lepinguliste või seadusest tulenevate kohustuste täitmiseks ning sellisel juhul ja ulatuses ei ole ALMIC kohustatud isikuandmeid kustutama.
15.
ALMIC’ul on õigus vastavaid kustutamata andmeid eesmärgipäraselt töödelda ka peale KLIENDI-suhte lõppu, kuid endiselt rangelt kooskõlas käesolevate reeglitega ning õigusaktidega.
16.
Mõjuval põhjusel on ALMIC’ul õigus eelnimetatud tähtaega pikendada ning sellisel juhul ALMIC põhjendab tähtaja pikendamist ja selle alust (nt ei ole andmeid võimalik kustutada, või nõuab kustutamine ebamõistlikku pingutust, millisel juhul ALMIC selgitab seda asjaolu KLIENDILE). Seejuures jätab ALMIC endale õiguse (aga mitte kohustuse) säilitada need suhtlusandmed ja kirjavahetuse KLIENDIGA, mille üheks osapooleks on ALMIC ise, kolmeks (3) aastaks, mistahes hilisemates võimalikes vaidlustes enda õiguste kaitseks.
17.
Kui pikem säilitamise tähtaeg tuleneb seadusest, ei pea ALMIC seda põhjendama muuga, kui viitega vastavale seadusele, nt:
17.1.
ALMIC’ul on õigus ja kohustus säilitada KLIENDIGA sõlmitud lepingudokumente (sh lepingu lisad ja lepingu alusel esitatud tellimused, makseandmed) raamatupidamisseaduses sätestatud tähtaja jooksul;
17.2.
ALMIC’ul on õigus ja kohustus säilitada Elektroonilise side seadus § 1111 lg 3 nimetatud andmed üks aasta, alates side toimumise ajast, kui need sideteenuse osutamise käigus on loodud või neid on töödeldud.
18.
Teatud juhtudel peab arvestama ka kolmandate isikute kehtestatud reeglitega, nt domeenidega seoses on ALMIC .ee akrediteeritud registripidaja, kes on kohustatud viitama Eesti Interneti SA (edaspidi: EIS) kehtestatud isikuandmete kasutamise alustele ja .ee domeenireeglitele, mis kohalduvad domeeniteenustega seoses ka KLIENTIDELE. EIS reeglid on leitavad lingil: https://www.internet.ee/domeenid/eis-i-isikuandmete-kasutamise-alused.
19.
ALMIC vaatab regulaarselt käesolevad tingimused üle, viies need vastavusse uute kehtestatud õigusnormide ja -aktidega. Tingimusi muutes ei vähenda ALMIC KLIENTIDE õigusi ilma KLIENTIDE enda nõusolekuta. ALMIC teavitab KLIENTE tingimuste muudatustest ette mõistlik aeg enne muudatuste jõustumist. ALMIC teavitab aktiivseid KLIENTE, kui neile hakkavad kehtima uued tingimused.
20.
KLIENDIL on igal ajal õigus esitada vastväiteid isikuandmete töötlemise toimingu suhtes. Sellise vastuväite esitamisel kaalub ALMIC KLIENDI õiguslikke huvisid ning lõpetab võimalusel kõnealuse andmetöötluse. Juhul, kui vastuväide on seotud andmetega, mille töötlemine on vajalik ja ALMIC’u hinnangul õiguspärane (nt säilitamine, või edastamine seadusest tuleneva kohustuse täitmiseks), võib ALMIC keelduda vastuväidete täitmisest.
21.
Kui isik leiab, et ALMIC on tema õiguseid isikuandmete töötlemisel rikkunud, on tal õigus esitada vastavasisuline kaebus ja/või vastuväide Andmekaitse Inspektsioonile (https://www.aki.ee/et) või kohtusse.
22.
Kõikide isikuandmete töötlemisega seotud küsimuste korral saate ühendust võtta meie andmekaitsespetsialistiga kontaktil: andmekaitse@almic.ee.