Andmekaitsedeklaratsioon
Käesolev andmekaitsedeklaratsioon annab teile selgitusi isikuandmete (edaspidi: andmed) töötlemise liigi, mahu ja eesmärgi kohta meie veebipakkumise ning sellega seotud veebilehtede, funktsioonide ja sisulise teabe (edaspidi: veebipakkumine) raames. Pidades silmas selliseid kasutatavaid mõisteid nagu „töötlemine“ või „vastutav isik“, viitame definitsioonidele, mis vastavad põhilise andmekaitsemääruse (DSGVO) artiklile 4.
Töödeldavate andmete liigid:
– Põhiandmed (nt nimed, aadressid).
– Kontaktandmed (nt meiliaadress, telefoninumbrid).
– Sisulised andmed (nt sisestatud tekstid).
– Kasutusandmed (nt veebilehed, mida olete külastanud, huvi tundmine sisuliste materjalide, juurdepääsuaegade vastu).
– Meta-/kommunikatsiooniandmed (nt seadmete kohta käiv teave, IP-aadressid).
Puudutatud isikute kategooriad
Veebipakkumise külastajad ja kasutajad (Edaspidi nimetame puudutatud isikuid koos ka „kasutajateks“).
Töötlemise eesmärk
– Veebipakkumise, selle funktsioonide ja sisulise teabe kasutusse andmine.
– Kontaktipäringutele vastamine ja kasutajatega suhtlemine.
– Turvameetmed.
– Tegevusraadiuse mõõtmine/turundus
Kasutatavad mõisted
„Isikuandmed on kõik andmed, mis käivad tuvastatud või tuvastatava füüsilise isiku (edaspidi: puudutatud isik) kohta; tuvastatava isiku all mõeldakse füüsilist isikut, keda on võimalik otseselt või kaudselt tuvastada eelkõige selliste tunnuste abil nagu nimi, identifitseerimisnumber, asukohaandmed, veebitunnus (nt küpsis), või ühe või mitme eritunnuse abil, mis väljendavad selle füüsilise isiku füüsilist, füsioloogilist, geneetilist, psüühilist, majanduslikku, kultuurilist või sotsiaalset identiteeti.
„Töötlemine“ on igasugune automatiseeritud meetodite abil või ilma nendeta läbiviidav protsess või igasugune selliste protsesside seeria, mis on seotud isikuandmetega. See mõiste on laiaulatuslik ja hõlmab praktiliselt igat andmetega ümberkäimist.
„Pseudonüümimine“ on isikuandmete töötlemine selliselt, et lisaandmeid kasutamata ei ole isikuandmeid enam võimalik konkreetse puudutatud isikuga seostada, sest neid lisaandmeid säilitatakse eraldi ning nende puhul rakendatakse tehnilisi ja organisatoorseid meetmeid, mis tagavad, et isikuandmeid ei oleks võimalik seostada tuvastatud või tuvastatava füüsilise isikuga.
„Profiili koostamine“ on isikuandmete igat liiki automatiseeritud töötlemine, mis seisneb selles, et neid isikuandmeid kasutatakse füüsilist isikut puudutavate teatud aspektide hindamiseks, eelkõige selleks, et analüüsida või prognoosida aspekte, mis on seotud selle füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või asukoha muutusega.
„Vastutavaks isikuks“ nimetatakse füüsilist või juriidilist isikut, ametiasutust, institutsiooni või muud asutust, kes otsustab üksi või teistega koos isikuandmete töötlemise eesmärkide ja vahendite üle.
„Andmetöötleja“ on füüsiline või juriidiline isik, ametiasutus, institutsioon või muu asutus, kes töötleb isikuandmeid vastutava isiku ülesandel.
Tähtsad õiguslikud alused
Isikuandmete kaitse üldmääruse (IKÜM) artikli 13 kohaselt teavitame teid oma andmetöötlusmeetodite õiguslikest alustest. Kui andmekaitsealases deklaratsioonis ei ole õiguslikku alust nimetatud, siis kehtivad järgmised regulatsioonid. Nõusolekute hankimise õiguslikuks aluseks on IKÜM-i artikli 6 lõike 1 täht a ja artikkel 7, meie teenuste osutamiseks ja lepinguliste meetmete rakendamiseks ning päringutele vastamiseks vajaliku andmetöötluse õiguslikuks aluseks on IKÜM-i artikli 6 lõike 1 täht b, meie õiguslike kohustuste täitmiseks vajaliku andmetöötluse aluseks on IKÜM-i artikli 6 lõike 1 täht c ning meie õigustatud huvide kaitsmiseks vajaliku andmetöötluse õiguslikuks aluseks on IKÜM-i artikli 6 lõike 1 täht f. Kui puudutatud isiku või muu füüsilise isiku elutähtsate huvide kaitsmine nõuab isikuandmete töötlemist, siis on selle õiguslikuks aluseks IKÜM-i artikli 6 lõike 1 täht d.
Turvameetmed
Riski suurusele vastava kaitsetaseme tagamiseks rakendame IKÜM-i artikli 32 kohaselt sobivaid tehnilisi ja organisatoorseid meetmeid, võttes seejuures arvesse tehnika taset, rakenduskulusid ja andmete töötlemise liiki, mahtu, asjaolusid ja eesmärke ning füüsiliste isikute õiguste ja vabadustega seotud riski tekkimise erinevaid tõenäosusi ja selle riski raskusastet.
Meetmete hulka kuulub eelkõige andmete konfidentsiaalsuse, terviklikkuse ja kättesaadavuse tagamine, milleks kontrollitakse füüsilist ligipääsu andmetele, samuti juurdepääsu nendele, nende sisestamist, edastamist, kättesaadavuse tagamist ja nende eraldamist. Peale selle oleme kasutusele võtnud meetodid, mis tagavad puudutatud isikute õiguste kasutamise, andmete kustutamise, aga ka andmetega seotud ohtudele reageerimise. Peale selle arvestame isikuandmete kaitsmisega juba arenduse käigus või riistvara, tarkvara ja meetodite valimisel andmekaitse põhimõtte järgi tehnoloogia kujundamise ning andmekaitsele omaste seadmete rakendamise abil (IKÜM-i artikkel 25).
Koostöö andmetöötlejate ja kolmandate osalistega
Kui me andmete töötlemise raames avaldame andmeid teistele isikutele või ettevõtetele (andmetöötlejatele või kolmandatele osalistele), edastame need neile või võimaldame neile muul viisil ligipääsu andmetele, siis teeme seda ainult seadusliku loa alusel (nt kui andmete edastamine sellistele kolmandatele osalistele nagu makseteenuste osutajatele on IKÜM-i artikli 6 lõike 1 tähe b kohaselt lepingu täitmiseks vajalik), kui te olete selleks nõusoleku andnud, kui seda näeb ette õiguslik kohustus, või meie õigustatud huvide alusel (nt volitatud isikute, veebihaldurite jne kasutamise korral).
Kuivõrd me tellime andmete töötlemise kolmandatelt osalistelt nn andmete töötlemise lepingu alusel, teeme seda IKÜM-i artikli 28 kohaselt.
Andmete edastamine kolmandatesse riikidesse
Kuivõrd me töötleme andmeid kolmandas riigis (st väljaspool Euroopa Liitu (EL) või Euroopa Majanduspiirkonda (EMP)) või toimub see kolmandate osaliste teenuste kasutamise või andmete avalikustamise või edastamise raames kolmandatele osalistele, tehakse seda ainult siis, kui see toimub meie (eel)lepingust tulenevate tingimuste täitmiseks, teie nõusoleku alusel, õigusliku kohustuse järgi või meie õigustatud huvide kohaselt. Eeldusel, et seaduslikud või lepingulised load on olemas, töötleme andmeid või laseme andmeid töödelda kolmandas riigis ainult sel juhul, kui IKÜM-i artikli 44 ja sellele järgnevate artikli erieeldused on täidetud. See tähendab, et andmete töötlemine toimub nt selliste eriliste tagatiste alusel, nagu seda on EL-i tingimustele vastava kaitsetaseme ametlikult tunnustatud kinnitus (nt USA puhul Privacy Shield) või ametlikult tunnustatud spetsiaalsete lepinguliste kohustuste (niinimetatud standardsete lepinguklauslite) alusel.
Puudutatud isikute õigused
Teil on õigus nõuda kinnitust selle kohta, kas vastavaid andmeid töödeldakse, ja saada nende andmete kohta teavet ning lisateavet ja andmete koopiat IKÜM-i artikli 15 kohaselt.
Teil on IKÜM-i artikli 16 kohaselt õigus nõuda teid puudutavate andmete täiendamist või teid puudutavate ebaõigete andmete parandamist.
IKÜM-i artikli 17 kohaselt on teil õigus nõuda, et vastavad andmed viivitamata kustutataks, või nõuda alternatiivina IKÜM-i artikli 18 kohaselt andmete töötlemise piiramist.
Teil on õigus nõuda, et teid puudutavad andmed, mille olete meile edastanud, saadetaks teile IKÜMI-i artikli 20 kohaselt tagasi, samuti on teil õigus nõuda nende edastamist teistele vastutavatele isikutele.
Lisaks sellele on teil IKÜMI-i artikli 77 kohaselt õigus esitada kaebus pädevale järelevalveasutusele.
Tagasivõtmisõigus
Teil on õigus antud nõusolekud IKÜM-i artikli 7 lõike 3 kohaselt tagasi võtta tagasivõtmise kehtivusega tulevikus.
Vastuväite esitamise õigus
Te võite teid puudutavate andmete tulevikus töötlemise vastu esitada IKÜM-i artikli 21 kohaselt igal ajal vastuväite. Vastuväite võib esitada eelkõige andmete otsereklaami eesmärgil töötlemise vastu. .
Küpsised ja vastuväite esitamise õigus otsereklaami korral
Küpsisteks nimetatakse väikseid faile, mis salvestatakse kasutajate arvutitesse. Küpsistesse saab salvestada erinevaid andmeid. Küpsis on mõeldud põhiliselt kasutaja andmete (või seadme andmete, kuhu küpsis on salvestatud) salvestamiseks internetipõhise pakkumisega tutvumise ajal või pärast seda. Ajutisteks küpsisteks ehk sessiooniküpsisteks või transientseteks küpsisteks nimetatakse küpsiseid, mis kustutatakse pärast seda, kui kasutaja lahkub internetipõhiselt pakkumiselt ja sulgeb oma brauseri. Sellisesse küpsisesse saab salvestada nt veebipoes ostukorvi sisu või sisselogimisstaatuse. Püsivateks või persistentseteks nimetatakse küpsiseid, mis säilivad salvestatuna ka pärast brauseri sulgemist. Nii saab nt sisselogimisstaatuse salvestada siis, kui kasutajad otsivad need mitme päeva pärast üles. Sellisesse küpsisesse saab salvestada ka kasutajate huvisid, mida kasutatakse tegevusraadiuse mõõtmiseks või turunduseesmärkidel. Kolmanda osalise küpsisteks (third-party cookie) nimetatakse küpsiseid, mida pakuvad muud pakkujad kui vastutav isik, kes internetipõhist pakkumist haldab (vastasel korral, kui need on ainult tema küpsised, siis räägitakse esimese osalise küpsistest (first-party cookies)).Me võime kasutada ajutisi ja püsivaid küpsiseid ning anname oma andmekaitsealases deklaratsioonis selle kohta selgitusi.Kui kasutajad ei soovi, et nende arvutitesse salvestatakse küpsiseid, siis palutakse neil see valik brauseri süsteemiseadetes inaktiveerida. Salvestatud küpsiseid on võimalik brauseri süsteemiseadetes kustutada. Küpsiste kasutamise välistamine võib põhjustada selle internetipõhise pakkumise puhul funktsioonipiiranguid.Veebiturunduse eesmärkidel kasutatavate küpsiste kasutamise vastu saab esitada paljude teenuste puhul, eelkõige jälgimiste (tracking) puhul, kasutades selleks USA lehte http://www.aboutads.info/choices/ või EL-i lehte http://www.youronlinechoices.com/. Lisaks on küpsiste salvestamine võimalik, kui need lülitatakse brauseri seadetes välja. Pange tähele, et sel juhul ei pruugi olla võimalik selle internetipõhise pakkumise kõiki funktsioone kasutada.
Andmete kustutamine
Meie töödeldavad andmed kustutatakse või piiratakse nende töötlemist IKÜM-i artiklite 17 ja 18 kohaselt. Kui selles andmekaitsealases deklaratsioonis ei ole vastavat teavet selgesõnaliselt antud, siis kustutatakse meie salvestatud andmed niipea, kui need ei ole oma kasutuseesmärgi täitmiseks enam vajalikud ja kui kustutamine ei ole ühegi seadusega ette nähtud säilitamiskohustusega vastuolus. Kui andmeid ei kustutata seetõttu, et need on vajalikud muude ja seadusega lubatud eesmärkide täitmiseks, siis nende töötlemist piiratakse. See tähendab, et andmed blokeeritakse ja neid ei töödelda muudel eesmärkidel. See kehtib nt andmete puhul, mida tuleb kaubandus- või maksuõigusalastel põhjustel säilitada.Saksamaa seaduslike eeskirjade kohaselt säilitatakse andmeid maksuseaduse (AO) § 147 lõike 1, äriseadustiku (HGB) § 257 lõike 1 numbrite 1 ja 4 ning lõike 4 järgi eelkõige 10 aastat (raamatud, salvestised, raamatupidamise aastaaruanded, raamatupidamisdokumendid, arveraamatud, maksustamise seisukohalt tähtsad dokumendid jne) ning äriseadustiku § 257 lõike 1 numbrite 2 ja 3 ning lõike 4 kohaselt 6 aastat (ärikirjad).Austria seaduslike eeskirjade kohaselt säilitatakse andmeid föderaalse maksuseaduse (BAO) § 132 lõike 1 järgi 7 aastat (raamatupidamisdokumendid, tõendavad dokumendid/arved, kontod, tõendavad dokumendid, äridokumendid, tulude ja kulude aruanne jne), kinnistutega seotud andmeid 22 aastat ja dokumente, mis on seotud elektrooniliselt osutatavate teenuste, telekommunikatsiooni-, ringhäälingu- ja televisiooniteenustega, mida osutatakse EL-i liikmesriikides isikutele, kes ei ole ettevõtjad ja kelle puhul kasutatakse teenust Mini-One-Stop-Shop (MOSS), 10 aastat.
Meiega ühendust võtmine
Kui võtate meiega ühendust (nt kontaktvormi kasutades, e-posti või telefoni teel), siis töödeldakse kasutaja andmeid kontaktipäringu töötlemiseks ja selle käsitlemiseks IKÜM-i artikli 6 lõike 1 tähe b kohaselt). Kasutajate andmed saab salvestada kliendisuhete haldussüsteemi (Customer-Relationship-Management System, CRM System) või sellega võrreldavasse päringusüsteemi.Päringud, mis ei ole enam vajalikud, kustutame. Päringute vajalikkust kontrollime iga kahe aasta järel, lisaks sellele kehtivad seadustega ette nähtud arhiveerimiskohustused.
Veebimajutus
Meie kasutatavad veebimajutusteenused on mõeldud järgmiste teenuste osutamiseks: taristu- ja platvormiteenused, andmesidemaht, salvestusruum ja andmebaasiteenused, turvateenused ja tehnohooldusteenused, mida kasutame selle internetipõhise pakkumise haldamiseks.Meie kasutame või meie veebimajutusteenuse pakkuja kasutab seejuures selle internetipõhise pakkumise klientide, asjast huvitatud isikute ja külastajate põhiandmeid, kontaktandmeid, sisulisi andmeid, lepinguandmeid, kasutusandmeid, meta- ja kommunikatsiooniandmeid, lähtudes oma õigustatud huvidest, mille eesmärgiks on selle internetipõhise pakkumise efektiivne ja turvaline kasutusseandmine IKÜM-i artikli 6 lõike 1 tähe f kohaselt seoses IKÜM-i artikliga 28 (tellimuse töötlemise lepingu sõlmimine).
Juurdepääsuandmete ja logifailide kogumine
Meie kogume või meie veebimajutusteenuse pakkuja kogub, lähtudes meie õigustatud huvidest IKÜM-i artikli 6 lõike 1 tähe f tähenduses, andmeid iga juurdepääsu kohta serverile, milles see teenus asub (niinimetatud serveri logifaile). Juurdepääsuandmete hulka kuuluvad allalaaditud veebilehe nimi, fail, allalaadimise kuupäev ja kellaaeg, edastatud andmete maht, teade õnnestunud allalaadimise kohta, brauseri tüüp ja versioon, kasutaja operatsioonisüsteem, URL-i (varem külastatud lehe) andmed, IP-aadress ja päringu edastaja andmed.Logifailide teave salvestatakse turvalisuse kaalutlustel (nt kuritahtlike tegevuste või pettuste väljaselgitamiseks) maksimaalselt 7 päevaks ja seejärel kustutatakse. Andmeid, mille edasine säilitamine on vajalik tõendite kogumiseks, ei kustutata antud konkreetse juhtumi lõpliku lahendamiseni.
Google Analytics
Lähtudes oma õigustatud huvidest (st huvist meie internetipõhise pakkumise analüüsimise, optimeerimise ja majandusliku kasutamise vastu IKÜM-i artikli 6 lõike 1 tähe f tähenduses) kasutame Google LLC (Google’i) veebianalüüsiteenust Google Analytics. Google kasutab küpsiseid. Küpsise loodud teave internetipõhise pakkumise kasutamise kohta kasutajate poolt edastatakse harilikult USA-s asuvasse Google’i serverisse, kus see salvestatakse.Google on sertifitseeritud privaatsuskilbi (Privacy Shield) lepingu kohaselt ja annab selle alusel garantii, et järgib Euroopa andmekaitseõigust (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).
Google kasutab seda teavet meie ülesandel selleks, et hinnata meie internetipõhise pakkumise kasutajapoolset kasutamist, koostada aruandeid selle internetipõhise pakkumise raames toimuvate tegevuste kohta ja osutada meile muid teenuseid, mis on seotud selle internetipõhise pakkumise kasutamise ja interneti kasutamisega. Seejuures on võimalik töödeldud andmeid kasutades luua kasutajate pseudonüümseid kasutajaprofiile.Google Analyticsit kasutame ainult siis, kui IP anonümiseerimine on aktiveeritud. See tähendab, et Google piirab kasutajatel IP-aadressi kasutamise Euroopa Liidu liikmesriikides või teistes Euroopa Majandusruumi kokkuleppe sõlminud riikides. Täielik IP-aadress saadetakse USA-s asuvasse Google’i serverisse ja salvestatakse seal ainult erandjuhtudel.Kasutaja brauseri poolt edastatud IP-aadressi ei seostata teiste Google’i andmetega. Kasutajad võivad küpsiste salvestamise oma brauseri tarkvara vastava seadistuse abil blokeerida; lisaks sellele võivad kasutajad takistada küpsise loodud andmete kogumist ja nende kasutamist internetipõhise pakkumisega seotud andmete edastamisel Google’ile ning nende andmete töötlemist Google’i poolt, laadides alla ja installides Google’is tööriistade (tools) all saadaoleva brauseri plugina.
Samuti registreeritakse kasutajate IP-aadressid, kusjuures nende kasutamine piiratakse Euroopa Liidu liikmesriikides või teistes Euroopa Majandusruumi kokkuleppe sõlminud riikides ning täielikul kujul saadetakse need USA-s asuvasse Google’i serverisse ja salvestatakse seal ainult erandjuhtudel. Google võib eespool nimetatud teavet siduda ka teistest allikatest pärineva sarnase teabega. Kui kasutaja läheb seejärel teistele veebilehtedele, siis võidakse talle näidata tema kasutajaprofiili põhjal oletatavatele huvidele vastavaid, temale suunatud materjale.
Kasutajate andmeid töödeldakse Google’i reklaamivõrgustiku raames pseudonüümselt. See tähendab, et Google ei salvesta ega töötle kasutajate nimesid ega meiliaadresse, vaid töötleb tähtsaid andmeid pseudonüümsete kasutajaprofiilide raames küpsisepõhiselt. Google’i seisukohast ei hallata ega kuvata seega materjale ühe konkreetse tuvastatud isiku jaoks, vaid küpsise omaniku jaoks, olenemata sellest, kes selle küpsise omanik on. See ei kehti juhul, kui kasutaja on sõnaselgelt lubanud Google’il andmeid pseudonüümimiseta töödelda. Google’i turundusteenuste (Google Marketing-Services) abil kasutajate kohta kogutud andmed edastatakse Google’ile ja salvestatakse Google’i USA-s asuvatesse serveritesse.