PRIVAATSUSPOLIITIKA
Andmesubjekt on tuvastatav või tuvastatud füüsiline isik, kelle isikuandmeid töödeldakse.
Isikuandmed on mistahes andmed tuvastatava või tuvastatud isiku (andmesubjekt) kohta.
Isikuandmete töötlemine on mistahes isikuandmetega tehtav toiming (nt muutmine, vaatamine, kustutamine).
2. SA KredEx kui vastutav isikuandmete töötleja
Käesolevas privaatsuspoliitikas on välja toodud informatsioon Sihtasutuse KredEx (edaspidi KredEx või SA KredEx) isikuandmete töötlemise kohta. KredEx lähtub oma põhitegevuses eelkõige ettevõtluse toetamise ja laenude riikliku tagamise seadusest. Isikuandmete töötlemisel lähtume Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679, isikuandmete kaitse seadusest ning muudest andmekaitset reguleerivatest õigusaktidest.
Lisaks vastutava töötleja staatusele on KredEx teatud juhtudel ka volitatud töötleja staatuses. KredEx on volitatud töötleja staatuses näiteks riiklike toetusmeetmete rakendamisel, mille aluseks on riigisiseselt kehtestatud õigusaktid ning milles on määratletud mh ka andmetöötluse eesmärk ja ulatus.
Palun leidke aega, et käesoleva privaatsuspoliitikaga põhjalikult tutvuda.
Täiendavate küsimuste korral kontakteeruge KredExiga.
SA KredEx
Hobujaama 4, Tallinn 10151
+372 667 4100
www.kredex.ee
KredExi andmekaitsespetsialistiga on võimalik kontakteeruda e-posti teel aadressil andmekaitse@kredex.ee.
KredExi volitatud töötlejate nimekirjaga on võimalik tutvuda meie veebilehel.
3. KredExi isikuandmete töötlemise põhimõtted
KredEx töötleb teie isikuandmeid vastavalt käesolevas privaatsuspoliitikas sätestatud põhimõtetele.
3.1 Läbipaistvus
KredEx töötleb teie isikuandmeid õiglasel ja läbipaistval viisil ning ainult siis, kui meil on õigusaktide kohaselt lubatud teie isikuandmeid töödelda.
3.2 Eesmärgi piirang
KredEx kogub teie isikuandmeid täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel. Me ei töötle teie isikuandmeid viisil, mis ei ühti esialgsete eesmärkidega. Kui teie isikuandmeid töödeldakse muul eesmärgil kui esialgne isikuandmete töötlemise eesmärk, toetume seadusest tulenevatele õiguslikele alustele (nt kohtute või õiguskaitseorganite päringute täitmisel ei töötle KredEx teie isikuandmeid enam ainult toetuste, käenduste ega muude teenuste osutamise eesmärgil) või küsime teie eelnevat luba, et töödelda teie isikuandmeid esialgsest isikuandmete töötlemiseesmärgist erineval eesmärgil.
3.3 Võimalikult väheste andmete kogumine
KredEx on võtnud eesmärgiks tagada, et KredExi poolt töödeldavad isikuandmed on andmete töötlemise eesmärkideks piisavad, asjakohased ja piiratud töötlemiseks vajalikuga. Me ei kogu ülearust ega KredExi jaoks ebavajalikku teavet. Kui andmesubjekt edastab KredExile vajalikust määrast rohkem isikuandmeid, võtame kasutusele kõik mõistlikud meetmed selleks, et vältida hilisemalt üleliigsete isikuandmete töötlemist ning viia töödeldavate isikuandmete maht miinimumini.
3.4 Õigsus
Meie eesmärk KredExis on tagada, et teie isikuandmed on õiged ja vajadusel ajakohased. KredEx teeb kõik mõistliku tagamaks, et ebaõiged isikuandmed kustutatakse või parandatakse viivitamata. Juhul, kui isikuandmed on valed, annab KredEx teile võimaluse andmed parandada ja/või kustutada. Me ei paranda ega saa lubada selliste isikuandmete kustutamist, mida oleme kohustatud hoidma muutumatuna juriidilise kohustuse täitmise eesmärgil (nt raamatupidamisseadusest tulenevate nõuete täitmiseks).
3.5 Säilitamise piirang
KredEx säilitab teie isikuandmeid kujul, mis võimaldab andmesubjektide tuvastamist, ainult seni, kuni see on vajalik isikuandmete töötlemise eesmärkide ja õigusaktidest tulenevate nõuete täitmiseks. KredEx töötleb isikuandmeid ainult seni, kuni see on kohaldatavate õigusaktidega siduvate lepingute või siduvate juriidiliste kohustuste kohaselt nõutav.
3.6 Usaldusväärsus ja konfidentsiaalsus
KredEx tagab isikuandmete kaitse ja töötleb teie isikuandmeid viisil, mis tagab nõuetekohase turvalisuse, sealhulgas kaitse lubamatu või ebaseadusliku töötlemise eest. KredEx teeb kõik mõistlikud jõupingutused vältimaks andmete kaotamist, hävitamist või kahjustumist. KredEx kasutab isikuandmete töötlemisel turvalisuse suurendamiseks tehnilisi ja organisatsioonilisi meetmeid. KredExis isikuandmete kaitse kohta teadlikkuse ja teadmiste suurendamiseks korraldatakse teie isikuandmeid töötlevale KredExi personalile privaatsuskoolitusi. Lisaks sellele on tagatud isikuandmete kaitse läbi KredExi personalile kohalduva konfidentsiaalsuskohustuse, mis tuleneb osutatavate teenuste iseloomust (nt pangasaladus).
KredExi põhitegevuseks ei ole isikuandmete eriliikide (delikaatsed andmed nagu rassilist või etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi uskumusi paljastavad isikuandmed, tervisega seotud andmed) töötlemine. KredEx töötleb selliseid isikuandmeid ainult siis, kui selleks on seaduslik alus, näiteks siis, kui meil on kohustus või luba sellist tüüpi eriliiki isikuandmeid töödelda tulenevalt seadusest. Samuti siis, kui see on määratud teatud teenuse tingimustega, näiteks pakume eraisikule eluasemelaenu käendust, mille eraldi sihtgruppi kuuluvad Kaitseväe ja Kaitseliidu teenistuses olnud isikud, kes on käinud välismissioonil või saanud vigastada Eestis teenistuses olles (tervisega seotud andmed). Lisaks puutub KredEx isikuandmete eriliikide töötlemisega kokku lasterikastele peredele kodutoetuse teenuse osutamisel ning siis, kui andmesubjekt mõne muu teenuse osutamisel ise KredExile sellised andmed edastab.
3.7 Lõimitud ja vaikimisi andmekaitse
Isikuandmete töötlemisega seotud teenuseid disainides ja kasutades arvestab KredEx andmesubjekti õigusega isikuandmete kaitsele ja privaatsusele. KredEx lähtub isikuandmete töötlemist puudutavates protsessides ja nende arendamisel teaduse ja tehnoloogia arengust ning võtab kasutusele meetmeid, et isikuandmete töötlemisega seonduvaid ohte vastavalt teaduse ja tehnoloogia arengule võimaluste piires maandada. Isikuandmete töötlemisega seotud protsessides tagatakse nende kaitse lähtudes isikuandmete töötlemise laadist, ulatusest, kontekstist ja eesmärkidest.
KredEx töötleb kõiki isikuandmeid, mis suhtluses andmesubjektiga KredExile teatavaks on saanud ning mida KredExile on avaldatud. Isikuandmeid töödeldakse ja säilitatakse KredExis ainult kindlaksmääratud aja jooksul ning seejärel need kustutatakse või hävitatakse. KredExi personalil on õigus töödelda isikuandmeid üksnes ulatuses, mis on vajalik määratud tööülesannete täitmiseks ning mis on vajalikud isikuandmete töötlemise eesmärgi saavutamiseks. KredEx töötleb isikuandmeid õigusaktidest (riigisisesed seadused, määrused kui ka Euroopa Liidu õigusaktid) tulenevate juriidiliste kohustuste täitmiseks, sõlmitud lepingute täitmiseks ning lepingu sõlmimise ettevalmistamiseks (nt esitatud taotluse menetlemiseks) ja piiratud juhtudel ka nõusoleku alusel (KredExi uudiskirja saatmiseks).
KredEx töötleb isikuandmeid peamiselt selleks, et pakkuda laene, tagatisi, riski- ja erakapitaliinvesteeringuid, võimaldada toetusi ning viia ellu Startup Estonia programmi tegevusi. Käenduste ja toetuste saamiseks on vajalik eelnevalt andmesubjekti poolt vastavate vormide täitmine, milles sisalduvat andmestikku kasutatakse käenduste ja toetuste otsustamiseks. Vormide kaudu andmesubjekti poolt avaldatavad andmed on piiritletud rangelt vastava teenuse pakkumiseks vajalikuga. Näiteks lasterikastele peredele kodutoetuse määramisel töötleb KredEx nii toetuse taotlejate kui ka taotlejate laste isikuandmeid: nimi, isikukood, e-posti aadress, elukoha aadress ning andmed sissetuleku, hooldusõiguse ja omandi kohta.
Isikuandmeid töödeldakse olukorras, kus on vajalik hinnata, kas andmesubjekt vastab eluasemelaenu ja käenduse saamise tingimustele, või kas andmesubjekti poolt ettevõtluslaenule antav lisatagatis on aktsepteeritav. KredEx on mitmete pankadega sõlminud koostöölepingud ning väljastanud volikirjad käenduslepingute sõlmimiseks. Sellest tulenevalt hindab pank, mitte KredEx, vastavalt esitatud andmetele andmesubjekti laenuvõimekust, ning täpsustab ka andmesubjekti omafinantseeringu olemasolu ja suurust ning arvutab välja käendussumma. Positiivse laenuotsuse ja käenduse tingimustele vastamise korral sõlmib andmesubjektiga nii laenu- kui ka käenduslepingu pank.
KredEx töötleb isikuandmeid ka olukorras, kus andmesubjekt pöördub KredExi poole täpsustavate küsimuste, taotluste või päringutega. Kui vastav suhtlus toimub e-posti teel, võib KredEx koguda lisaks statistilisi andmeid seoses selle kommunikatsiooniga, näiteks millise teenuse osas millised küsimused tekivad jms. KredEx soovib oma klientide ja muude isikuteni, kes on huvitatud otseturunduslike teavituste saamisest, viia asjakohaseid uudiseid KredExi teenuste kohta, kutseid KredExi poolt korraldatavatele üritustele ning muud KredExiga seotud informatsiooni. Kui te olete nõustunud e-kirjaga saadetavate uudiskirjade ja teavituste saamisega, kogub KredEx ka statistikat, nt kas te avasite e-kirja, millistele linkidele te vajutasite, milliseid seadmeid te selle jaoks kasutasite ning millised on nende tehnilised omadused.
Veebikeskkonnas, oma kodulehel www.kredex.ee, kasutab KredEx nn küpsiseid, mis võimaldavad muuta veebilehe töö tõhusamaks ja seeläbi pakkuda parimat veebilehe sirvimise kogemust. Kasutame küpsiseid ka selleks, et jälgida veebilehe kasutusstatistikat ja veebilehel tehtavaid toiminguid, kuid iga kliendi liikumist veebilehel eraldi ei jälgi. Saadud infot kasutatakse veebilehe kasutusmugavuse ja sisu parandamiseks. Rohkem infot küpsiste kasutamise kohta meie veebilehel.
Töötleme isikuandmeid ka siis, kui andmesubjekt kandideerib KredExisse tööle. KredEx ei säilita tööle kandideerimisega seotud dokumente kauem kui üks aasta konkursi toimumisest. Andmesubjekti nõusolekul võime hoida kandideerinud isiku andmeid kokku lepitud aja jooksul ka pärast kandideerimisprotsessi lõppu perspektiiviga teha tööpakkumine tulevikus.
Kogume ja töötleme ainult selliseid isikuandmeid, mille vajaduse oleme eelnevalt enda jaoks selgelt defineerinud. Näiteks andmesubjekti kohta käivaid kontaktandmeid kogume, töötleme ja kasutame selleks, et andmesubjektiga vajadusel ühendust võtta.
Andmesubjekti õiguste austamine on KredExile oluline ja seetõttu pööratakse sellele erilist tähelepanu. Andmesubjekti taotlusel võib KredEx esitada konkreetse andmesubjekti kohta teavet elektrooniliselt, kirjalikult või suuliselt, võttes arvesse, et andmesubjekti identiteet on selge ja tõestatud.
See tähendab, et kui teie päringuga tegeledes esineb kahtlusi, võib KredEx andmesubjekti tuvastamiseks paluda teil esitada lisateavet. Teeme seda selleks, et olla andmesubjekti identiteedis kindel ja tagada, et esitame õigele isikule õige teabe.
Kui eesmärgid, milleks KredEx isikuandmeid töötleb, ei vaja või ei vaja enam andmesubjekti tuvastamist, ei ole KredEx kohustatud andmesubjekti tuvastamiseks täiendavat teavet hoidma, koguma või töötlema.
5.1 Õigus saada teavet isikuandmete ulatuse ja kasutamise kohta
Teil on õigus tutvuda oma isikuandmetega ja saada täiendavat teavet selle kohta, mida KredEx teie kohta töötleb. See võimaldab teil olla vajadusel kursis ja kontrollida, milliseid isikuandmeid ja kuidas KredEx neid teiega seonduvalt töötleb. Samuti võite pöörduda KredExi poole ja küsida, mis eesmärgil me teie isikuandmeid töötleme, kui see jääb teile ebaselgeks või kui teil on meile lisaküsimusi. Püüame vastata teie küsimustele esimesel võimalusel, kuid üritame seda teha vähemalt ühe kuu jooksul. Keerulisemate päringute korral võib olla vaja andmesubjekti päringutele ja taotlustele vastamiseks kuluvat aega täiendava kahe kuu võrra pikendada. Sellisel juhul võtame teiega vastamisperioodi pikendamise osas ühendust ja selgitame teile pikendamise põhjuseid.
5.2 Koopiad
Kui see on vajalik ja põhjendatud, esitab KredEx teile taotluse korral teiega seonduvatest dokumentidest tasuta koopia. Täiendavate koopiate korral võib KredEx küsida koopiate tegemise ja edastamise eest tegelikul kulul põhinevat tasu – seda eelkõige siis, kui andmesubjekti taotlused on korduvat laadi. Kui esitate taotluse elektrooniliselt ja kui te ei soovi teisiti, esitab KredEx teabe elektroonilisel kujul. KredEx võib keelduda koopias andmete avalikustamisest või koopia esitamisest, kui see mõjutab ebaproportsionaalselt teiste isikute õigusi ja vabadusi ning tarvitusele ei ole võimalik võtta vähem rangeid meetmeid.
5.3 Õigus isikuandmete parandamisele
Kõik andmesubjektid, kes märkavad, et nende isikuandmed ei ole ajakohased, on valed või vajavad parandamist, võivad pöörduda andmete parandamiseks või korrigeerimiseks KredExi poole. Võite paluda ka oma puudulike isikuandmete täiendamist. KredEx tagab, et põhjendatud ja õiguspäraste taotluste korral korrigeeritakse isikuandmed esimesel võimalusel.
5.4 Õigus isikuandmete ülekandmisele
Kui see on asjakohasel juhul põhjendatud ning see ei kahjusta teiste isikute õigusi ja vabadusi, on andmesubjektil õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale isikuandmete töötlejale, kui konkreetne isikuandmete töötlemine põhineb nõusolekul või lepingul ning töödeldakse automatiseeritult.
5.5 Õigus isikuandmete kustutamisele
See õigus võimaldab andmesubjektidel nõuda oma isikuandmete kustutamist, kui isikuandmed ei ole seoses nende kogumise või töötlemise eesmärkidega enam vajalikud või sobivad. Õigus kustutamisele ei ole absoluutne õigus ja seetõttu ei pruugi teie taotlus isikuandmete kustutamiseks tähendada, et taotluse saamise järel kõik teie isikuandmed kustutatakse. Mõnikord on meil seadusest tulenev kohustus andmeid säilitada ja sellisel juhul ei pruugi meil olla võimalik teie taotlust rahuldada. Sama võib ette tulla siis, kui võime vastavaid andmeid säilitada õiguslike nõuete teostamiseks või kaitsmiseks.
5.6 Õigus töötlemise piiramisele
KredEx võib põhjendatud juhul piirata teie taotlusel isikuandmete töötlemist isikuandmete täpsuse kontrollimiseni või seni, kuni te oma isikuandmete täpsust vaidlustate. Andmesubjektil on õigus nõuda isikuandmete töötlemise piiramist, näiteks ajal kui KredEx hindab isikuandmete kustutamise nõude rakendumist.
5.7 Õigus nõusolek tagasi võtta
Kui isikuandmete töötlemine põhineb nõusolekul, on teil igal ajal õigus pöörduda KredExi poole ning oma nõusolek isikuandmete töötlemiseks tagasi võtta. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu ning see ei mõjuta tagasiulatuvalt juba toimunud isikuandmete töötlemise õiguspärasust kehtinud nõusoleku ajal.
5.8 Õigus esitada vastuväiteid
Kui leiate, et KredExi poolt isikuandmete töötlemine riivab teie õigust isikuandmete kaitsele või muid õigusi ja vabadusi, on teil õigus esitada isikuandmete töötlemise suhtes vastuväiteid.
5.9 Õigus esitada kaebus andmekaitse järelevalveasutusele
Kõikidel andmesubjektidel on õigus pöörduda kaebusega riikliku andmekaitse järelevalve teostaja poole, kui andmesubjekt leiab, et temaga seotud isikuandmete töötlemine ei vasta andmekaitseseaduste ja üldiste andmekaitsereeglite sätetele. Eestis on riiklikuks järelevalve teostajaks Andmekaitse Inspektsioon.
6. Kaitsemeetmed ja teavitamine
KredEx hoiab isikuandmed rangelt konfidentsiaalsed ja kaitseb isikuandmeid ebaseaduslikult kolmandate isikute kätte sattumise eest tõhusate IT turvameetmete ja organisatoorsete ning tehniliste meetmete rakendamisega.
Kui KredExis leiab aset isikuandmetega seotud rikkumine ja see kujutab endast tõenäolist ohtu andmesubjekti õigustele ja vabadustele, siis teavitame sellisest rikkumisest Andmekaitse Inspektsiooni. Täiendavalt võtame kasutusele meetmeid, et rikkumine esimesel võimalusel lõpetada
Kui rikkumise tulemusena tekib andmesubjekti õigustele ja vabadustele tõenäoliselt suur oht, siis teavitame sellest andmesubjekti. Teavituse eesmärk on võimaldada andmesubjektil endal võtta vajalikke ettevaatusabinõusid olukorrast tulenevate potentsiaalsete ohtude leevendamiseks.