Poliitika – GDPR andmekaitsepoliitika
Peate seda eeskirja läbi lugema, kuna see sisaldab olulist teavet:
-
andmekaitsepõhimõtted, mida ettevõte peab järgima;
-
mida mõeldakse isikuandmete (või andmete) ja tundliku isikuandmete (või andmete) all;
-
kuidas me kogume, kasutame ja (lõpuks) kustutame isikuandmeid ja tundlikke isikuandmeid kooskõlas andmekaitsepõhimõtetega;
-
kust on võimalik leida üksikasjalikumat privaatsust puudutavat teavet, nt isikuandmete kohta, mida me teie kohta kogume ja kasutame, kuidas seda kasutatakse, säilitatakse ja edastatakse, millistel eesmärkidel, milliseid meetmeid on võetud selle teabe kaitsmiseks ja kui kaua seda säilitatakse;
-
teie õigused ja kohustused seoses andmekaitsega; ja
-
selle poliitika mittejärgimise tagajärjed.
-
Sissejuhatus
-
Ettevõte hangib, säilitab ja kasutab isikuandmeid (mida nimetatakse ka andmeteks) tööle kandideerijate ning praeguste ja endiste töötajate, rendi- ja renditöötajate, töövõtjate, praktikantide, vabatahtlike ja praktikantide kohta mitmel konkreetsel seaduslikul eesmärgil, nagu on sätestatud lepingus. Ettevõtte andmekaitseteatised värbamise ja töölevõtmise kohta.
-
See poliitika sätestab, kuidas me täidame oma andmekaitsekohustusi ja püüame kaitsta oma töötajatega seotud isikuandmeid. Selle eesmärk on ka tagada, et töötajad mõistaksid ja järgiksid reegleid, mis reguleerivad isikuandmete kogumist, kasutamist ja kustutamist, millele neil võib oma töö käigus juurdepääs olla.
-
Oleme võtnud endale kohustuse täita oma andmekaitsekohustusi ning olla lühidalt, selgelt ja läbipaistvalt selle kohta, kuidas me oma töötajatega seotud isikuandmeid hankime ja kasutame ning kuidas (ja millal) me selle teabe kustutame, kui seda enam ei vajata.
-
Ettevõtte andmekaitseametnik vastutab ettevõtte ja selle töötajate teavitamise ja nõustamise eest andmekaitsekohustuste osas ning nende kohustuste ja ettevõtte poliitika järgimise jälgimise eest. Kui teil on selle poliitika sisu kohta küsimusi või kommentaare või kui vajate lisateavet, võtke ühendust andmekaitseametnikuga:dpo@confirmsend.co.
-
Ulatus
-
See poliitika kehtib tööle kandideerijate ning praeguste ja endiste töötajate, sealhulgas töötajate, ajutiste ja agentuuride töötajate, praktikantide, vabatahtlike ja praktikantide isikuandmete kohta.
-
Töötajad peaksid tutvuma ettevõtte andmekaitse privaatsusteatisega ja vajaduse korral selle muude asjakohaste poliitikatega, sealhulgas Interneti, e-posti ja side, seire, sotsiaalmeedia, infoturbe, andmete säilitamise ja karistusregistriteabe kohta, mis sisaldavad lisateavet isikuandmete kaitse nendes kontekstides.
-
Vaatame seda poliitikat regulaarselt üle ja ajakohastame seda vastavalt oma andmekaitsekohustustele. See ei ole osa ühegi töötaja töölepingust ja me võime seda aeg-ajalt muuta, ajakohastada või täiendada. Me edastame kõik uued või muudetud eeskirjad töötajatele enne nende vastuvõtmist.
-
Definitsioonid
-
Karistusregistrite teave
tähendab isikuandmeid, mis on seotud süüdimõistvate kohtuotsuste ja õigusrikkumiste, väidete, menetluste ja nendega seotud turvameetmetega;
-
Andmete rikkumine
tähendab turvarikkumist, mis põhjustab isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, volitamata avaldamist või juurdepääsu sellele;
-
Andmesubjekt
tähendab isikut, kellega isikuandmed on seotud;
-
Isiklik informatsioon
(mõnikord tuntud kui isikuandmed) – teave üksikisiku kohta, keda saab selle teabe põhjal (otseselt või kaudselt) tuvastada;
-
Teabe töötlemine
tähendab teabe hankimist, salvestamist, korrastamist, säilitamist, muutmist, väljavõtmist, avalikustamist ja/või hävitamist või sellega millegi kasutamist või tegemist;
-
Pseudonüümitud
– protsess, mille käigus isikuandmeid töödeldakse nii, et seda ei saa kasutada isiku tuvastamiseks ilma täiendava teabe kasutamiseta, mida hoitakse eraldi ning mille suhtes kohaldatakse tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid ei saa seostada tuvastatav isik;
-
Tundlikud isikuandmed
(mõnikord tuntud kui "isikuandmete erikategooriad" või "tundlikud isikuandmed") tähendab isikuandmeid üksikisiku rassi, etnilise päritolu, poliitiliste vaadete, usuliste või filosoofiliste veendumuste, ametiühingusse kuulumise (või mittekuuluvuse), geneetilise teabe, biomeetriline teave (kui seda kasutatakse isiku tuvastamiseks) ja teave isiku tervise, seksuaalelu või seksuaalse sättumuse kohta.
-
Andmekaitse põhimõtted
-
Ettevõte järgib isikuandmete töötlemisel järgmisi andmekaitse põhimõtteid:
-
töötleme isikuandmeid seaduslikult, õiglaselt ja läbipaistvalt;
-
kogume isikuandmeid ainult kindlaksmääratud, selgesõnalistel ja seaduslikel eesmärkidel ega töötle neid viisil, mis on vastuolus nende seaduslike eesmärkidega;
-
töötleme ainult neid isikuandmeid, mis on piisavad, asjakohased ja asjakohastel eesmärkidel vajalikud;
-
säilitame täpsed ja ajakohased isikuandmed ning võtame mõistlikud meetmed tagamaks, et ebatäpsed isikuandmed kustutatakse või parandatakse viivitamata;
-
säilitame isikuandmeid kujul, mis võimaldab andmesubjekte tuvastada mitte kauem, kui see on vajalik teabe töötlemise eesmärkide saavutamiseks; ja
-
rakendame asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid hoitakse turvaliselt ja kaitstuna volitamata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahjustamise eest.
-
Isikuandmete töötlemise alus
-
Mis tahes töötlemistegevusega seoses teeme enne töötlemise esimest korda algust ja seejärel korrapäraselt selle jätkumise ajal:
-
vaadake üle konkreetse töötlemistoimingu eesmärgid ja valige töötlemiseks kõige sobivam (või alused) seaduslik alus, st:
-
et andmesubjekt on andnud töötlemiseks nõusoleku;
-
et töötlemine on vajalik lepingu täitmiseks, mille pooleks andmesubjekt on, või selleks, et andmesubjekti taotlusel enne lepingu sõlmimist samme astuda;
-
et töötlemine on vajalik ettevõtte juriidilise kohustuse täitmiseks;
-
et töötlemine on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitseks;
-
et töötlemine on vajalik avalikes huvides täidetava ülesande täitmiseks
-
et töötlemine on vajalik ettevõtte või kolmanda isiku õigustatud huvide täitmiseks, välja arvatud juhul, kui need huvid on ülimuslikud andmesubjekti põhiõiguste ja -vabaduste huvidest – vt allpool punkti 5.2.
-
välja arvatud juhul, kui töötlemine põhineb nõusolekul, veenduma, et töötlemine on vajalik asjakohase seadusliku aluse eesmärgil (st et selle eesmärgi saavutamiseks ei ole muud mõistlikku viisi);
-
dokumenteerida meie otsus selle kohta, milline seaduslik alus kehtib, et aidata näidata meie vastavust andmekaitsepõhimõtetele;
-
lisama meie asjakohastesse privaatsusteatistesse teavet nii töötlemise eesmärkide kui ka selle seadusliku aluse kohta;
-
kui töödeldakse tundlikke isikuandmeid, tuvastage ka selle teabe töötlemise seaduslik eritingimus (vt punkt 6.2.2 allpool) ja dokumenteerige see; ja
-
kui töödeldakse kuriteoalast teavet, tuvastada ka selle teabe töötlemise seaduslik tingimus ja see dokumenteerida.
-
Otsustades, kas ettevõtte õigustatud huvid on kõige sobivam alus seaduslikuks töötlemiseks, teeme järgmist:
-
viia läbi õigustatud huvide hindamine (LIA) ja pidada selle üle arvestust, et saaksime oma otsust põhjendada;
-
kui LIA tuvastab olulise mõju privaatsusele, kaaluge, kas peame läbi viima ka andmekaitsemõju hindamise (DPIA)
-
jälgige LIA-d ja korrake seda, kui asjaolud muutuvad; ja
-
lisama teavet meie õigustatud huvide kohta meie asjakohastesse privaatsusteatistesse.
-
Tundlikud isikuandmed
-
Tundlikku isikuandmeid nimetatakse mõnikord „isikuandmete erikategooriateks” või „tundlikeks isikuandmeteks”.
-
Ettevõttel võib aeg-ajalt tekkida vajadus töödelda tundlikke isikuandmeid. Töötleme tundlikke isikuandmeid ainult siis, kui:
-
meil on selleks ülaltoodud punktis 5.1.1 sätestatud seaduslik alus, nt see on vajalik töölepingu täitmiseks, Börsi juriidiliste kohustuste täitmiseks või Börsi õigustatud huvide täitmiseks; ja
-
kehtib üks tundliku isikuandmete töötlemise eritingimustest, nt:
-
andmesubjekt on andnud selgesõnalise nõusoleku;
-
töötlemine on vajalik ettevõtte või andmesubjekti tööõiguslike õiguste või kohustuste teostamiseks;
-
töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks ning andmesubjekt ei ole füüsiliselt võimeline nõusolekut andma;
-
töötlemine on seotud isikuandmetega, mille andmesubjekt on ilmselgelt avalikustanud;
-
töötlemine on vajalik juriidiliste nõuete esitamiseks, teostamiseks või kaitsmiseks; või
-
töötlemine on vajalik olulise avaliku huvi tõttu.
-
Enne tundliku isikuandmete töötlemist peavad töötajad teavitama andmekaitseametnikku kavandatavast töötlemisest, et andmekaitseametnik saaks hinnata, kas töötlemine vastab ülaltoodud kriteeriumidele.
-
Tundlikke isikuandmeid ei töödelda enne:
-
punktis 6.3 nimetatud hindamine on toimunud; ja
-
isikut on nõuetekohaselt teavitatud (privaatsusteatise kaudu või muul viisil) töötlemise olemusest, selle teostamise eesmärkidest ja selle õiguslikust alusest.
-
Ettevõte ei tee automatiseeritud otsuseid (sealhulgas profiilide koostamist) ühegi isiku tundliku isikuandmete põhjal.
-
Ettevõtte andmekaitse privaatsusteatis sätestab delikaatsete isikuandmete liigid, mida ettevõte töötleb, milleks seda kasutatakse ja töötlemise seaduslik alus.
-
Seoses tundliku isikuandmetega järgib ettevõte allpool punktides 6.8 ja 6.9 sätestatud protseduure, et veenduda, et see järgib ülaltoodud lõikes 4 sätestatud andmekaitse põhimõtteid.
-
Värbamisprotsessi ajal: ametniku juht tagab andmekaitseametniku juhendamisel, et (välja arvatud juhul, kui seadus lubab teisiti):
-
valiku, intervjuu ja otsuste tegemise etapis ei esitata küsimusi tundliku isikuandmete, nt rassi või etnilise päritolu, ametiühingusse kuulumise või tervise kohta;
-
kui saadakse delikaatseid isikuandmeid, nt taotleja esitab need ilma CV-s või vestluse ajal küsimata, siis seda ei registreerita ja kõik viited sellele kustutatakse või muudetakse kohe
-
kõiki täidetud võrdsete võimaluste jälgimise vorme hoitakse üksikisiku taotlusvormist eraldi ja neid ei näe isikule, kes valib nimekirja, teeb intervjuu või teeb värbamisotsuse;
-
nn tööõigust kontrollitakse enne tingimusteta tööpakkumise tegemist, mitte varasemate nimekirjade valimise, vestluse või otsuste tegemise etapis;
-
me ei esita terviseküsimusi seoses värbamisega või esitame terviseküsimusi alles pärast tööpakkumise tegemist.
-
Töötamise ajal: büroojuht töötleb andmekaitseametniku juhendamisel:
-
terviseteave haigushüvitiste haldamise, haiguspuudujääkide arvestuse pidamise, töötajate kohaloleku jälgimise ning tööga seotud tervise- ja haigushüvitiste hõlbustamise eesmärgil;
-
delikaatseid isikuandmeid võrdsete võimaluste jälgimise ja palgaaruandluse eesmärgil. Võimaluse korral muudetakse see teave anonüümseks; ja
-
teave ametiühinguliikmete kohta personali haldamise ja kontrollimise jaoks.
-
Karistusregistri teave
-
Karistusregistrite teavet töödeldakse vastavalt ettevõtte karistusregistrite teabepoliitikale.
-
Andmekaitse mõjuhinnangud (DPIA)
-
Kui töötlemisega kaasneb tõenäoliselt suur oht isiku andmekaitseõigustele (nt kui ettevõte kavatseb kasutada uut tüüpi tehnoloogiat), viime enne töötlemise alustamist läbi DPIA, et hinnata:
-
kas töötlemine on selle eesmärgiga võrreldes vajalik ja proportsionaalne;
-
riskid üksikisikutele; ja
-
milliseid meetmeid saab nende riskide vähendamiseks ja isikuandmete kaitsmiseks võtta.
-
Enne mis tahes uue tehnoloogia kasutuselevõttu peaks vastutav haldur võtma ühendust andmekaitseametnikuga, et saaks läbi viia DPIA.
-
Mis tahes DPIA käigus küsib partner nõu andmekaitseametnikult ning teiste asjakohaste sidusrühmade seisukohti.
-
Dokumentatsioon ja protokollid
-
Me säilitame kirjalikke andmeid töötlemistoimingute kohta, mis on kõrge riskiga, st mis võivad ohustada üksikisikute õigusi ja vabadusi või hõlmavad tundlikku isikuandmeid või karistusregistriteavet, sealhulgas:
-
tööandja organisatsiooni (ja vajaduse korral teiste vastutavate töötlejate, tööandja esindaja ja andmekaitseametniku) nimi ja andmed
-
töötlemise eesmärgid;
-
üksikisikute kategooriate ja isikuandmete kategooriate kirjeldus;
-
isikuandmete saajate kategooriad;
-
vajaduse korral üksikasjad kolmandatesse riikidesse edastamise kohta, sealhulgas dokumentatsioon edastusmehhanismi kehtivate kaitsemeetmete kohta;
-
võimaluse korral säilitusgraafikud; ja
-
võimaluse korral tehniliste ja organisatsiooniliste turvameetmete kirjeldus.
-
Osana oma töötlemistoimingute registrist dokumenteerime või linkime dokumentatsioonile:
-
privaatsusteatiste jaoks vajalik teave;
-
nõusoleku dokumendid;
-
vastutava töötleja ja töötleja lepingud;
-
isikuandmete asukoht;
-
DPIA-d; ja
-
andmed andmetega seotud rikkumiste kohta.
-
Kui töötleme tundlikke isikuandmeid või karistusregistrite andmeid, säilitame kirjalikud andmed:
-
asjakohased eesmärgid, milleks töötlemine toimub, sealhulgas (vajaduse korral, miks see on sellel eesmärgil vajalik);
-
meie töötlemise seaduslik alus; ja
-
kas me säilitame ja kustutame isikuandmeid vastavalt meie poliitikadokumendile ja kui ei, siis meie poliitika mittejärgimise põhjused.
-
Vaatame töödeldavad isikuandmed korrapäraselt üle ja ajakohastame vastavalt oma dokumentatsiooni. See võib hõlmata järgmist:
-
teabeauditite läbiviimine, et selgitada välja, milliseid isikuandmeid Büroo valduses on;
-
küsimustike jagamine ja kogu ettevõtte töötajatega rääkimine, et saada täielikum pilt meie töötlemistegevusest; ja
-
meie poliitikate, protseduuride, lepingute ja kokkulepete ülevaatamine, et käsitleda selliseid valdkondi nagu säilitamine, turvalisus ja andmete jagamine.
-
Privaatsusteade
-
Ettevõte väljastab aeg-ajalt privaatsusteatisi, teavitades teid isikuandmetest, mida me teie kohta kogume ja säilitame, kuidas võite eeldada, et teie isikuandmeid kasutatakse ja millistel eesmärkidel.
-
Me rakendame asjakohaseid meetmeid, et anda privaatsusteatistes teave kokkuvõtlikul, läbipaistval, arusaadaval ja hõlpsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt.
-
Individuaalsed õigused
-
Teil (nagu ka teiste andmesubjektidega) on seoses teie isikuandmetega järgmised õigused:
-
saada teavet selle kohta, kuidas, miks ja mille alusel seda teavet töödeldakse – vt ettevõtte andmekaitseteatist;
-
saada kinnitust, et teie andmeid töödeldakse, ning saada juurdepääs sellele ja teatud muule teabele, esitades subjekti juurdepääsutaotluse – vaadake ettevõtte subjekti juurdepääsutaotluse poliitikat;
-
lasta parandada andmeid, kui need on ebatäpsed või puudulikud;
-
lasta andmeid kustutada, kui need ei ole enam vajalikud eesmärgil, milleks need algselt koguti/töödeldi, või kui töötlemiseks puuduvad ülekaalukad seaduslikud alused (seda nimetatakse mõnikord õiguseks olla unustatud);
-
piirata isikuandmete töötlemist, kui teabe täpsus on vaidlustatud või töötlemine on ebaseaduslik (kuid te ei soovi, et andmed kustutataks) või kui tööandjal ei ole enam isikuandmeid vaja, kuid teie nõuate andmeid kehtestada, teostada või kaitsta õigusnõuet; ja
-
piirata ajutiselt isikuandmete töötlemist, kui te arvate, et see ei ole täpne (ja tööandja kontrollib, kas see on täpne) või kui olete töötlemisele vastu vaielnud (ja tööandja kaalub, kas organisatsiooni õigustatud alused kaaluvad üles teie huvid ).
-
Kui soovite kasutada mõnda punktides 11.1.3–11.1.6 nimetatud õigust, võtke ühendust andmekaitseametnikuga.
-
Individuaalsed kohustused
-
Üksikisikud vastutavad selle eest, et aidata ettevõttel oma isikuandmeid ajakohastada. Teavitage büroojuhti, kui ettevõttele edastatud teave muutub, näiteks kui kolite elama või muudate panga- või hooneühistu konto andmeid, millele teile makstakse.
-
Teil võib olla juurdepääs ettevõtte teiste töötajate, tarnijate ja klientide isikuandmetele oma töö või töövõtu käigus. Kui jah, siis eeldab ettevõte, et aitate täita andmekaitsekohustusi nende isikute ees. Näiteks peaksite teadma, et ka neil võivad olla ülaltoodud punktis 11.1 sätestatud õigused
-
Kui teil on juurdepääs isikuandmetele, peate:
-
pääsete juurde ainult neile isikuandmetele, millele teil on õigus juurde pääseda, ja ainult volitatud eesmärkidel;
-
lubada ettevõtte teistel töötajatel isikuandmetele juurde pääseda ainult siis, kui neil on asjakohane volitus;
-
lubage isikutel, kes ei ole ettevõtte töötajad, pääseda juurde isikuandmetele ainult siis, kui teil on selleks andmekaitseametniku erivolitused;
-
hoidma isikuandmeid turvaliselt (nt järgides ruumidele juurdepääsu, arvutile juurdepääsu, paroolikaitse ja failide turvalise säilitamise ja hävitamise eeskirju ning muid ettevõtte infoturbepoliitikas sätestatud ettevaatusabinõusid);
-
mitte eemaldama isikuandmeid ega isikuandmeid sisaldavaid seadmeid (või seadmeid, mida saab kasutada sellele juurdepääsuks), välja arvatud juhul, kui on rakendatud asjakohaseid turvameetmeid (nagu pseudonüümimine, krüpteerimine või paroolikaitse) teabe ja seadme kaitsmiseks; ja
-
mitte salvestada isiklikku teavet kohalikele draividele või isiklikele seadmetele, mida kasutatakse tööks;
-
Peaksite võtma ühendust andmekaitseametnikuga, kui olete mures või kahtlustate, et on aset leidnud (või toimub või tõenäoliselt aset leiab) üks järgmistest:
-
isikuandmete töötlemine ilma nende töötlemiseks seadusliku aluseta või tundliku isikuandmete puhul ilma ühe punkti 6.2.2 tingimuse täitmata;
-
mis tahes andmetega seotud rikkumine, nagu on sätestatud allpool punktis 15.1;
-
juurdepääs isikuandmetele ilma nõuetekohase loata;
-
isikuandmeid ei säilitata ega kustutata turvaliselt;
-
isikuandmete või isikuandmeid sisaldavate (või sellele juurdepääsuks kasutatavate) seadmete eemaldamine ettevõtte ruumidest ilma asjakohaseid turvameetmeid rakendamata;
-
mis tahes muu selle poliitika või ülaltoodud punktis 4.1 sätestatud andmekaitsepõhimõtete rikkumine.
-
Infoturbe
-
Ettevõte kasutab vastavalt ettevõtte infoturbepoliitikale asjakohaseid tehnilisi ja korralduslikke meetmeid, et hoida isikuandmeid turvalisena ning eelkõige kaitsta end volitamata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahjustamise eest. Need võivad hõlmata järgmist:
-
võimaluse korral tagada, et isikuandmed on pseudonüümitud või krüpteeritud;
-
töötlemissüsteemide ja -teenuste pideva konfidentsiaalsuse, terviklikkuse, kättesaadavuse ja vastupidavuse tagamine;
-
tagades, et füüsilise või tehnilise intsidendi korral on isikuandmete kättesaadavus ja juurdepääs sellele õigeaegselt võimalik taastada; ja
-
protsess töötluse turvalisuse tagamise tehniliste ja organisatsiooniliste meetmete regulaarseks testimiseks, hindamiseks ja tõhususe hindamiseks.
-
Kui ettevõte kasutab enda nimel isikuandmete töötlemiseks väliseid organisatsioone, tuleb nende organisatsioonidega sõlmitud lepingutes rakendada täiendavaid turvameetmeid, et tagada isikuandmete turvalisus. Eelkõige peavad välisorganisatsioonidega sõlmitud lepingud sätestama, et:
-
organisatsioon võib tegutseda ainult Börsi kirjalike juhiste alusel;
-
isikud, kes töötlevad andmeid, on kohustatud järgima usaldust;
-
võetakse asjakohased meetmed töötlemise turvalisuse tagamiseks;
-
alltöövõtjaid võetakse tööle ainult ettevõtte eelneval nõusolekul ja kirjaliku lepingu alusel;
-
organisatsioon abistab ühingut subjekti juurdepääsu võimaldamisel ja isikutel andmekaitsega seotud õiguste teostamisel;
-
organisatsioon aitab Börsil täita tema kohustusi seoses töötlemise turvalisuse, andmerikkumistest teavitamise ja andmekaitsemõjude hindamisega;
-
organisatsioon kustutab või tagastab ettevõttele kõik isikuandmed, nagu lepingu lõpus nõutakse; ja
-
organisatsioon allub audititele ja inspektsioonidele, esitab ettevõttele mis tahes teabe, mida ta vajab tagamaks, et nad mõlemad täidavad oma andmekaitsekohustusi, ja teatab ettevõttele viivitamatult, kui tal palutakse midagi andmekaitseseadust rikkuvat.
-
Enne mis tahes uue lepingu sõlmimist, mis hõlmab isikuandmete töötlemist välise organisatsiooni poolt, või olemasoleva lepingu muutmist, peavad asjaomased töötajad taotlema selle tingimuste heakskiitu andmekaitseametnikult;
-
Isikuandmete säilitamine ja säilitamine
-
Isikuandmeid (ja tundlikke isikuandmeid) hoitakse turvaliselt kooskõlas ettevõtte teabeturbepoliitikaga.
-
Isikuandmeid (ja tundlikke isikuandmeid) ei tohiks säilitada kauem kui vaja. Ajavahemik, mille jooksul andmeid tuleks säilitada, sõltub asjaoludest, sealhulgas põhjustest, miks isikuandmed saadi. Töötajad peaksid järgima ettevõtte dokumentide säilitamise poliitikat, milles on sätestatud asjakohane säilitusperiood või kriteeriumid, mida tuleks kasutada säilitamisperioodi määramiseks. Kui on ebakindlust, peaksid töötajad konsulteerima [andmekaitseametnikuga;
-
Isikuandmed (ja tundlikud isikuandmed), mida enam ei vajata, kustutatakse meie infosüsteemidest jäädavalt ja kõik paberkoopiad hävitatakse turvaliselt.
-
Andmete rikkumised
-
Andmete rikkumine võib esineda mitmel erineval kujul, näiteks:
-
andmete või seadmete, millele on salvestatud isikuandmeid, kadumine või vargus;
-
personaliliikme või kolmanda isiku volitamata juurdepääs isikuandmetele või nende kasutamine;
-
seadmete või süsteemide (sealhulgas riistvara ja tarkvara) rikke tõttu andmete kadu;
-
inimlik viga, näiteks andmete juhuslik kustutamine või muutmine;
-
ettenägematud asjaolud, nagu tulekahju või üleujutus;
-
tahtlikud ründed IT-süsteemide vastu, näiteks häkkimine, viirused või andmepüügipettused; ja
-
"splagamise" süüteod, mille puhul teavet saadakse seda omava organisatsiooni petmise teel.
-
Ettevõte hakkab:
-
esitama teaberikkumisest põhjendamatu viivituseta ja võimalusel 72 tunni jooksul alates sellest teadasaamisest nõutava teate teaberikkumise kohta, kui see tõenäoliselt ohustab üksikisikute õigusi ja vabadusi; ja
-
teavitama mõjutatud isikuid, kui andmetega seotud rikkumine võib tõenäoliselt kaasa tuua suure ohu nende õigustele ja vabadustele ning teavitamine on seadusega ette nähtud.
-
Rahvusvahelised ülekanded
-
Ettevõte võib edastada isikuandmeid väljapoole Euroopa Majanduspiirkonda (EMP) (mis hõlmab Euroopa Liidu riike ning Islandit, Liechtensteini ja Norrat) eeldusel, et sellel riigil, territooriumil või organisatsioonil on piisav kaitsetase või et teavet saav organisatsioon on pakkunud piisavaid kaitsemeetmeid ettevõtte siduvate eeskirjade või standardsete andmekaitseklauslite või heakskiidetud käitumisjuhendi järgimise või kliendi selgesõnalise nõusoleku alusel.
-
Koolitus
-
Ettevõte tagab, et töötajad on oma andmekaitsekohustuste osas piisavalt koolitatud. Isikud, kelle rollid nõuavad regulaarset juurdepääsu isikuandmetele või kes vastutavad selle poliitika rakendamise või selle poliitika alusel subjektide juurdepääsutaotlustele vastamise eest, saavad täiendava koolituse, mis aitab neil mõista oma kohustusi ja neid täita.
-
Nõuete eiramise tagajärjed
-
Ettevõte võtab selle poliitika järgimist väga tõsiselt. Eeskirjade eiramine:
-
seab ohtu isikud, kelle isikuandmeid töödeldakse; ja
-
toob endaga kaasa märkimisväärsete tsiviil- ja kriminaalsanktsioonide oht üksikisikule ja ettevõttele; ja
-
võib teatud asjaoludel kujutada endast isiku poolt kriminaalkuritegu.
-
Selle poliitika olulisuse tõttu võib töötaja mistahes selle nõude täitmata jätmine kaasa tuua meie protseduuride alusel distsiplinaarkaristuse ja selle toimingu võib kaasneda raske üleastumise tõttu vallandamine. Kui mittetöötaja rikub seda poliitikat, võidakse tema leping koheselt lõpetada.
-
Kui teil on selle poliitika kohta küsimusi või muresid, võtke kõhklemata ühendust andmekaitseametnikuga;
Olen selle poliitika läbi lugenud ja sellest aru saanud ning nõustun järgima selle tingimusi.
Allkirjastatud ................................................... ................................................... .