ISIKLIKE ANDMETE TÖÖTLEMIST PUUDUTAV ETTEVÕTTE POLIITIKA

• 1. ÜLDSÄTTED

  Käesolev poliitika määrab kindlaks isikuandmete töötlemise korra ja isikuandmete turvalisuse tagamise meetmed Litres OÜ-s (edaspidi "operaator"), et kaitsta isiku ja kodaniku õigusi ja vabadusi tema isikuandmete töötlemisel, sealhulgas eraelu puutumatuse, isikliku ja perekondliku saladusi.

  Poliitikas kasutatakse järgmisi põhimõisteid:

  isikuandmete automatiseeritud töötlemine – isikuandmete töötlemine arvutiseadmete abil;

  isikuandmete blokeerimine – isikuandmete töötlemise ajutine lõpetamine (välja arvatud juhtudel, kui töötlemine on vajalik isikuandmete täpsustamiseks);

  isikuandmete infosüsteem – andmebaasides sisalduvate isikuandmete ning nende töötlemise tagavate infotehnoloogiate ja tehniliste vahendite kogum;

  isikuandmete depersonalisatsioon – tegevused, mille tulemusena ei ole võimalik kindlaks määrata isikuandmete konkreetsele isikule kuulumise ilma täiendava info kasutamiseta;

  isikuandmete töötlemine – mis tahes toiming (operatsioon) või toimingute (operatsioonide) kogum, mis tehakse automatiseerimise vahendite abil või ilma selliste vahenditeta isikuandmetega, sealhulgas andmete kogumine, salvestamine, süstematiseerimine, akumuleerimine, säilitamine, selgitamine (uuendamine, muutmine), väljavõtmine, kasutamine, edastamine (levitamine, käsutusse jätmine, juurdepääsu võimaldamine), depersonalisatsioon, blokeerimine, kustutamine, isikuandmete hävitamine;

  operaator – riigiasutus, kohaliku omavalitsuse asutus, juriidiline isik või füüsiline isik, kes iseseisvalt või koos teiste isikutega korraldab või korraldavad ja / või töötleb või töötlevad isikuandmeid, samuti määratleb või määratlevad isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseis, toimingud (operatsioonid) isikuandmetega;

  isikuandmed – mis tahes info, mis on otseselt või kaudselt seotud tuvastatud või tuvastava füüsilisega isikuga (isikuandmete subjektiga);

  isikuandmete esitamine – tegevused, mille eesmärk on isikuandmete avalikustamine konkreetsele isikule või teatud isikute ringile;

  isikuandmete levitamine – tegevused, mille eesmärk on isikuandmete avalikustamine määramata isikute ringile (isikuandmete edastamine) või määramata isikute ringi isikuandmetega tutvumiseks, sealhulgas isikuandmete avaldamine massiteabevahendites, teabe- ja telekommunikatsioonivõrkudes paigutamine või juurdepääsu isikuandmetele võimaldamine muul viisil;

  isikuandmete piiriülene ülekandmine – isikuandmete edastamine välisriigi territooriumil välisriigi asutusele, välisriigi füüsilisele või välisriigi juriidilisele isikule;

  isikuandmete hävitamine – tegevused, mille tulemusena isikuandmete sisu taastamine isikuandmete infosüsteemis ei ole võimalik ja (või) mille tulemusena hävitakse isikuandmete füüsilised andmekandjad.

  Ettevõte peab avaldama või muul viisil andma piiramatu juurdepääsu käesolevale isikuandmete töötlemise poliitikale.

• 2. ISIKLIKE ANDMETE TÖÖTLEMISE PÕHIMÕTTED JA TINGIMUSED

  • 2.1 Isikuandmete töötlemise põhimõtted

    Operaator töötleb isikuandmeid järgmiste põhimõtete alusel:

    • seaduslikkus ja õiglane alus;
    • isikuandmete töötlemise piirangud konkreetsete, eelnevalt kindlaksmääratud ja seaduslike eesmärkide saavutamise kaudu;
    • isikuandmete töötlemise vältimine, mis on vastuolus isikuandmete kogumise eesmärkidega;
    • isikuandmeid, mille töötlemine toimub üksteisega kokkusobimatu eesmärkidega, sisaldavate andmebaaside unifitseerimise ennetamine;
    • ainult selliste isikuandmete töötlemine, mis vastavad nende töötlemise eesmärkidele;
    • töödeldud isikuandmete sisu ja hulga vastavus kindlaksmääratud töötlemiseesmärkidele;
    • selle isikuandmete töötlemise vältimine, mis on töötlemise deklareeritud eesmärkide suhtes ülearune;
    • isikuandmete täpsus, piisavus ja asjakohasus tagatakse isikuandmete töötlemise eesmärkide suhtes;
    • isikuandmete hävitamine või depersonalisatsioon toimub isikuandmete töötlemise eesmärkide saavutamisel või nende eesmärkide saavutamise vajaduse kadumise korral, kui operaator ei suuda kõrvaldada isikuandmete rikkumisi juhul kui kohaldatav õigus ei sätesta teisiti.

  • 2.2 Isikuandmete töötlemise tingimused

    Operaator teostab isikuandmete töötlemist juhul, kui on olemas vähemalt üks järgmistest tingimustest:

    • isikuandmete töötlemine toimub isikuandmete subjekti nõusolekul tema isikuandmete töötlemiseks;
    • isikuandmete töötlemine on vajalik õigusemõistmiseks, kohtuotsuse täitmiseks, muu organi või ametniku otsuse täitmiseks, mis kuulub täitmisele kohaldatava õiguse vastavalt;
    • isikuandmete töötlemine on vajalik lepingu täitmiseks, mille pool või kasumisaaja või käendaja on isikuandmete subjekt, samuti lepingu sõlmimiseks isikuandmete subjekti algatusel, või lepingu sõlmimiseks, mille kohaselt isikuandmete subjekt on kasumisaaja või käendaja;
    • isikuandmete töötlemine on vajalik operaatori või kolmandate isikute õiguste ja seaduslike huvide teostamiseks või sotsiaalselt oluliste eesmärkide saavutamiseks, tingimusel et sellega ei rikuta isikuandmete subjekti õigusi ja vabadusi;
    • teostatakse isikuandmete töötlemine, piiramatu isikute ringi juurdepääs millele oli edastatud isikuandmete subjekti poolt või tema soovil (edaspidi avalikult kättesaadavad isikuandmed).
    • teostatakse isikuandmete, mis kuuluvad avaldamisele või kohustuslikule avalikustamisele föderaalseaduse vastavalt, töötlemine.

  • 2.3 Isikuandmete konfidentsiaalsus

    Operaator ja teised isikud, kellel on juurdepääs isikuandmetele, ei saa avaldada kolmandatele isikutele ega levitada isikuandmeid ilma isikuandmete subjekti nõusolekuta, kui föderaal seadus ei sätesta teisiti.

  • 2.4 Avalikult kättesaadavad isikuandmete allikad

    Teabetugevuse eesmärgil võib operaator luua isikuandmete subjektide isikuandmete avalikkusele kättesaadavaid allikaid, sealhulgas katalooge ja aadressiraamatuid. Isikuandmete avalikud allikad võivad isikuandmete subjekti kirjalikul nõusolekul sisaldada tema perekonnanime, nime, isiku, sünniaja ja -kohta, ametikohta, kontakttelefoninumbreid, e-posti aadressi ja muid isikuandmeid edastatud isikuandmete subjekti poolt.

    Isikuandmete subjektide isikuandmeid tuleb igal ajal kustutada üldkasutatavatest isikuandmete allikatest isikuandmete subjekti nõudmisel, isikuandmete subjektide õiguste kaitsmiseks volitatud asutuse nõudmisel või kohtuotsuse alusel.

  • 2.5 Isikuandmete erikategooriad

    On lubatud erikategooriate isikuandmete (rass, rahvus, poliitilised vaated, usulised või filosoofilised veendumused, tervislik seisund, intiimne elu) töötlemine juhtudel, kui:

    • isikliku andmesubjekt on andnud kirjaliku nõusoleku töödelda oma isikuandmeid;
    • isikuandmed on tehtud avalikult kättesaadavaks isikuandmete subjekti poolt;
    • isikuandmete töötlemine toimub kohaldatava õigusega kooskõlas;
    • isikuandmete töötlemine on vajalik isikuandmete subjekti elu, tervise või muude oluliste huvide kaitseks või teiste isikute elu, tervise või muude oluliste huvide kaitseks ning isikuandmete subjekti nõusoleku saamine ei ole võimalik;
    • isikuandmete töötlemine toimub meditsiinilistel ja ennetuslikel eesmärkidel meditsiiniliseks diagnoosimiseks, meditsiiniliste või meditsiiniliste ja sotsiaalteenuste osutamiseks, tingimusel et isikuandmete töötlemist teostab isik, kes tegeleb professionaalselt meditsiinilise tegevusega ja kes peab säilitama meditsiinilise saladuse kehtivate õigusaktidega kooskõlas;
    • isikuandmete töötlemine on vajalik isikuandmete või kolmandate isikute subjektide õiguste loomiseks või rakendamiseks ning seoses õigusmõistmise rakendamisega;
    • isikuandmete töötlemine toimub kohustuslike kindlustusliikide õigusaktide ja kindlustusalase seadusandluse alusel.

    Süüdimõistvaid kohtuotsuseid puudutavaid isikuandmeid töötlemine teostatakse operaatori poolt üksnes kohaldatavate seadustega kindlaksmääratud juhtudel ja viisil.

  • 2.6 Biomeetrilised isikuandmed

    Operaator võib töödelda andmeid, mis iseloomustavad isiku füsioloogilisi ja bioloogilisi omadusi, mille alusel on võimalik tuvastada isiku isikusamasust (biomeetrilised isikuandmed) ainult juhul, kui on olemas isikuandmete subjekti kirjalik nõusolek.

  • 2.7 Isikuandmete töötlemise üleandmine teisele isikule

    Operaatoril on õigus edastada isikuandmete töötlemist teisele isikule, välja arvatud juhul, kui kohaldatavas õiguses on sätestatud teisiti, nimetatud isikuga sõlmitud lepingu alusel. Operaatori nimel isikuandmeid töödeldav isik peab järgima käesolevas poliitikas sätestatud isikuandmete töötlemise põhimõtteid ja reegleid.

  • 2.8. Isikuandmete piiriülene ülekandmine

    Operaator peab tagama, et välisriik, mille territooriumile ta kavatseb isikuandmeid edastada, tagab isikuandmete subjektide õiguste piisava kaitse enne sellise üleandmise algust.

    Isikuandmete piiriülest ülekandmist välisriikide territooriumile, mis ei anna isikuandmete subjektide õiguste piisavat kaitset, võib läbi viia järgmistel juhtudel:

    • kui on olemas isikuandmete subjekti kirjalik nõusolek tema isikuandmete piiriülese ülekandmiseks;
    • lepingu täitmine, mille üks pool on isikuandmete subjekt.

• 3. ISIKUANDMETE SUBJEKTI ÕIGUSED

  • 3.1. Nõusolek isikuandmete subjekti tema isikuandmete töötlemiseks

    Isikuandmete subjekt otsustab oma isikuandmeid edastada ja nõustub nende töötlemisega vabalt, tahtlikult ja oma huvides. Isikuandmete töötlemiseks vajalik isikuandme subjekti või tema esindaja nõusolek võib olla antud mis tahes kujul, mis võimaldab kinnitada selle kättesaamist, kui föderaal õigus ei sätesta teisiti.

  • 3.2. Isikuandmete subjekti õigused

    Isikuandmete subjektil on õigus saada operaatorilt teavet oma isikuandmete töötlemise kohta, kui selline õigus ei ole piiratud vastavalt föderaalseadustele. Isikuandmete subjektil on õigus nõuda, et Operaator selgitas isikuandmete täpsustamist, nende blokkerimist või hävitamist, kui tema isikuandmed on puudulikud, aegunud, ebatäpsed, ebaseaduslikult saadud või ei ole vajalik isikuandmete töötlemise väljakuulutatud eesmärgi saavutamiseks, samuti kasutada seadusega ettenähtud meetmeid et kaitsta oma õigusi.

    Isikuandmete töötlemine, et edendada kaupu, ehitustöid ja teenuseid turul, tehes otsese kontakti isikuandmete subjektiga (potentsiaalse tarbijaga) sidevahendite abil, samuti poliitilise agitatsiooni läbiviimise eesmärgil, on lubatud üksnes isikuandmete subjekti eelneval nõusolekul.

    Operaator peab isikuandmete subjekti taotlusel koheselt peatama tema isikuandmete töötlemise eelnevalt nimetatud eesmärkidel.

    On keelatud teha otsuseid, mis põhinevad üksnes isikuandmete automatiseeritud töötlemisel, mis tekitavad isikuandmete subjekti suhtes õiguslikke tagajärgi või muul moel mõjutavad tema õigusi ja õigustatud huve, välja arvatud kohaldatava õigusega ettenähtud juhtudel või isikuandmete subjekti kirjaliku nõusolekuga.

    Kui isikuandmete subjekt arvab, et operaator teostab tema isikuandmete töötlemist tema õiguste ja vabaduste rikkumisega, on isikuandmete subjektil õigus esitada kaebus operaatori tegevuse või tegevusetuse kohta volitatud isikule või kohtus isikuandmete subjektide õiguste kaitseks.

    Isikuandmete subjektil on õigus kaitsta oma õigusi ja õigustatud huve, sealhulgas õigust nõuda kahjude hüvitamist ja (või) moraalse kahju hüvitamist.

• 4. ISIKUANDMETE TURVALISUSE TAGAMINE

  Operaatori poolt töödeldavate isikuandmete turvalisus tagatakse seaduslike, organisatsiooniliste ja tehniliste meetmete rakendamisega, mis on vajalikud isikuandmete kaitse kohaldatavate seaduste nõuete tagamiseks.

  Isikuandmete loata juurdepääsu takistamiseks rakendab operaator järgmisi organisatsioonilisi ja tehnilisi meetmeid:

  • isikuandmete töötlemise ja kaitse korraldamise eest vastutavate ametnike ametisse määramine;
  • isikuandmete töötlemiseks lubatud isikute koosseisu piiramine;
  • subjektide tutvumine föderaalsete õigusaktidega ja operaatori määrustega, mis puudutavad isikuandmete töötlemist ja kaitset;
  • isikuandmetega teavet sisaldavate kandjate raamatupidamise, ladustamise ja ringluse korraldamine;
  • töötlemise ajal isikuandmete turvalisuse ohtude määratlemine ja ohumudelite moodustamine nende alusel;
  • isikuandmete kaitsesüsteemi arendamine ohumudeli alusel;
  • infoturbe vahendite kasutamise valmiduse ja efektiivsuse kontrollimine;
  • kasutajate juurdepääsu eristamine informatsiooni allikatele ning informatsiooni töötlemise tarkvarale ja riistvarale;
  • isikuandmete infosüsteemide kasutajate tegevuse registreerimine ja arvestus;
  • viirusetõrjevahendite ja isikuandmete süsteemi kaitsesüsteemi taastamise vahendite kasutamine;
  • vajaduse korral tulemüüri kasutamine, sissetungimise avastamine, turvalisuse analüüs ja informatsiooni krüptograafilise kaitse vahendite rakendamine;
  • operaatori territooriumi jaoks juurdepääsukorralduse korraldamine, ruumide tehniliste vahenditega isikuandmete töötlemiseks kaitse korraldamine.

• 5. LÕPPSÄTTED

  Muud operaatori õigused ja kohustused seotud isikuandmete töötlemisega määratakse kindlaks isikuandmete valdkonnas kohaldatava õiguse alusel.

  Operaatori töötajad, kes on rikkunud isikuandmete töötlemise ja kaitse eeskirju, kannavad materiaalset, distsiplinaar-, haldus-, tsiviil- või kriminaalvastutust föderaalseadustega kehtestatud korras.