Meie veebisait kasutab küpsiseid. Jätkates eeldame, et olete lubanud kasutada küpsiseid, nagu on üksikasjalikult kirjeldatud meie privaatsuspoliitikas.
Kinnita
eCom
meist uudised kontaktid
1. Eesmärk, kohaldamisala ja kasutajad
ELKO Grupa AS, edaspidi „ELKO“ püüab kehtivaid isikuandmete kaitset käsitlevaid õigusakte ja eeskirju täita kõigis riikides, kus ta tegutseb. Käesolevates põhimõtetes sätestatakse peamised põhitõed, mille kohaselt ELKO töötleb klientide, tarnijate, äripartnerite, töötajate ja teiste isikute isikuandmeid, ning sedastatakse osakondade ja töötajate isikuandmete töötlemisega seotud kohustused.
Käesolevaid põhimõtteid kohaldatakse ELKO-le ja tema poolt otseselt või kaudselt kontrollitavatele tütarettevõtetele, kes tegutsevad Euroopa Majanduspiirkonnas (EMP) või töötlevad EMPs andmesubjektide isikuandmeid.
Selle dokumendi kasutajad on kõik ELKO alalised või ajutised töötajad ja tema nimel tegutsevad töövõtjad.
2. Viitedokumendid
  • Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (GDPR)
  • Asjakohased GDPRi rakendamist käsitlevad riigisisesed seadused või eeskirjad kõigis riikides, kus ELKO on esindatud.
  • Töötajate andmekaitsepõhimõtted
  • Andmete säilitamise põhimõtted
  • Suunised andmekogude ja andmete töötlemise kohta
  • Andmesubjekti juurdepääsutaotluse menetlus
  • Andmekaitse mõju hindamissuunistele
  • Piiriülese isikuandmete edastamise kord
  • IT-turbe põhimõtted
  • Juurdepääsu reguleerimise põhimõtted
  • IT-osakonna turbemenetlused
  • Omaseadmete kasutamise põhimõtted
  • Mobiilseadmete kasutamise ja kaugtöö põhimõtted
  • Anonümiseerimise ja pseudonümiseerimise põhimõtted
  • Krüptimise kasutamise põhimõtted
  • Rikkumistest teavitamise kord
3. Mõisted
Selles dokumendis kasutavatel mõistetel on Euroopa Liidu isikuandmekaitse üldmääruse artiklis määratletud tähendus:

isikuandmed: igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

tundlikud isikuandmed: sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada; need isikuandmed hõlmavad teavet, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilised andmed, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta;

vastutav töötleja: füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid;

volitatud töötleja: füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

töötlemine: isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

anonümiseerimine: isikuandmete pöördumatult mitteidentifitseeritavateks muutmine, nii et vastutav töötleja ega muud isikud ei saa asjaomast isikut mõistliku aja, kulude ja tehnoloogiaga tuvastada. Isikuandmete töötlemise põhimõtteid ei kohaldata anonüümseks muudetud andmetele, kuna need ei ole enam isikuandmed;

pseudonümiseerimine: isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid. Pseudonümiseerimine vähendab, kuid ei kõrvalda täielikult võimalust isikuandmeid andmesubjektiga seostada. Kuna pseudonümiseeritud andmed on ikkagi isikuandmed, siis peab pseudonümiseeritud andmete töötlemine vastama isikuandmete töötlemise põhimõtetele;

isikuandmete piiriülene töötlemine: isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

järelevalveasutus: liikmesriigis isikuandmete kaitse üldmääruse artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

juhtiv järelevalveasutus: järelevalveasutus, kelle esmane kohustus on piiriülese andmetöötlusega seotud tegevuste haldamine, näiteks kui andmesubjekt esitab kaebuse tema isikuandmete töötlemise kohta; muu hulgas vastutab juhtiv järelevalveasutus andmetega seotud rikkumiste teadete vastuvõtmise eest, teda tuleb teavitada riskantsest töötlemisest ja tal on täielikud volitused oma ülesannete täitmisel tagada isikuandmete kaitse üldmääruse sätete täitmine;

Kohalik järelevalveasutus vastutab siiski oma territooriumi eest ja jälgib kohalikku andmetöötlust, mis mõjutab andmesubjekte, või mida teostab ELi või kolmanda riigi vastutav või volitatud töötleja, kui töötlemine on suunatud järelevalveasutuse territooriumil elavate andmesubjektide andmetele. Kohaliku järelevalveasutuse ülesanded ja volitused hõlmavad uurimistoiminguid ning haldusmeetmete ja -trahvide rakendamist, uurimiste läbiviimist ning avalikkuse teadlikkuse tõstmist isikuandmete töötlemisega seotud ohtudest, eeskirjadest, tagatistest ja õigustest, samuti juurdepääsu vastutava või volitatud töötleja ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele;

vastutava töötleja peamine tegevuskoht, kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

volitatud töötleja peamine tegevuskoht, kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse alusel konkreetsed kohustused.

ELKO kontsern: ELKO Grupa AS ja tema tütarettevõtted ELis ja EMP territooriumil.

Müügiesindus: ükskõik milline ELKO ELis ja EMP territooriumil asuv tütarettevõte.

ELKO andmekaitsetiim: rühm asjakohase täiendkoolituse läbinud ELKO Grupa ASi spetsialistidest, mille koosseis võib aeg-ajalt muutuda, kuid millesse kuulub alati keegi õigus- ja IT-osakonnast ning millega saab alati ühendust e-posti aadressil: Data_Privacy@elkogroup.com.

ELKO andmekaitsjad: määratud isikud igas Euroopa Majanduspiirkonna (EMP) riigis, kus ELKO kontsern on esindatud, kelleks on tavaliselt kohalikud personali- ja IT-juhid, kuid samuti teiste osakondade esindajad, kes on ELKO kontsernis läbinud täiendava koolituse isikuandmete töötlemise valdkonnas. Konkreetsete andmekaitsjate kontaktandmete saamiseks saatke vastav taotlus e-posti aadressile: Data_Privacy@elkogroup.com.
4. Isikuandmete töötlemise aluspõhimõtted
Andmekaitse põhimõtetes sätestatakse isikuandmeid käsitlevate organisatsioonide peamised kohustused. Isikuandmekaitse üldmääruse artikli 5 lõikes 2 sätestatakse, et põhimõtete „täitmise eest vastutab ja on võimeline [---] täitmist tõendama vastutav töötleja“.

4.1. Seaduslikkus, õiglus ja läbipaistvus
Isikuandmeid töödeldakse seaduslikult, õiglaselt ja andmesubjektile läbipaistvalt.

4.2. Eesmärgi piirangud
Isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus.

4.3. Võimalikult väheste andmete kogumine
Isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt. ELKO kontsern peab võimaluse korral isikuandmeid anonümiseerima või pseudonümiseerima, et vähendada asjaomaseid andmesubjekte ähvardavaid ohte.

4.4. Õigsus
Isikuandmed on õiged ja vajaduse korral ajakohastatud ning tuleb kasutada kõiki mõistlikke meetmeid, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks nii ruttu kui võimalik.

4.5. Säilitamise piirang
Isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse.

4.6. Usaldusväärsus ja konfidentsiaalsus
Võttes arvesse tehnoloogia viimast arengut ja muid olemasolevaid turvameetmeid, rakendamise kulusid ning isikuandmetega seotud erineva tõenäosuse ja suurusega ohte, rakendab ELKO kontsern tehnilisi ja korralduslikke meetmeid isikuandmete töötlemiseks viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb juhusliku või ebaseadusliku hävitamise, kaotamise, kahjustumise, asendamise, loata juurdepääsu või avalikustamise eest.

4.7. Vastutus
Vastutavad töötlejad vastutavad eespool kirjeldatud põhimõtete täitmise eest ja on võimelised nende täitmist tõendama.
5. Andmekaitse äritegevusega lõimimine
Selleks, et tõendada andmekaitse põhimõtete täitmist, peaks organisatsioon andmekaitse äritegevusega lõimima.

5.1. Andmesubjektide teavitamine
(Vaadake õiglase töötlemise suuniseid käsitlevat jaotist.)

5.2. Andmesubjekti valikud ja nõusolek
(Vaadake õiglase töötlemise suuniseid käsitlevat jaotist.)

5.3. Kogumine
ELKO kontsern peab püüdma koguda võimalikult vähe isikuandmeid. Isikuandmete kogumisel kolmandatelt isikutelt tagab ELKO andmekaitsetiim, et isikuandmete kogumine toimuks seaduslikult.

5.4. Kasutamine, säilitamine ja kõrvaldamine
Isikuandmete kogumise eesmärgid, viisid, nende säilitamise piirang ja säilitamise tähtaeg peavad olema kooskõlas eraelu puutumatust käsitlevas teates sisalduva teabega. ELKO kontsern peab töötlemise eesmärgist lähtuvalt tagama isikuandmete õigsuse, terviklikkuse, konfidentsiaalsuse ja asjakohasuse. Isikuandmete varastamise, väär- või kuritarvitamise ning isikuandmetega seotud rikkumiste ennetamiseks tuleb kasutada piisavaid turvamehhanisme. ELKO andmekaitsetiim vastutab selles jaotises kirjeldatud nõuete täitmise eest.

5.5. Kolmandatele isikutele avaldamine
Kui ELKO kontsern kasutab tema nimel isikuandmete töötlemiseks kolmandatest isikutest teenusepakkujaid või äripartnereid, siis tagab ELKO andmekaitsetiim, et töötlejal on olemas seotud ohtudele vastavad turvameetmed isikuandmete kaitsmiseks. Selleks kasutatakse ELKO volitatud töötleja isikuandmekaitse üldmääruse nõuetele vastavuse küsimustikku.

ELKO kontsern nõuab teenusepakkuja või äripartneriga sõlmitavas lepingus samal tasemel andmekaitse tagamist. Teenuseosutaja või äripartner võib isikuandmeid töödelda üksnes oma lepinguliste kohustuste täitmiseks ELKO kontserni ees või vastavalt ELKO kontserni juhistele ja mitte mingitel muudel eesmärkidel. Kui ELKO kontsern töötleb isikuandmeid koos sõltumatu kolmanda isikuga, siis peab ELKO kontsern lepingus või muus õiguslikult siduvas dokumendis, näiteks ELKO isikuandmete töötlemise lepingu mallis, sõnaselgelt täpsustama enda ja kolmanda isiku kohustused.

5.6. Isikuandmete piiriülene edastamine
Enne isikuandmete edastamist väljapoole Euroopa Majanduspiirkonda (EMP) tuleb rakendada piisavaid Euroopa Liidu nõutavaid kaitsemeetmeid, muu hulgas sõlmida andmeedastusleping ja vajaduse korral hankida asjaomase andmekaitseasutuse luba. Isikuandmeid vastu võttev üksus peab täitma piiriülese isikute edastamise korras sätestatud põhimõtteid.

5.7. Andmesubjekti õigus andmetega tutvuda
Vastutava andmetöötlejana vastutab ELKO andmekaitsetiim andmesubjektidele andmete esitamise eest, kasutades mõistlikku juurdepääsumehhanismi, et tagada juurdepääs oma isikuandmetele ning võimaldada oma isikuandmeid uuendada, parandada või edastada, kui see on vajalik või kui seda nõutakse seaduses. Juurdepääsumehhanismi on põhjalikumalt kirjeldatud ELKO andumesubjekti juurdepääsutaotluse menetluses.

5.8. Andmete ülekantavus
Andmesubjektil on õigus saada tasuta andmeid, mida ta on meile esitanud, struktureeritud vormingus ning õigus edastada need andmed teisele vastutavale töötlejale. ELKO andmekaitsetiim peab tagama, et sellised taotlused vaadatakse läbi ühe kuu jooksul, et need ei oleks ülemäärased ega mõjutaks teiste isikute isikuandmetega seotud õigusi.

5.9. Õigus olla unustatud
Vastava taotluse esitamisel on andmesubjektil õigus nõuda ELKO kontsernilt oma isikuandmete kustutamist. Kui ELKO kontsern tegutseb vastutava töötlejana, siis võtab ELKO andmekaitsetiim vajalikke meetmeid (kaasa arvatud tehnilisi meetmeid), et teavitada andmeid kasutavaid või töötlevaid kolmandaid isikuid, et nad taotluse rahuldaksid.
6. Õiglase töötlemise suunised
Isikuandmeid võib töödelda üksnes siis, kui selleks on ELKO andmekaitsetiimi sõnaselge luba.

Ettevõte peab otsustama, kas teha andmekaitse mõjuhinnang iga andmetöötlustegevuse kohta kooskõlas ELKO andmekogude ja töötlemistegevuste kaardistamise suunistega.

6.1. Andmesubjektide teavitamine
Enne mis tahes isikuandmete kogumist või nende kogumisel mis tahes töötlemiseks, kaasa arvatud (kuid mitte ainult) toodete ja teenuste müügiks või turustamiseks, on ELKO andmekaitsetiim koos ELKO andmekaitsjatega igas Euroopa Majanduspiirkonna (EMP) riigis, milles ELKO kontsern on esindatud, kohustatud andmesubjekte nõuetekohaselt teavitama järgnevast: kogutavate isikuandmete liigid, töötlemise eesmärgid, töötlemise viisid, andmesubjekti õigused seoses tema isikuandmetega, säilitamise tähtaeg, võimalikud rahvusvahelised andmeedastused, kas andmeid jagatakse kolmandate isikutega ja milliseid turvameetmeid ELKO kontsern isikuandmete kaitsmiseks kasutab. See teave esitatakse eraelu puutumatust käsitleva teate kaudu.
Isikuandmete jagamisel kolmandate isikutega tagab ELKO andmekaitsetiim eraelu puutumatust käsitleva teate kaudu, et andmesubjekte on sellest teavitatud.
Kui isikuandmed edastatakse vastavalt piiriülese isikuandmete edastamise korrale kolmandasse riiki, siis peab eraelu puutumatust käsitlev teade seda kajastama ja selgelt sedastama, kuhu ja millisele üksusele isikuandmeid edastatakse.

Tundlike isikuandmete kogumisel peab ELKO andmekaitsetiim tagama, et eraelu puutumatust käsitlevas teates on sõnaselgelt sedastatud eesmärk, milleks tundlikke isikuandmeid kogutakse.

6.2. Nõusolekute hankimine
Kui isikuandmete töötlemise aluseks on andmesubjekti nõusolek või muud seaduses ettenähtud alused, siis vastutab ELKO andmekaitsetiim selliste nõusolekuregistrite säilitamise eest. ELKO andmekaitsetiim on kohustatud pakkuma andmesubjektile nõusoleku esitamiseks valikuid ning teavitama andmesubjekti, et nõusoleku (kui töötlemise õiguslikuks aluseks on nõusolek) saab alati tagasi võtta.
Kui isikuandmete kogumine puudutab alla 16-aastaseid lapsi, siis peab ELKO andmekaitsetiim tagama, et enne andmete kogumist on vanema nõusolekuvormi kasutades saadud lapsevanema nõusolek.

Isikuandmete parandamise, muutmise või hävitamise taotluse saamisel peab ELKO andmekaitsetiim tagama, et taotlus vaadatakse läbi mõistliku aja jooksul. ELKO andmekaitsetiim peab taotlused registreerima ja nende kohta arvestust pidama.

Isikuandmeid võib töödelda üksnes eesmärgil, milleks need algselt koguti. Kui ettevõte soovib kogutud isikuandmeid töödelda muul eesmärgil, siis peab ettevõte selleks andmesubjektidelt saama selge ja lühida kirjaliku nõusoleku. Selline taotlus peab sisaldama algset eesmärki, milleks andmeid koguti, ja uut või täiendavat eesmärki (uusi või täiendavaid eesmärke). Taotlus peab sisaldama ka eesmärgi (eesmärkide) muutumise põhjust. Selles lõigus sisalduvate eeskirjade täitmise eest vastutab andmekaitseametnik.

ELKO andmekaitsetiim peab nüüd ja tulevikus tagama, et andmete kogumise viisid vastaksid asjakohastele seadustele, headele tavadele ja tootmisharu standarditele.

ELKO andmekaitsetiim vastutab eraelu puutumatust käsitlevate teadete registripidamise eest aadressil: http://elkogdpr.elkogroup.com.
7. Korraldus ja vastutused
Asjakohase isikuandmete töötlemise tagamise eest vastutavad kõik ELKO kontserni töötajad, kellel on juurdepääs ELKO kontserni töödeldavatele isikuandmetele.

Isikuandmete töötlemisega seotud peamiste valdkondade eest vastutavad organisatsioonis:

ELKO juhatus teeb otsuseid isikuandmete kaitse kohta ja kinnitab isikuandmete kaitsestrateegia kompleksselt ELKO kontserni tasandil;

ELKO andmekaitsetiim vastutab isikukaitsekava haldamise ja isikuandmekaitse põhimõtete väljatöötamise ning edendamise eest;

ELKO andmekaitsjad koos ELKO müügiesinduse juhiga vastutavad kõigi vajalike andmekaitsetegevuste ja -meetmete rakendamise ja kohalikele oludele kohandamise eest (kõigis Euroopa Majanduspiirkonna (EMP) riikides, kus ELKO kontserni müügiesindus) vastavalt ELKO kontserni üldistele isikuandmete töötlemise põhimõtetele ja ELKO andmekaitsetiimi juhistele ning soovitustele.

ELKO peakontori õigusosakond koos ülejäänud ELKO andmekaitsetiimiga vastutavad järgmise eest:
  • isikuandmeid käsitlevate õigusaktide ja eeskirjade muudatuste jälgimine ning analüüsimine; osakondade abistamine isikuandmetega seotud eesmärkide saavutamisel;
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • isikuandmeid käsitlevate nõuete vastavuse tagamine õigustoimingutes ELKO kontserni tasandil.
ELKO peakontori peatehnoloogiajuht vastutab järgmise eest:
  • kõigi andmete salvestamiseks kasutatavate süsteemide, teenuste ja seadmete nõuetekohastele turvastandarditele vastavuse tagamine;
  • regulaarsete kontrollide ja skannide teostamine, et tagada turvariist- ja tarkvara nõuetekohane toimivus;
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • isikuandmeid käsitlevate nõuete vastavuse tagamine IT-ga seotud toimingutes ELKO kontserni tasandil.
ELKO peakontori turundusjuht vastutab järgmise eest:
  • teabevahetusele, näiteks e-kirjadele ja kirjadele, lisatud andmekaitset käsitlevate avalduste kinnitamine;
  • ajakirjanikelt või meediaväljaannetelt (näiteks ajalehtedelt) saadud isikuandmeid käsitlevatele päringutele vastamine;
  • vajaduse korral ELKO andmekaitsetiimiga koostöö tegemine, et tagada turundusalgatuste vastavus andmekaitsepõhimõtetele;
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • isikuandmeid käsitlevate nõuete vastavuse tagamine turundusega seotud toimingutes ELKO kontserni tasandil.
ELKO peakontori personali- ja haldusjuht vastutab järgmise eest:
  • kõigi töötajate teadlikkuse tõstmine seoses kasutajate isikuandmekaitsega;
  • koostöös ELKO andmekaitsetiimiga isikuandmetega töötavate töötajate asjatundlikkuse ja teadlikkuse parendamiseks koolituste korraldamine;
  • kompleksne töötajate isikuandmekaitse; tagamine, et töötajate isikuandmeid töödeldakse vastavalt tööandja õigustatud ärihuvidele ja vajadustele;
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • isikuandmeid käsitlevate nõuete vastavuse tagamine personaliga seotud toimingutes ELKO kontserni tasandil.
ELKO peakontori finantsjuht vastutab järgmise eest:
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • Isikuandmeid käsitlevate nõuete vastavuse tagamine finantsküsimustega seotud toimingutes ELKO kontserni tasandil.
ELKO peakontori logistikajuht vastutab järgmise eest:
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • isikuandmeid käsitlevate nõuete vastavuse tagamine logistikaga seotud toimingutes ELKO kontserni tasandil.
ELKO peakontori peakommertsjuht vastutab järgmise eest:
  • andmekaitsega seotud kohustuste ülekandmine müüjatele ning müüjate teadlikkuse parendamine seoses isikuandmekaitsega;
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • Isikuandmeid käsitlevate nõuete vastavuse tagamine kaubandusega seotud toimingutes ELKO kontserni tasandil.
ELKO müügiesinduse juht vastutab järgmise eest:
  • müügiesinduses andmekaitsenõuete rakendamise ja kontrollimise tagamine;
  • müügiesinduse asukohariigi kohalike isikuandmeid käsitlevate õigusaktide ja eeskirjade muudatuste jälgimine ja analüüsimine, kohalike vastavusnõuete väljatöötamine vastavalt ELKO kontserni tasandi isikuandmete kaitse põhimõtetele ja tavadele ning kohalikele õigusaktidele ja eeskirjadele;
  • isikuandmeid käsitlevate nõuete laiendamine kõigile kolmandatele isikutele, kellelt ELKO teenuseid sisse ostab;
  • andmekaitsega seotud kohustuste ülekandmine kohalikele müüjatele (kui neid on) ning kohalike müüjate teadlikkuse parendamine seoses isikuandmekaitsega;
  • andmekaitsega seotud kohustuste ülekandmine klientidele ning klientide teadlikkuse parendamine seoses isikuandmekaitsega.
8. Juhtiva järelevalveasutuse kindlakstegemise suunised
8.1. Vajadus teha kindlaks juhtiv järelevalveasutus

Juhtiva järelevalveasutuse kindlakstegemine on vajalik üksnes siis, kui ettevõte töötleb isikuandmeid piiriüleselt.

Isikuandmeid töödeldakse piiriüleselt, kui:
a) isikuandmeid töötlevad teistes liikmesriikides tegutsevad ettevõtte tütarettevõtted

või

b) isikuandmeid töödeldakse ühes kohas Euroopa Liidus, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis.
Kui ettevõte tegutseb ühes liikmesriigis ja selle töötlemisega seotud tegevus mõjutab ainult selle liikmesriigi andmesubjekte, siis ei ole vaja juhtivat järelevalveasutust kindlaks teha. Ainus pädev asutus on järelevalveasutus riigis, milles ettevõte seaduslikult tegutseb.

8.2. Peamine tegevuskoht ja juhtiv järelevalveasutus

8.2.1. Vastutava töötleja peamine tegevuskoht
ELKO juhatus peab kindlaks tegema peamise tegevuskoha, et selle põhjal saaks teha kindlaks juhtiva järelevalveasutuse.
Kui ettevõte tegutseb ELi liikmesriigis ja otsustab oma piiriülese töötlemistegevuse üle juhatuse asukohas, siis on selle ettevõtte teostataval andmetöötlustegevusel üks juhtiv järelevalveasutus.
Kui ettevõttel on mitu iseseisvalt tegutsevat ning andmetöötluse eesmärkide ja viiside üle otsustavat tegevuskohta, siis peab ELKO juhatus tunnistama mitme juhtiva järelevalveasutuse olemasolu.

8.2.2. Volitatud töötleja peamine tegevuskoht
Kui ettevõte tegutseb volitatud töötlejana, siis on tema peamiseks tegevuskohaks juhatuse asukoht. Kui juhatus asub väljaspool ELi, siis on peamiseks tegevuskohaks see koht ELis, kus toimuvad peamiselt töötlemistegevused.

8.2.3. Kolmandates riikides asuvate vastutavate töötlejate ja volitatud töötlejate peamine tegevuskoht
Kui ettevõttel puudub peamine tegevuskoht ELis ja tal on ELis tütarettevõte(tütarettevõtted), siis on pädevaks järelevalveasutuseks kohalik järelevalveasutus.

Kui ettevõttel puudub peamine tegevuskoht ELis ja tal pole ELis tütarettevõtteid, siis peab ta nimetama esindaja ELis ja pädevaks järelevalveasutuseks on kohalik järelevalveasutus esindaja asukohas.
9. Isikuandmetega seotud rikkumistele reageerimine
Kui ELKO saab teada kahtlustatavast või tegelikust isikuandmetega seotud rikkumisest ELKO kontsernis, siis peab ELKO andmekaitsetiim viima läbi sisejuurdluse ja võtma vastavalt andmetega seotud rikkumiste põhimõtetega viivitamata asjakohaseid parandusmeetmeid. Kui andmesubjektide õigusi ja vabadusi ähvardab oht, siis peab ELKO asjaomaseid andmekaitseasutusi viivitamata ja võimaluse korral 72 tunni jooksul teavitama.
10. Audit ja vastutus
ELKO andmekaitsetiim on kohustatud kontrollima, kui hästi osakonnad neid põhimõtteid rakendavad.

Põhimõtteid rikkuvate töötajate suhtes algatatakse distsiplinaarmenetlus ning kui tegemist on õigusaktide või eeskirjade rikkumisega – tsiviil- või kriminaalmenetlus
11. Vastuolud seadustega
Käesolevad põhimõtted on mõeldud vastama õigusaktidele ja eeskirjadele tegevuskohtades ja riikides, milles ELKO kontsern tegutseb. Vastuolu korral käesolevate põhimõtete ning kohalduvate õigusaktide ja eeskirjade vahel on ülimuslikud õigusaktid/eeskirjad.
12. Selle dokumendi alusel peetava registri haldamine
13. Kehtivus ja dokumendi haldamine
Käesolev dokument jõustub 21. mail 2018.

Selle dokumendi omanik on ELKO andmekaitsetiim, kes peab selle vähemalt korda aastas läbi vaatama ja vajaduse korral seda ajakohastama.