[:et]Delikaatsed isikuandmed
Delikaatsed isikuandmed on:
1) poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;
2) etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
3) andmed terviseseisundi või puude kohta;
4) andmed pärilikkuse informatsiooni kohta;
5) biomeetrilised andmed;
6) andmed seksuaalelu kohta;
7) andmed ametiühingu liikmelisuse kohta;
8) andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
Isikuandmete töötlemine
(1) MTÜ Meditsiinikoolitused on kohustatud isikuandmete töötlemisel järgima järgmisi põhimõtteid:
- isikuandmeid kogutakse vaid ausal ja seaduslikul teel;
- isikuandmeid kogutakse üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning neid ei töödelda viisil, mis ei ole andmetöötluse eesmärkidega kooskõlas;
- isikuandmeid kogutakse vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks;
- isikuandmeid kasutatakse muudel eesmärkidel üksnes andmesubjekti nõusolekul või selleks pädeva organi loal;
- isikuandmed peavad olema ajakohased, täielikud ning vajalikud seatud andmetöötluse eesmärgi saavutamiseks;
- isikuandmete kaitseks rakendatakse turvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest;
- andmesubjekti teavitatakse tema kohta kogutavatest andmetest, talle võimaldatakse juurdepääs tema andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist.
(2) Isikuandmete kaitse eest vastutav isik MTÜ-s Medistiinikoolitused määratakse juhatuse liikme käskkirjaga.
Isikuandmete töötlemise eesmärk
1) MTÜ Meditsiinikoolitused töötleb isikuandmeid seadusest tulenevate ülesannete täitmiseks.
Isikuandmete töötlemine on iga isikuandmetega tehtav toiming, sealhulgas isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine isikuandmetele, päringute teostamine ja väljavõtete tegemine, isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine, või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.
2) Andmesubjekt on isik, kelle isikuandmeid töödeldakse.
3)Isikuandmeid või delikaatseid isikuandmeid sisaldavatele dokumentidele kehtestatakse juurdepääsupiirang vastavalt avaliku teabe seadusele.
4)MTÜ Meditsiinikoolitused võimaldab juurdepääsu tema valduses olevatele isikuandmetele isikuandmete kaitse seaduses sätestatud aluse olemasolul avaliku teabe seaduses sätestatud korras.
5)Isikuandmeid või delikaatseid isikuandmeid sisaldavaid dokumente säilitatakse vastavalt dokumentide loetelus kehtestatud säilitustähtaegadele olenemata juurdepääsupiirangutähtajast.
Isikuandmete töötlemise kord ja viis
1) Isikuandmete töötlemine on lubatud üksnes andmesubjekti nõusolekul, kui seadus ei sätesta teisiti.
2) Nõusolekus peavad olema selgelt määratletud andmed, mille töötlemiseks lubaantakse, andmete töötlemise eesmärk ning isikud, kellele andmete edastamine on lubatud, samuti andmete kolmandatele isikutele edastamise tingimused ning andmesubjekti õigused tema isikuandmete edasiseks töötlemiseks.
3)Nõusolek peab olema kirjalikku taasesitamist võimaldavas vormis, välja arvatud juhul, kui vorminõude järgimine ei ole andmetöötluse erilise viisi tõttu võimalik.
4) Enne andmesubjektilt isikuandmete töötlemiseks nõusoleku küsimist peab isikuandmete töötleja andmesubjektile teatavaks tegema isikuandmete töötleja (MTÜ Meditsiinikoolitused) ning tema kontaktandmed.
5) Delikaatsete töötlemiseks tuleb isikule selgitada, et tegemist on delikaatsete isikuandmetega ning võtta selle kohta kirjalikku taasesitamist võimaldav nõusolek.
6) Andmesubjekti nõusolek kehtib andmesubjekti eluajal ning 30 aastat pärast andmesubjekti surma, kui andmesubjekt ei ole otsustanud teisiti.
7) Kliendil on õigus tutvuda andmetega, mida MTÜ Meditsiinokoolitused on tema kohta kogunud.
8) Kliendi isikuandmete töötlemise eest vastutab personaliosakond.
9) Andmesubjektil on õigus igal ajal nõuda isikuandmete avalikustajalt isikuandmete avalikustamise lõpetamist, välja arvatud juhul, kui avalikustamine toimub seaduse alusel ning andmete jätkuv avalikustamine ei kahjusta ülemääraselt andmesubjekti õigusi.
10) Andmesubjektil on õigus igal ajal nõuda avalikustatud isikuandmete töötlejalt isikuandmete töötlemise lõpetamist, kui seadus ei sätesta teisiti ja see on tehniliselt võimalik ega too kaasa ebaproportsionaalselt suuri kulutusi.
11) Nõusoleku võib andmesubjekt igal ajal tagasi võtta. Nõusoleku tagasivõtmisel ei ole tagasiulatuvat jõudu.
12) Isikuandmeid töödeldakse andmesubjekti nõusolekuta
• seaduse alusel;
• üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada;
• andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks, välja arvatud delikaatsete isikuandmete töötlemine.
13) Andmesubjekti ei ole vaja tema isikuandmete töötlemisest teavitada:
• kui andmesubjekt on andnud nõusoleku oma isikuandmete töötlemiseks;
• kui isikuandmete töötlemine on ette nähtud seaduses, välislepingus või
• Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduvas õigusaktis;
• kui andmesubjekti teavitamine ei ole võimalik;
• kui andmesubjekti õigust saada teavet piiratakse.
14) Andmesubjekti soovil teeb MTÜ Meditsiinikoolitused andmesubjektile teatavaks:
• tema kohta käivad isikuandmed;
• isikuandmete töötlemise eesmärgid;
• isikuandmete koosseisu ja allikad;
• kolmandad isikud või nende kategooriad, kellele isikuandmete edastamine on lubatud;
• kolmandad isikud, kellele tema isikuandmeid on edastatud;
• MTÜ Meditsiinikoolitused kontaktandmed.
15) Andmesubjektil on õigus saada MTÜ-lt Meditsiinikoolitused enda kohta käivaid isikuandmeid. Isikuandmed väljastatakse võimalusel andmesubjekti soovitud viisil.
16) MTÜ Meditsiinikoolitused on kohustatud andma andmesubjektile teavet ja väljastama nõutavad isikuandmed või põhjendama andmete väljastamisest või teabe andmisest keeldumist avaldusesaamise päevale järgneva 5 tööpäeva jooksul.
17) Andmesubjektil on õigus MTÜ-lt Meditsiinikoolitused nõuda ebaõigete isikuandmete parandamist.
18) MTÜ Meditsiinikoolitused on isikuandmete töötlemisel kohustatud:
• eesmärkide saavutamiseks mittevajalikud isikuandmed viivitamata kustutama või sulgema, kui seadus ei näe ette teisiti;
• tagama, et isikuandmed on õiged ja, kui see on eesmärkide saavutamiseks vajalik, viimases seisus;
• mittetäielikud ja ebaõiged isikuandmed sulgema ning nende täiendamiseks ja parandamiseks võtma viivitamata kasutusele vajalikud abinõud;
• ebaõiged andmed säilitama märkusega nende kasutamise aja kohta koos õigete andmetega;
• isikuandmed, mille õigsus on vaidlustatud, sulgema kuni andmete õigsuse kindlakstegemiseni või õigete andmete väljaselgitamiseni;
19) MTÜ Meditsiinikoolitused kasutab organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid isikuandmete kaitseks:
• andmete terviklikkuse osas – juhusliku või tahtliku volitamata muutmise eest;
• andmete käideldavuse osas – juhusliku hävitamise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest;
• andmete konfidentsiaalsuse osas – volitamata töötlemise eest.
20) MTÜ Meditsiinikoolitused isikuandmete töötlemisel:
• väldib kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele;
• hoiab ära andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
• hoiab ära isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagab, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kellele poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
• tagab, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks
• lubatud isikuandmetele ja temale lubatud andmetöötluseks;
• tagab andmete olemasolu isikuandmete edastamisest: millal, kellele ja millise isikuandmed
• edastati, samuti selliste andmete muutusteta säilimise;
• tagab, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist;
• kujundab töökorralduse selliselt, et see võimaldaks täita andmekaitse nõudeid.
21) Füüsiline isik, kes MTÜ Meditsiinikoolitused töötleb isikuandmeid, on kohustatud neid töötlema isikuandmete kaitse seaduses lubatud eesmärkidel ja tingimustel ning ta on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud isikuandmeid ka pärast töötlemisega seotud tööülesannete täitmist või töösuhte lõppemist.
22) MTÜ Meditsiinikoolitused korraldab oma alluvuses isikuandmeid töötlevatele isikutele väljaõppe isikuandmete kaitse alal vähemalt üks kord kahe aasta jooksul ning koheselt, kui töötajal tekibvajadus isikuandmeid töödelda.
Isikuandmete kolmandatele isikutele edastamine
(1) Kolmandad isikud saavad juurdepääsu isikuandmetele seaduses sätestatud juhtudel.
(2) Isikuandmete edastamine või nendele juurdepääsu võimaldamine andmete töötlemiseks kolmandale isikule on lubatud andmesubjekti nõusolekuta:
• kui kolmas isik, kellele andmed edastatakse, töötleb isikuandmeid seaduse, välislepingu või Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud ülesande täitmiseks;
• üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks, kui andmesubjektilt ei ole võimalik nõusolekut saada;
• kui kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel kehtestatud juurdepääsupiirangut.
(3) Kolmas isik on füüsiline või juriidiline isik, välismaa äriühingu filiaal või riigi- või kohaliku omavalitsuse asutus, kes ei ole:
• 1)isikuandmete töötleja ise;
• 2) andmesubjekt;
• 3) füüsiline isik, kes isikuandmete töötleja alluvuses töötleb isikuandmeid.[:ru]Личная информация:
1) данные, описывающие политические взгляды, религиозные убеждения и убеждения, за исключением сведений о членстве юридических лиц в частном праве, зарегистрированных в порядке, установленном законом;
2) данные, описывающие этническое происхождение и расовое происхождение;
3) информация о состоянии здоровья или инвалидности;
4) информация о наследственности;
5) биометрические данные;
6) данные о сексуальной жизни;
7) информация о членстве в профсоюзе;
8) информация о совершении преступления или стать жертвой правонарушения до публичного судебного заседания или решения по делу о правонарушении или прекращении производства по делу.
Обработка персональных данных
(1) MTÜ Meditsiinikoolitused соблюдает следующие принципы при обработке персональных данных:
- Персональные данные собираются только на справедливой и законной основе;
- Персональные данные собираются только для определенных и законных целей и не обрабатываются способом, несовместимым с целями обработки;
- Персональные данные собираются только в той степени, которая необходима для достижения поставленных целей;
- личные данные используются для других целей только с согласия субъекта данных или с согласия компетентного органа;
- персональные данные должны быть актуальными, полными и необходимыми для достижения цели, для которой они были обработаны;
- приняты меры безопасности для защиты личных данных от случайной или несанкционированной обработки, раскрытия или уничтожения;
- субъект данных информируется о собранных о нем данных, имеет доступ к своим данным и имеет право исправлять неточные или вводящие в заблуждение данные.
(2) Лицо, ответственное за защиту персональных данных в учебном центре MTÜ Meditsiinikoolitused, назначается по указанию члена правления.
Цель обработки персональных данных
1) MTÜ Meditsiinikoolitused обрабатывает персональные данные для выполнения своих уставных задач.
«Обработка персональных данных» означает любую операцию с персональными данными, включая сбор, хранение, организацию, хранение, изменение и раскрытие персональных данных, доступ к персональным данным, проведение запросов и извлечение, использование, передачу, независимо от способа выполнения операций и используемых средств.
2) Субъект данных – это лицо, персональные данные которого обрабатываются.
(3) Доступ к документам, содержащим личные или конфиденциальные персональные данные, должен быть ограничен в соответствии с Законом об общественной информации.
4) MTÜ Meditsiinikoolitused обеспечивает доступ к персональным данным, находящимся в его распоряжении, если есть основания, предусмотренные Законом о защите персональных данных в соответствии с процедурой, предусмотренной Законом об общественной информации.
(5) Документы, содержащие персональные данные или конфиденциальные персональные данные, должны храниться в соответствии с периодами хранения, указанными в списке документов, независимо от срока доступа.
Порядок и способ обработки персональных данных
(1) Обработка персональных данных допускается только с согласия субъекта данных, если иное не предусмотрено законом.
(2) В согласии должны быть четко указаны данные, которые разрешены к обработке, цель обработки и лица, уполномоченные передавать их, а также условия передачи данных третьим лицам и права на данные, подлежащие дальнейшей обработке.
(3) Согласие должно быть дано в формате, который может быть воспроизведен в письменной форме, если соблюдение формального требования невозможно из-за особого характера обработки данных.
4) Прежде чем запрашивать у субъекта данных согласие на обработку персональных данных, обработчик должен сообщить субъекту данных обработчика персональных данных (MTÜ Meditsiinikoolitused) и свои контактные данные.
(5) Для обработки конфиденциальных данных лицо должно быть осведомлено о том факте, что это конфиденциальные личные данные, и должно дать свое согласие в письменном виде на воспроизведение.
(6) Согласие субъекта данных действует в течение всей жизни субъекта данных и в течение 30 лет после смерти субъекта данных, если только субъект данных не примет иного решения.
7) Клиент имеет право доступа к данным, собранным MTÜ Meditsiinikoolitused.
8) Отдел кадров отвечает за обработку персональных данных Клиента.
(9) Субъект данных имеет право в любое время потребовать раскрытия персональных данных лицу, разглашающему персональные данные, если только такое раскрытие не соответствует закону и дальнейшее раскрытие не наносит чрезмерного ущерба правам субъекта данных.
(10) Субъект данных имеет право в любое время запросить у обработчика раскрытых персональных данных прекращение обработки персональных данных, если иное не предусмотрено законом и если это технически возможно и не влечет за собой непропорциональных расходов.
(11) Субъект данных может отозвать согласие в любое время. Снятие не имеет обратной силы.
(12) Персональные данные обрабатываются без согласия субъекта данных
- по закону;
- в отдельных случаях для защиты жизни, здоровья или свободы субъекта данных или субъекта данных, когда согласие не может быть получено от субъекта данных;
- за исполнение договора с субъектом данных или за исполнение договора, за исключением обработки конфиденциальных персональных данных.
(13) Субъект данных не должен быть проинформирован об обработке его или ее персональных данных:
- если субъект данных дал согласие на обработку своих персональных данных;
- если обработка персональных данных требуется по закону, международному соглашению или
- непосредственно применимое законодательство Совета Европейского Союза или Европейской Комиссии;
- если невозможно сообщить субъекту данных;
- если право субъекта данных на информацию ограничено.
14) По запросу субъекта данных MTÜ Meditsiinikoolitused сообщает субъекту данных:
- личная информация о нем или ней;
- цели обработки персональных данных;
- состав и источники персональных данных;
- третьи лица или категории третьих лиц, которым разрешена передача персональных данных;
- третьи лица, которым были переданы их личные данные;
- контактная информация для MTÜ Meditsiinikoolitused.
15) Субъект данных имеет право получить персональные данные о себе в MTÜ Meditsiinikoolitused. Персональные данные, по возможности, должны предоставляться в порядке, запрашиваемом субъектом данных.
16) MTÜ Meditsiinikoolitused обязано предоставить субъекту данных информацию и предоставить необходимые персональные данные или обосновать отказ предоставить данные или предоставить информацию в течение 5 рабочих дней после даты получения заявления.
17) Субъект данных имеет право запросить исправление неверных персональных данных в учебном центре MTÜ Meditsiinikoolitused.
18) При обработке персональных данных MTÜ Meditsiinikoolitused обязано:
- немедленно удалять или блокировать личные данные, которые не являются необходимыми для целей, если иное не предусмотрено законом;
- обеспечить точность и актуальность личной информации, когда это необходимо для достижения ее целей;
- закрыть неполные и неточные персональные данные и принять необходимые меры для их заполнения и исправления;
- хранить неверные данные с указанием того, когда они используются вместе с правильными данными;
- блокировать персональные данные, точность которых оспаривается до тех пор, пока данные не будут проверены или не будут установлены правильные данные;
19) Учебный центр MTÜ Meditsiinikoolitused использует организационные, физические и ИТ-меры безопасности для защиты персональных данных:
- целостность данных – для случайных или преднамеренных несанкционированных изменений;
- доступность данных – для случайного и преднамеренного уничтожения и для предотвращения доступа к данным со стороны кредитора;
- конфиденциальность данных – для несанкционированной обработки.
20) MTÜ Meditsiinikoolitused для обработки персональных данных:
- предотвращает доступ посторонних лиц к оборудованию, используемому для обработки персональных данных;
- предотвращает несанкционированное чтение, копирование и изменение данных в системе обработки данных, а также несанкционированное удаление носителя данных;
- предотвращает несанкционированную запись, изменение или удаление персональных данных и обеспечивает возможность ретроспективного установления того, когда, кем и кем персональные данные были записаны, изменены или удалены или кем и кем персональные данные были доступны системе обработки данных;
- гарантирует, что каждый пользователь системы обработки данных имеет доступ только к нему или ей для обработки
- авторизованные персональные данные и санкционированная им обработка данных;
- Обеспечивает наличие данных о передаче персональных данных: когда, кому и кем
- передается, а также сохраняется неизменное хранение таких данных;
- обеспечить, чтобы во время транспортировки личных данных через носитель или во время транспортировки данных не происходило несанкционированного чтения, копирования, изменения или удаления персональных данных;
- разрабатывает организацию своей работы таким образом, чтобы она могла отвечать требованиям защиты данных.
21) Физическое лицо, которое обрабатывает персональные данные в учебном центре MTÜ Meditsiinikoolitused, должно обрабатывать их для целей и в соответствии с условиями, разрешенными Законом о защите персональных данных, и обязано поддерживать конфиденциальность персональных данных, полученных в ходе выполнения его или ее обязанностей или прекращения работы.
22) Учебный центр MTÜ Meditsiinikoolitused должен проводить обучение по вопросам защиты персональных данных лицам, которые обрабатывают персональные данные под его руководством, не реже одного раза в два года и сразу же, когда работнику требуется обработать персональные данные.
Передача персональных данных третьим лицам
(1) Третьи лица имеют доступ к персональным данным в случаях, предусмотренных законом.
(2) Передача или доступ к персональным данным для обработки третьим лицом разрешается без согласия субъекта данных:
- когда третья сторона, которой передаются данные, обрабатывает персональные данные для выполнения задач, предусмотренных законодательством, международным соглашением или прямым актом Совета Европейского Союза или Европейской комиссии;
- в отдельных случаях для защиты жизни, здоровья или свободы субъекта данных или субъекта данных, когда согласие не может быть получено от субъекта данных;
- когда третья сторона запрашивает информацию, полученную или созданную в ходе выполнения ими своих публичных функций в соответствии с требованиями или в соответствии с законом, и запрашиваемая информация не содержит конфиденциальную личную информацию и не ограничивается каким-либо иным образом доступом.
(3) Третьим лицом является физическое или юридическое лицо, филиал иностранной компании или орган государственного или местного самоуправления, который не является:
- 1) обработчиком данных;
- 2) субъектом данных;
- 3) физическое лицо, которое обрабатывает персональные данные под руководством контролера данных.
[:]