Isikuandmete töötlemise reeglid

Isikuandmete töötlemise tingimused

EESTI ÜLIÕPILASKONDADE LIIT – PRIVAATSUSTINGIMUSED
Viimati muudetud 8. augustil 2022

1. Privaatsustingimuste kohaldamine

1.1. Käesolevad privaatsustingimused (edaspidi: Privaatsustingimused) kehtivad kõikidel juhtudel, mil mittetulundusühing Eesti Üliõpilaskondade Liit (edaspidi: Liit) töötleb vastutava töötlejana füüsiliste isikute (edaspidi: Andmesubjekt) isikuandmeid pakkudes, väljastades ja hallates enda majandus ja kutsetegevuse raames järgnevaid kaarte: ISIC Scholar tavakaart, ISIC Student tavakaart, ITIC õpetaja tavakaart, IYTC noortekaart, Eesti Õpilaspilet, Eesti Üliõpilaspilet, Töötaja kaart, Eksternkaart ja muud kutsetegevuses väljastatavad kaardid, mida Liit väljastab (edaspidi eeltoodud koos nimetatud ka kui: Kaart või Kaardid).

1.2. Sealjuures kohalduvad käesolevad Privaatsustingimused siis, kus Liit vastutava töötlejana väljastab ja haldab Kaarti virtuaalsel kujul (nt ISIC virtuaalkaarti), mida saab kuvada mobiilirakenduses – näiteks ISIC mobiilirakenduses või LHV mobiilirakenduses. Kuid osas, kus isikuandmeid töötleb vastava mobiilirakenduse omanik selleks, et mobiilirakendust kui teenust Andmesubjektile osutada, on vastav mobiilirakenduse omanik nende isikuandmete vastutav töötleja (nt ISIC mobiilirakenduse puhul ISIC Association ehk International Student Identity Card Association, mis on registreeritud Taanis või LHV mobiilirakenduse puhul AS LHV Pank). Selles osas käesolevad Privaatsustingimused ei kohaldu. Vastavate töötlemistoimingute kohta saate täiendavat infot vastava mobiilirakenduse omaniku käest.

1.3. Liit töötleb teatud juhtudel isikuandmeid ka volitatud töötlejana – eelkõige juhtudel kui Liit töötleb isikuandmeid seoses Liidu koostööpartneriks oleva panga väljastatud ISIC või ITIC funktsionaalsusega pangakaartidega (nt Swedbank AS). Taolisel juhul on vastutavaks töötlejaks vastav pank ning käesolevad Privaatsustingimused taolisele töötlemisele ei laiene – vastavate töötlemistoimingute kohta saate täiendavat infot enda panga käest. Siiski – kui ISIC või ITIC funktsionaalsusega pangakaardi omanik on andnud nõusoleku Liidule uudiskirja saatmiseks (vt täpsemalt punkt 3.2(d)), on osas, kus Liit saadab vastavale Andmesubjektile uudiskirja, vastutavaks töötlejaks Liit ning isikuandmete töötlemisele laienevad käesolevad Privaatsustingimused. 

1.4. Alates 30. septembrist 2022 on Liit ka nende Andmesubjektide isikuandmete vastutav töötleja, kellele on väljastatud AS SEB Pank poolt ISIC või ITIC funktsionaalsusega pangakaart (edaspidi: SEB kliendid). Seega kohalduvad SEB klientide isikuandmete töötlemisele Liidu poolt käesolevad Privaatsustingimused. Liit töötleb SEB klientide isikuandmeid vastutava töötlejana üksnes all punktis 3.2(e) toodud eesmärgil ja ulatuses. Enne 30.09.2022 kohaldatakse SEB klientide osas käesolevate Privaatsustingimuste punktis 1.3 sätestatud loogikat.

1.5. Käesoleva Privaatsustingimused ei reguleeri isikuandmete töötlemist olukorras, kus Kaart väljastatakse Eesti Haridustöötajate Liidu liikmele. Sellisel juhul on isikuandmete vastutavaks töötlejaks Eesti Haridustöötajate Liit, kellega Liit on sõlminud koostöölepingu ja Liit töötleb isikuandmeid Eesti Haridustöötajate Liidu nimel volitatud töötlejana.

1.6. Privaatsustingimused kehtivad ülaltoodud kuupäevast alates. Liidul on õigus ühepoolselt Privaatsustingimusi muuta ja täiendada. Liit teavitab Privaatsustingimuste muudatustest, tehes need kättesaadavaks Kaartide tellimise ja haldamise keskkonnas (või muul viisil vastavalt Liidu äranägemisele).

2. Vastutav töötleja

2.1. Andmesubjektide isikuandmete vastutav töötleja on mittetulundusühing Eesti Üliõpilaskondade Liit, registrikoodiga 80059438, aadressiga Harju maakond, Tallinn, Kesklinna linnaosa, Pärnu mnt 102-21, 11312.

2.2. Kõikides Privaatsustingimuste ja isikuandmete töötlemisega seonduvates küsimustes saab pöörduda Liidu poole, saates päringu e-kirjaga aadressile eyl@eyl.ee .

3. Isikuandmete töötlemise eesmärgid

3.1. Liit töötleb Andmesubjekti isikuandmeid alljärgnevate Kaartide väljastamiseks ja haldamiseks (mis hõlmab ka isikuandmete töötlemist Kaartide väljastamiseks ja haldamiseks tulevikus Andmesubjekti taotlusel):

(a) ISIC Scholar tavakaart;
(b) ISIC Student tavakaart;
(c) ITIC õpetaja tavakaart;
(d) Eesti Õpilaspilet;
(e) Eesti Üliõpilaspilet;
(f) IYTC noortekaart;
(g) Töötaja kaart, Eksternkaart ja muud Liidu väljastatud kaardid;

3.2. Samuti töötleb Liit isikuandmeid alljärgnevatel eesmärkidel:

(a) Kliendihalduseks;
(b) Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks;
(c) Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingus sätestatud Liidu õiguste rakendamiseks.
(d) ISIC/ITIC/IYTC uudiskirja saatmiseks;
(e)  ISIC/ITIC soodustusvõrgusiku pakkumiseks ning võimaldamaks neid kaarte kasutada õpilas- või õpetaja staatust tõendavate dokumentidena.


4. Töödeldavad isikuandmed

4.1. Liit töötleb kõigis punktis 3.1 toodud juhtudel järgnevaid andmeid: Andmesubjekti aadress, ees- ja perekonnanimi, foto, isikukood, e-posti aadress, telefoni number, kooli nimi (sh kooli EHIS-kood), sünniaeg, andmed Kaardi kohta (sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood, kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev, Andmesubjekti identifikaator, kasutajastaatuse identifikaator).

4.2. Lisaks töötleb Liit:
(a) Punktides 3.1(a) – 3.1(e) toodud juhtudel: õpilase/õpetaja staatus (sh
vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht,
õppetool, osakond, struktuuriüksus, staatuse kehtivus jne), pangakonto
number;
(b) Punktis 3.1 toodud juhul: pangakonto number.
(c) Punktides 3.1(a)-3.1(e) ja 3.1(g) toodud juhtudel: kooli nimi (sh kooli EHIS kood).

4.3. Punktis 3.2 toodud juhtudel töötleb Liit järgnevaid andmeid:
(a) Punktis 3.2(a) toodud juhul: Andmesubjekti ees- ja perekonnanimi, e-posti aadress, isikukood, telefoni number;
(b) Punktis 3.2(b) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele kohustusele, mis Liit peab täitma);
(c) Punktis 3.2(c) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele õigusele, mida Liit rakendab).
(d) Punktis 3.2(d) toodud juhul: Andmesubjekti e-posti aadress ning kaardi tüüp (ISIC, ITIC või IYTC).
(e) Punktis 3.2(e) toodud juhul: Andmesubjekti ees- ja perekonnanimi, isikukood, foto, sünniaeg, asjakohase õppeasutuse andmed (nimi ja registrikood), Eesti Hariduse Infosüsteemi ID-number, ISIC/ITIC-kaardi andmed (number, tüüp, kehtivus, väljaandmise viis, väljaandmise fakt ja kuupäev ning MIFARE staatus ehk aktiivne või mitteaktiivne, transpordikaardi PAN number).

4.4. Üldreeglina on Isikuandmete esitamine Andmesubjekti ja Liidu vahelise Lepingu sõlmimiseks vajalik. Lisaks – punktides 3.1(a) – 3.1(b) ja 3.1(d) – 3.1(e) toodud juhtudel on isikuandmete töötlemine vajalik määruses „Õpilaspileti väljaandmise kord ja õpilaspileti vorm“ (kättesaadav: https://www.riigiteataja.ee/akt/13349855; edaspidi: Määrus) sätestatud ja Määruses märgitud isikuandmete osas Liidu juriidilise kohustuse täitmiseks.

4.5. Üldreeglina kogub Liit isikuandmed vahetult Andmesubjektilt endalt, v.a:
(a) EHIS-est järgnevad isikuandmed: kooli EHIS-kood, õpilase/õpetaja staatus (sh vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht, õppetool, osakond, struktuuriüksus, staatuse kehtivus jne);
(b) juhul kui Andmesubjekt sisestab andmed eduid.ee keskkonnas või kui andmed genereeritakse eduid.ee keskkonna poolt: andmed Kaardi kohta (sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood, kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev, Andmesubjekti identifikaator, kasutajastaatuse identifikaator.
(c) AS LHV Pangalt, kui taotlus Kaardi saamiseks täideti LHV mobiilirakenduses;
(d) SEB klientide andmed saab Liit SEB Panga käest.

5. Isikuandmete töötlemise õiguslik alus

5.1. Liit töötleb Andmesubjekti isikuandmeid, kuna see on vajalik Andmesubjektiga sõlmitud lepingu täitmiseks (vt ülal punktid 3.1, 3.2(a) ja 3.2(e)) või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1 ).

5.2. Liit töötleb isikuandmeid samuti Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks (vt ülal punkt 3.2(b) ). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Liidu kui vastutava töötleja juriidiliste kohustuste täitmine. Näiteks – punktides 3.1(a) – 3.1(b) ja 3.1(d) – 3.1(e) toodud juhtudel on Määruses nimetatud isikuandmete töötlemise õiguslikuks aluseks (lisaks Andmesubjektiga sõlmitud lepingu täitmisele) ka Määrusega seatud Liidu juriidiline kohustus.

5.3. Lisaks töötleb Liit isikuandmeid Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate Liidu õiguste rakendamiseks (vt ülal punkt 3.2(c) ). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Liidu kui vastutava töötleja õigustatud huvi. Liidu õigustatud huviks on enda õigusi rakendada sel viisil, kuidas Liit peab vajalikuks.

5.4. Samuti töötleb Liit isikuandmeid uudiskirja saatmiseks, kuid seda vaid juhul, kui Andmesubjekt on selleks nõusoleku andnud (vt ülal punkt 3.2(d)). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Andmesubjekti antud nõusolek.
 
5.5. Alates 30.09.2022 töötleb Liit SEB klientide isikuandmeid Liidu õigustatud huvi alusel (vt ülal punkt 3.2(e)). Liidu õigustatud huviks on pakkuda kõikidele ISIC/ITIC kaardi kasutajatele, sh SEB klientidele, võimalust saada osa ISIC/ITIC soodustusvõrgustikust ja tõendada enda õpilase/õpetaja staatust, mis võimaldab isikul saada ka muid hüvesid.


6. Isikuandmete edastamine kolmandatele isikutele

6.1. Liit ei edastada Andmesubjekti isikuandmeid kolmandatele isikutele, v.a:
(a) Serveri- ja andmete haldamise teenuse osutajale osas, milles Liit säilitab ja töötleb isikuandmeid väljaspool Liidu kontoriruume, näiteks Google Cloud EMEA Limited-ile (registreeritud Iirimaal);
(b) Tarkvaraarenduse teenuse osutajale osas, milles see on vajalik Liidu andmebaasi haldamiseks, teenuste osutamiseks ja suhtluseks Andmesubjektidega, mispuhul on arendajal juurdepääs Liidu töödeldavatele isikuandmetele osas, milles see on vajalik arendusteenuse osutamiseks, näiteks outl1ne OÜ-le (Eesti äriühing);

(c) ISIC Association-ile ehk International Student Identity Card Association-ile (registreeritud Taanis, haldab ISIC kaarte rahvusvahelisel tasemel) ISIC, ITIC ja IYTC kaardiomanikest Andmesubjektide isikuandmeid osas, milles isikuandmete töötlemine on vajalik Andmesubjektidele teenuste osutamiseks, mh pakutavate rahvusvaheliste soodustuste ning hüvede tagamiseks; 

(d) Kaarditootjale osas, milles Kaartidel asuvate isikuandmete edastamine on vajalik Kaartide tootmiseks, näiteks Kaardiekspert OÜ-le (Eesti äriühing);

(e) Ühistranspordis sõiduõiguse valideerimise teenust osutavale ühingule osas, milles Kaartide kehtivusandmete edastamine on vajalik, et võimaldada Kaartide kasutamist ühistranspordis sõiduõiguse valideerimiseks, näiteks Ridango AS-ile (Eesti äriühing);

(f) Liidu koostööpartneritest koolidele osas, milles see on muuhulgas vajalik isikuandmete õigsuse kontrollimiseks, koolis asuvate ligipääsusüsteemide toimivuse tagamiseks ja Kaardi kehtivuse kontrollimiseks (koolid asuvad Eestis);

(g) E-kirjavahetuse serveriteenuse pakkujale osas, milles Liit kasutab e-kirjavahetust isikuandmete saatmiseks Liidu-siseselt ja Andmesubjektidega suhtlemiseks, näiteks Google Cloud EMEA Limited-ile (registreeritud Iirimaal) ja Sendsmaily OÜ-le (Eesti äriühing);

(h) Raamatupidamisteenuse osutajale osas, milles see on vajalik Liidu raamatupidamise korraldamiseks, näiteks Saldo RMP OÜ-le (Eesti äriühing);

(i) Teenuseosutajale osas, milles see on vajalik kaardiomanike haldamiseks, näiteks äriühingutele ZOHO CORPORATION (USA äriühing) ning ZOHO CORPORATION PVT. LTD. (India äriühing). Mõlemad eeltoodud äriühingud rakendavad andmete töötlemisel Euroopa Komisjoni poolt kinnitatud kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimusi(Standard Contractual Clauses) ja tagavad seeläbi nõutava isikuandmete kaitse taseme. Samuti on ZOHO CORPORATION liitunud Eraelukaitse Kilbi (Privacy Shield) andmekaitseraamistikuga, mis tagab isikuandmete töötlemise kaitse samal tasemel, nagu Euroopa Liidus (vt lähemalt https://www.zoho.com/gdpr.html ja https://www.zoho.com/privacy/privacyshieldframeworks.html).

6.2. Kõik punktis 6.1 nimetatud volitatud töötlejad tagavad sellise isikuandmete kaitse nagu isikuandmete kaitset reguleerivad õigusaktid sätestavad.

6.3. Liidul on samuti õigus avaldada Andmesubjekti isikuandmed asutusele, millel on Eesti Vabariigis kehtivast õigusaktist tulenevalt õigus nõuda Liidult selle poolt töödeldavate isikuandmete avaldamist ja kui Liidul on kohustus antud asutusele isikuandmed avaldada.

7. Isikuandmete säilitamine

7.1. Andmesubjekti isikuandmed säilitatakse:
(a) kuni 1 aastat pärast vastava Kaardi kehtivuse lõppemist, milles Liit säilitab Andmesubjekti isikuandmeid seoses Andmesubjektiga sõlmitud lepingu täitmisega (vt ülal punktid 3.1 , 3.2(a), 3.2(e) ), Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmisega (vt ülal punkt 3.2(b) ja Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate Liidu õiguste rakendamisega (vt ülal punkt 3.2(c) );
(b) kuni 30 päeva pärast viimast kontakti Andmesubjektiga osas, milles Liit säilitab Andmesubjekti isikuandmeid seoses lepingu sõlmimisele eelnevate meetmete võtmisega vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1 );
(c) kuni nõusoleku tagasivõtmiseni osas, milles Liit töötleb isikuandmeid uudiskirjade saatmiseks (vt ülal punkt 3.2(d)); 
(c) alates 30.09.2022 SEB klientide andmeid vastavalt antud SEB kliendi ISIC/ITIC liitkaardi kehtivus tähtajale.

7.2. Isikuandmeid sisaldavaid raamatupidamise alusdokumente säilitatakse seitse aastat selle majandusaasta lõpust, millega need seotud on.

8. Andmesubjekti õigused isikuandmete töötlemisel

8.1. Andmesubjektil on igal ajal õigus pöörduda Liidu poole vastavasisulise lihtkirjaliku ja vabas vormis taotlusega e-posti aadressil eyl@eyl.ee , et:
(a) taotleda juurdepääsu Andmesubjekti kohta käivatele isikuandmetele;
(b) nõuda isikuandmete parandamist;
(c) nõuda isikuandmete kustutamist;
(d) piirata isikuandmete töötlemist;
(e) esitada vastuväiteid isikuandmete töötlemisele;
(f) nõuda isikuandmete ülekandmist;
(g) nõuda, et Andmesubjekti kohta ei võetaks vastu otsust, mis põhineb
automatiseeritud töötlusel;
(h) võtta tagasi antud nõusolek isikuandmete töötlemiseks;
(i) esitada kaebus järelevalveasutusele (Andmekaitseinspektsioonile).

8.2. Panga väljastatud ISIC või ITIC funktsionaalsusega pangakaardi omanikul tuleb vastava taotlusega pöörduda pangakaardi väljastanud panga (kui vastutava töötleja) poole. Alates 30.09.2022 osas, kus Liit töötleb SEB klientide andmeid vastutava töötlejana punktis 3.2(e) toodud eesmärgil, saab SEB klient pöörduda siiski Liidu poole. 

8.3. Eesti Haridustöötajate Liidu liige peab vastava taotlusega pöörduma Eesti Haridustöötajate Liidu (kui vastutava töötleja) poole.

8.4. Samuti – kui taotlus puudutab ISIC mobiilirakenduses töödeldavaid isikuandmeid või LHV mobiilirakenduses töödeldavaid isikuandmeid, tuleb taotlusega pöörduda vastavalt ISIC Association või AS LHV Panga poole.