Isikuandmete töötlemise reeglid
Isikuandmete töötlemise tingimused
EESTI ÜLIÕPILASKONDADE LIIT – PRIVAATSUSTINGIMUSED
Viimati muudetud 26. novembril 2024 (kehtib al. 26. november 2024). Eelmised kehtivad privaatsustingimused on leitavad siit.
Viimati muudetud 26. novembril 2024 (kehtib al. 26. november 2024). Eelmised kehtivad privaatsustingimused on leitavad siit.
1. Privaatsustingimuste kohaldamine
1.1. Käesolevad privaatsustingimused (edaspidi: Privaatsustingimused) kehtivad kõikidel juhtudel, mil mittetulundusühing Eesti Üliõpilaskondade Liit (edaspidi: Liit) töötleb vastutava töötlejana füüsiliste isikute (edaspidi: Andmesubjekt) isikuandmeid pakkudes, väljastades ja hallates enda majandus ja kutsetegevuse raames järgnevaid kaarte: ISIC Scholar tavakaart, ISIC Student tavakaart, ITIC õpetaja tavakaart, IYTC noortekaart, Eesti Õpilaspilet, Eesti Üliõpilaspilet, Töötajakaart, Eksternkaart ning muud kaardid, mida Liit väljastab (edaspidi eeltoodud koos nimetatud ka kui: Kaart või Kaardid) ning tehes muid Kaartidega või nende pakkumisega seonduvaid toiminguid.
1.2. Sealjuures kohalduvad käesolevad Privaatsustingimused siis, kus Liit vastutava töötlejana väljastab ja haldab Kaarti virtuaalsel kujul (nt ISIC virtuaalkaarti), mida saab kuvada mobiilirakenduses – näiteks ISIC mobiilirakenduses või LHV mobiilirakenduses. Selguse huvides märgime, et Liit on vastutav töötleja ka osas, kus Andmesubjekt esitab taotluse LHV Panga (AS LHV Pank) kaudu Kaardi tellimiseks või Kaardi kehtivuse pikendamiseks ning isikuandmeid töötleb antud eesmärgil LHV Pank volitatud töötlejana Liidu kui vastutava töötleja eest ja nimel. Samas – nii ISIC kui ka LHV mobiilirakenduse puhul, kus isikuandmeid töötleb vastava mobiilirakenduse omanik selleks, et mobiilirakendust kui teenust Andmesubjektile osutada, on vastav mobiilirakenduse omanik nende isikuandmete vastutav töötleja (nt ISIC mobiilirakenduse puhul ISIC Association ehk International Student Identity Card Association, mis on registreeritud Taanis; või LHV mobiilirakenduse puhul AS LHV Pank). Selles osas käesolevad Privaatsustingimused ei kohaldu. Vastavate töötlemistoimingute kohta saate täiendavat infot vastava mobiilirakenduse omaniku käest.
1.3. Antud Privaatsustingimused kohalduvad ka olukorras, kus Liit töötleb vastutava töötlejana nende Andmesubjektide isikuandmeid, kellele on väljastatud ISIC või ITIC funktsionaalsusega pangakaart AS SEB Pank poolt (edaspidi: SEB klient) või kellele on väljastatud ISIC funktsionaalsusega pangakaart Swedbank AS poolt (edaspidi: Swedbanki klient). Eelnimetatud juhud, kus käesolevad Privaatsustingimused kohalduvad ning Liit on SEB klientide ja Swedbanki klientide isikuandmete vastutav töötleja, on järgnevad: (i) all punktis 3.2(d) toodud olukord, kus SEB klient või Swedbanki klient on andnud nõusoleku Liidule uudiskirja saatmiseks ning Liit saadab uudiskirjasid; ja (ii) all punktis 3.2(e) toodud olukord, kus Liit pakub SEB kliendile või Swedbanki kliendile soodustusvõrgu kasutamise võimalust ning võimaldab kaarti kasutada õpilas- või õpetaja staatust tõendava dokumendina.
1.4. Käesoleva Privaatsustingimused ei reguleeri isikuandmete töötlemist olukorras, kus Kaart väljastatakse Eesti Haridustöötajate Liidu liikmele. Sellisel juhul on isikuandmete vastutavaks töötlejaks Eesti Haridustöötajate Liit, kellega Liit on sõlminud koostöölepingu ja Liit töötleb isikuandmeid Eesti Haridustöötajate Liidu nimel volitatud töötlejana.
1.5. Privaatsustingimused kehtivad ülaltoodud kuupäevast alates. Liidul on õigus ühepoolselt Privaatsustingimusi muuta ja täiendada. Liit teavitab Privaatsustingimuste muudatustest, tehes need kättesaadavaks Kaartide tellimise ja haldamise keskkonnas (või muul viisil vastavalt Liidu äranägemisele).
2. Vastutav töötleja
2.1. Andmesubjektide isikuandmete vastutav töötleja on mittetulundusühing Eesti Üliõpilaskondade Liit, registrikoodiga 80059438, aadressiga Harju maakond, Tallinn, Kesklinna linnaosa, Pärnu mnt 102-21, 11312.
2.2. Kõikides Privaatsustingimuste ja isikuandmete töötlemisega seonduvates küsimustes saab pöörduda Liidu poole, saates päringu e-kirjaga aadressile eyl@eyl.ee.
3. Isikuandmete töötlemise eesmärgid
3.1. Juhul, kui Liit on Andmesubjektile väljastanud Kaardi või valmistab Kaardi väljastamist ette, töötleb Liit Andmesubjekti isikuandmeid alljärgnevate Kaartide väljastamiseks ja haldamiseks (mis hõlmab ka isikuandmete töötlemist Kaartide väljastamiseks ja haldamiseks tulevikus Andmesubjekti taotlusel):
(a) ISIC Scholar tavakaart;
(b) ISIC Student tavakaart;
(c) ITIC õpetaja tavakaart;
(d) Eesti Õpilaspilet;
(e) Eesti Üliõpilaspilet;
(f) IYTC noortekaart;
(g) Töötajakaart, Eksternkaart ja muud Liidu väljastatud kaardid.
3.2. Samuti töötleb Liit isikuandmeid alljärgnevatel eesmärkidel:
(a) Kliendihalduseks;
(b) Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks;
(c) Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingus sätestatud Liidu õiguste rakendamiseks;
(d) ISIC/ITIC/IYTC uudiskirja saatmiseks;
(e) ISIC/ITIC soodustusvõrgusiku pakkumiseks ning võimaldamaks neid kaarte kasutada õpilas- või õpetaja staatust tõendavate dokumentidena;
(f) tarbijamängude läbiviimiseks.
4. Töödeldavad isikuandmed
4.1. Liit töötleb kõigis punktis 3.1 toodud juhtudel järgnevaid andmeid: Andmesubjekti aadress, ees- ja perekonnanimi, foto, isikukood, e-posti aadress, telefoni number, sünniaeg, andmed Kaardi kohta (sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood, kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev, Andmesubjekti identifikaator, kasutajastaatuse identifikaator), makseandmed väljastustasu osas (kui Liit nõuab taotlejalt väljastustasu maksmist konkreetse Kaardi väljastamiselt).
4.2. Lisaks töötleb Liit:
(a) Punktides 3.1(a)-3.1(e) toodud juhtudel: õpilase/õpetaja staatus (sh vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht, õppetool, osakond, struktuuriüksus, staatuse kehtivus jne), pangakonto number;
(b) Punktis 3.1(f) toodud juhul: pangakonto number;
(c) Punktides 3.1(a)-3.1(e) ja 3.1(g) toodud juhtudel: kooli nimi (sh kooli EHIS kood).
4.3. Punktis 3.2 toodud juhtudel töötleb Liit järgnevaid andmeid:
(a) Punktis 3.2(a) toodud juhul: Andmesubjekti ees- ja perekonnanimi, e-posti aadress, isikukood, telefoni number;
(b) Punktis 3.2(b) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele kohustusele, mis Liit peab täitma);
(c) Punktis 3.2(c) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele õigusele, mida Liit rakendab);
(d) Punktis 3.2(d) toodud juhul: Andmesubjekti e-posti aadress ning kaardi tüüp (ISIC, ITIC või IYTC);
(e) Punktis 3.2(e) toodud juhul: Andmesubjekti ees- ja perekonnanimi, isikukood, foto, sünniaeg, asjakohase õppeasutuse andmed (nimi ja registrikood), Eesti Hariduse Infosüsteemi ID-number, ISIC/ITIC-kaardi andmed (number, tüüp, kehtivus, väljaandmise viis, väljaandmise fakt ja kuupäev ning MIFARE staatus ehk aktiivne või mitteaktiivne, transpordikaardi PAN number);[HR|W1]
(f) Punktis 3.2(f) toodud juhul: Andmesubjekti ees- ja perekonnanimi, e-posti aadress, postiaadress (kui see on vajalik näiteks auhinna kättetoimetamiseks), tarbijamänguga seotud andmed (nt saadud punktide arv, jne).
4.4. Üldreeglina on isikuandmete esitamine Andmesubjekti ja Liidu vahelise Lepingu sõlmimiseks vajalik. Lisaks – punktides 3.1(a)-3.1(b) ja 3.1(d)-3.1(e) toodud juhtudel on isikuandmete töötlemine vajalik määruses „Õpilaspileti väljaandmise kord ja õpilaspileti vorm“ (kättesaadav: https://www.riigiteataja.ee/akt/13349855; edaspidi: Määrus) sätestatud ja Määruses märgitud isikuandmete osas Liidu juriidilise kohustuse täitmiseks.
4.5. Üldreeglina kogub Liit isikuandmed vahetult Andmesubjektilt endalt, v.a:
(a) EHIS-est järgnevad isikuandmed: kooli EHIS-kood, õpilase/õpetaja staatus (sh vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht, õppetool, osakond, struktuuriüksus, staatuse kehtivus jne);
(b) õppeasutuselt, kui taotluse Kaardi saamiseks täitis Andmesubjekt õppeasutuses ja õppeasutus edastab selle Liidule;
(c) AS LHV Pangalt, kui taotlus Kaardi saamiseks täideti LHV mobiilirakenduses;
(d) SEB klientide ja Swedbanki klientide andmed saab Liit vastava panga käest.
5. Isikuandmete töötlemise õiguslik alus
5.1. Liit töötleb Andmesubjekti isikuandmeid, kuna see on vajalik Andmesubjektiga sõlmitud lepingu täitmiseks (vt ülal punktid 3.1, 3.2(a) ja 3.2(e); sh kokkulepitud tarbijamängu läbiviimiseks, vt ülal punkt 3.2(f)) või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1).
5.2. Liit töötleb isikuandmeid samuti Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks (vt ülal punkt 3.2(b)). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Liidu kui vastutava töötleja juriidiliste kohustuste täitmine. Näiteks – punktides 3.1(a)-3.1(b) ja 3.1(d)-3.1(e) toodud juhtudel on Määruses nimetatud isikuandmete töötlemise õiguslikuks aluseks (lisaks Andmesubjektiga sõlmitud lepingu täitmisele) ka Määrusega seatud Liidu juriidiline kohustus.
5.3. Lisaks töötleb Liit isikuandmeid Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate Liidu õiguste rakendamiseks (vt ülal punkt 3.2(c)). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Liidu kui vastutava töötleja õigustatud huvi. Liidu õigustatud huviks on enda õigusi rakendada sel viisil, kuidas Liit peab vajalikuks.
5.4. Samuti töötleb Liit isikuandmeid uudiskirja saatmiseks, kuid seda vaid juhul, kui Andmesubjekt on selleks nõusoleku andnud (vt ülal punkt 3.2(d)). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Andmesubjekti antud nõusolek.
5.5. Lisaks töötleb Liit SEB klientide ja Swedbanki klientide isikuandmeid Liidu õigustatud huvi alusel (vt ülal punkt 3.2(e)). Liidu õigustatud huviks on pakkuda kõikidele ISIC/ITIC kaardi kasutajatele, sh SEB klientidele ja Swedbanki klientidele, võimalust saada osa ISIC/ITIC soodustusvõrgustikust ja tõendada enda õpilase/õpetaja staatust, mis võimaldab isikul saada ka muid hüvesid.
6. Isikuandmete edastamine kolmandatele isikutele
6.1. Liit ei edastada Andmesubjekti isikuandmeid kolmandatele isikutele, v.a:
(a) Serveri- ja andmete haldamise teenuse osutajale osas, milles Liit säilitab ja töötleb isikuandmeid väljaspool Liidu kontoriruume, näiteks Google Cloud EMEA Limited-ile (registreeritud Iirimaal);
(b) Tarkvaraarenduse teenuse osutajale osas, milles see on vajalik Liidu andmebaasi haldamiseks, teenuste osutamiseks ja suhtluseks Andmesubjektidega, mispuhul on arendajal juurdepääs Liidu töödeldavatele isikuandmetele osas, milles see on vajalik arendusteenuse osutamiseks[HR|W2] ;
(c) ISIC Association-ile ehk International Student Identity Card Association-ile (registreeritud Taanis, haldab ISIC kaarte rahvusvahelisel tasemel) ISIC, ITIC ja IYTC kaardiomanikest Andmesubjektide isikuandmeid osas, milles isikuandmete töötlemine on vajalik Andmesubjektidele teenuste osutamiseks, mh pakutavate rahvusvaheliste soodustuste ning hüvede tagamiseks;
(d) Kaarditootjale osas, milles Kaartidel asuvate isikuandmete edastamine on vajalik Kaartide tootmiseks, näiteks Kaardiekspert OÜ-le (Eesti äriühing);
(e) Ühistranspordis sõiduõiguse valideerimise teenust osutavale ühingule osas, milles Kaartide kehtivusandmete edastamine on vajalik, et võimaldada Kaartide kasutamist ühistranspordis sõiduõiguse valideerimiseks, näiteks Ridango AS-ile (Eesti äriühing);
(f) Liidu koostööpartneritele (sh õppeasutustele) osas, milles see on muuhulgas vajalik isikuandmete õigsuse kontrollimiseks, koolis asuvate ligipääsusüsteemide toimivuse tagamiseks ja Kaardi kehtivuse kontrollimiseks (koostööpartnerid asuvad Eestis);
(g) E-kirjavahetuse serveriteenuse pakkujale osas, milles Liit kasutab e-kirjavahetust isikuandmete saatmiseks Liidu-siseselt ja Andmesubjektidega suhtlemiseks, näiteks Google Cloud EMEA Limited-ile (registreeritud Iirimaal) ja Sendsmaily OÜ-le (Eesti äriühing);
(h) Raamatupidamisteenuse osutajale osas, milles see on vajalik Liidu raamatupidamise korraldamiseks, näiteks Saldo RMP OÜ-le (Eesti äriühing);
(i) Teenuseosutajale osas, milles see on vajalik kaardiomanike haldamiseks, näiteks äriühingutele ZOHO CORPORATION (USA äriühing) ning ZOHO CORPORATION PVT. LTD. (India äriühing). Mõlemad eeltoodud äriühingud rakendavad andmete töötlemisel Euroopa Komisjoni poolt kinnitatud kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimusi (Standard Contractual Clauses) ja tagavad seeläbi nõutava isikuandmete kaitse taseme (vt lähemalt https://www.zoho.com/gdpr.html);
(j) Muudele Liidu koostööpartneritele või teenuseosutajatele, kui see on vajalik Liidu õiguste või kohustuste täitmiseks.
6.2. Kõik punktis 6.1 nimetatud volitatud töötlejad tagavad sellise isikuandmete kaitse nagu isikuandmete kaitset reguleerivad õigusaktid sätestavad.
6.3. Liidul on samuti õigus avaldada Andmesubjekti isikuandmed asutusele, millel on Eesti Vabariigis kehtivast õigusaktist tulenevalt õigus nõuda Liidult selle poolt töödeldavate isikuandmete avaldamist ja kui Liidul on kohustus antud asutusele isikuandmed avaldada.
7. Isikuandmete säilitamine
7.1. Andmesubjekti isikuandmed säilitatakse:
(a) kuni 1 aastat pärast vastava Kaardi kehtivuse lõppemist, milles Liit säilitab Andmesubjekti isikuandmeid seoses Andmesubjektiga sõlmitud lepingu täitmisega (vt ülal punktid 3.1, 3.2(a), 3.2(e)), Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmisega (vt ülal punkt 3.2(b) ja Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate Liidu õiguste rakendamisega (vt ülal punkt 3.2(c));
(b) kuni 1 aasta pärast tarbijamängu lõppemist, kui Liit säilitab isikuandmeid tarbijamängu läbiviimise eesmärgil (vt ülal punkt 3.2(f));
(c) kuni 30 päeva pärast viimast kontakti Andmesubjektiga osas, milles Liit säilitab Andmesubjekti isikuandmeid seoses lepingu sõlmimisele eelnevate meetmete võtmisega vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1);
(d) kuni nõusoleku tagasivõtmiseni osas, milles Liit töötleb isikuandmeid uudiskirjade saatmiseks (vt ülal punkt 3.2(d));
(e) SEB klientide ja Swedbanki klientide andmeid vastavalt konkreetsele Andmesubjektile antud ISIC/ITIC liitkaardi kehtivus tähtajale.
7.2. Isikuandmeid sisaldavaid raamatupidamise alusdokumente säilitatakse seitse aastat selle majandusaasta lõpust, millega need seotud on.
8. Andmesubjekti õigused isikuandmete töötlemisel
8.1. Andmesubjektil on igal ajal õigus pöörduda Liidu poole vastavasisulise lihtkirjaliku ja vabas vormis taotlusega e-posti aadressil eyl@eyl.ee, et:
(a) taotleda juurdepääsu Andmesubjekti kohta käivatele isikuandmetele;
(b) nõuda isikuandmete parandamist;
(c) nõuda isikuandmete kustutamist;
(d) piirata isikuandmete töötlemist;
(e) esitada vastuväiteid isikuandmete töötlemisele;
(f) nõuda isikuandmete ülekandmist;
(g) nõuda, et Andmesubjekti kohta ei võetaks vastu otsust, mis põhineb automatiseeritud töötlusel;
(h) võtta tagasi antud nõusolek isikuandmete töötlemiseks;
(i) esitada kaebus järelevalveasutusele (Andmekaitseinspektsioonile).
8.2. Eesti Haridustöötajate Liidu liige peab vastava taotlusega pöörduma Eesti Haridustöötajate Liidu (kui vastutava töötleja) poole.
8.3. Samuti – kui Andmesubjekti taotlus seoses isikuandmete töötlemisega puudutab ISIC mobiilirakenduses töödeldavaid isikuandmeid või LHV mobiilirakenduses töödeldavaid isikuandmeid (ning taotlus ei seondu isikuandmetega, mida töödeldakse vahetult Kaardi taotlemiseks, väljastamiseks või haldamiseks, vaid isikuandmetega, mida töödeldakse seonduvalt mobiilirakenduse kui teenuse osutamisega Andmesubjektile), tuleb taotlusega pöörduda vastavalt ISIC Association või AS LHV Panga poole. Kui Andmesubjektile jääb ebaselgeks, kas Andmesubjekt peaks taotlusega pöörduma Liidu või Liidu vastava koostööpartneri juurde, võib Andmesubjekt pöörduda Liidu poole ning Liit selgitab kuhu vastava taotlusega pöörduda tuleb.