Sisukord
- Sissejuhatus
- Kuidas me Sind puudutavaid andmeid kasutame?
- Milliseid andmeid me Sinu kohta säilitame?
- Millistest allikatest need andmed pärit on?
- Andmete säilitamise õiguslik alus
- Kellega me andmeid jagame?
- Kuidas me kaitseme Sinu andmete turvalisust?
- Sinu õigused seoses Sinu andmetega
- Muudatused meie andmekaitset puudutavas teabes
- Kuidas meiega ühendust võtta
- Lisa 1 – Tehnilised ja organisatsioonilised andmekaitsemeetmed
Sissejuhatus
Dun & Bradstreet Estonia AS kuulub kontserni Dun & Bradstreet Business Information Group. Käesolevas isikuandmete kaitset puudutavates andmekaitsetingimustes selgitatakse seda, kuidas me Dun & Bradstreet’is käitleme andmete töötlemisel Sinu isikuandmeid. Lisaks on Sul võimalik saada igal ajal täiendavat teavet ka meie veebilehelt: www.dnb.com ja www.dnb.com/et-ee/ . Käesolevas dokumendis viidatud vastutavaks andmetöötlejaks on meie kohalik Dun & Bradstreet’i äriühing Dun & Bradstreet Estonia AS. Kogu Dun & Bradstreet’i grupi ettevõtete nimekirja leiad meie veebisaidilt www.dnb.com/et-ee/kontakt-ja-abi/
Kuidas me Sind puudutavaid andmeid kasutame?
Dun & Bradstreet kogub isikuandmeid mitmel eesmärgil. Allpool on toodud lühikirjeldus eesmärkidest, milleks me kõigis Dun & Bradstreet’i kontserni ettevõtetes, sh Dun & Bradstreet Estonia AS-s, isikuandmeid töötleme.
| Eesmärk | Selgitus |
|---|---|
|
Krediidiinfo |
Krediidiinfo tähendab, et andmeid kasutatakse selleks, et saada infot maksevõime, usaldusväärsuse ja krediidikõlblikkuse kohta. See puudutab nt krediidireitingu andmist ja taustakontrolli raporti koostamist. |
|
Turundusinfo |
Turundusinfo tähendab seda, et andmeid kasutatakse olemasolevatele klientidele, potentsiaalsetele ostjatele ja teistele sihtrühmadele suunatud turundustegevuseks. See puudutab nt aadressiandmete müümist Dun & Bradstreet’i klientidele, kes omakorda kasutavad neid oma klientidele suunatud turundustegevuseks. |
|
Kliendi andmebaasi andmete korrashoid |
See teenus hõlmab isikuandmete uuendamist, täiendamist mida nimetatakse ka andmehalduseks ja andmete kvaliteedi tagamiseks. Sellisel juhul soovib Dun & Bradstreet’i klient tavaliselt värskendada oma olemasolevat kliendibaasi õigete andmetega. |
|
Lepingu täitmine |
Kui Sa oled Dun & Bradstreet’i klient, siis tuleb meil oma lepinguliste kohustuste täitmiseks säilitada Sinu kohta teatud andmeid. |
Milliseid andmeid me Sinu kohta säilitame?
Me töötleme andmeid Sinu kui kliendi, Sinu kui füüsilisest isikust ettevõtja ja/või Sinu kui Eestis asutatud juriidilise isikuga seost omava isiku kohta (nt juhtorgani liige, audiitor, osanik, aktsionär, prokurist vms).
Registreeritud klientide isikuandmeid töötleme vastavalt Privaatsusteatele, mis on kättesaadav siin: Krediidiraportid.ee üldtingimused
Andmeteks, mida salvestatakse krediidiinfo pakkumise eesmärgil on äriühingu maksehäired ja -probleemid, ärikeelud, pankrotid jm äritegevust puudutav teave.
Me kasutame turundusinfo pakkumiseks ettevõttega seotud isikute põhiandmeid: nimi, isikukood/sünniaeg, ettevõttega seotud telefoninumber ja meiliaadress.
Kui Sa kasutad meie veebisaiti, siis me salvestame ka küpsiste andmeid, et mõõta saidil toimuvat liikumist ja seda, kuidas inimesed saidil käituvad.
Küpsised, täpsemat teavet küpsiste kohta leiab veebisaitidelt www.aboutcookies.org või www.allaboutcookies.org. Sa saad seadistada oma brauseri nii, et see küpsiseid ei aktsepteeriks, ning eespool viidatud saidid annavad juhiseid selle kohta, kuidas küpsiseid brauserist kustutada. Samas aga ei pruugi pärast seda mõni meie saidi omadustest teatud juhtudel toimida.
Millistest allikatest andmed pärit on?
Dun & Bradstreet tegutseb üle Euroopa 19 riigis. Andmete allikad asuvad alati vastavas riigis kohapeal. Enamik Dun & Bradstreet’i andmeid on pärit
- Ametlikest allikatest ja riiklikest andmekogudest, nt äriregistritest, Maksu- ja Tolliametist, Statistikaametist, Ametlikest Teadaannetest.
- Teistelt andmevahendajatelt (nt inkassoettevõtted)
Kui soovid täpsemalt teada saada, milliseid andmeid me töötleme, siis külasta saiti www.dnb.com/et-ee/.
Andmete töötlemise õiguslik alus
Õigustatud huvi krediidiinfoga seotud eesmärkidel
Krediidiinfol on ühiskonnas oluline funktsioon. See annab ettevõtjatele võimaluse kontrollida teise poole võimet tasuda tellitud kauba eest, lubab pangal veenduda, et klient on suuteline nt oma majalaenu tagastama. Eriti internetis sõlmitavate lepingute, veebiostude jms puhul on tänasel ajal krediidiinfo arvutamine ja edastamine (Dun & Bradstreet’i ülesanne) ning krediidiinfo saamine ja kasutamine (kliendi eesmärk) selliste veebilepingute sõlmimisel peaaegu iseenesest mõistetav ja kohustuslik tegevus.
Dun & Bradstreet peab oma klientide teenindamiseks maksehäirete registreid, mis võimaldavad kontrollida füüsilise isiku või ettevõtte krediidiseisundit ning aitavad neil oma finantsriske hallata, nt minimeerida ohtu, et krediiti võimaldatakse maksejõuetutele inimestele.
Krediidiinfo teenuse osutamisel tegutseme me ühiskonna järgmistes üldistes huvides:
- hoiame tarbijate võlakoormat madalana – takistame ülevõlastumist
- krediidiinfo on oluline võimestaja EL-i majanduses üldiselt
- majandusele on tähtis, et krediidi andjad saaksid kaitsta end krediidikahjude eest ning et krediidi saajad soovitud krediiti saaksid
- on oluline, et krediiditurg ja e-kaubandus poleks piiratud seeläbi, et krediidiriskide hindamine on raskendatud
Kõrgendatud riskiga andmed
Dun & Bradstreet peab krediidiandmeid kõrgendatud riskiga andmeteks ja käsitleb neid sellistena, kuna iga andmesubjekti kohta kogutavate andmete hulk on suur – sh praegused võlad ja võlgade ajalugu. Krediidiinfo andmebaas sisaldab andmeid paljude andmesubjektide kohta. Dun & Bradstreet koostab krediidiga seotud eesmärkide osas reitinguid, ent ei tee reitingu põhjal ise otsuseid ei inimese osalusel ega automaatselt, otsuse teeb alati informatsiooni ostev krediidiandja.
Mõju füüsilisele isikule
Enamikule füüsilistest isikutest ei võimaldata ei laenu ega krediiti, kui nende maksevõimet ei saa eelnevalt kontrollida. Sellepärast on krediidiinfo teenust osutavatele ettevõtjatele olemasolu füüsiliste isikute huvides. Samas aga võib füüsilise isiku krediidireitingu mõju olla negatiivne, kui reiting peaks põhinema ekslikul informatsioonil. Paljudel meie turgudel säilitatakse keskmisest kõrgema riskitasemega andmeid (MÄRKUS: kuid need pole andmed, mida isikuandmete kaitse üldmääruse (IKÜM) alusel käsitletakse eriliigiliste isikuandmetena) selleks, et koostada nende põhjal krediidireitinguid ja anda informatsiooni füüsilise isiku üldise finantsseisundi kohta. Kui sellised andmed mis tahes põhjusel lekivad, võib väita, et tegemist on eraelu puutumatuse rikkumisega, isegi kui andmed on paljudel juhtudel pärit avalikest allikatest.
Samuti ei eeldata, et füüsiline isik mõistab mustritel, mitte faktidel põhinevat reitingute koostamise loogikat või näiteks pettuste tõkestamise lahendusi. Kui need mudelid tuginevad ebaõigetel andmetel, võib see – nagu eespool märgitud – põhjustada keelduva laenuotsuse tegemist või takistada inimesel midagi krediidiga soetamast.
Inimeste huvide tagamiseks on oluline pidada üleval piiratud arvul krediidiandmete andmebaase selle asemel, et iga krediiti võimaldav ettevõtja ise oma krediidialaseid andmebaase peaks ja vajadusel ise andmeid avalikelt asutustest ning muudest andmeallikatest koguks.
Tingimuslik tasakaal
On põhjendatud arvata, et eksisteerib teatav inimese eraelu puutumatuse rikkumise risk. Samas mängib krediidiinfo kontrollimine olulist rolli, mille tähtsaim eesmärk on tagada igas ühiskonnas usalduslikkus laenude väljastamisel. Põhiolemuselt ja vastavalt tarbijakrediiti reguleerivale direktiivile peavad kõik krediidiasutused või krediiti võimaldavad äriühingud veenduma, et krediiti antakse üksnes sellistele isikutele, kes on suutelised seda tagasi maksma.
Andmed on kaitstud ja neid kasutatakse üksnes eespool märgitud eesmärkidel. Samuti on iga inimene oma elu ühel või teisel etapil huvitatud laenu või krediidi saamisest.
Dun & Bradstreet leiab, et tingimuslik tasakaal on saavutatud siis, kui krediidiinfot töödeldakse eespool kirjeldatud viisil.
Õigustatud huvi otseturunduse ja andmehalduse puhul
GDPR-i Sissejuhatuse punkt 47 sätestab: „Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.“ Otseturundus on enamikule ettevõtjatele oluline selleks, et neil oleks võimalik levitada informatsiooni oma toodete kohta.
Dun & Bradstreet’i poolt otseturunduse ja andmehalduse raames pakutavate teenuste eesmärk on tagada, et meie klientidel on värsked ja piisavad andmed, mis võimaldavad õigetele klientidele õigeid sõnumeid suunata.
Dun & Bradstreet klient peab leidma inimesed ja tegema neile suunatud tootepakkumisi. Pakkumiste isikustamiseks ja nende avaldamiseks sihtrühmale õigel ajal (st siis, kui vastuvõtjad on kõige tõenäolisemalt valmis pakkumist uurima) ja õigete kanalite kaudu ei piisa üksnes inimeste kontaktandmetest. Nii ongi tarvis kliendi kohta tavapärasest rohkem teada saada.
Mõju andmesubjektile – kuidas andmete töötlemine võib inimeste eraelu mõjutada
Andmesubjektide üle otseturunduse eesmärgil arvestuse pidamine ei tähenda iseenesest seda, et kellegi eraelu on mõjutatud, eeldusel, et andmed on kaitstud. Ent suure hulga inimeste andmete säilitamisega kaasneb alati turvaprobleem, kui andmed peaksid lekkima.
Andmete mõjurisk
Otseturunduseks kasutatavad andmed on tavaliselt oma iseloomult põhiandmed ning nendega ei kaasne oluline mõjurisk. Ent kui traditsioonilistele kontaktandmetele lisada täiendavat informatsiooni, nt statistikal põhinevad elustiili muutujad, siis moodustub inimese kohta selgem pilt. Mida enam andmeid koguneb, seda selgemaks muutub pilt ja seda kõrgemaks tõuseb risk. Dun & Bradstreet ei säilita füüsiliste isikute kohta andmeid, mida IKÜM -i järgi käsitletakse eriliigiliste isikuandmetena.
Füüsilise isiku mõistlik ootus
Enamikes riikides võib füüsiline isik eeldada, et talle saadetakse otseturundussõnumeid. Nad eeldavad, et äriühingud, kellelt nad on varem midagi ostnud, võtavad nendega ühendust ja teevad neile uusi pakkumisi, kui nad pole sellisest võimalusest loobunud. Teatud määral ootavad inimesed otseturundussõnumeid ka nendelt ettevõtjatelt, kellega neil suhted puuduvad.
Ent ei saa eeldada, et keskmine inimene mõistab, et neil, kes teavet edastavad, on suured registrid, milles sisalduvaid isikuandmeid müüakse otseturunduse eesmärgil.
Turundusteave B2B-rollis (äriühingu esindaja)
Dun & Bradstreet leiab, et inimese privaatsust ei ole rikutud, kui neile saadetakse turundussõnumeid nende tööga seotud rollis (asjakohane turundus).
Mõju füüsilisele isikule
Dun & Bradstreet leiab, et kui otseturunduseks kasutatakse põhilisi kontaktandmeid, on risk, et andmete töötlemine võib inimese eraelu puutumatuse kõrgesse ohtu seada, väike. Ent alati eksisteerib võimalus, et mõni inimene ei soovi, et neid puudutav teave leviks laiemalt kui tarvis ja on sellist laadi töötlemisele kategooriliselt vastu.
Kui põhilised kontaktandmed lekivad või muul viisil valedesse kätesse satuvad, siis on riski tase väike, kuna sellised andmed on tavaliselt avalikult kättesaadavad. Muud turunduseks kasutatavad andmed (nt lapsed, sugu, perekonnaseis, sünniaeg) võivad riski taset tõsta, ent on siiski ebatõenäoline, et see võiks inimesele kahju tekitada.
Tingimuslik tasakaal
Otseturundust nimetatakse GPDR-i Sissejuhatuse punktis 47 õigustatud huviks. Paljudel juhtudel lähtub isikuandmete töötlemine Dun & Bradstreet’i poolt meie klientide vajadusest leida õiged inimesed, kellele õigete kanalite kaudu õige sõnum saata. Lisaks käitub Dun & Bradstreet väga tähelepanelikult ja järgib andmete töötlemisel valdkonnas kehtivaid standardeid ja käitumisnorme.
Inimeste prognoositavaid vastuväiteid ja neid ohustavaid riske saab vähendada meetmetega, mida Dun & Bradstreet rakendab inimeste õiguste käsitlemiseks. Sellist laadi tegevusega ei kaasne eeldatavalt tõsist mõju inimese eraelu puutumatusele. Eksliku informatsiooni tõttu võib juhtuda, et inimesele ei saadeta otseturundusena teda huvitavat pakkumist või et talle saadetakse selline pakkumine, mis teda ei huvita. Seda aga ei saa pidada ülemäära pealetükkivaks.
Põhilisteks riskideks, mis andmete töötlemisega otseturunduse eesmärgil kaasnevad, on andmesubjektide hulk, kelle andmeid Dun & Bradstreet töötleb, ja andmete võimalik lekkimine. Töötlemist turvab Dun & Bradstreet tehniliste ja organisatsiooniliste meetmetega, lisateavet leiab Lisast 1. Lisaks me klassifitseerime kõiki meie andmeid C.I.A. meetodi kohaselt. C.I.A. on lühend sõnadest Confidentiality, Integrity ja Availability, ehk konfidentsiaalsus, ausus ja kättesaadavus, ning seda kasutatakse otsustamaks, milliseid turvameetmeid peaks ühte või teist konkreetset liiki andmete kasutamisel rakendama.
Dun & Bradstreet leiab, et andmete töötlemine otseturunduse eesmärgil põhineb õigustatud huvil.
Kellega me Sinu andmeid jagame?
Meie tegevus on aidata klientidel saada võimalikult kvaliteetseid andmeid nende oma klientide kohta ning abistada kliente mõistlike äriliste otsuste tegemisel. Meie kliendid tegutsevad sellistes majandusvaldkondades nagu:
- Tootmine
- Elektri ja gaasivarustus ning varustamine auru ja konditsioneeriga õhuga
- Ehitus
- Hulgi- ja jaemüük
- Info- ja kommunikatsioonivaldkond
- Finants- ja kindlustustegevus
- Kinnisvaravaldkond
- Kutse-, teadus- ja tehnikavaldkond
- Haldus- ja tugiteenuste valdkond
- Avalik haldus
- Haridus
- Tervishoid ja sotsiaaltöö
Alltöötlejad
Teatud juhtudel kasutab Dun & Bradstreet meie andmete käitlemisel alltöötlejaid. Tavaliselt on nendeks meie serveriteenuse pakkujad, kes peavad üleval meie serverikeskkonda, mõnel juhul on kaasatud väline konsultatsiooniettevõte, mis aitab meil meie lahendusi arendada.
Dun & Bradstreet on väga tähelepanelik selles osas, kes meie andmeid käitleb, ning me oleme töötanud välja alltöötleja lepingud, mis reguleerivad andmete käitlemist alltöötlejate poolt. Lisaks me hindame oma tarnijaid nende turvalisuse ja tehnilise pädevuse seisukohast veendumaks, et tarnijad vastavad meie nõuetele. Lisateavet selle kohta leiad Sa Lisast 1.
Kuna meie alltöötlejad tegutsevad meie nimel, siis me kanname täit vastutust selle eest, mida nad meie andmetega teevad.
Kuidas me kaitseme Sinu andmete turvalisust?
Dun & Bradstreet järgib kõiki asjaomaseid valdkonnas kehtivaid standardeid ja käitumisnorme. Dun & Bradstreet kasutab alati nii sisemisi kui ka riiklikke nn Robinsonide nimekirju, mis tagavad, et ühelegi nendes registrites registreeritud isikule ei saadeta soovimatut turundusmaterjali, kõrvaldades need isikud väljastatavatest kliendinimekirjadest. Robinsonide nimekiri on loetelu inimestest, kes on teatanud, et ei soovi turundusinfot saada. Paljudel turgudel on olemas ametlikud Robinsonide nimekirjad.
Informatsiooni selle kohta, kuidas me Sinu andmeid turvame, leiad Sa käesoleva dokumendi lisast 1.
Salvestamine ja edastamine
Me jälgime väga tähelepanelikult, et kõigi meie andmete töötlemine toimuks Euroopa Liidus.
Neil harvadel juhtudel, kui me kasutame andmetöötlejaid väljaspool Euroopa Liitu, hindame me töötlejat hoolikalt veendumaks, et kõik vajalikud turvameetmed olemas, ning me alati jälgime, et meie lepingud sisaldaksid alati asjakohaseid lepingutingimusi. Täpsema teabe saamiseks meie tehniliste meetmete kohta leiab käesoleva dokumendi Lisast 1.
Sinu informatsiooni säilitatakse meie süsteemis vastavalt meie andmete säilitamise poliitikatele. See, kui kaua me andmeid säilitame, sõltub õigusnõuetest ja igale andmekogumile määratletud ärilistest vajadustest. Kui andmeid enam tarvis pole, siis me kustutame need oma süsteemidest.
Sinu õigused seoses Sinu andmetega
Dun & Bradstreet võimaldab Sulle juurdepääsu Sinu isikuandmetele, mida me töötleme. See tähendab, et Sa võid meiega ühendust võtta ja me anname Sulle teada, milliseid isikuandmeid me oleme kogunud ja töötleme ning millisel eesmärgil on neid andmeid kasutatud.
Andmete parandamise õigus
Sul on õigus võtta meiega ühendust ja nõuda, et me parandaksime või täiendaksime kõik meil säilitatavad Sinu isikuandmed, kui need on ekslikud, mittetäielikud, aegunud või ebavajalikud. Mõnel juhul, kui me kasutame ametlikke andmeid, võime me paluda, et Sa pöörduksid oma andmete parandamiseks otse vastava ametiasutuse poole selleks, et andmete parandamine toimuks nõuetekohaselt ja ametlikult vastavalt nende registrite vajadustele.
Andmete kustutamise ja töötlemise piiramise õigus
Sul on õigus avaldada soovi, et me kustutaksime Sinu isikuandmed oma süsteemidest. Me täidame selle soovi, välja arvatud juhul, kui meil on andmete kustutamata jätmiseks õiguslik alus. Sul on õigus keelata oma isikuandmete kasutamine otseturunduse eesmärgil, turu-uuringuteks ja profileerimiseks.
Õigus esitada vastuväiteid
Sul on õigus esitada vastuväiteid oma isikuandmete kasutamisele teatud viisil, kui neid andmeid töödeldakse mõnel muul eesmärgil peale selliste, mis on vajalikud meie teenuste osutamiseks või meile seadusega pandud kohustuste täitmiseks. Samuti on Sul õigus esitada vastuväiteid oma isikuandmete edasisele töötlemisele ka pärast seda, kui oled eelnevalt oma nõusoleku andnud. Kui Sa keelad oma isikuandmete edasise kasutamise, võivad väheneda Sinu võimalused meie teenuseid kasutada.
Andmete ülekantavuse õigus
Sul on õigus nõuda oma isikuandmete ülekandmist teisele teenusepakkujale. See võib toimuda Sinu osavõtuta, automaatsete sidesüsteemide kaudu või Sa saad oma kasutusse oma isikuandmed struktureeritud laialdaselt kasutatavas vormis. Juhime tähelepanu, et see puudutab üksnes neid andmeid, mille me oleme saanud otse Sinu käest.
Kuidas neid õigusi kasutada saab?
Sa saad kasutada neid õigusi, kui saadad meile digiallkirjastatud sooviavalduse e-maili teel või allkirjastatud tavakirja allpool märgitud aadressile (küsige blanketti), mis sisaldab järgmisi andmeid: nimi, aadress, telefoninumber ja tavakirja puhul kehtiva isikutunnistuse koopia. Me võime paluda ka, et esitaksid täiendavaid andmeid, mida me vajame Sinu isiku tuvastamiseks. Me võime keelduda selliste nõuete täitmisest, mis on oma iseloomult põhjendamatult korduvad, ülemäärased või selgelt alusetud. Juhul, kui Sa leiad, et see, kuidas me Sinu isikuandmeid töötleme, on vastuolus kohaldatavate andmekaitsealaste õigusaktidega, võid Sa esitada kaebuse kohalikule andmekaitse järelevalveasutusele.
Sul on õigus nõuda koopiat informatsioonist, mida me Sinu kohta omame. Kui Sa soovid mõnede või kõigi oma isikuandmete koopiat, siis palun saada meile e-postiga või tavapostiga kiri järgmisele aadressile.
E-post: info.ee@dnb.com
Postiaadress Dun & Bradstreet Estonia AS
Pronksi 12
10117 Tallinn
Sul on õigus esitada kaebust andmekaitse järelevalveasutusele
Sul on õigus esitada kaebust andmekaitse järelevalveasutusele, kui Sa pole rahul sellega, kuidas me Sinu andmeid töötleme. Andmekaitse Inspektsiooni koduleht on www.aki.ee.
Kuidas meiega ühendust võtta?
Kui Sul peaks olema mingeid küsimusi meie andmekaitset puudutava teabe kohta või andmete kohta, mida me Sinu kohta säilitame, siis
Helista numbril: +372 6414 910
Saada meil aadressile: info.ee@dnb.com
Lisa 1 – Tehnilised ja organisatsioonilised andmekaitsemeetmed
Selles lisas leiad Sa täpsemat infot selle kohta, kuidas me Dun & Bradstreet’i kontsernis andmeid turvame.
- Kohaldamisala
- Sissepääsu kontroll
- Ligipääsu kontroll
- Andmetele juurdepääsu kontroll
- Edastamise kontroll
- Sisestamise kontroll
- Kättesaadavuse kontroll
- Eraldatavuse reegel
Kohaldamisala
Vastavalt isikuandmete kaitse üldmäärusele (IKÜM/GDPR) on iga isikuandmeid koguv, töötlev või kasutav isik kohustatud rakendama selliseid tehnilisi ja organisatsioonilisi meetmeid, mis on vajalikud andmekaitsenormide rakendamise tagamiseks.
Sissepääsu kontroll
Sissepääsu kontrolli eesmärk on takistada kõrvaliste isikute juurdepääsu tehnilistele seadmetele, millega isikuandmeid töödeldakse või kasutatakse.
Sissepääsukontroll meie tegevuskohtades
Sisenemist hoonetesse reguleerivad pääsu reguleerivad meetmed. Meie personali puhul on nendeks peamiselt elektroonilised sissepääsukaardid, mis võimaldavad siseneda tööruumidesse vastavalt igale kaardile seadistatud pääsuõigustele. Pääsuõigused on kooskõlas töötajatele antud volitustega nii ajalises mõttes (arvestades lubatud kasutamist teatud nädalapäevadel ja kellaaegadel) kui ka asukoha piires (arvestades tööruumide konkreetsete osade eripära).
Väljastpoolt tulijatele tagab juurdepääsu keskne vastuvõtulaud või administraator, kes registreerib külastajate andmed ja annab külastajatele läbipääsuload, mis kehtivad nende külastusaja vältel.
Sissepääsukontroll meie andmekeskustesse
Meie IT-süsteeme käitavad meie eest erinevad andmekeskused. Andmekeskused on projekteeritud kinniste turvaruumidena. Neis rakendatakse nii ehituslikke kui ka tehnilisi ligipääsu kontrollivaid meetmeid. Andmekeskusi turvatakse elektrooniliselt ja külalistele võimaldatakse juurdepääs üksnes koos saatjaga ja neid ei jäeta ruumi järelevalveta. Vajalikud pääsukaardid antakse välja ainult eelneva teavituse alusel ning rangetel tingimustel. Kaartide kasutamine logitakse. Andmekeskustesse on paigaldatud videovalve ning territooriumit ja hoone kriitilistes siseruumides teostab ööpäevaringset mehitatud valvet turvafirma.
Ligipääsu kontroll
Ligipääsu kontroll hõlmab meetmeid, mis takistatavad andmete töötlemise süsteemide omavolilist kasutamist (loogiline turvalisus).
Ligipääsu kontroll meie tööruumides
Haldusliku iseloomuga töid, mida teostame meie või andmekeskuse operaator, teevad üksnes teatud töötajad, kes on allkirjastanud spetsiaalse konfidentsiaalsuslepingu ja keda on enne nende töölevõtmist kontrollitud. Konfidentsiaalsusleping sisaldab kohustust tagada andmete salastatus. Isikud tuvastatakse kasutajanimede ja turvaliste salasõnade abil. Enamik rakendusi nõuab kaheastmelist tuvastamist . Lisaks salasõnale helistatakse või saadetakse turvakood kasutaja isiklikku telefoni. Meie IT-süsteemid on kaitstud ka väljastpoolt.
Ligipääsu kontroll andmekeskuse operaatori juures
Selleks, et tagada meie andmete käitlemise süsteemide turvalisus, on andmekeskuse operaator installeerinud võrgukihti täiendavad tulemüüri funktsioonid ja ligipääsuinstrumendid.
Andmetele juurdepääsu kontroll
Andmetele juurdepääsu kontroll kujutab endast kompleksi meetmetest, mis tagavad, et kasutajad omavad juurdepääsu üksnes lubatud andmetele ning et isikuandmeid pole võimalik töötlemise või kasutamise käigus ja pärast andmete salvestamist ilma loata lugeda, kopeerida, muuta ega kustutada.
Andmetele juurdepääsu kontroll meie tegevuskohtades
Me oleme kehtestanud ja dokumenteerinud ettevõttesisesed standardid andmetele juurdepääsuõiguste andmiseks. Need reguleerivad õigusi, mida haldurid võivad anda kasutajatele erinevatele süsteemidele ligipääsuks. Standardid sätestavad muhulgas turvalistele salasõnadele kehtestatavaid nõudeid.
Juurdepääsu kontroll andmekeskuse operaatori juures
Kui me tellime kasutajate konfigureerimise ja kasutajatele õiguste andmise lepingu alusel andmekeskuse operaatorilt, siis kohaldatakse põhimõtteliselt neid samu turvastandardeid, mis kehtivad ka meie tegevuskohtades. Kõrvalekalded on lubatud üksnes meie kirjalike juhiste alusel. Meie koostame juhised, mis määravad selle, kuidas andmekeskuse operaator peab projekteerima rakendustele spetsiifilised juurdepääsud.
Edastamise kontroll
Edastamise kontroll hõlmab meetmeid, mis tagavad, et isikuandmeid pole võimalik andmete elektroonilise edastamise käigus, edastamise ajal või nende salvestamisel andmekandjale ilma loata lugeda, kopeerida, muuta ega kustutada ning et oleks võimalik kontrollida ja tuvastada seda, kuhu isikuandmeid andmeid andmeedastuse seadmetega edastatakse.
Edastamise kontroll meie tegevuskohtades
Andmete üldisel töötlemisel meie juures (personali andmed, tarnija andmed, kliendibaasi andmed) on edastamise kontroll (liikumise kontroll, transportimise kontroll, kommunikatsioon kontroll) tagatud asjakohaste tehniliste meetmetega. Nendeks on tulemüürid, viirusetõrjevahendid, VPN tunnelid, andmete krüpteerimine ja üksikute dokumentide kaitsmine salasõnaga. Me rakendame andmete logistiliseks transportimiseks üksnes sobivaid teenusepakkujaid. Andmete kaubandusliku töötlemise puhul, eriti mis puudutab klientide andmete vastuvõtmist ja tulemuse edastamist meie teabeäri raames, on edastamise kontroll tagatud kõigi andmetöötluse etappide andmete logimisega. Kui me oleme selles kliendiga kokku leppinud, siis krüpteeritakse eriti konfidentsiaalsetena käsitletavad andmed täiendavalt siis, kui neid edastatakse avalike infokanalite kaudu.
Edastamise kontroll andmekeskuse operaatori juures
Andmekeskuse operaatorile kehtivad andmete edastamise osas samad kohustused nagu meile. Tegevuse seisukohast oluliste koopiate (varundamine) tegemisel, eriti olulise andmete turvalisuse kontekstis, kasutatakse üksnes standardiseeritud ja dokumenteeritud protseduure. Kõigi varukoopiate tegemine logitakse.
Sisestamise kontroll
Sisestamise kontroll hõlmab meetmeid, mis tagavad, et tagantjärele on võimalik kontrollida ja tuvastada kas ja kelle poolt on andmebaasis olevaid isikuandmeid sisestatud, muudetud või kustutatud. Andmeid võivad sisestada üksnes andmetele juurdepääsu omavad töötajad. Samuti luuakse automaatselt teatud protsessitoimingute logid. Teatud protsessitoimingute logimine puudutab neid protsesse, mille eesmärk on tagada äritegevuse jätkuvus, mida kasutatakse raamatupidamislikel eesmärkidel ja seadusega kehtestatud säilituskohustuse täitmiseks.
Kättesaadavuse kontroll
Kättesaadavuse kontroll tagab, et isikuandmed on kaitstud juhusliku kaotsimineku või hävimise eest.
Kättesaadavuse kontrolli aluseks on IT-seadmete käitamisteenuse tellimine andmekeskuse operaatori kõrge turvalisuse tasemega andmekeskusest. Seal on olemas puhvertoiteallikaga ja avariigeneraatoritega (nt diislikütusel varugeneraatoritega) varusüsteemid. Lisaks sellele on andmete kättesaadavus, eriti nende kaitse andmete kaotsimineku eest tehniliste rikete või tahtmatu kustutamise korral, tagatud
regulaarsete andmekaitsemeetmetega ja kõigi asjaomaste andmebaaside ja süsteemide varundkoopiate tegemisega, nii et isegi rikke korral on võimalik andmeid vähemalt kuu lõikes taastada.
Eraldatavuse reegel
Eraldatavuse reegel tagab, et eri eesmärkidel kogutud andmeid on võimalik töödelda eraldi.
Eraldatavuse reegel meie tegevuskohtades
Andmete üldisel töötlemisel (personali andmed, tarnija andmed, kliendibaasi andmed) rakendatakse eraldatavuse reeglit näiteks andmete füüsilisel eraldamise teel ja nende salvestamisega eraldi süsteemides või andmekandjatel, tootmis-, testimis-, ja arenduskeskkondade eraldamisega meie rakenduste ja IT-süsteemide osas ning asjakohaste volituste ja andmebaasi õiguste andmise kontseptsioonidega. Lisaks sellele rakendatakse tarkvara poolel logistilist klientide eraldamise süsteemi.
Eraldatavuse reegel andmekeskuse operaatori juures
Andmekeskuse operaator eraldab andmed vähemalt kliendi tasandil nii füüsiliselt kui ka loogiliselt. Kui andmete töötlemine tellitakse andmekeskuse operaatorilt, siis rakendatakse süsteemi või andmebaasi põhiselt täiendavaid eraldi liideseid.