Isikuandmete töötlemise tingimused

KOOLISÜSTEEMIDE OÜ (Minu Kool) – PRIVAATSUSTINGIMUSED
Viimati muudetud 1. juunil 2023

1. Privaatsustingimuste kohaldamine

1.1. Käesolevad privaatsustingimused (edaspidi: Privaatsustingimused) kehtivad kõikidel juhtudel, mil mittetulundusühing Koolisüsteemide OÜ (edaspidi: KS) töötleb vastutava töötlejana füüsiliste isikute (edaspidi: Andmesubjekt) isikuandmeid pakkudes, väljastades ja hallates enda majandus ja kutsetegevuse raames järgnevaid kaarte:  Õpilaspilet, Üliõpilaspilet, Personalikaart, Lubakaart, Külastajakaart, Külalisõppejõukaart ning Eksternikaart (edaspidi eeltoodud koos nimetatud ka kui: Kaart või Kaardid).

1.2. KS töötleb teatud juhtudel isikuandmeid ka volitatud töötlejana – eelkõige juhtudel kui KS töötleb isikuandmeid seoses KSi koostööpartneriks oleva panga väljastatud Kaardi funktsionaalsusega pangakaartidega. Taolisel juhul on vastutavaks töötlejaks vastav pank ning käesolevad privaatsustingimused taolisele töötlemisele ei laiene – vastavate töötlemistoimingute kohta saate täiendavat infot enda panga käest.

1.3. Samuti ei reguleeri Privaatsustingimused isikuandmete töötlemist olukorras, kus Kaart väljastatakse Eesti Haridustöötajate Liidu liikmele. Sellisel juhul on isikuandmete vastutavaks töötlejaks Eesti Haridustöötajate Liit, kellega KS on sõlminud koostöölepingu ja KS töötleb isikuandmeid Eesti Haridustöötajate Liidu nimel volitatud töötlejana.

1.4. Privaatsustingimused kehtivad ülaltoodud kuupäevast alates. KSil on õigus ühepoolselt Privaatsustingimusi muuta ja täiendada. Privaatsustingimuste muudatustest teavitatakse Andmesubjekte e-posti teel.

2. Vastutav töötleja

2.1. Andmesubjektide isikuandmete vastutav töötleja on mittetulundusühing Koolisüsteemide OÜ, registrikoodiga 11458311, aadressiga Harju maakond, Tallinn, Kesklinna linnaosa, L.Koidula 11-8, 10125.

2.2. Kõikides Privaatsustingimuste ja isikuandmete töötlemisega seonduvates küsimustes saab pöörduda KSi poole, saates päringu e-kirjaga aadressile info@koolisysteemid.ee .

3. Isikuandmete töötlemise eesmärgid

3.1. KS töötleb Andmesubjekti isikuandmeid alljärgnevate Kaartide väljastamiseks ja haldamiseks (mis hõlmab ka isikuandmete töötlemist Kaartide väljastamiseks ja haldamiseks tulevikus Andmesubjekti taotlusel):

• Õpilaspilet
• Üliõpilaspilet
• Personalikaart
• Lubakaart
• Külalisõppejõu kaart
• Eksternkaart
• Avatud akadeemia õpilase kaart

3.2. Samuti töötleb KS isikuandmeid alljärgnevatel eesmärkidel:

(a) Kliendihalduseks;

(b) Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks;

(c) Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud
lepingus sätestatud KSi õiguste rakendamiseks.

4. Töödeldavad isikuandmed

4.1. KS töötleb kõigis punktis 3.1 toodud juhtudel järgnevaid andmeid: Andmesubjekti aadress, ees- ja perekonnanimi, foto, isikukood, e-posti aadress, telefoni number, kooli nimi (sh kooli EHIS-kood), sünniaeg, andmed Kaardi kohta (sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood, kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev, Andmesubjekti identifikaator, kasutajastaatuse identifikaator).

4.2. Lisaks töötleb KS:
(a) Punktis 3.1toodud juhtudel: õpilase/õpetaja/personalitöötaja staatuse infot (sh
vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht,
õppetool, osakond, struktuuriüksus, staatuse kehtivus jne), pangakonto
number;
4.3. Punktis 3.2 toodud juhtudel töötleb KS järgnevaid andmeid:

(a) Punktis 3.2(a) toodud juhul: Andmesubjekti ees- ja perekonnanimi, e-posti aadress, isikukood, telefoni number;
(b) Punktis 3.2(b) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele kohustusele, mis KS peab täitma);
(c) Punktis 3.2(c) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele õigusele, mida KS rakendab).

4.4. Isikuandmete esitamine on Andmesubjekti ja KSi vahelise Lepingu sõlmimiseks vajalik. Lisaks – punktis 3.1 toodud osadel juhtudel on isikuandmete töötlemine vajalik määruses „Õpilaspileti väljaandmise kord ja õpilaspileti vorm“ (kättesaadav: https://www.riigiteataja.ee/akt/13349855; edaspidi: Määrus) sätestatud ja Määruses märgitud isikuandmete osas KSi juriidilise kohustuse täitmiseks.

4.5. Üldreeglina kogub KS isikuandmed vahetult Andmesubjektilt endalt, v.a:
(a) EHIS-est järgnevad isikuandmed: kooli EHIS-kood, õpilase/õpetaja staatus (sh vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht, õppetool, osakond, struktuuriüksus, staatuse kehtivus jne);

(b) juhul kui Andmesubjekt sisestab andmed Minu Kool keskkonnas või kui
andmed genereeritakse MinuKool keskkonna poolt: andmed Kaardi kohta
(sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood,
kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev,
Andmesubjekti identifikaator, kasutajastaatuse identifikaator.

5. Isikuandmete töötlemise õiguslik alus

5.1. KS töötleb Andmesubjekti isikuandmeid, kuna see on vajalik Andmesubjektiga sõlmitud lepingu täitmiseks (vt ülal punktid 3.1 ja 3.2(a) ) või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1 ).

5.2. KS töötleb isikuandmeid samuti Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks (vt ülal punkt 3.2(b) ). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks KS kui vastutava töötleja juriidiliste kohustuste täitmine. Näiteks – punktides 3.1 toodud osadel juhtudel on Määruses nimetatud isikuandmete töötlemise õiguslikuks aluseks (lisaks Andmesubjektiga sõlmitud lepingu täitmisele) ka Määrusega seatud KSi juriidiline kohustus.

5.3. Lisaks töötleb KS isikuandmeid Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate KS õiguste rakendamiseks (vt ülal punkt 3.2(c) ). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks KS kui vastutava töötleja õigustatud huvi. KSi õigustatud huviks on enda õigusi rakendada sel viisil, kuidas KS peab vajalikuks.

6. Isikuandmete edastamine kolmandatele isikutele

6.1. KS ei edastada Andmesubjekti isikuandmeid kolmandatele isikutele, v.a:
(a) Serveri- ja andmete haldamise teenuse osutajale osas, milles KS säilitab ja töötleb isikuandmeid väljaspool KSi kontoriruume. Minu Kool keskkonda majutatakse Telia Eesti AS pilveserveris (Eesti äriühing);

(b) Tarkvaraarenduse teenuse osutajale osas, milles see on vajalik KSi andmebaasi haldamiseks, teenuste osutamiseks ja suhtluseks Andmesubjektidega, mispuhul on arendajal juurdepääs KSi töödeldavatele isikuandmetele osas, milles see on vajalik arendusteenuse osutamiseks, näiteks Fugira Software OÜ-le (Eesti äriühing);

(c) Kaarditootjale osas, milles Kaartidel asuvate isikuandmete edastamine on vajalik Kaartide tootmiseks, näiteks Kaardiekspert OÜ-le (Eesti äriühing);

(d) Ühistranspordis sõiduõiguse valideerimise teenust osutavale ühingule osas, milles Kaartide kehtivusandmete edastamine on vajalik, et võimaldada Kaartide kasutamist ühistranspordis sõiduõiguse valideerimiseks, näiteks Ridango AS-ile (Eesti äriühing);

(e) KSi koostööpartneritest koolidele osas, milles see on muuhulgas vajalik
isikuandmete õigsuse kontrollimiseks, koolis asuvate ligipääsusüsteemide
toimivuse tagamiseks ja Kaardi kehtivuse kontrollimiseks (koolid asuvad
Eestis);

(f) E-kirjavahetuse serveriteenuse pakkujale osas, milles KS kasutab e-
kirjavahetust isikuandmete saatmiseks KS-siseselt ja Andmesubjektidega
suhtlemiseks, näiteks Zone Media OÜ-le (Eesti äriühing) ja Twilio Estonia OÜ-le
(Eesti äriühing).

(g) Raamatupidamisteenuse osutajale osas, milles see on vajalik KSi
raamatupidamise korraldamiseks, näiteks Aarde Raamat OÜ-le (Eesti äriühing);

(h) Teenuseosutajale osas, milles see on vajalik kaardiomanike haldamiseks,
näiteks äriühingutele ZOHO CORPORATION (USA äriühing) ning ZOHO
CORPORATION PVT. LTD. (India äriühing). Mõlemad eeltoodud äriühingud
rakendavad andmete töötlemisel Euroopa Komisjoni poolt kinnitatud
kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimusi
(Standard Contractual Clauses) ja tagavad seeläbi nõutava isikuandmete
kaitse taseme. Samuti on ZOHO CORPORATION liitunud Eraelukaitse Kilbi
(Privacy Shield) andmekaitseraamistikuga, mis tagab isikuandmete töötlemise kaitse samal tasemel, nagu Euroopa Liidus (vt lähemalt
https://www.zoho.com/gdpr.html ja https://www.zoho.com/privacy/privacyshieldframeworks.html).

6.2. Kõik punktis 6.1 nimetatud volitatud töötlejad tagavad sellise isikuandmete kaitse nagu isikuandmete kaitset reguleerivad õigusaktid sätestavad.

6.3. KSil on samuti õigus avaldada Andmesubjekti isikuandmed asutusele, millel on Eesti Vabariigis kehtivast õigusaktist tulenevalt õigus nõuda KSilt selle poolt töödeldavate isikuandmete avaldamist ja kui KSil on kohustus antud asutusele isikuandmed avaldada.

7. Isikuandmete säilitamine

7.1. Andmesubjekti isikuandmed säilitatakse:

(a) kuni 1 aastat pärast vastava Kaardi kehtivuse lõppemist, milles KS säilitab Andmesubjekti isikuandmeid seoses Andmesubjektiga sõlmitud lepingu täitmisega (vt ülal punktid 3.1 , 3.2(a) ), Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmisega (vt ülal punkt 3.2(b) ja Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate KSi õiguste rakendamisega (vt ülal punkt 3.2(c) );

(b) kuni 30 päeva pärast viimast kontakti Andmesubjektiga osas, milles KS säilitab Andmesubjekti isikuandmeid seoses lepingu sõlmimisele eelnevate meetmete võtmisega vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1 ).

7.2. Isikuandmeid sisaldavaid raamatupidamise alusdokumente säilitatakse seitse aastat selle majandusaasta lõpust, millega need seotud on.

8. Andmesubjekti õigused isikuandmete töötlemisel

8.1. Andmesubjektil on igal ajal õigus pöörduda KSi poole vastavasisulise lihtkirjaliku ja vabas vormis taotlusega e-posti aadressil info@koolisysteemid.ee , et:

(a) taotleda juurdepääsu Andmesubjekti kohta käivatele isikuandmetele;
(b) nõuda isikuandmete parandamist;
(c) nõuda isikuandmete kustutamist;
(d) piirata isikuandmete töötlemist;
(e) esitada vastuväiteid isikuandmete töötlemisele;
(f) nõuda isikuandmete ülekandmist;
(g) nõuda, et Andmesubjekti kohta ei võetaks vastu otsust, mis põhineb
automatiseeritud töötlusel;
(h) võtta tagasi antud nõusolek isikuandmete töötlemiseks;
(i) esitada kaebus järelevalveasutusele (Andmekaitseinspektsioonile).

8.2. Panga väljastatud Kaardi funktsionaalsusega pangakaardi omanikul tuleb vastava taotlusega pöörduda pangakaardi väljastanud panga (kui vastutava töötleja) poole.

8.3. Eesti Haridustöötajate Liidu liige peab vastava taotlusega pöörduma Eesti Haridustöötajate Liidu (kui vastutava töötleja) poole.