Isikuandmete töötlemise tingimused

EESTI ÜLIÕPILASKONDADE LIIT (MinuKool) – PRIVAATSUSTINGIMUSED
Viimati muudetud 28. juunil 2019

1. Privaatsustingimuste kohaldamine

1.1. Käesolevad privaatsustingimused (edaspidi: Privaatsustingimused) kehtivad kõikidel juhtudel, mil mittetulundusühing Eesti Üliõpilaskondade Liit (edaspidi: Liit) töötleb vastutava töötlejana füüsiliste isikute (edaspidi: Andmesubjekt) isikuandmeid pakkudes, väljastades ja hallates enda majandus ja kutsetegevuse raames järgnevaid kaarte: ISIC Scholar tavakaart, ISIC Student tavakaart, ITIC õpetaja tavakaart, IYTC noortekaart, Eesti Õpilaspilet, Eesti Üliõpilaspilet, Personalikaart, Lubakaart, Külastajakaart, Külalisõppejõukaart ning Eksternikaart (edaspidi eeltoodud koos nimetatud ka kui: Kaart või Kaardid).

1.2. Liit töötleb teatud juhtudel isikuandmeid ka volitatud töötlejana – eelkõige juhtudel kui Liit töötleb isikuandmeid seoses Liidu koostööpartneriks oleva panga väljastatud ISIC või ITIC funktsionaalsusega pangakaartidega. Taolisel juhul on vastutavaks töötlejaks vastav pank ning käesolevad privaatsustingimused taolisele töötlemisele ei laiene – vastavate töötlemistoimingute kohta saate täiendavat infot enda panga käest.

1.3. Samuti ei reguleeri Privaatsustingimused isikuandmete töötlemist olukorras, kus Kaart väljastatakse Eesti Haridustöötajate Liidu liikmele. Sellisel juhul on isikuandmete vastutavaks töötlejaks Eesti Haridustöötajate Liit, kellega Liit on sõlminud koostöölepingu ja Liit töötleb isikuandmeid Eesti Haridustöötajate Liidu nimel volitatud töötlejana.

1.4. Privaatsustingimused kehtivad ülaltoodud kuupäevast alates. Liidul on õigus ühepoolselt Privaatsustingimusi muuta ja täiendada. Privaatsustingimuste muudatustest teavitatakse Andmesubjekte e-posti teel.

2. Vastutav töötleja

2.1. Andmesubjektide isikuandmete vastutav töötleja on mittetulundusühing Eesti Üliõpilaskondade Liit, registrikoodiga 80059438, aadressiga Harju maakond, Tallinn, Kesklinna linnaosa, Pärnu mnt 102-21, 11312.

2.2. Kõikides Privaatsustingimuste ja isikuandmete töötlemisega seonduvates küsimustes saab pöörduda Liidu poole, saates päringu e-kirjaga aadressile eyl@eyl.ee .

3. Isikuandmete töötlemise eesmärgid

3.1. Liit töötleb Andmesubjekti isikuandmeid alljärgnevate Kaartide väljastamiseks ja haldamiseks (mis hõlmab ka isikuandmete töötlemist Kaartide väljastamiseks ja haldamiseks tulevikus Andmesubjekti taotlusel):

(a) ISIC Scholar tavakaart;
(b) ISIC Student tavakaart;
(c) ITIC õpetaja tavakaart;
(d) Eesti Õpilaspilet;
(e) Eesti Üliõpilaspilet;
(f) IYTC noortekaart;
(g) Personalikaart;
(h) Lubakaart;
(i) Külalisõppejõu kaart;
(j) Eksternkaart.

3.2. Samuti töötleb Liit isikuandmeid alljärgnevatel eesmärkidel:

(a) Kliendihalduseks;

(b) Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks;

(c) Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud
lepingus sätestatud Liidu õiguste rakendamiseks.

4. Töödeldavad isikuandmed

4.1. Liit töötleb kõigis punktis 3.1 toodud juhtudel järgnevaid andmeid: Andmesubjekti aadress, ees- ja perekonnanimi, foto, isikukood, e-posti aadress, telefoni number, kooli nimi (sh kooli EHIS-kood), sünniaeg, andmed Kaardi kohta (sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood, kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev, Andmesubjekti identifikaator, kasutajastaatuse identifikaator).

4.2. Lisaks töötleb Liit:
(a) Punktides 3.1(a) – 3.1(e) toodud juhtudel: õpilase/õpetaja staatus (sh
vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht,
õppetool, osakond, struktuuriüksus, staatuse kehtivus jne), pangakonto
number;
(b) Punktis 3.1(f) toodud juhul: pangakonto number.

4.3. Punktis 3.2 toodud juhtudel töötleb Liit järgnevaid andmeid:

(a) Punktis 3.2(a) toodud juhul: Andmesubjekti ees- ja perekonnanimi, e-posti aadress, isikukood, telefoni number;
(b) Punktis 3.2(b) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele kohustusele, mis Liit peab täitma);
(c) Punktis 3.2(c) toodud juhul: mistahes ülaltoodud isikuandmed (määratakse kindlaks vastavalt konkreetsele õigusele, mida Liit rakendab).

4.4. Isikuandmete esitamine on Andmesubjekti ja Liidu vahelise Lepingu sõlmimiseks vajalik. Lisaks – punktides 3.1(a) – 3.1(b) ja 3.1(d) – 3.1(e) toodud juhtudel on isikuandmete töötlemine vajalik määruses „Õpilaspileti väljaandmise kord ja õpilaspileti vorm“ (kättesaadav: https://www.riigiteataja.ee/akt/13349855; edaspidi: Määrus) sätestatud ja Määruses märgitud isikuandmete osas Liidu juriidilise kohustuse täitmiseks.

4.5. Üldreeglina kogub Liit isikuandmed vahetult Andmesubjektilt endalt, v.a:
(a) EHIS-est järgnevad isikuandmed: kooli EHIS-kood, õpilase/õpetaja staatus (sh vastava staatusega seonduvad andmed nagu klass, kursus, ametikoht, õppetool, osakond, struktuuriüksus, staatuse kehtivus jne);

(b) juhul kui Andmesubjekt sisestab andmed MinuKool keskkonnas või kui
andmed genereeritakse MinuKool keskkonna poolt: andmed Kaardi kohta
(sh seerianumber, tüüp, liik, väljastamise kuupäev, kehtivusperiood,
kehtivuse olek, identifikaator, kiibi UID, magnetriba väärtus, PAN number, trükki saatmise aeg, aktiveerimise ja deaktiveerimise kuupäev,
Andmesubjekti identifikaator, kasutajastaatuse identifikaator.

5. Isikuandmete töötlemise õiguslik alus

5.1. Liit töötleb Andmesubjekti isikuandmeid, kuna see on vajalik Andmesubjektiga sõlmitud lepingu täitmiseks (vt ülal punktid 3.1 ja 3.2(a) ) või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1 ).

5.2. Liit töötleb isikuandmeid samuti Eesti Vabariigis kehtivatest õigusaktidest tulenevate kohustuste täitmiseks (vt ülal punkt 3.2(b) ). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Liidu kui vastutava töötleja juriidiliste kohustuste täitmine. Näiteks – punktides 3.1(a) – 3.1(b) ja 3.1(d) – 3.1(e) toodud juhtudel on Määruses nimetatud isikuandmete töötlemise õiguslikuks aluseks (lisaks Andmesubjektiga sõlmitud lepingu täitmisele) ka Määrusega seatud Liidu juriidiline kohustus.

5.3. Lisaks töötleb Liit isikuandmeid Eesti Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust tulenevate Liidu õiguste rakendamiseks (vt ülal punkt 3.2(c) ). Sellisel juhul on isikuandmete töötlemise õiguslikuks aluseks Liidu kui vastutava töötleja õigustatud huvi. Liidu õigustatud huviks on enda õigusi rakendada sel viisil, kuidas Liit peab vajalikuks.

6. Isikuandmete edastamine kolmandatele isikutele

6.1. Liit ei edastada Andmesubjekti isikuandmeid kolmandatele isikutele, v.a:
(a) Serveri- ja andmete haldamise teenuse osutajale osas, milles Liit säilitab ja töötleb isikuandmeid väljaspool Liidu kontorirumme, näiteks Koolisüsteemide OÜ-le (Eesti äriühing), kes haldab Minu Kool keskkonda, mida majutatakse Telia Eesti AS pilveserveris (Eesti äriühing);

(b) Tarkvaraarenduse teenuse osutajale osas, milles see on vajalik Liidu
andmebaasi haldamiseks, teenuste osutamiseks ja suhtluseks
Andmesubjektidega, mispuhul on arendajal juurdepääs Liidu töödeldavatele isikuandmetele osas, milles see on vajalik arendusteenuse osutamiseks, näiteks Fugira Software OÜ-le (Eesti äriühing);

(c) ISIC Global Office B.V.-le (Madalmaade Kuningriigi äriühing; haldab ISIC
kaarte rahvusvahelisel tasemel) ISIC, ITIC ja IYTC kaardiomanikest
Andmesubjektide isikuandmeid osas, milles isikuandmete töötlemine on
vajalik Andmesubjektidele pakutavate rahvusvaheliste soodustuste ning
hüvede tagamiseks;

(d) Kaarditootjale osas, milles Kaartidel asuvate isikuandmete edastamine on vajalik Kaartide tootmiseks, näiteks Kaardiekspert OÜ-le (Eesti äriühing);

(e) Ühistranspordis sõiduõiguse valideerimise teenust osutavale ühingule osas, milles Kaartide kehtivusandmete edastamine on vajalik, et võimaldada Kaartide kasutamist ühistranspordis sõiduõiguse valideerimiseks, näiteks Ridango AS-ile (Eesti äriühing);

(f) Liidu koostööpartneritest koolidele osas, milles see on muuhulgas vajalik
isikuandmete õigsuse kontrollimiseks, koolis asuvate ligipääsusüsteemide
toimivuse tagamiseks ja Kaardi kehtivuse kontrollimiseks (koolid asuvad
Eestis);

(g) E-kirjavahetuse serveriteenuse pakkujale osas, milles Liit kasutab e-
kirjavahetust isikuandmete saatmiseks Liidu-siseselt ja Andmesubjektidega
suhtlemiseks, näiteks Google LLC-le (USA äriühing) ja Sendsmaily OÜ-le
(Eesti äriühing). Google LLC rakendab andmete töötlemisel Euroopa
Komisjoni poolt kinnitatud kolmandatesse riikidesse isikuandmete
edastamise lepingu tüüptingimusi (Standard Contractual Clauses) ja tagab
seeläbi nõutava isikuandmete kaitse taseme. Samuti on Google LLC liitunud
Eraelukaitse Kilbi (Privacy Shield) andmekaitseraamistikuga, mis tagab
isikuandmete töötlemise kaitse samal tasemel, nagu Euroopa Liidus (vt
lähemalt https://cloud.google.com/terms/data-processing-terms);

(h) Raamatupidamisteenuse osutajale osas, milles see on vajalik Liidu
raamatupidamise korraldamiseks, näiteks Saldo RMP OÜ-le (Eesti äriühing);

(i) Teenuseosutajale osas, milles see on vajalik kaardiomanike haldamiseks,
näiteks äriühingutele ZOHO CORPORATION (USA äriühing) ning ZOHO
CORPORATION PVT. LTD. (India äriühing). Mõlemad eeltoodud äriühingud
rakendavad andmete töötlemisel Euroopa Komisjoni poolt kinnitatud
kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimusi
(Standard Contractual Clauses) ja tagavad seeläbi nõutava isikuandmete
kaitse taseme. Samuti on ZOHO CORPORATION liitunud Eraelukaitse Kilbi
(Privacy Shield) andmekaitseraamistikuga, mis tagab isikuandmete töötlemise kaitse samal tasemel, nagu Euroopa Liidus (vt lähemalt
https://www.zoho.com/gdpr.html ja https://www.zoho.com/privacy/privacyshieldframeworks.html).

6.2. Kõik punktis 6.1 nimetatud volitatud töötlejad tagavad sellise isikuandmete kaitse nagu isikuandmete kaitset reguleerivad õigusaktid sätestavad.

6.3. Liidul on samuti õigus avaldada Andmesubjekti isikuandmed asutusele, millel on Eesti Vabariigis kehtivast õigusaktist tulenevalt õigus nõuda Liidult selle poolt töödeldavate isikuandmete avaldamist ja kui Liidul on kohustus antud asutusele isikuandmed avaldada.

7. Isikuandmete säilitamine

7.1. Andmesubjekti isikuandmed säilitatakse:

(a) kuni 1 aastat pärast vastava Kaardi kehtivuse lõppemist, milles Liit säilitab Andmesubjekti isikuandmeid seoses Andmesubjektiga sõlmitud lepingu täitmisega (vt ülal punktid 3.1 , 3.2(a) ), Eesti Vabariigis kehtivatest
õigusaktidest tulenevate kohustuste täitmisega (vt ülal punkt 3.2(b) ja Eesti
Vabariigis kehtivatest õigusaktidest ja Andmesubjektiga sõlmitud lepingust
tulenevate Liidu õiguste rakendamisega (vt ülal punkt 3.2(c) );

(b) kuni 30 päeva pärast viimast kontakti Andmesubjektiga osas, milles Liit
säilitab Andmesubjekti isikuandmeid seoses lepingu sõlmimisele eelnevate
meetmete võtmisega vastavalt Andmesubjekti taotlusele (vt ülal punkt 3.1 ).

7.2. Isikuandmeid sisaldavaid raamatupidamise alusdokumente säilitatakse seitse aastat selle majandusaasta lõpust, millega need seotud on.

8. Andmesubjekti õigused isikuandmete töötlemisel

8.1. Andmesubjektil on igal ajal õigus pöörduda Liidu poole vastavasisulise lihtkirjaliku ja vabas vormis taotlusega e-posti aadressil eyl@eyl.ee , et:

(a) taotleda juurdepääsu Andmesubjekti kohta käivatele isikuandmetele;
(b) nõuda isikuandmete parandamist;
(c) nõuda isikuandmete kustutamist;
(d) piirata isikuandmete töötlemist;
(e) esitada vastuväiteid isikuandmete töötlemisele;
(f) nõuda isikuandmete ülekandmist;
(g) nõuda, et Andmesubjekti kohta ei võetaks vastu otsust, mis põhineb
automatiseeritud töötlusel;
(h) võtta tagasi antud nõusolek isikuandmete töötlemiseks;
(i) esitada kaebus järelevalveasutusele (Andmekaitseinspektsioonile).

8.2. Panga väljastatud ISIC või ITIC funktsionaalsusega pangakaardi omanikul tuleb vastava taotlusega pöörduda pangakaardi väljastanud panga (kui vastutava töötleja) poole.

8.3. Eesti Haridustöötajate Liidu liige peab vastava taotlusega pöörduma Eesti Haridustöötajate Liidu (kui vastutava töötleja) poole.