Vastuskiri



Küsimustik
Andmete kustutamise õiguse (“õigus olla unustatud”) rakendamine vastutavate töötlejate poolt
Isikuandmete kaitse määruse (EL) 2016/679 artikkel 17

1. Teave vastutava töötleja kohta
1.1 nimi: Prisma Peremarket AS
aadress: Mustakivi tee 17, Tallinn
kontaktandmed: Liina Karron, Konto arendusjuht, [email protected]

1.2 Millisesse kategooriasse Teie organisatsioon kuulub?1 (palun valige ainult üks):
☐ mikroettevõtja (< 10 töötajat ja käive ≤ 2 miljonit eurot või bilansimaht ≤ 2 miljonit eurot)
☐ väikeettevõtja (< 50 töötajat ja käive ≤ 10 miljonit eurot või bilansimaht ≤ 10 miljonit eurot)
☐ keskmise suurusega ettevõtja (< 250 töötajat ja käive ≤ 50 miljonit eurot või bilansimaht ≤ 43 miljonit eurot)
☒ suurettevõtja (üle 250 töötaja)

1.3 Kas Teie klientide hulgas, on ka andmesubjekte, kes on (valige üks või mitu sobivat vastust):
☐ lapsed
☐ haavatavad isikud (nt eakad, varjupaigataotlejad, etnilised vähemused, puuetega inimesed)
☒ me ei töötle laste ega haavatavate isikute andmeid oma kliendi programmi raames

1.4 Palun esitage ligikaudne andmesubjektide arv, keda Teie isikuandmete töötlemistoimingud puudutavad:
☐ < 100
☐ 101 – 1000
☐ 1 001 – 10 000
☐ 10 001 – 100 000
☒ 100 001 – 500 000
☐ 500 001 – 1 000 000
☐ > 1 000 000

1.5 Milliseid isikuandmete liike Teie isikuandmete töötlemistoimingud peamiselt puudutavad? (valige kõik sobivad)
☒ kontaktandmed
☒ makseandmed
☒ identifitseerimisandmed
☒ turundusandmed
☐ eriliigilised andmed isikuandmete kaitse üldmääruse artikli 9 tähenduses
palun täpsustage, milliseid all loetletud eriliigilisi andmeid töötlete:
nt terviseandmed; seksuaalelu või seksuaalne sättumus; rassiline või etniline päritolu; poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine; biomeetrilised ja geneetilised andmed
☐ andmed süüdimõistvate kohtuotsuste ja süütegude kohta isikuandmete kaitse üldmääruse artikli 10 tähenduses
☐ muu, palun täpsustage:

1.6 Mitu isikuandmete kaitse üldmääruse artikli 17 kohast andmete kustutamise taotlust Te saite allpool toodud aastate lõikes?

2022
2023
2024
0
☐
☐
☐
1–10
☒
☒
☒
11–50
☐
☐
☐
51–100
☐
☐
☐
101–500
☐
☐
☐
üle 500
☐
☐
☐


1.7 Kui suure protsendi taotlustest Te tagasi lükkasite?

2022
2023
2024
0%
☒
☒
☒
10%
☐
☐
☐
20%
☐
☐
☐
30%
☐
☐
☐
40%
☐
☐
☐
üle 50%
☐
☐
☐

1.8 Kui suur osa Teile esitatud andmete kustutamise taotlustest oli seotud isikuandmete kaitse üldmääruse artikli 21 kohaste vastuväidete esitamise õiguse kasutamisega sama andmesubjekti poolt (sealhulgas vastuväited turundamisele)?

2022
2023
2024
0%
☒
☒
☒
10%
☐
☐
☐
20%
☐
☐
☐
30%
☐
☐
☐
40%
☐
☐
☐
üle 50%
☐
☐
☐

1.9 Kas nende klientide hulgas, kes on esitanud taotluse andmete kustutamiseks on ka:
☐ vanemad või eestkostjad, kes on esitanud taotluse oma lapse (laste) nimel

Ei ole
kui jah, siis palun märkige protsent saadud taotlustest:
☐ haavatavad isikud (nt eakad, varjupaigataotlejad, etnilised vähemused, puuetega inimesed) või haavatava isiku eestkostjad
kui jah, siis palun märkige protsent saadud taotlustest:

2. Töövoog
2.1 Kas Teie organisatsioon on välja töötanud konkreetsed organisatsioonisisesed juhised/suunised/soovitused või sarnased dokumendid, mis käsitlevad õigust isikuandmete kustutamisele? Kas teie organisatsioon järgib isikuandmete kaitse üldmääruse artikli 17 kohaste taotluste käsitlemisel sisemiselt kindlaksmääratud protsessi?
☒ jah
Käsitleme taotlusi klienditeeninduse ja andmekaitsespetsialisti koostöös vastavalt sisemisele juhendile, mis põhineb GDPR artiklil 17.

☐ ei
kui ei, siis palun selgitage, miks:

2.2 Millisel organisatsiooni üksusel on juhtiv roll isikuandmete kustutamise taotluste menetlemisel Teie organisatsioonis? (palun valige ainult üks)
☐ andmekaitseametnik
☐ õigus-/vastavusosakond
☒ kommunikatsiooniüksus (klienditeenindus kuulub turundus- ja kommunikatsiooniosakonda)
☐ andmekaitsekoordinaator
☐ klienditeenindus
☐ muu
Kui muu, siis palun täpsustage:

2.3 Kas Teie organisatsioon koolitab oma töötajaid seoses isikuandmete kustutamise taotlustega?
☒ jah
☐ ei
2.3.1
Kui jah, siis täpsustage kui sageli (mitu korda aastas) koolitusi korraldatakse:
2.3.2. tavapäraselt 1-2 x aastas + ning töötajate vahetumisel vastavalt vajadusele
Kui jah, siis kirjeldage, kuidas te oma töötajaid koolitate:
Töötajatele korraldatakse sisekoolitusi ning jagatakse juhendeid e-keskkonnas.

2.4 Kirjeldage, kuidas teete kindlaks isikuandmed, mida isikuandmete kustutamise taotlus hõlmab?
Alustame isikusamasuse tuvastamisest. Taotlus peab olema esitatud digiallkirjastatud kujul. Vajadusel võtame ühendust andmesubjektiga, et täpsustada, milliste andmete kustutamist ta soovib.
2.5 Kirjeldage, kuidas menetlete isikuandmete kustutamise taotlust, mis on seotud isikuandmetega, mida töödeldakse
a) ühiselt koos kaasvastutavate töötlejatega:
b) teie volitatud töötleja poolt:
Volitatud töötlejad on seotud lepinguga ning kohustatud täitma meie juhiseid kustutamiseks.

2.6 Kas jälgite või kontrollite regulaarselt, et Teie organisatsioon menetleks isikuandmete kustutamise taotlusi korrakohaselt?
☒ jah
kui jah, siis palun kirjeldage seda regulaarset kontrolliprotsessi:

Kontroll toimub sisemise andmekaitseülevaatuse käigus kord aastas.
☐ ei
kui ei, siis palun selgitage, miks:

2.7 Milline on keskmine aeg (nädalates), mis Teie organisatsioonil kulub isikuandmete kustutamise taotluste menetlemiseks (alates kustutamise taotluse saamisest kuni andmesubjektile antava lõpliku vastuseni)?

Kuni 14 tööpäeva

2.8 Kui sageli on Teie organisatsioon isikuandmete kustutamise taotluste puhul pikendanud isikuandmete kaitse üldmääruse artikli 12 lõike 3 teises lauses sätestatud ühekuulist tähtaega?
☐ alati (100% saadud taotlustest)
☐ väga sageli (umbes 75% saadud taotlustest)
☐ sageli (umbes 50% saadud taotlustest)
☐ harva (umbes 15% saadud taotlustest)
☒ mitte kunagi (0% saadud taotlustest)
2.8.1. Kui pikendate tähtaega, siis kirjeldage, mis on peamised põhjused, miks Te seda teete:

2.9 Kas isikuandmete kaitse üldmääruse artikli 17 rakendamise korda vaadatakse korrapäraselt läbi ja vajadusel kohandatakse?
☒ jah
Kui jah, siis kui sageli seda ajakohastatakse (aastas): Ajakohastatakse kord aastas või vajadusel.
☐ ei

3. Juhtumi stsenaariumid
3.1 Kuidas hindab Teie organisatsioon, et isikuandmed (mille kohta on esitatud kustutamise taotlus) ei ole enam vajalikud eesmärkidel, milleks neid koguti või muul viisil töödeldi vastavalt isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktile a?

Hindamine toimub seoses andmetöötluse eesmärgi lõppemisega – nt kui kliendisuhe lõpeb ja säilitustähtaeg on möödunud.
3.2 Kuidas Teie organisatsioon toimib, kui andmesubjekt võtab nõusoleku tagasi vastavalt isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktile b?
Kui töötlemise alus on nõusolek ja see võetakse tagasi, siis kustutatakse andmed viivitamata, välja arvatud juhul, kui säilitamine on vajalik juriidiliste kohustuste täitmiseks.
3.3 Kuidas Teie organisatsioon toimib, kui andmesubjekt esitab isikuandmete kaitse üldmääruse artikli 21 lõike 1 või 2 alusel töötlemise suhtes vastuväite? (vt ka artikkel 17 lõige 1 punkt c)
Turundusvastuväidete korral eemaldatakse andmesubjekt vastavatest kanalitest ja andmed kustutatakse, kui muid aluseid ei esine.

3.4 Kas Teie organisatsioon on isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktil c põhineva kustutamistaotluse korral kunagi keeldunud andmete kustutamisest, tuginedes oma „töötlemise ülekaalukatele õiguspärastele põhjustele“? Kuidas mõistate mõistet „ülekaalukad õiguspärased põhjused“ ja kuidas see on tasakaalus andmesubjektide huvide, õiguste ja vabadustega? Kirjeldage üksikasjalikult esinenud juhtumeid ja esitage sel ajal tehtud analüüs.

☒ Ei ole keeldunud 'ülekaalukatel õiguspärastel põhjustel'.
3.5 Kuidas tagab Teie organisatsioon isikuandmete kaitse üldmääruse artikli 17 lõike 2 rakendamise, kui isikuandmed avalikustatakse (st tehakse kõigile kättesaadavaks veebilehel, sotsiaalmeedias vms kanalis)? Milliseid meetmeid võetakse, et tagada õigus olla unustatud?

Me ei postita andmesubjekti andmeid.
3.6 Milliseid erandeid isikuandmete kaitse üldmääruse artikli 17 lõikest 3 või muudest isikuandmete kaitse üldmääruse artikli 23 lõikel 1 põhinevatest siseriiklikest eranditest kohaldab teie organisatsioon kõige sagedamini (valige kõik sobivad)?
☐ sõna- ja teabevabaduse õiguse kasutamine
☐ vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud töötlemist nõudva juriidilise kohustuse täitmine
Kui seda alust kasutate, siis märkige palun kõige sagedamini kohaldatavad õiguslikud alused:
☐ avalikes huvides oleva ülesande täitmine või vastutava töötleja avaliku võimu teostamine
Kui seda alust kasutate, siis märkige palun kõige sagedamini kohaldatavad õiguslikud alused:
☐ rahvatervise valdkonna avaliku huviga seotud põhjustel
☐ avalikes huvides toimuv arhiveerimine, teadus- või ajaloouuringu või statistine eesmärk niivõrd, kuivõrd õigus andmete kustutamisele tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral
☐ õigusnõuete koostamine, esitamine või kaitsmine
☐ muu
Kui muu, siis palun täpsustage:

Me ei ole kunagi keeldunud andmete kustutamisest artikli 17 lõike 3 punkt a alusel.

3.7 Kuidas Teie organisatsioon kontrollib, et artikli 17 lõikes 3 sätestatud eranditele tuginemise tingimused on täidetud?

Me ei ole kunagi keeldunud andmete kustutamisest artikli 17 lõike 3 punkt a alusel.

3.8 Kui Teie organisatsioon on kunagi keeldunud andmete kustutamisest sõna- ja teabevabaduse õiguse alusel (isikuandmete kaitse üldmääruse artikli 17 lõike 3 punkt a), siis kirjeldage palun üksikasjalikult neid juhtumeid ja esitage sel ajal tehtud keeldumise aluseks olnud analüüs.

Me ei ole kunagi keeldunud andmete kustutamisest artikli 17 lõike 3 punkt a alusel.
3.9 Kui õigust andmete kustutamisele ei saa tagada taoltuse esitamise ajal, näiteks esinevad õiguslikud või lepingulised kohustused andmete säilitamiseks, siis milliseid muid meetmeid te andmesubjektide õiguste kaitseks võtate (nt isikuandmete kaitse üldmääruse artikli 18 kohane õigus isikuandmete töötlemise piiramisele)?

Sellisel juhul piiratakse andmete töötlemist vastavalt artiklile 18, kuni kustutamise alus laheneb.
3.10 Kuidas täidab Teie organisatsioon oma kohustust teavitada andmete vastuvõtjaid õigusest andmete kustutamisele (isikuandmete kaitse üldmääruse artikli 19 esimene ja teine lause)?
Vastuvõtjatele edastatakse alati ajakohane nimistu, mis välistab kustutatud andmete edastamise.
3.11 Kuidas Teie organisatsioon toimib, kui andmesubjekt esitab taotluse, mis sisaldab nii taotlust juurdepääsuks oma isikuandmetele (isikuandmete kaitse üldmäärus artikkel 15) kui ka isikuandmete kustutamise taotlust?

Teavitame andmesubjekti võimalusest püsikliendi iseteeninduskeskkonnas oma andmeid vaadelda ja kustutada. Kui andmesubjektil puudub ligipääs iseteenindusele, edastame talle küsitud andmed meili teel.

4. Andmesubjektidega suhtlemine
4.1 Kas annate andmesubjektile juhiseid või kirjeldate isikuandmete kustutamise taotluse esitamise protsessi? Kui jah, siis palun märkige, kust on võimalik leida andmete kustutamise taotluse esitamise juhised või menetlusprotsessi kirjeldust.

Juhised on kättesaadavad meie privaatsuspoliitikas: https://www.prismamarket.ee/leht/privaatsuspoliitika

4.2 Kas teie organisatsiooni andmekaitsetingimustes on kirjas (valige üks või mitu sobivat vastust):
☒ andmete konkreetne säilitamisperiood (aastates)
☒ kõnealuse perioodi kindlaksmääramiseks kasutatud kriteeriumid
☐ mitte kumbki eespool nimetatutest
Kui mitte kumbki, siis palun täpsustage:

4.3 Milliste sidekanalite kaudu saate andmesubjektidelt isikuandmete kustutamise taotlusi (valige kõik sobivad)?
☒ e-posti aadress
☐ üldine veebivorm
☐ veebipõhine erivorm, mis on mõeldud andmete kustutamise taotluse esitamiseks
☐ postiaadress (paberkandjal taotluse esitamine)
☐ muu
Kui muu, siis palun täpsustage:

4.4 Kuidas vastab teie organisatsioon isikuandmete kustutamise taotlustele (valige kõik sobivad)?
☒ e-posti aadress
☐ veebipõhine kasutajakonto
☐ postiaadress (vastuse saatmine paberkandjal)
☐ muu
Kui muu, siis palun täpsustage:

4.5. Kas andmesubjektile saadetakse kinnitus isikuandmete kustutamise taotluse kättesaamise kohta?
☒ jah
☐ ei
4.5.1. Kui jah, siis kas kinnituses on kirjas teave menetlemise aja / eeldatava menetlemise aja kohta?
☒ jah
☐ ei

5. Tehnilised aspektid
5.1. Kas järgite isikuandmete kustutamisel tehnilisi standardeid (nt ISO/IEC)?
☐ jah / ei jälgi
Kui jah, siis palun täpsustage:
☐ ei

5.2 Kirjeldage, kuidas kustutab Teie organisatsioon isikuandmeid tehniliselt sellisel viisil, et neid ei ole hiljem võimalik enam taastada?
Kliendi isikuandmed kustutatakse püsikliendiprogrammist taastamist mittevõimaldaval moel. Kliendi ostuandmed anonüümitakse andmelaos nii, et neid ei saa enam seostada andmesubjektiga.

5.3 Kas teie organisatsioon kasutab tehnilisi vahendeid (nt tarkvara) isikuandmete kustutamise taotluste menetlemiseks?
☐ jah
Kui jah, siis palun täpsustage:
☒ ei

5.4 Kas olete kaasanud isikuandmete kustutamiseks teenusepakkuja?
☐ jah
Kui jah, siis palun täpsustage:
☒ ei

5.5 Kas Teie asutus kustutab andmed nende anonüümseks muutmise teel (kustutades igasuguse teabe tuvastatud või tuvastatava füüsilise isiku kohta)?
☐ jah. Anonüümimist kasutame juhul, kui andmekaitsesubjekt võtab tagasi ostuandmete töötlemise nõusoleku.
Kui jah, siis palun selgitage, miks kasutatakse kustutamise asemel anonüümimist ja kuidas seda tehniliselt teostatakse:

Muudame andmelao süsteemis kliendi ja tema ostude vahelise seose anonüümseks kindla algoritmi abil. Kasutame anonüümimist täieliku kustutamise asemel selleks, et säilitada süsteemis kogumüügi andmed.
5.6. Kas isikuandmed kustutatakse ka varukoopiatest ja erinevatest andmebaasidest?
☒ jah, erinevatest andmebaasidest. Varukoopiad ei kasuta.
☐ ei
5.6.1. Kui jah ning kustutate nii andmebaasidest kui ka varukoopiatest, siis kas rakendate varukoopiatele samu kustutamise protsesse?
☐ jah
☐ ei
Kui ei, siis palun selgitage protsesside erinevusi:

6. Teie kogemused
6.1 Milliste õiguslike, tehniliste ja/või organisatsiooniliste probleemidega puutute kokku, kui rakendate isikuandmete kaitse üldmääruse artiklis 17 sätestatud õigust andmete kustutamisele / õigust olla unustatud?
6.2 Mis võiks Teid aidata isikuandmete kustutamise taotluste menetlemisel (näidised, tööriistad, midagi muud)?

Abiks oleksid riiklikult kooskõlastatud näidised või standardid taotluste menetlemiseks.
6.3 Kas Teil on märkusi või lisateavet seoses isikuandmete kustutamise taotlustega, mida sooviksite esitada ja mis ei ole vastustega eelnevatele küsimustiku küsimustele kaetud?



Küsimustik
Andmete kustutamise õiguse (“õigus olla unustatud”) rakendamine vastutavate töötlejate poolt
Isikuandmete kaitse määruse (EL) 2016/679 artikkel 17

1. Teave vastutava töötleja kohta
1.1 nimi: Prisma Peremarket AS
aadress: Mustakivi tee 17, Tallinn
kontaktandmed: Liina Karron, Konto arendusjuht, [email protected]

1.2 Millisesse kategooriasse Teie organisatsioon kuulub?1 (palun valige ainult üks):
☐ mikroettevõtja (< 10 töötajat ja käive ≤ 2 miljonit eurot või bilansimaht ≤ 2 miljonit eurot)
☐ väikeettevõtja (< 50 töötajat ja käive ≤ 10 miljonit eurot või bilansimaht ≤ 10 miljonit eurot)
☐ keskmise suurusega ettevõtja (< 250 töötajat ja käive ≤ 50 miljonit eurot või bilansimaht ≤ 43 miljonit eurot)
☒ suurettevõtja (üle 250 töötaja)

1.3 Kas Teie klientide hulgas, on ka andmesubjekte, kes on (valige üks või mitu sobivat vastust):
☐ lapsed
☐ haavatavad isikud (nt eakad, varjupaigataotlejad, etnilised vähemused, puuetega inimesed)
☒ me ei töötle laste ega haavatavate isikute andmeid oma kliendi programmi raames

1.4 Palun esitage ligikaudne andmesubjektide arv, keda Teie isikuandmete töötlemistoimingud puudutavad:
☐ < 100
☐ 101 – 1000
☐ 1 001 – 10 000
☐ 10 001 – 100 000
☒ 100 001 – 500 000
☐ 500 001 – 1 000 000
☐ > 1 000 000

1.5 Milliseid isikuandmete liike Teie isikuandmete töötlemistoimingud peamiselt puudutavad? (valige kõik sobivad)
☒ kontaktandmed
☒ makseandmed
☒ identifitseerimisandmed
☒ turundusandmed
☐ eriliigilised andmed isikuandmete kaitse üldmääruse artikli 9 tähenduses
palun täpsustage, milliseid all loetletud eriliigilisi andmeid töötlete:
nt terviseandmed; seksuaalelu või seksuaalne sättumus; rassiline või etniline päritolu; poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine; biomeetrilised ja geneetilised andmed
☐ andmed süüdimõistvate kohtuotsuste ja süütegude kohta isikuandmete kaitse üldmääruse artikli 10 tähenduses
☐ muu, palun täpsustage:

1.6 Mitu isikuandmete kaitse üldmääruse artikli 17 kohast andmete kustutamise taotlust Te saite allpool toodud aastate lõikes?

2022
2023
2024
0
☐
☐
☐
1–10
☒
☒
☒
11–50
☐
☐
☐
51–100
☐
☐
☐
101–500
☐
☐
☐
üle 500
☐
☐
☐


1.7 Kui suure protsendi taotlustest Te tagasi lükkasite?

2022
2023
2024
0%
☒
☒
☒
10%
☐
☐
☐
20%
☐
☐
☐
30%
☐
☐
☐
40%
☐
☐
☐
üle 50%
☐
☐
☐

1.8 Kui suur osa Teile esitatud andmete kustutamise taotlustest oli seotud isikuandmete kaitse üldmääruse artikli 21 kohaste vastuväidete esitamise õiguse kasutamisega sama andmesubjekti poolt (sealhulgas vastuväited turundamisele)?

2022
2023
2024
0%
☒
☒
☒
10%
☐
☐
☐
20%
☐
☐
☐
30%
☐
☐
☐
40%
☐
☐
☐
üle 50%
☐
☐
☐

1.9 Kas nende klientide hulgas, kes on esitanud taotluse andmete kustutamiseks on ka:
☐ vanemad või eestkostjad, kes on esitanud taotluse oma lapse (laste) nimel

Ei ole
kui jah, siis palun märkige protsent saadud taotlustest:
☐ haavatavad isikud (nt eakad, varjupaigataotlejad, etnilised vähemused, puuetega inimesed) või haavatava isiku eestkostjad
kui jah, siis palun märkige protsent saadud taotlustest:

2. Töövoog
2.1 Kas Teie organisatsioon on välja töötanud konkreetsed organisatsioonisisesed juhised/suunised/soovitused või sarnased dokumendid, mis käsitlevad õigust isikuandmete kustutamisele? Kas teie organisatsioon järgib isikuandmete kaitse üldmääruse artikli 17 kohaste taotluste käsitlemisel sisemiselt kindlaksmääratud protsessi?
☒ jah
Käsitleme taotlusi klienditeeninduse ja andmekaitsespetsialisti koostöös vastavalt sisemisele juhendile, mis põhineb GDPR artiklil 17.

☐ ei
kui ei, siis palun selgitage, miks:

2.2 Millisel organisatsiooni üksusel on juhtiv roll isikuandmete kustutamise taotluste menetlemisel Teie organisatsioonis? (palun valige ainult üks)
☐ andmekaitseametnik
☐ õigus-/vastavusosakond
☒ kommunikatsiooniüksus (klienditeenindus kuulub turundus- ja kommunikatsiooniosakonda)
☐ andmekaitsekoordinaator
☐ klienditeenindus
☐ muu
Kui muu, siis palun täpsustage:

2.3 Kas Teie organisatsioon koolitab oma töötajaid seoses isikuandmete kustutamise taotlustega?
☒ jah
☐ ei
2.3.1
Kui jah, siis täpsustage kui sageli (mitu korda aastas) koolitusi korraldatakse:
2.3.2. tavapäraselt 1-2 x aastas + ning töötajate vahetumisel vastavalt vajadusele
Kui jah, siis kirjeldage, kuidas te oma töötajaid koolitate:
Töötajatele korraldatakse sisekoolitusi ning jagatakse juhendeid e-keskkonnas.

2.4 Kirjeldage, kuidas teete kindlaks isikuandmed, mida isikuandmete kustutamise taotlus hõlmab?
Alustame isikusamasuse tuvastamisest. Taotlus peab olema esitatud digiallkirjastatud kujul. Vajadusel võtame ühendust andmesubjektiga, et täpsustada, milliste andmete kustutamist ta soovib.
2.5 Kirjeldage, kuidas menetlete isikuandmete kustutamise taotlust, mis on seotud isikuandmetega, mida töödeldakse
a) ühiselt koos kaasvastutavate töötlejatega:
b) teie volitatud töötleja poolt:
Volitatud töötlejad on seotud lepinguga ning kohustatud täitma meie juhiseid kustutamiseks.

2.6 Kas jälgite või kontrollite regulaarselt, et Teie organisatsioon menetleks isikuandmete kustutamise taotlusi korrakohaselt?
☒ jah
kui jah, siis palun kirjeldage seda regulaarset kontrolliprotsessi:

Kontroll toimub sisemise andmekaitseülevaatuse käigus kord aastas.
☐ ei
kui ei, siis palun selgitage, miks:

2.7 Milline on keskmine aeg (nädalates), mis Teie organisatsioonil kulub isikuandmete kustutamise taotluste menetlemiseks (alates kustutamise taotluse saamisest kuni andmesubjektile antava lõpliku vastuseni)?

Kuni 14 tööpäeva

2.8 Kui sageli on Teie organisatsioon isikuandmete kustutamise taotluste puhul pikendanud isikuandmete kaitse üldmääruse artikli 12 lõike 3 teises lauses sätestatud ühekuulist tähtaega?
☐ alati (100% saadud taotlustest)
☐ väga sageli (umbes 75% saadud taotlustest)
☐ sageli (umbes 50% saadud taotlustest)
☐ harva (umbes 15% saadud taotlustest)
☒ mitte kunagi (0% saadud taotlustest)
2.8.1. Kui pikendate tähtaega, siis kirjeldage, mis on peamised põhjused, miks Te seda teete:

2.9 Kas isikuandmete kaitse üldmääruse artikli 17 rakendamise korda vaadatakse korrapäraselt läbi ja vajadusel kohandatakse?
☒ jah
Kui jah, siis kui sageli seda ajakohastatakse (aastas): Ajakohastatakse kord aastas või vajadusel.
☐ ei

3. Juhtumi stsenaariumid
3.1 Kuidas hindab Teie organisatsioon, et isikuandmed (mille kohta on esitatud kustutamise taotlus) ei ole enam vajalikud eesmärkidel, milleks neid koguti või muul viisil töödeldi vastavalt isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktile a?

Hindamine toimub seoses andmetöötluse eesmärgi lõppemisega – nt kui kliendisuhe lõpeb ja säilitustähtaeg on möödunud.
3.2 Kuidas Teie organisatsioon toimib, kui andmesubjekt võtab nõusoleku tagasi vastavalt isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktile b?
Kui töötlemise alus on nõusolek ja see võetakse tagasi, siis kustutatakse andmed viivitamata, välja arvatud juhul, kui säilitamine on vajalik juriidiliste kohustuste täitmiseks.
3.3 Kuidas Teie organisatsioon toimib, kui andmesubjekt esitab isikuandmete kaitse üldmääruse artikli 21 lõike 1 või 2 alusel töötlemise suhtes vastuväite? (vt ka artikkel 17 lõige 1 punkt c)
Turundusvastuväidete korral eemaldatakse andmesubjekt vastavatest kanalitest ja andmed kustutatakse, kui muid aluseid ei esine.

3.4 Kas Teie organisatsioon on isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktil c põhineva kustutamistaotluse korral kunagi keeldunud andmete kustutamisest, tuginedes oma „töötlemise ülekaalukatele õiguspärastele põhjustele“? Kuidas mõistate mõistet „ülekaalukad õiguspärased põhjused“ ja kuidas see on tasakaalus andmesubjektide huvide, õiguste ja vabadustega? Kirjeldage üksikasjalikult esinenud juhtumeid ja esitage sel ajal tehtud analüüs.

☒ Ei ole keeldunud 'ülekaalukatel õiguspärastel põhjustel'.
3.5 Kuidas tagab Teie organisatsioon isikuandmete kaitse üldmääruse artikli 17 lõike 2 rakendamise, kui isikuandmed avalikustatakse (st tehakse kõigile kättesaadavaks veebilehel, sotsiaalmeedias vms kanalis)? Milliseid meetmeid võetakse, et tagada õigus olla unustatud?

Me ei postita andmesubjekti andmeid.
3.6 Milliseid erandeid isikuandmete kaitse üldmääruse artikli 17 lõikest 3 või muudest isikuandmete kaitse üldmääruse artikli 23 lõikel 1 põhinevatest siseriiklikest eranditest kohaldab teie organisatsioon kõige sagedamini (valige kõik sobivad)?
☐ sõna- ja teabevabaduse õiguse kasutamine
☐ vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud töötlemist nõudva juriidilise kohustuse täitmine
Kui seda alust kasutate, siis märkige palun kõige sagedamini kohaldatavad õiguslikud alused:
☐ avalikes huvides oleva ülesande täitmine või vastutava töötleja avaliku võimu teostamine
Kui seda alust kasutate, siis märkige palun kõige sagedamini kohaldatavad õiguslikud alused:
☐ rahvatervise valdkonna avaliku huviga seotud põhjustel
☐ avalikes huvides toimuv arhiveerimine, teadus- või ajaloouuringu või statistine eesmärk niivõrd, kuivõrd õigus andmete kustutamisele tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral
☐ õigusnõuete koostamine, esitamine või kaitsmine
☐ muu
Kui muu, siis palun täpsustage:

Me ei ole kunagi keeldunud andmete kustutamisest artikli 17 lõike 3 punkt a alusel.

3.7 Kuidas Teie organisatsioon kontrollib, et artikli 17 lõikes 3 sätestatud eranditele tuginemise tingimused on täidetud?

Me ei ole kunagi keeldunud andmete kustutamisest artikli 17 lõike 3 punkt a alusel.

3.8 Kui Teie organisatsioon on kunagi keeldunud andmete kustutamisest sõna- ja teabevabaduse õiguse alusel (isikuandmete kaitse üldmääruse artikli 17 lõike 3 punkt a), siis kirjeldage palun üksikasjalikult neid juhtumeid ja esitage sel ajal tehtud keeldumise aluseks olnud analüüs.

Me ei ole kunagi keeldunud andmete kustutamisest artikli 17 lõike 3 punkt a alusel.
3.9 Kui õigust andmete kustutamisele ei saa tagada taoltuse esitamise ajal, näiteks esinevad õiguslikud või lepingulised kohustused andmete säilitamiseks, siis milliseid muid meetmeid te andmesubjektide õiguste kaitseks võtate (nt isikuandmete kaitse üldmääruse artikli 18 kohane õigus isikuandmete töötlemise piiramisele)?

Sellisel juhul piiratakse andmete töötlemist vastavalt artiklile 18, kuni kustutamise alus laheneb.
3.10 Kuidas täidab Teie organisatsioon oma kohustust teavitada andmete vastuvõtjaid õigusest andmete kustutamisele (isikuandmete kaitse üldmääruse artikli 19 esimene ja teine lause)?
Vastuvõtjatele edastatakse alati ajakohane nimistu, mis välistab kustutatud andmete edastamise.
3.11 Kuidas Teie organisatsioon toimib, kui andmesubjekt esitab taotluse, mis sisaldab nii taotlust juurdepääsuks oma isikuandmetele (isikuandmete kaitse üldmäärus artikkel 15) kui ka isikuandmete kustutamise taotlust?

Teavitame andmesubjekti võimalusest püsikliendi iseteeninduskeskkonnas oma andmeid vaadelda ja kustutada. Kui andmesubjektil puudub ligipääs iseteenindusele, edastame talle küsitud andmed meili teel.

4. Andmesubjektidega suhtlemine
4.1 Kas annate andmesubjektile juhiseid või kirjeldate isikuandmete kustutamise taotluse esitamise protsessi? Kui jah, siis palun märkige, kust on võimalik leida andmete kustutamise taotluse esitamise juhised või menetlusprotsessi kirjeldust.

Juhised on kättesaadavad meie privaatsuspoliitikas: https://www.prismamarket.ee/leht/privaatsuspoliitika

4.2 Kas teie organisatsiooni andmekaitsetingimustes on kirjas (valige üks või mitu sobivat vastust):
☒ andmete konkreetne säilitamisperiood (aastates)
☒ kõnealuse perioodi kindlaksmääramiseks kasutatud kriteeriumid
☐ mitte kumbki eespool nimetatutest
Kui mitte kumbki, siis palun täpsustage:

4.3 Milliste sidekanalite kaudu saate andmesubjektidelt isikuandmete kustutamise taotlusi (valige kõik sobivad)?
☒ e-posti aadress
☐ üldine veebivorm
☐ veebipõhine erivorm, mis on mõeldud andmete kustutamise taotluse esitamiseks
☐ postiaadress (paberkandjal taotluse esitamine)
☐ muu
Kui muu, siis palun täpsustage:

4.4 Kuidas vastab teie organisatsioon isikuandmete kustutamise taotlustele (valige kõik sobivad)?
☒ e-posti aadress
☐ veebipõhine kasutajakonto
☐ postiaadress (vastuse saatmine paberkandjal)
☐ muu
Kui muu, siis palun täpsustage:

4.5. Kas andmesubjektile saadetakse kinnitus isikuandmete kustutamise taotluse kättesaamise kohta?
☒ jah
☐ ei
4.5.1. Kui jah, siis kas kinnituses on kirjas teave menetlemise aja / eeldatava menetlemise aja kohta?
☒ jah
☐ ei

5. Tehnilised aspektid
5.1. Kas järgite isikuandmete kustutamisel tehnilisi standardeid (nt ISO/IEC)?
☐ jah / ei jälgi
Kui jah, siis palun täpsustage:
☐ ei

5.2 Kirjeldage, kuidas kustutab Teie organisatsioon isikuandmeid tehniliselt sellisel viisil, et neid ei ole hiljem võimalik enam taastada?
Kliendi isikuandmed kustutatakse püsikliendiprogrammist taastamist mittevõimaldaval moel. Kliendi ostuandmed anonüümitakse andmelaos nii, et neid ei saa enam seostada andmesubjektiga.

5.3 Kas teie organisatsioon kasutab tehnilisi vahendeid (nt tarkvara) isikuandmete kustutamise taotluste menetlemiseks?
☐ jah
Kui jah, siis palun täpsustage:
☒ ei

5.4 Kas olete kaasanud isikuandmete kustutamiseks teenusepakkuja?
☐ jah
Kui jah, siis palun täpsustage:
☒ ei

5.5 Kas Teie asutus kustutab andmed nende anonüümseks muutmise teel (kustutades igasuguse teabe tuvastatud või tuvastatava füüsilise isiku kohta)?
☐ jah. Anonüümimist kasutame juhul, kui andmekaitsesubjekt võtab tagasi ostuandmete töötlemise nõusoleku.
Kui jah, siis palun selgitage, miks kasutatakse kustutamise asemel anonüümimist ja kuidas seda tehniliselt teostatakse:

Muudame andmelao süsteemis kliendi ja tema ostude vahelise seose anonüümseks kindla algoritmi abil. Kasutame anonüümimist täieliku kustutamise asemel selleks, et säilitada süsteemis kogumüügi andmed.
5.6. Kas isikuandmed kustutatakse ka varukoopiatest ja erinevatest andmebaasidest?
☒ jah, erinevatest andmebaasidest. Varukoopiad ei kasuta.
☐ ei
5.6.1. Kui jah ning kustutate nii andmebaasidest kui ka varukoopiatest, siis kas rakendate varukoopiatele samu kustutamise protsesse?
☐ jah
☐ ei
Kui ei, siis palun selgitage protsesside erinevusi:

6. Teie kogemused
6.1 Milliste õiguslike, tehniliste ja/või organisatsiooniliste probleemidega puutute kokku, kui rakendate isikuandmete kaitse üldmääruse artiklis 17 sätestatud õigust andmete kustutamisele / õigust olla unustatud?
6.2 Mis võiks Teid aidata isikuandmete kustutamise taotluste menetlemisel (näidised, tööriistad, midagi muud)?

Abiks oleksid riiklikult kooskõlastatud näidised või standardid taotluste menetlemiseks.
6.3 Kas Teil on märkusi või lisateavet seoses isikuandmete kustutamise taotlustega, mida sooviksite esitada ja mis ei ole vastustega eelnevatele küsimustiku küsimustele kaetud?