EuDDN platvormi privaatsustingimused

Käesolev privaatsusteade kirjeldab, kuidas AS Postimees Grupp (edaspidi Teenuseosutaja, meie) töötleb isikuandmeid vastutava töötleja (ärikliendi, edaspidi Klient) nimel ja heaks, kui Klient kasutab EuDDN platvormi (edaspidi Platvorm) tööriistana oma digitaalse sisu (edaspidi Sisu) ja sellega seotud andmete haldamiseks.

Lisaks kirjeldab käesolev privaatsusteade juhtumeid, kus Teenuseosutaja tegutseb iseseisva vastutava töötlejana seoses Platvormi pakkumise ja haldamisega (nt kliendisuhte haldamine, arveldus, platvormi turvalisus). Täiendav täpsem teave sellise andmetöötluse kohta on toodud punktis 1.3 ja Üldistes privaatsustingimustes.

Klient on Platvormi kasutamisel ja selle kaudu töödeldavate isikuandmete töötlemise eesmärkide ja vahendite määramisel vastutav töötleja. Teenuseosutaja tegutseb volitatud töötlejana Kliendi dokumenteeritud juhiste (näiteks poolte vahel sõlmitud lepingu) alusel, välja arvatud juhul, kui kohaldatav õigus nõuab teisiti.

1. Vastutav ja volitatud töötleja
   1. Vastutav töötleja on äriklient, kes kasutab Platvormi ning määrab kindlaks, milliseid isikuandmeid, mis eesmärgil ja millisel õiguslikul alusel Platvormil töödeldakse.
   2. Volitatud töötleja (edaspidi ka: Teenuseosutaja) on AS Postimees Grupp, registrikood 10184643, aadress Tartu mnt 80, Tallinn 10112, e-posti aadress: legal@postimeesgrupp.ee. Andmekaitse küsimustes on e-posti aadressiks: isikuandmed@postimeesgrupp.ee.
   3. Teenuseosutaja iseseisva vastutava töötlejana
      1. Teatud juhtudel tegutseb Teenuseosutaja seoses Platvormiga iseseisva vastutava töötlejana, eelkõige kui:
         1. sõlmib ja täidab lepinguid Kliendiga (kliendisuhte ja arvelduse haldamine);
         2. tagab Platvormi ja sellega seotud IT-süsteemide turvalisuse (sh logimine ja monitooring oma õigustatud huvi alusel);
         3. arendab ja parandab Platvormi;
         4. täidab õigusaktidest tulenevaid kohustusi (nt raamatupidamis- ja maksukohustused);
         5. teostab oma õigusi ja õiguskaitsevahendeid (nt lepingurikkumiste, turvaintsidentide ja rünnete korral).
      2. Nendes piirides määrab Teenuseosutaja ise isikuandmete töötlemise eesmärgid ja vahendid ning vastutab vastutava töötlejana töötlemise õiguspärasuse eest.
      3. Teave Teenuseosutaja kui vastutava töötleja poolse andmetöötluse (sh andmetöötluse eesmärkide, isikuandmete kategooriate, andmete edastamise, andmesubjektide õiguste, nende teostamise korra jm) kohta on toodud Üldistes privaatsustingimustes.
2. Töödeldavate isikuandmete liigid
   1. Teenuseosutaja võib volitatud töötlejana töödelda Platvormi kaudu järgmisi isikuandmete kategooriaid, mida Klient talle edastab või Platvormi kaudu kättesaadavaks teeb:
      1. Kliendi kasutajakontode andmed:
         a) Kliendi poolsete Platvormi kasutajate (edaspidi: Kasutajad) nimi;
         b) roll (nt Peakasutaja, tavakasutaja);
         c) tööalane e-posti aadress;
         d) Kliendi organisatsiooni/ettevõtte nimi.
      2. Autentimis- ja ligipääsuandmed:
         a) kasutajanimi (e-postiaadress);
         b) salasõna (krüpteeritud kujul);
         c) rollid ja ligipääsuõigused (sh seosed kontode ja Sisu haldamise õigustega).
      3. Platvormi kasutamisega seotud tehnilised andmed:
         a) logid Kasutajate tegevuste kohta (nt kasutajatunnus, kasutaja nimi, muudatuste tegemine, Sisu üleslaadimine ja avaldamine);
         b) Kasutaja seadistused ja eelistused Platvormis.
      4. Kolmandate platvormide liidestustega seotud andmed:
         a) metaandmed Kliendi poolt ühendatud äriliste või professionaalsete kolmandate osapoolte kontode kohta (nt sotsiaalmeedia või muud platvormid, mis lubavad automatiseeritud Sisu avaldamist);
         b) tehnilised volitused, token'id ja seadistused, mis on vajalikud Sisu edastamiseks ja statistika lugemiseks kolmandate platvormide rakendusliideste kaudu;
         c) info edastatud Sisu avaldamise kohta (nt avaldamise aeg, staatus, vaadete ja muude näitajate statistika).
      5. Sisu ja selles sisalduda võivad isikuandmed
         a) Sisu ja sellega seonduv teave, mille Klient või Kasutaja Platvormi üles laadib, salvestab, haldab või edastab (nt videod, pildid, kirjeldused, pealkirjad, metaandmed jms);
         b) isikuandmed, mis võivad Sisus esineda (nt isikute kujutised, hääled, nimed, sotsiaalmeediakonto andmed). Sellise andmetöötluse sisu ja ulatuse määrab Klient;
         c) Platvorm on mõeldud ärilisel või professionaalsel eesmärgil loodud Sisu haldamiseks. Platvorm ei ole ette nähtud isiklike, privaatsete ega eraeluliste videote haldamiseks, salvestamiseks ega avaldamiseks. Kui sellist Sisu siiski Platvormi kaudu töödeldakse, vastutab selle eest ainuisikuliselt Klient vastutava töötlejana.
         d) Platvorm ei ole ette nähtud eriliiki isikuandmete (IKÜM art 9) ega süüteoandmete (IKÜM art 10) süstemaatiliseks töötlemiseks. Kui Klient selliseid andmeid Platvormi kaudu otsustab töödelda, vastutab ta ise õigusliku aluse ja lisakaitsemeetmete eest.
3. Isikuandmete töötlemise eesmärgid ja õiguslikud alused
   1. Teenuseosutaja volitatud töötlejana.

      Teenuseosutaja töötleb isikuandmeid ainult järgmiste eesmärkide saavutamiseks ja ulatuses, mis on vajalik Platvormi kasutamise võimaldamiseks vastavalt Kliendiga sõlmitud lepingule ja Kliendi juhistele:

      1. Platvormi funktsionaalsuse pakkumine
         1. Kliendi ja Kasutajate autentimine ja autoriseerimine;
         2. kasutajakontode ja rollide haldamine;
         3. Sisu tehniline üleslaadimine, salvestamine, töötlemine ja edastamine;
         4. Sisu edastamine kolmandate keskkondade ja platvormide rakendusliideste kaudu ning manustamine iframe'i abil, vastavalt Kliendi otsustele ja juhistele.
      2. Teenuse toimimise tagamine ja tehniline tugi:
         1. Platvormi töö tõrgeteta toimimise monitoorimine;
         2. rikete, tõrgete ja vigade tuvastamine ning kõrvaldamine;
         3. hooldustööd ja Platvormi arendamine (võib hõlmata anonüümseks või agregeerituks muudetud andmete kasutamist).
      3. Turvalisuse ja väärkasutuse ennetamine
         1. Kliendiga kooskõlastatud turvameetmete rakendamine.
   2. Teenuseosutaja ei kasuta punktis 3.1 toodud Platvormi kaudu töödeldavaid isikuandmeid enda eesmärkidel, välja arvatud juhul, kui see on Kliendiga eraldi kokku lepitud või tuleneb otseselt õigusaktidest.
4. Isikuandmete töötlemise õiguslik alus
   1. Platvormi kaudu töödeldavate isikuandmete töötlemise õigusliku aluse määrab Klient vastutava töötlejana.
   2. Klient kohustub:
      1. määratlema õigusliku aluse iga isikuandmete kategooria jaoks (nt töötajate andmed, koostööpartnerite andmed, andmesubjektide andmed Platvormi kaudu töödeldavas Sisus);
      2. andma andmesubjektidele (nt oma töötajatele ja teistele andmesubjektidele) nõutud teabe (IKÜM art 13–14), sh vajadusel teavitama, et kasutatakse Teenuseosutajat volitatud töötlejana;
      3. tagama, et Platvormi kasutatakse kooskõlas kohaldatava õigusega (sh isikuandmete kaitset puudutavate õigusaktidega) ning kolmandate platvormide teenusetingimustega.
   3. Teenuseosutaja tugineb andmetöötlusel Kliendi antud juhistele ja eeldab, et Klient on need juhised andnud kehtiva õiguse piires.
5. Isikuandmete allikad
   1. Teenuseosutaja saab isikuandmed peamiselt:
      1. otse Kliendilt või Platvormi Kasutajatelt, kui nad loovad ja kasutavad kontosid Platvormil (nt registreerimine, seadistused);
      2. kaudselt, kui Klient integreerib Platvormi kolmandate osapoolte teenustega (nt rakendusliidese kaudu ühendatud sotsiaalmeediakontod, muud integratsioonid) ning need edastavad andmeid Platvormile;
      3. Sisu, sellega seotud sisestatud teabe ja metaandmete kaudu, mille Klient või Kasutajad Platvormile üles laadivad.
6. Isikuandmete edastamine ja vastuvõtjad
   1. Volitatud töötlejana edastab Teenuseosutaja isikuandmeid üksnes Kliendi dokumenteeritud juhiste alusel ja ulatuses, mis on vajalik Platvormi toimimiseks.
   2. Kolmandate osapoolte platvormid Kliendi juhiste alusel
      1. Kui Klient ühendab Platvormiga kolmandad teenused (nt sotsiaalmeediaplatvormid või muud keskkonnad), edastab Teenuseosutaja isikuandmeid (sh Sisu, sellega seotud andmed ja metaandmed) nendele platvormidele ulatuses, mis on vajalik:
         1. Vastutava töötleja poolt määratud Sisu avaldamiseks ja levitamiseks;
         2. kolmandate platvormide pakutava statistika või muu info vastuvõtmiseks Platvormi poolt.
      2. Nendes kolmandates platvormides toimub isikuandmete töötlemine vastavalt nende enda privaatsus- ja kasutustingimustele. Klient vastutab sellise andmeedastuse (sh juhul, kui andmeedastus toimub väljaspoole EMP-d) õiguspärasuse ning andmesubjektide korrektse teavitamise eest.
   3. Õigusaktidest tulenevad edastused
      Kui kohaldatav õigus seda nõuab (nt kohtu, järelevalve- või õiguskaitseasutuse siduv nõue), võib Teenuseosutaja olla kohustatud avaldama isikuandmeid ka ilma Kliendi juhisteta. Võimaluse korral teavitab Teenuseosutaja Klienti sellisest edastamisest enne või kohe pärast edastamist, välja arvatud juhul, kui see on õigusaktidega keelatud.
7. Andmete säilitamine ja kustutamine Kliendi nimel
   1. Platvormi andmed (Sisu, sellega seotud andmed, metaandmed, kontode andmed)
      1. Üldjuhul säilitatakse Platvormile salvestatud Kliendi andmeid Kliendiga sõlmitud lepingu kehtivuse ajal.
      2. Pärast lepingu lõppemist kustutab Teenuseosutaja Platvormile salvestatud Sisu, kontod ja Kliendi ning Kasutajate andmed 30 kalendripäeva jooksul, kui Kliendiga ei ole kokku lepitud teisiti või õigusaktidest ei tulene säilitamiskohustust.
      3. Kliendil on võimalik Platvormil toodud võimaluste piires isikuandmeid ka ise kustutada.
   2. Varukoopiad
      1. Kui see on Kliendiga lepingus kokku lepitud kasutatakse Platvormi andmete varundamist vastavalt kokku lepitud tingimustele.
      2. Varukoopiad kustutatakse või kirjutatakse üle vastavalt lepingus kokku lepitule. Varukoopiatest andmete selektiivne kustutamine ei pruugi olla tehniliselt võimalik, kuid varukoopiaid kasutatakse üksnes teenuse taastamiseks rikke või turbeintsidendi korral või lepingus kokku lepitud muudel juhtudel.
   3. Turbe- ja kasutuslogid
      1. Teenuseosutaja säilitab turbe- ja kasutuslogisid mõistliku aja jooksul, mis on vajalik:
         1. Platvormi turvalisuse ja töökindluse tagamiseks;
         2. intsidentide tuvastamiseks ja uurimiseks;
         3. võimalike lepinguliste või õiguslike nõuete tõendamiseks.
      2. Täpsed säilitamistähtajad võivad olla sätestatud Teenuseosutaja sisemistes protseduurides või Kliendiga sõlmitud lepingus.
   4. Teenuseosutaja võib säilitada teatud logisid ja lepinguandmeid pikemalt oma õigusnõuete tõendamiseks vastavalt seadusest tulenevatele aegumistähtaegadele.
8. Turvameetmed
   1. Teenuseosutaja rakendab Platvormil töödeldavate isikuandmete kaitsmiseks asjakohaseid tehnilisi ja korralduslikke turvameetmeid, et kaitsta kasutajate isikuandmeid juhusliku ja loata hävimise, kaotsimineku, muutmise, loata avaldamise või neile loata juurdepääsu eest.
   2. Teenuse osutamisel kasutatakse sisuedastusvõrke (Content Delivery Network või CDN), mille kaudu edastatakse voogedastussisu ja sellega seotud tehnilised andmed.
   3. Teenuseosutaja poolt rakendatavad turvameetmed hõlmavad muu hulgas järgmist:
      1. isikuandmetele juurdepääsu võimaldatakse ainult volitatud isikutele;
      2. isikuandmete edastamine kasutaja seadme, Teenuseosutaja süsteemide ja CDNi vahel toimub krüpteeritud ühenduste kaudu;
      3. teenuse turvalisuse ja töökindluse tagamiseks kasutatakse piiratud ulatuses logimist, sealhulgas tehniliste sündmuste ja võimalike turvaintsidentide tuvastamiseks;
      4. rakendatakse meetmeid teenuste kättesaadavuse tagamiseks;
      5. perioodiliselt hinnatakse rakendatavate turvameetmete tõhusust.
   4. Kõiki turvameetmeid rakendatakse vastavalt andmete töötlemise iseloomule ja sellega seotud riskidele.
   5. Kliendiga sõlmitud andmetöötluslepingus võib olla kokku lepitud täiendavate turvameetmete kasutamises.
9. Veebiküpsiste ja muude veebitehnoloogiate kasutamine Platvormil
   1. Platvormil kasutatakse hädavajalikke küpsiseid, mis on vajalikud Teenuse tehniliseks toimimiseks ja turvalisuse tagamiseks.
   2. Kasutusel olevad veebiküpsised kaitsevad veebilehte turvarünnete eest, hoiavad infot sisse loginud Kasutaja kehtiva sessiooni kohta, et sisselogimise olek säiliks lehtede vahel liikudes ning võimaldavad Kasutaja soovi korral meeles pidada sisselogitud olekut.
   3. Neid küpsiseid ei kasutata muudel eesmärkidel (nt profiilide loomiseks, tegevuse jälgimiseks turunduslikel eesmärkidel ega statistika kogumiseks).
   4. Kui Kasutaja keelab oma veebilehitseja seadetes hädavajalikud küpsised, ei pruugi Platvormi kõik funktsioonid korrektselt toimida.
10. Andmesubjekti õigused
    1. Andmesubjekti õiguste (nt juurdepääs, parandamine, kustutamine) peamine kontakt on Klient vastutava töötlejana. Klient kohustub informeerima andmesubjekte IKÜM-ist tulenevatest õigustest ning nende teostamise viisidest.
11. Privaatsusteate ja andmetöötluse tingimuste muutmine
    1. Teenuseosutajal on õigus käesolevat privaatsusteadet ja andmetöötluse tingimusi ajakohastada.
    2. Uuendatud privaatsusteade avaldatakse Platvormil ja/või Teenuseosutaja veebilehel.
    3. Olulistest muudatustest, mis võivad mõjutada Kliendi või andmesubjektide õigusi (nt töötlemise eesmärkide muutmine, uute isikuandmete kategooriate lisamine, uute alltöötlejate kaasamine), teavitab Teenuseosutaja Klienti lepingus kokkulepitud viisil ja vastavate kanalite kaudu (nt e-posti teel).