Mida käesolevad privaatsustingimused katavad?
Privaatsustingimused katavad Eesti äpp mobiilirakenduses toimuva isikuandmete töötluse Riigi Infosüsteemi Ameti (RIA/me/meie) poolt:
- mobiilirakenduses sisse logitud kasutaja puhul ning
- RIA pakutavate teenuste osas – autentimisteenused, e-teenused (päringud iseteeninduses), postkast ja teised Privaatsustingimustes toodud teenused.
Samuti anname Privaatsustingimustes teabe Teie isikuandmetega seotud õiguste kohta.
Mida käesolevad privaatsustingimused ei kata?
RIA muu, väljaspool Eesti äpp mobiilirakendust toimuv, töötlus on kirjeldatud RIA kodulehel https://www.ria.ee/amet-uudised-ja-kontakt/isikuandmete-tootlemine#veebileht-uldtelefon.
Miks tutvuda Privaatsustingimustega?
Tutvuge kindlasti Privaatsustingimustega, sest need sisaldavad olulist teavet Teie isikuandmete töötlemise kohta ning kirjeldavad Teie isikuandmetega seotud õiguseid.
Kust saab lisainfot?
Kui vajate lisateavet või teil tekib küsimusi, kuidas toimub Teie isikuandmete töötlus Eesti äpp mobiilirakenduses, siis võtke meiega julgelt ühendust punktis 3.1 toodud kontaktidel.
1. Privaatsustingimuste ülesehitus
2. Mõisted ja nende selgitused
2.1. Isikuandmete kaitse mõistetel on sama tähendus, mis on määratletud siin või isikuandmete kaitse üldmääruses (2016/679) (IKÜM). Teksti lugemise lihtsustamiseks oleme mõned IKÜM terminid siin peatükis avanud, kuid kasutame IKÜM põhitermineid Privaatsustingimuste põhitekstis läbivalt väikse tähega.
2.2. Andmesubjekt/Teie – füüsiline isik, kelle kohta meil on teavet, mida saab kasutada füüsilise isiku tuvastamiseks.
2.3. Iseteenindus – on riigiportaali eesti.ee sisse logitud kasutaja vaates. Iseteeninduses saab andmesubjekt teenuseid kasutada.
2.4. Küpsised – andmefailid, mis salvestatakse riigiportaal eesti.ee külastajate seadmesse vastavalt külastaja poolt küpsise lahenduses tehtud valikutele. Lisateave küpsiste kasutamise kohta on leitav veebilehel eesti.ee oleva küpsiste lahenduse kaudu ja küpsiste poliitikas.
2.5. Mobiilirakendus Eesti äpp – riigiportaalil eesti.ee põhinev mobiilirakendus, mis toimib vaid sisselogitud vaates ja hõlmab endas enimkasutatavaid riigiportaalis eesti.ee kuvatavaid teenuseid.
2.6. Privaatsustingimused – on käesolevad mobiilirakenduses Eesti äpp isikuandmete töötlemist kirjeldavad privaatsustingimused.
2.7. RIA/me/meie – Eesti Riigi Infosüsteemi Amet
2.8. Teenusepakkuja – üldjuhul avalik-õiguslikke ülesandeid täitev juriidiline isik, kelle teenusele on ligipääs riigiportaali eesti.ee kaudu.
2.9. Teenus(ed) – on teenused, päringud jms, mis on kättesaadavad Eesti äpp mobiilirakenduse kaudu ja RIA poolt pakutavad autentimisteenused. Täpsemalt katab mõiste teenused järgnevaid teenuseid:
a) Andmejälgija – RIA pakutav andmejälgija funktsionaalsus, mille abil saab andmesubjekt Iseteeninduse kaudu tutvuda enda isikuandmete töötlemisega riiklikes andmekogudes.
b) Autentimisteenused – RIA pakub järgnevaid autentimisteenuseid: Riigi autentimisteenuse (TARA); Riigi SSO teenus (GovSSO) ja Euroopa Liidu piiriülese autentimistaristu Eesti sõlm (Riiklik eIDAS-Node) (koos autentimisteenused).
c) E-teenused – X-tee vahendusel pakutavad Iseteeninduses võimaldatud päringud, taotlused ja lingitud teave.
d) Andmenõusolekuteenus – RIA pakutav Andmenõusolekuteenus, mille abil saab andmesubjekt lubada riigile või ettevõtetele ligipääsu enda riiklikes andmekogudes olevatele isikuandmetele näiteks järelmaksu võtmiseks.
e) Riikliku postkasti teenus – andmesubjekti [email protected] (samuti juriidiliste isikute esindajate [email protected]) aadressiga postkasti teenus, kuhu riigiasutused ja teised avalikke ülesandeid täitvad isikud saavad saata teateid ja teavet, ning mis edastatakse andmesubjekti või RIA poolt Rahvastikuregistri andmete alusel määratud e-posti aadressile (e-kirjaga) või telefoninumbrile (SMS-iga).
3. Üldine teave ja kontaktandmed
3.1. Meist. Riigi Infosüsteemi Amet (RIA), registrikoodiga 70006317, aadress Pärnu mnt 139a Tallinn Harjumaa 15169, üldine e-post [email protected]. RIA on riiklik kompetentsikeskus, mis kujundab ja kindlustab Eesti digiühiskonna alustalasid: arendab ja haldab digiriigi keskseid tehnoloogilisi platvorme ning aitab tagada riigi küberturvalisust.
3.2. Andmekaitse kontaktid. Kui teil on isikuandmete töötlemise kohta küsimusi, kirjutage meile [email protected]. Meie andmekaitseametnikuga saab ühendust e-posti aadressil [email protected] või kasutades kontakti vormi: https://www.eesti.ee/et/vajad-abi.
3.3. Privaatsustingimustest. Privaatsustingimused kohalduvad Eesti äpp mobiilirakenduses toimuvale töötlusele. Samuti on kaetud RIA poolt Eesti äpp mobiilirakenduse teenuste osutamine. RIA võib Privaatsustingimusi ühepoolselt muuta. Teavitame andmesubjekti kõigist olulistest muudatustest riigiportaalis või muul viisil.
3.4. Vastutava töötleja ja volitatud töötleja staatusest. RIA on oma töötlustoimingutes erinevates isikuandmete töötluse rollides.
3.4.1. Täpsemalt on RIA Privaatsustingimuste reguleerimisalasse jäävast töötlusest vastutav töötleja järgmistes olukordades:
a) Andmejälgija teenuse pakkumine;
b) Mobiilirakenduses;
c) Andmenõusolekuteenuse pakkumine;
d) Riikliku postkasti teenuse pakkumine;
e) kasutaja käitumise ja teekonna logimine kogu Eesti.ee mobiilirakenduses.
3.4.2. RIA on Privaatsustingimuste reguleerimisalasse jäävast töötlusest volitatud töötleja:
a) Autentimisteenuse pakkumine;
b) E-teenused funktsionaalsuse pakkumine Iseteeninduses (s.o päringute osas, mis teostatakse Iseteeninduse kaudu);
c) Riikliku postkasti e-kirjade sisu osas;
d) IT-teenuste kasutamisel (kus kasutatakse kolmanda isiku poolt pakutavat teenust) või nende osutamisel vastutava töötleja juhiste alusel.
3.5. Muud lingid/rakendused jne. Mobiilirakenduses olevad lingid võivad viia veebisaitidele, mille osas kohalduvad konkreetsete teenusepakkujate privaatsustingimused, mitte käesolevad Privaatsustingimused. RIA ei vastuta teistel veebisaitidel avaldatud sisu ega toimuva isikuandmete töötluse eest. RIA sotsiaalmeedia kanalites töödeldakse Teie isikuandmeid vastavate platvormide pakkuja poolt asjaomase platvormi privaatsustingimuste kohaselt. RIA järgib sotsiaalmeedia platvormidel toimuva töötluse osas vastava platvormi tingimusi ja käesolevaid tingimusi.
4. Andmesubjektide kategooriad
4.1. Andmesubjektide kategooriad. Privaatsustingimuste alusel töötleb RIA järgmiste andmesubjektide isikuandmeid:
a) Eesti äpp mobiilirakenduse sisse logitud isikud (füüsiline isik, juriidilise isiku füüsilisest isikust esindaja);
b) RIA ametnikud ja töötajad;
c) Teenusepakkujate ametnikud ja töötajad (nt Töötukassa esindaja nimi ja e-post);
d) muud andmesubjektid (nt päringute sisus – eestkostetavad, lapsed, abikaasa, elukaaslane jne);
e) päringu allikaorganisatsiooni töötajad ja ametnikud (nt Tervisekassa teave perearsti kohta).
RIA töötajatele antakse nende isikuandmete töötlemise osas teave asutusesiseselt. Tööle kandideerijate isikuandmete töötlemise info on leitav RIA kodulehel olevast privaatsuspoliitikast https://ria.ee/amet-uudised-ja-kontakt/isikuandmete-tootlemine#veebileht-uldtelefon.
4.2. Isikuandmete kogumine. RIA saab isikuandmed teenusepakkujatelt, kolmandatelt isikutel (nt postkasti puhul e-kirja saatja) või andmesubjektilt endalt. Üldjuhul toimub andmevahetus läbi X-tee.
5. Töötlemise üldised eesmärgid, alused ja toimingud
5.1. Nõusolek. Nõusoleku alusel töötleb RIA isikuandmeid täpselt nendes piirides, selles ulatuses ja nendel eesmärkidel, milleks andmesubjekt on andnud oma nõusoleku. Andmesubjekti nõusoleku loeme kehtivaks kui see on andud vabalt, see on konkreetne, teadlik ja üheselt mõistetav (nt kasti linnukese tegemine veebilehel). Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne nõusoleku tagasivõtmist toimunud töötlemise õiguspärasust.
5.2. Lepingu sõlmimine ja täitmine. Kui RIA sõlmib lepingu andmesubjektiga, siis toimub lepingu täitmiseks vajalike isikuandmete töötlus lepingu alusel ja selle piirides.
5.3. Avalik huvi. RIA võimaldab mobiilirakenduse ja pakub teenuseid avalik-õiguslikke ülesandeid täites ja seega on põhiline isikuandmete töötlemise alus avalik huvi (IKÜM art 6 (1) e).
5.4. Juriidiline kohustus. RIA võib kasutada töötluse alusena seadust, kui vastav kohustus on konkreetselt seaduses toodud. Näiteks võib RIA seaduse alusel isikuandmeid töödelda avaliku teabe seaduse § 321 sätestatud ja rakendusaktides sätestatud kohustuste täitmiseks.
5.5. Õigustatud huvi. Avalik-õiguslikke ülesandeid täites ei kasuta RIA töötluse alusena õigustatud huvi. Õigustatud huvi kasutamine võib olla kasutusel RIA teistel eesmärkidel töötluses (avalik-õiguslikust ülesandest väljuvad koostöösuhted, töösuhted vms). Kui RIA lähtub õigustatud huvist, oleme eelnevalt hinnanud enda ja andmesubjekti huve ning kaalunud põhjalikult töötluse põhjendatust. Andmesubjektil on õigus näha enda isikuandmete töötlemisega seotud hinnangut, kirjutades punktis 3.2 toodud kontaktidel. RIA võib andmesubjekti isikuandmeid (välja arvatud isikuandmete eriliigid ja avalik-õiguslikke ülesandeid täites) töödelda õigustatud huvi alusel järgmistel eesmärkidel:
5.5.1. parema kasutajakogemuse tagamine;
5.5.2. rahulolu-uuringute tegemine ja turundustegevuste tõhususe mõõtmine;
5.5.3. õigusnõuete koostamine, esitamine või kaitsmine.
5.6. Uus eesmärk. Kui isikuandmeid töödeldakse muul eesmärgil kui see, milleks neid esialgu koguti, või kui see ei põhine andmesubjekti nõusolekul, hindame hoolikalt sellise uue töötlemise lubatavust. Selleks, et teha kindlaks, kas uuel eesmärgil töötlemine on kooskõlas isikuandmete kogumise algse eesmärgiga, võtame muu hulgas arvesse:
5.6.1. mis tahes seost isikuandmete kogumise eesmärkide ja kavandatud edasise töötlemise eesmärkide vahel;
5.6.2. isikuandmete kogumise konteksti, eelkõige seoses andmesubjekti ja meie vaheliste suhetega;
5.6.3. isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike või isikuandmeid, mis on seotud süüdimõistvate kohtuotsuste ja kuritegudega;
5.6.4. kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;
5.6.5. asjakohaste kaitsemeetmete olemasolu, mis võivad hõlmata krüpteerimist või pseudonüümimist.
6. Mobiilirakendus Eesti äpp
6.1. Töötluse rollid. RIA on Eesti äpp mobiilirakenduse vastutav töötleja. Sisse logitud isikute puhul oleneb RIA-poolne töötluse roll konkreetsest teenusest.
6.2. Töötluse eesmärgid. Mobiilirakenduse Eesti äpp puhul on RIA vastutav töötleja järgmistel eesmärkidel toimuva töötluse puhul:
6.2.1. Rakenduse võimaldamine, mille osaks on ka:
a) arendus ja analüütika;
b) turvalisuse tagamine;
c) mobiilirakenduse Eesti äpp ligipääs - sisselogimine;
d) tagasiside, kontakti- ja muude vormide kaudu andmete edastamine;
e) teavitused, mis sisaldavad riiklikke ohuteavitusi, samuti teavitusi, mis jõuavad Teie riiklikku postkasti.
6.2.2. Teenused, mida võimaldatakse mobiilirakenduse kaudu ja neis isikuandmete töötlemine RIA poolt on kirjeldatud järgmistes peatükkides.
6.3. Mobiilirakenduse Eesti äpp isikuandmete töötluse teave (eesmärk, alus, isikuandmed, säilitamine):
| EESMÄRK | ALUS | ISIKUANDMED | SÄILITAMINE |
|---|---|---|---|
| Mobiilirakenduse võimaldamine | IKÜM art 6 (1) e – avalik huvi seoses riigiteenustele ligipääsu värava (teabevärav) võimaldamisega (AvTS § 32 prim ja Teabevärava määrus – vt AvTS § 32 prim lg 5; RIA põhimäärus) ning seadusest tulenev kohustus seaduses toodud kohustusliku töötluse ulatuses. |
Tehniline teave (sh seadme teave, IP aadress, liikumine rakenduses – logid). Tagasiside ja kontaktivormi kaudu edastatud teave. |
Logisid hoitakse kuni 5 aastat (näiteks koormuslogisid hoitakse 2 aastat). Vormide kaudu antud teave, tagasiside säilitatakse kontaktvormi puhul kuni 3 aastat ja tagasiside vormi puhul kuni 3 aastat). |
| Mobiilirakenduse arendus ja analüütika |
IKÜM art 6 (1) e – avalik huvi seoses riigiteenustele ligipääsu värava (teabevärav) võimaldamisega (AvTS § 32 prim ja Teabevärava määrus – vt AvTS § 32 prim lg 5; Tagasiside küsimine veebitoimimisele õigustatud huvi (IKÜM art 6 (1) f). |
Vt eelmisel real. |
Küpsiseid säilitatakse vastavalt küpsise lahenduses viidatud küpsise poliitikale. Logisid hoitakse kuni 5 aastat (näiteks koormuslogisid hoitakse 2 aastat). Vormide kaudu antud teave, tagasiside säilitatakse kontaktvormi puhul 3 aastat ja tagasiside vormi puhul 3 aastat) . Muu teave vastavalt kogumise eesmärgile. |
| Mobiilirakendusse sisselogimine, autentimine | IKÜM art 6 (1) e – avalik huvi seoses riigiteenustele ligipääsu värava (teabevärav) võimaldamisega (AvTS § 32 prim ja Teabevärava määrus – vt AvTS § 32 prim lg 5; RIA põhimäärus) ning seadusest tulenev kohustus seaduses toodud kohustusliku töötluse ulatuses. | Täisnimi, isikukood, autentimise teave, tehniline teave liikumise kohta teabeväravas, logid. |
Sisselogimise teavet säilitatakse 18 kuud. Logisid säilitatakse kuni 5 aastat olenevalt sisselogimise viisi valikust. Muu teave vastavalt kogumise eesmärgile. |
| Turvalisuse tagamine | Seadusest tulenev kohustus (AvTS ja Teabevärava määrus; RIA põhimäärus) ja avalik huvi. | Üldjuhul tehniline teave, logid, kuid vajadusel võidakse turvalisuse tagamiseks töödelda kõiki mobiilirakenduse kaudu töödeldavaid isikuandmeid. |
Logisid hoitakse kuni 5 aastat (näiteks koormuslogisid hoitakse 2 aastat). Muu teave vastavalt kogumise eesmärgil. |
| Teavitused („Push notifications“) ohutuse ja informeerituse tagamiseks | IKÜM art 6 (1) e – avalik huvi seoses seaduslike kohustuste täitmise ja ohutuse tagamisega. | Täisnimi, isikukood, teave. | Logisid hoitakse kuni 5 aastat (näiteks koormuslogisid hoitakse 2 aastat). |
7. Autentimisteenused
7.1. Töötluse rollid. Autentimisteenuste pakkumisel on RIA volitatud töötleja, kui võimaldab ligipääsu teise asutuse/teenusepakkuja teenustele. Sellisel juhul on vastutavaks töötlejaks asutus/teenusepakkuja, kelle teenustele ligipääsu soovitakse, ja RIA kasutab töötluseks vastutava töötleja alust. RIA on vastutav töötleja autentimisteenuse arenduse, turvalisuse ja logide puhul.
7.2. Töötluse eesmärgid. RIA-poolse töötluse eesmärkideks on autentimisteenuse võimaldamine ja seotud avaliku huvi täitmine ja turvalisuse tagamine.
7.3. Autentimisteenuste pakkumisel teostab isiku autentimise valitud usaldusteenusepakkuja. RIA ei kasuta autentimisteenuste võimaldamisel alamtöötlejaid.
7.4. Täpsem teave autentimisteenuste kirjelduse osas on leitav https://www.ria.ee/riigi-infosusteem/elektrooniline-identiteet-ja-usaldusteenused/kesksed-autentimisteenused.
7.5. RIA kui vastutav töötleja – autentimisteenuste töötluse teave (eesmärk, alus, isikuandmed, säilitamine):
| EESMÄRK | ALUS | ISIKUANDMED | SÄILITAMINE |
|---|---|---|---|
| Teenuse arendus ja analüütika | IKÜM art 6 (1) e – avalik huvi | Üldjuhul mitteisikustatud andmed, kuid vajadusel võidakse töödelda autentimise andmeid, s.o Autentimisteenustes töödeldakse järgmiseid andmeid: kasutajat (s.o autentimist läbiv füüsiline isik) identifitseerivad andmed: autentimissertifikaat; isikukood vm isiku identifikaator; ees- ja perekonnanimi; sünniaeg; riik; mobiiltelefoninumber; registrikood vm juriidilise isiku identifikaator; juriidilise isiku ärinimi; keelevalik; ning autentimistoimingu andmed: kuupäev ja kellaaeg; rakendus, kust kasutaja autentimisele suunati; autentimismeetod; IP-aadress, millelt kasutaja autentimisele suunati; autentimise tulemus (autenditud või mitte). |
Ei säilitata eraldi, st andmed säilivad vastavalt oma esialgsele kogumise eesmärgile. |
| Turvalisuse tagamine ja logimine | Seadusest tulenev kohustus (AvTS ja Teabevärava määrus; RIA põhimäärus) ja avalik huvi. | Üldjuhul tehniline teave, logid, kuid vajadusel võidakse turvalisuse tagamiseks töödelda kõiki mobiilirakenduse ja autentimisteenuse kaudu töödeldavaid isikuandmeid. |
Logisid hoitakse 18 kuud. Muu teave vastavalt kogumise eesmärgile. |
8. E-teenused
8.1. Töötluse rollid. RIA on e-teenuste päringute, taotluste ja e-teenuste ligipääsu/teabe linkimise osas volitatud töötleja. Volitatud töötlejana kasutab RIA vastavateks töötlustoiminguteks sama alust kui vastutavast töötlejast teenusepakkuja.
8.2. Töötluse eesmärgid. Teenusepakkuja teave on leitav päringu/taotluse juures (nimi, kontakt). Rohkem teavet seoses Teenusepakkujapoolse isikuandmete töötlusega on leitav vastava teenusepakkuja veebilehel ja privaatsuspoliitikas.
8.3. Teave, mis edastatakse päringu või taotlusega e-teenuse puhul Teenusepakkujale on nähtav päringus/taotluses. Päringu/taotlusega võib minna kaasa tehniline teave päringu/taotluse kontrolliks ja võimaldamiseks. E-teenuste (üksikpäringud) puhul toimub infovahetus RIA ja andmekogu vahel kolmel viisil:
a) Linkimine. Infovahetus läbi linkimise tähendab, et mobiilirakenduses Eesti äpp tehakse kättesaadavaks viide soovitud teabe asukohale andmekogus, teavet ennast ei avaldata. Samuti ei edastada linkimise puhul isikuandmeid sisaldavat teavet andmekogust RIA-le ja RIA ei edasta isikuandmeid sisaldavaid andmeid andmekogusse.
b) Taotlus. Infovahetus läbi taotluse tähendab, et isik esitab läbi RIA andmekogusse isikuandmeid sisaldavat teavet valitud teenuse saamiseks.
c) Päring. Infovahetus läbi päringu tähendab, et kättesaadavaks tehakse andmekogudes asuv teave. Päringu puhul edastab andmekogu isikuandmeid sisaldavat teavet RIA-le.
8.4. Täpsem teave e-teenuste osas on leitav lühikirjeldus konkreetse e-teenuse juures või teenusepakkuja veebilehel.
8.5. E-teenuste (üksikpäringud) võimaldamisel on RIA volitatud töötleja (vt peatükk 11) ei kasuta RIA alamtöötlejaid.
8.6. RIA kui volitatud töötleja – e-teenuste isikuandmete töötluse teave (eesmärk, alus, isikuandmed, säilitamine) on toodud all olevas tabelis:
| EESMÄRK | ALUS | ISIKUANDMED | SÄILITAMINE |
|---|---|---|---|
| Teenusepakkujate teenused Eesti äpp mobiilirakenduses | Vastutava töötleja seaduslik alus. |
Teave, mis edastatakse päringu või taotlusega e-teenuse puhul Teenusepakkujale ning tehakse kättesaadavaks Eesti äpp mobiilirakenduses. Päringu/taotlusega võib minna kaasa tehniline teave päringu/taotluse kontrolliks ja võimaldamiseks. |
Vastavalt vastutava töötleja privaatsustingimustele. |
9. Riiklik postkast
9.1. Töötluse rollid. RIA on riikliku postkasti teenuse osas vastutav töötleja.
9.2. Riikliku postkasti teenusele saab ligi ainult sisse logitud andmesubjekt. Seega eelneb töötlusele mobiilirakendusse sisenemisel autentimine (vt täpsemalt ptk 7).
9.3. Töötluse eesmärgid. Riikliku postkasti teenuse üldine eesmärk on võimaldada teadete esitamise funktsionaalsust riigiasutustelt ja teistelt avalikke ülesandeid täitvatelt isikutelt andmesubjektile läbi nende [email protected] või juriidiliste isikute esindajatele [email protected], kuid selle eesmärgiga kaasneb ja on seotud turvalisuse tagamine ja arendus ning analüütika. Riiklik postkast ei võimalda e-kirjade saatmist, st võimalik on ainult e-kirju saada ja edasi suunata andmesubjekti poolt valitud e-posti aadressile.
9.4. RIA vastutava töötlejana – riikliku postkasti teenuses isikuandmete töötluse teave (eesmärk, alus, isikuandmed, säilitamine):
| EESMÄRK | ALUS | ISIKUANDMED | SÄILITAMINE |
|---|---|---|---|
| Eesti.ee e-postkasti võimaldamine | IKÜM art 6 (1) e – avalik huvi seoses riigiteenuste võimaldamisega (AvTS § 32 prim ja Teabevärava määrus – vt AvTS § 32 prim lg 5; RIA põhimäärus). |
Andmesubjekti e-posti aadress, isikukood, telefoni number, teadete sisu. RIA ei ole vastutav töötleja teadete, e-kirjade sisu osas. |
Teadet säilitatakse üldreeglina vähemalt 3 aastat, v.a kui andmesubjekt teabe ise varem kustutab, teabesaatja kutsub ise teate tagasi või kui teabesaatja on määranud konkreetse säilitustähtaja. |
| Suunamine teisele e-posti aadressile ja/või teate saamise võimaldamine telefonile |
Teoga nõusolek – andmesubjekt sisestab soovitud e-posti aadress ja/või mobiilinumbri. IKÜM (6) 1 c - seaduslik kohustus – mille alusel RIA ja Rahvastikuregister uuendavad andmeid (nt määruse Rahvastikuregistri ülesehitus, turvaklass, täpne andmekoosseis ja andmeandjate üleantavate andmete loetelu § 53, mille alusel RIA annab suunatud ametliku e-posti aadressi koos selle alguse- ja lõpukuupäevaga ning isiku telefoninumbri). |
Andmesubjekti e-posti aadress, telefoninumber, teadete sisu. RIA ei ole vastutav töötleja teadete, e-kirjade sisu osas. |
Andmesubjekt saab sisestatud e-posti aadressi ja telefoninumbrit muuta. |
| Teenuse arendus ja analüütika | IKÜM art 6 (1) e – avalik huvi seoses riigiteenuste võimaldamisega (AvTS § 32 prim ja Teabevärava määrus – vt AvTS § 32 prim lg 5; RIA põhimäärus) ning seadusest tulenev kohustus seaduses toodud kohustusliku töötluse ulatuses. | Täisnimi, isikukood, autentimise teave, tehniline teave liikumise kohta mobiilirakenduses, e-postkasti teenuse kasutamise teave, logid. |
Logisid hoitakse kuni 5 aastat (näiteks koormuslogisid hoitakse 2 aastat). Muu teave vastavalt kogumise eesmärgile. |
| Turvalisuse tagamine | Seadusest tulenev kohustus (AvTS ja Teabevärava määrus; RIA põhimäärus) ja avalik huvi. | Üldjuhul tehniline teave, logid, kuid vajadusel võidakse turvalisuse tagamiseks töödelda kõiki mobiilirakenduse kaudu töödeldavaid isikuandmeid. |
Logisid hoitakse kuni 5 aastat (näiteks koormuslogisid hoitakse 2 aastat). Muu teave vastavalt kogumise eesmärgile. |
9.5. Pööra tähelepanu, et riikliku postkasti suunamisega kaasnevad riskid. RIA juhib tähelepanu, et teadete suunamisel võib teade ja seal sisalduvad isikuandmed (kui on) jõuda Euroopa Majanduspiirkonnast (EMP) välja, olenevalt andmesubjekti poolt valitud e-posti või sideteenuse pakkujast ning suunamise tulem võib tähendada, et e-kirjade sisu (ja isikuandmed) võib jõuda ka küsitava turvalisusega teenusepakkujate juurde, millisel juhul ei ole tagatud Sinu e-kirjade ja nende sisu täielikkus ja konfidentsiaalsus.
Teatud juhtudel lisab RIA enda poolse toimingu tulemusena suunamiseks e-posti aadressi või telefoninumbri (nt valimiste eelselt valijatega seotud andmed ning infovahetus Rahvastikuregistriga).
9.6. RIA kasutab postkasti teenuse pakkumisel volitatud töötlejana Riigi Info- ja Kommunikatsioonitehnoloogia Keskuse (RIT) riigipilve teenust.
10. Andmejälgija, andmenõusolekuteenus, volitused
10.1. Andmejälgija
10.1.1. Andmejälgija kaudu saate tutvuda enda isikuandmete töötlemisega riiklikes andmekogudes. Andmejälgija kuvab Teiega seotud päringuid, kaasa arvatud neid, kus isikuandmeid on pärinud kolmas osapool. RIA on Andmejälgija teenuse pakkumisel vastutav töötleja. Andmejälgija privaatsusteatisest leiad teabe töödeldavate isikuandmete, eesmärkide ja aluste kohta.
10.1.2. Täpsem teave Andmejälgija osas on leitav teenuse kirjelduses RIA – Andmejälgija.
10.2. Andmenõusolekuteenus
10.2.1. Andmenõusolekuteenuse abil saab andmesubjekt lubada ettevõtetele ligipääsu enda riiklikes andmekogudes olevatele isikuandmetele. Nõusolekuid saab anda ainult konkreetse teenuse jaoks vajaliku andmekomplekti edastamiseks, pärast mida edastatakse riigi käes olevad andmed valitud eraettevõttele. Andmenõusolekuteenuse kaudu saab andmesubjekt teostada seadusejärgset õigust otsustada enda isikuandmete töötlemise üle, valides ise kolmandad osapooled, kes tema andmetele juurdepääsu saavad. Andmenõusolekuteenuse kasutamine ning nõusolekute andmine on alati vabatahtlik. Antud nõusoleku saab igal hetkel tagasi võtta. Andmenõusolekuteenuse privaatsusteatisest leiad teabe töödeldavate isikuandmete, eesmärkide ja aluste kohta.
10.2.2. Täpsem teave andmenõusolekuteenuse osas on leitav teenuse kirjelduses RIA – Andmenõusolekuteenus
11. Isikuandmete edastamine ja volitatud töötlemine
11.1. Koostööpartnerite kasutamine. RIA teeb koostööd isikutega, kellele võidakse edastada koostöö raames ja eesmärgil andmesubjekte puudutavaid andmeid (sh isikuandmeid). RIA-l võivad nende koostööpartneritega olla eri tüüpi vastutava töötleja, volitatud töötleja ja all-volitatud töötleja suhted. Isikuandmete edastamisel kolmandatele isikutele järgitakse rangelt kohalduvaid andmekaitsenõudeid
11.2. Nõuded meie koostööpartnerite kasutamisele, kes on meie volitatud töötlejad. Selliste kolmandate isikute hulka võivad kuuluda, mh:
a) reklaami- ja turunduspartnerid (küpsiste teave);
b) erinevad nõustajad (olenevalt teenusest, teenuse osutamiseks vajalik teave);
c) riigi teenuste osutajad nt serveriteenuse pakkuja – RIT pakutav Eesti riigipilve teenus
tingimusel, et asjaomane eesmärk ja töötlemine on seaduslikud ning isikuandmeid töödeldakse vastutava töötleja juhiste ja kehtiva lepingu alusel.
Kui soovite lisainfot kasutusel olevate koostööpartnerite ja volitatud töötlejate osas, kirjutage punktis 3.1 toodud kontaktidele.
11.3. Muu edastamine. Muudel juhtudel võime edastada Teie isikuandmeid kolmandatele isikutele tingimusel, et meil on vastavaks edastuseks alus nt Teie nõusolek või juriidiline kohustus. Üldjuhul on tegemist eraldi vastutavate töötlejatega. Sellised isikud võivad olla:
11.3.1. Audiitorid ja õigusnõustajad (olenevalt teenusest võidakse edastada kõiki isikuandmeid);
11.3.2. Riigiasutused ja uurivasutused – teatud juhtudel võidakse meid kohustada Teie isikuandmeid avaldama siis, kui see on seadusega nõutav või kui avaliku sektori asutused esitavad selleks kehtiva taotluse (enne isikuandmete avaldamist hindame alati teabepäringute õiguspärasust); või on andmete avaldamine vajalik meie või kolmanda isiku õiguste kaitseks või tõendamiseks.
11.4. Edastamine väljapoole Euroopa Majanduspiirkonda (EMP). RIA töötleb isikuandmeid EMP-is. Andmesubjekti andmed võivad EMP-ist välja jõuda, kui andmesubjekt ise või RIA edastab oma riiklikust postkastist e-kirjad EMP-i välisele postkasti teenusepakkujale (vt ülal 9.5).
12. Isikuandmete turvalisus ja põhimõtted
12.1. Turvameetmed. RIA töödeldavate isikuandmete turvalisus on tagatud nii korralduslike kui ka tehniliste meetmete abil. Muu hulgas teeme turvalisuse ja konfidentsiaalsuse tagamiseks järgmist:
| Konkreetselt töödeldavaid andmeid käsitlevad meetmed | |
|---|---|
| Krüpteerimine | Kõik infosüsteemi komponendid kasutavad krüpteerimist. Komponentide vaheline liiklus on krüptitud, komponendid tuvastavad teineteist sertidega (HTTPS protokoll, TLS). |
| Anonümiseerimine |
RIA ei anonüümi reeglina isikuandmeid. Küll rakendatakse pseudonüümimist, näiteks küpsise väärtus salvestub logidesse ilma isikukoodita. |
| Loogiline juurdepääsukontroll | RIA töötajatel on ligipääs vajaduspõhine ning infole ligipääs nõutab parooli (Active Directory kaudu) ning RIA võrgus olemata puudub juurdepääs. Töötajate tegevus logitakse kasutuse põhiselt ehk rakendusse logitakse, kus töötaja käis. Täiendavalt on rakendatud töötajatele nii allalaadimise kui printimise piirangud (organisatoorse meetmena, st ilma loata keelatud). RIT Riigipilve puhul on talletatavale teabele ligipääs täiendavalt ligipääs RIT Riigipilve haldamiseks vajalikel isikutel. |
| Jälgitavus (logimine) | Logitakse kogu mobiilirakenduse sisu. |
| Arhiveerimine | Säilitamisel kasutatakse infosüsteemide turvameetmete süsteemi Eesti infoturbestandard (e-ITS). |
| Üldised turvameetmed seoses süsteemidega, milles töötlemine toimub | |
|---|---|
| Käideldavuse turvalisus | Kasutatavad serverid on RIA poolt hallatud või virtuaalserverid. |
| Veebisaidi turvalisus | Kontrollimata arendused toodangusse live-keskkonda ei jõua. Kontrolli teostab uutele teenustele ja rakendustele sõltumatu turvatestimise osutaja. Penetration testing ehk läbistustestimine on kohustuslik osa enne toodangusse minemist, et avastada turvanõrkusi. Veebilehed on kõik HTTPS. Küberrünnete vastu on kaitstud läbi Cloudfare kaitse (CERT hallatav) kaitsmaks kogu liiklust (nt kui on palju ründeid kindlast allikast, siis blokeeritakse). |
| Organisatsioonilised meetmed | |
|---|---|
| Organisatsioon | RIAs on andmekaitseametnik. RIA füüsilistele asukohtadele on ligipääs kõrgelt reguleeritud. |
| Poliitikad, eeskirjad | Välja on töötatud nii andmekaitsealased kui infoturbealased juhendid ametnikele ja teistele töötajatele. |
| Riskijuhtimine | RIAs on riskide halduse juhend, mida iga-aastaselt üle kontrollitakse |
| Intsidentide ja andmekaitserikkumiste haldamine | Intsidentide korral on ametnikele ja töötajatele juhis tegutsemiseks “Andmekaitse juhendis”. |
| Personalijuhtimine | RIAs teostatakse täiendkoolitusi. |
12.2. Intsident. Isikuandmetega seotud intsidendi korral teeb RIA endast parima, et leevendada tagajärgi ja vähendada selliseid riske tulevikus. RIA järgib isikuandmete kaitse üldmääruse teavitamisnõudeid.
12.3. Nõuetele vastavus ja eesmärk. RIA eesmärk on töödelda isikuandmeid vastutustundlikult, nii et suudetakse tõendada isikuandmete töötlemise vastavust seatud eesmärkidele ja kohalduvale õigusele.
12.4. Põhimõtted. Kõik RIA isikuandmete töötlemisega seotud protsessid, suunised ja tegevused põhinevad järgmistel põhimõtetel: seaduslikkus, õiglus, läbipaistvus, eesmärgipärasus, võimalikult väheste andmete kogumine, täpsus, säilitamise piiramine, terviklus, konfidentsiaalsus ning lõimitud andmekaitse ja vaikimisi andmekaitse.
13. Andmesubjektide õigused isikuandmete kaitse üldmääruse kohaselt
13.1. RIA soovib tagada, et andmesubjektid oleksid täielikult teadlikud kõigist oma õigustest seoses isikuandmetega. Andmesubjektil on IKÜM-is toodud eelduste täitmisel järgmised õigused:
a) Õigus tutvuda isikuandmetega – andmesubjektil on õigus tutvuda oma isikuandmetega ja taotleda neist koopia.
b) Õigus andmete parandamisele – andmesubjektil on õigus nõuda ebatäpsete või valede andmete parandamist.
c) Õigus andmete kustutamisele – andmesubjektil on õigus teatavatel tingimustel (näiteks kui töötleme Teie isikuandmeid Teie nõusoleku alusel) nõuda oma isikuandmete kustutamist.
d) Õigus andmete töötlemise piiramisele – andmesubjektil on õigus teatavatel tingimustel (näiteks kui töötleme Teie isikuandmeid Teie nõusoleku või õigustatud huvi alusel) nõuda oma isikuandmete töötluse piiramist.
e) Õigus esitada töötlemisele vastuväiteid – andmesubjektil on õigus teatavatel tingimustel (näiteks kui töötleme Teie isikuandmeid õigustatud huvi alusel) esitada vastuväiteid oma isikuandmete töötlemisele.
f) Õigus andmete ülekandmisele – andmesubjektil on õigus teatavatel tingimustel nõuda, oma isikuandmete ülekandmist teisele organisatsioonile.
g) Nõusolekuga seotud õigused – andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta (nt riigiportaalis eesti.ee töölaua puhul sisse logituna nõusolekute all). Nõusoleku tagasivõtmine ei muuda enne tagasivõtmist tehtud töötlemise seaduslikkust.
h) Õigused seoses õigustatud huvi kasutamisega – kui RIA töötleb andmesubjekti isikuandmeid õigustatud huvi alusel, siis on andmesubjektil õigus näha enda isikuandmete töötlemise osas läbi viidud õigustatud huvi hindamist.
i) Automatiseeritud töötlemise ja profiilianalüüsiga seotud õigused tähendavad, et andmesubjektil on oma konkreetsest olukorrast lähtudes õigus esitada igal ajal vastuväide teda puudutavate isikuandmete töötlemisele automatiseeritud otsuste/ profiilianalüüsi alusel ning nõuda inimsekkumist, kui vastav töötlus toob andmesubjektile kaasa õigusliku tagajärje või omab märkimisväärset mõju. Andmesubjekt võib nõuda ka selgitust automatiseeritud otsuse tegemise loogika kohta. Selguse huvides: RIA võib kasutada Privaatsustingimuste reguleerimisalasse jäävas töötlusel sellist automaatset töötlemist ja profiilianalüüsi, mis mõjutab oluliselt andmesubjekti või tema õigusi ning sellisel juhul on RIA viinud läbi mõjuhinnangu, millega saab tutvuda võttes meiega ühendust.
j) Õigus esitada kaebus – andmesubjektil on õigus esitada RIA-le või järelevalveasutusele või kohtule kaebus, kui andmesubjekt arvab, et tema isikuandmete töötlemisega seotud õigusi on rikutud. Lahenduse leidmiseks palume Teil esmalt võtta ühendust meiega. Vajaduse korral on RIA isikuandmete kaitse järelevalveasutuse (Andmekaitse Inspektsioon) kontaktandmed leitavad siit: https://www.aki.ee/et/inspektsioon-kontaktid/tootajate-kontaktid. Kui olete muu EMP riigi andmesubjekt on teil õigus kaebus esitada oma elukoha riigi järelevalve asutusele. Teiste EL-i andmekaitse järelevalve asutuste kontaktid on leitavad siit.
13.2. Vastused ja lisateave. RIA-l on isikuandmete töötlemisega seotud taotlustele vastamiseks aega üks kuu. Põhjendatud juhul on võimalik vastavat tähtaega pikendada. Kui andmesubjekt soovib kasutada mõnda oma isikuandmetega seotud õigustest või vajab lisateavet oma õiguste kohta, palume kirjutada meile punktis 3.1 toodud kontaktidel. RIA tuvastab andmesubjekti enne isikuandmetega seotud õiguste võimaldamist, et vältida isikuandmete avaldamist valele isikule.
13.3. RIA andmetöötluse järelevalve asutus on Eesti Andmekaitse Inspektsioon https://www.aki.ee/et.
14. Laste andmed ja teenusepakkujate esindajate ja töötajate andmed
14.1. Laste andmeid töödeldakse avalikke ülesandeid täites avalikes huvides või seadusest tuleneva kohustuse tõttu.
14.2. Töötajatele on teave laste andmete töötlemise erilisest tundlikkusest tulenevate kõrgendatud nõuete osas antud asutusesisestes dokumentides.
14.3. Avalike ülesannete täitmisega kaasneva teenusepakkuja andmete töötlemise aluseks on üldjuhul avalik huvi ja seadusest tulenev kohustus (kui vastavate andmete kogumise kohustus tulenes otse seadusest). Teatud juhtudel, kui töötlus väljub avaliku huvi raamest, nt koostööpartnerite esindajatele jõulutervituste saatmine, on töötluse aluseks õigustatud huvi.
15. Muudatused
15.1. Viimased muudatused ja Privaatsustingimuste jõustumine:
| Avaldamine | Jõustumine | Peamised muudatused |
|---|---|---|
| 16.06.2025 | 16.06.2025 | Mobiilirakenduse Eesti äpp nimemuutus |
| 13.10.2024 | 13.10.2024 | Uute privaatsuspõhimõtete 2. versioon. |
| 10.09.2024 | 10.09.2024 | Uute privaatsuspõhimõtete 1. versioon. |
Viimati uuendatud 16.06.2025
