Andmete töötlemise põhimõtted MinuCreditinfo portaalis

Kehtivad alates 19.04.2022

AS CREDITINFO EESTI (edaspidi Creditinfo Eesti) kogub, töötleb ja vahendab krediidi- ja äriinfot eesmärgiga aidata kaasa nii ettevõtjate kui eraisikute finantsriskide maandamisele. Creditinfo Eesti on ka Eesti pankade asutatud Maksehäireregistri haldaja.

Oma igapäevategevuses töötleb Creditinfo Eesti ka isikuandmeid, olles isikuandmete vastutav töötleja ning määrates kindlaks töötlemise eesmärgid ja vahendid. Andmepäringute tegemisel on päringute tegijad samuti vastutavad töötlejad.

Creditinfo Eesti kui isikuandmete vastutava töötleja andmed on: registrikood 10256137; asukoha aadress Narva mnt 5, 10117 Tallinn.

Creditinfo Eesti on määranud andmekaitsespetsialisti, kelle kontaktandmed on: e-posti aadress andmekaitse@creditinfo.ee; postiaadress Narva mnt 5, 10117 Tallinn; tel +372 665 9643.

Creditinfo Eesti jaoks on isikuandmete kaitse väga oluline, mistõttu töötleb Creditinfo Eesti isikuandmeid vastutustundlikult, lähtudes eeskätt andmesubjektide huvidest, õigustest ja vabadustest.

Käesolevad “Andmete töötlemise põhimõtted” (edaspidi Põhimõtted) selgitavad, kuidas Creditinfo Eestis isikuandmeid töödeldakse.

1.        Põhimõtetes kasutatavad mõisted
1.1.         Andmesubjekt on tuvastatud või tuvastatav füüsiline isik. Tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada.
Andmesubjektideks, kelle isikuandmeid Creditinfo Eesti töötleb, on:
1)        füüsilistest isikutest Creditinfo Eesti kliendid ehk füüsilised isikud, kes kasutavad Creditinfo Eesti eraisikute krediidiportaali Minu Creditinfo (edaspidi Minu Creditinfo portaal);
2)        füüsilised isikud, kelle isikuandmeid saab Creditinfo Eesti avaliku teabena teabevaldajatelt (avalikest andmekogudest jm), ja
3)        füüsilised isikud, kelle kohta on sisestatud andmed Creditinfo Eesti hallatavasse Maksehäireregistrisse.
1.2.        Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku (Andmesubjekti) kohta.
1.3.        Töötlemine on igasugune Andmesubjekti Isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, sh Isikuandmete kogumine, säilitamine, kasutamine, edastamine, kustutamine jne.
1.4.        Kolmas isik on iga isik, kes ei ole Andmesubjekt, Creditinfo Eesti ega Creditinfo Eesti töötaja.
1.5.         Vastuvõtja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele Isikuandmed avaldatakse, olenemata sellest, kas tegemist on Kolmanda isikuga või mitte.
1.6.         Avalik teave on avaliku teabe seaduse mõttes mis tahes viisil ja mis tahes teabekandjale jäädvustatud ja dokumenteeritud teave, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites.
1.7.         Maksehäireregister on 2001. aastal Eesti pankade poolt loodud ja Creditinfo Eesti hallatav võlainfot sisaldav register.

2.        Üldised põhimõtted
2.1.        Creditinfo Eesti juhindub Isikuandmete Töötlemisel käesolevatest Põhimõtetest, Euroopa Parlamendi ja nõukogu määrusest 2016/679 (isikuandmete kaitse üldmäärus ehk General Data Protection Regulation), isikuandmete kaitse seadusest ja teistest andmekaitset reguleerivatest asjakohastest õigusaktidest, järelevalveasutuste juhistest, aga ka parimast praktikast ning headest äritavadest.
2.2.         Creditinfo Eesti tagab Isikuandmete terviklikkuse, käideldavuse ja konfidentsiaalsuse, rakendades selleks asjakohaseid korralduslikke ning tehnilisi meetmeid.
2.3.         Creditinfo Eesti kasutab Isikuandmete Töötlemisel üksnes neid volitatud töötlejaid, kes tagavad nõuetekohaste turvameetmete kasutamise ja töötlevad Isikuandmeid Creditinfo Eesti juhiste kohaselt ning vastavuses õigusaktide nõuetega.
2.4.         Creditinfo Eesti töötajad on tulenevalt õigusaktide nõuetest ja vastavalt nendega sõlmitud töö- või muule sarnasele lepingule kohustatud hoidma neile tööülesannete täitmise käigus teatavaks saanud Isikuandmeid konfidentsiaalsena. Nimetatud konfidentsiaalsuskohustus on tähtajatu ja Creditinfo Eesti töötajad vastutavad kohustuse rikkumise eest. Creditinfo Eesti tagab oma töötajate regulaarse koolituse Isikuandmete Töötlemise ja kaitse nõuete osas.
2.5.         Creditinfo Eesti eeldab, et ka Andmesubjekt aitab omalt poolt kaasa oma Isikuandmete turvalisele Töötlemisele ja kaitsele: nt hoiab saladuses ID-Kaardi paroolid, jälgib, et arvuti, mida ta kasutab Creditinfo Eesti teenuste ja toodete tarbimiseks, on turvaline jmt. Creditinfo Eesti ei vastuta võimalike tagajärgede eest, kui Andmesubjekt ei suhtu oma Isikuandmete kaitsmisesse kohusetundlikult.
2.6.         Creditinfo Eesti küpsistele kohaldatavad eeskirjad on kättesaadavad Creditinfo Eesti veebilehel www.creditinfo.ee.

3.        Creditinfo Eesti poolt töödeldavate Isikuandmete allikad ja liigid. Töötlemise eesmärgid ja õiguslikud alused
3.1.        Creditinfo Eesti kogub Isikuandmeid selgelt kindlaksmääratud ja õiguspärasel eesmärgil ning töötleb neid andmeid hiljem viisil, mis on vastavuses selle eesmärgiga. Isikuandmete Töötlemine toimub isikuandmete kaitse üldmääruses sätestatud õiguslikul alusel.
3.2.         Creditinfo Eesti kogutav Isikuandmete koosseis sõltub sellest, millisest allikast ja millisel eesmärgil Isikuandmeid kogutakse.
3.3.         Creditinfo Eesti töötleb Isikuandmeid nii õigusaktidest tulenevate juriidiliste kohustuste täitmiseks, Andmesubjektiga sõlmitud lepingu täitmiseks ning lepingu sõlmimise ettevalmistamiseks, Andmesubjekti nõusoleku alusel kui ka Creditinfo Eesti enda ja Creditinfo Eesti klientide õigustatud huvides.
3.4.         Creditinfo Eesti õigustatud huvid väljenduvad Creditinfo Eesti toodete ja teenuste arendamises ning äritegevuse edendamises, eesmärgiga pakkuda klientidele krediidivõimelisuse hindamiseks paremaid tooteid ja teenuseid, samuti andme- ja infoturbe tagamises ning õigusaktides sätestatud üldiste juriidiliste kohustuste täitmises.
3.5.        Isikuandmete Töötlemine Minu Creditinfo portaalis portaali kasutamisel päringute tegijana
3.5.1.        Minu Creditinfo portaalis töödeldavaid portaali kasutamiseks vajalikke Isikuandmeid kogutakse eeskätt Andmesubjektilt endalt.
3.5.2.        Isikuandmete töötlemine Minu Creditinfo portaalis toimub Andmesubjekti nõusoleku alusel. Nõusoleku saab Andmesubjekt igal ajal tagasi võtta. Nõusoleku tagasivõtmiseks peab Andmesubjekt logima sisse oma personaalsele kontole Minu Creditinfo portaalis ja saatma nõusoleku tagasivõtmise teate. Nõusoleku tagasivõtmisel sulgeb Creditinfo Eesti Andmesubjekti personaalse konto ja lõpetab nimetatud kontoga seotud Isikuandmete töötlemise Minu Creditinfo portaalis. Kui Andmesubjekt otsustab hiljem Minu Creditinfo portaali kasutamist personaalse konto vormis jätkata, näidatakse talle andmeid tema varasemate tellimuste osas kuni seitsmeaastase perioodi kohta.
3.5.3.        Isikuandmete töötlemise eesmärgiks on Andmesubjekti kui Minu Creditinfo portaali kasutaja personaalse konto haldamine. Isikuandmeid kasutatakse ka Andmesubjekti poolt Minu Creditinfo portaalis  tellimuste tegemiseks.
3.5.4.        Minu Creditinfo portaalis töödeldakse järgmiseid Isikuandmeid:
1)        isiku tuvastamise andmed: ees- ja perekonnanimi ning isikukood, samuti Minu Creditinfo portaali sisselogimisel kasutatud ID-kaardiga, Mobiil-ID-ga või Smart-ID-ga seotud andmed;
2)        kontaktandmed: e-posti aadress ja/või mobiiltelefoni number;
3)        teenustega seotud Isikuandmed: andmed, mis tekivad Andmesubjekti poolt Minu Creditinfo portaali kasutamise käigus või kasutamisega seoses, nt andmed Andmesubjekti poolt ostetud toodete ja teenuste kohta, andmed Andmesubjektile esitatud arvete ja nende sisu kohta, Andmesubjekti esitatud taotlused, päringud ja kaebused jmt;
4)        Minu Creditinfo portaali külastamisega seotud andmed.
3.5.5.        Lisaks eeltoodule töötleb Creditinfo Eesti Andmesubjektide rahulolu-uuringute andmeid nii lepingu täitmiseks kui õigustatud huvi teostamiseks. Rahulolu-uuringute andmete kasutamise eesmärgiks on parandada Minu Creditinfo portaali kasutamist ning nendes portaalides pakutavate toodete ja teenuste kvaliteeti, samuti töötada välja uusi tooteid ja teenuseid.
3.6.        Isikuandmete töötlemine, kui Andmesubjekti andmete töötlus on vajalik raportite koostamiseks ja päringute vastuste andmiseks
3.6.1.        Avaliku teabena kogutavate Isikuandmete Töötlemine
3.6.1.1.        Creditinfo Eesti saab Isikuandmeid Avaliku teabena teabevaldajatelt, äriregistrist, rahvastikuregistrist, kinnistusregistrist, Ametlikest Teadaannetest, Maksu- ja Tolliametist, Maksehäireregistrist.
3.6.1.2.        Avaliku teabena töödeldavateks isikuandmeteks on:
– isikukood, ees- ja perekonnanimi, kas isikul on eesti kodakondsus, elamisluba ja -õigus: liik ja kehtivuse lõppkuupäev, isiku surma fakt, kas isik on e-resident;
– maksehäire andmed: võla suurus, alguskuupäev, lõppkuupäev, maksehäire sisestaja, maksehäire staatus (kehtiv, lõpetatud, vaidlustatud);
– MTA nõuete saldo: nõude liik, võlasumma, tasumisgraafikus summa, vaidlustatud summa;
– kehtivad äri- ja ettevõtluskeelud;
– seos juriidilise isikuga järgnevates rollides:  esindusõigusega isik (nt juhatuse liige, juhatuse esimees, prokurist): roll, seose alguskuupäev, seose lõppkuupäev; juriidilise isiku omanik (nt osanik, aktsionär, täisosanik): roll, asukoha riik, seose alguskuupäev, seose lõppkuupäev, omandiliik, osaluse suurus ja osalusprotsent; juriidilise isiku nõukogu liige ja nõukogu esimees: roll, seose alguskuupäev, seose lõppkuupäev; muu seos juriidilise isikuga (nt asutaja, audiitor): roll, asukoha riik, seose alguskuupäev, seose lõppkuupäev;
– isikuga seotud ametlikud teadaanded: teadaande liik, sisu, avaldamise alguskuupäev, avaldamise lõppkuupäev;
– kinnistute arv.
3.6.1.2. Avaliku teabena kogutavaid Isikuandmeid töötleb Creditinfo Eesti Andmesubjektide, ja teatud juhtudel ka nendega seotud juriidiliste isikute, krediidivõimelisuse hindamise eesmärgil ning muu usaldusväärsuse hindamise eesmärgil. Töötlemise õiguslikuks aluseks on Creditinfo Eesti õigustatud huvi või Creditinfo Eesti klientide õigustatud huvi (GDPR art 6 lg 1 punkt f), mille sisu sõltub konkreetsest teenusest, mis on täpsustatud allpool.
3.6.2.        Isikuandmete Töötlemine Maksehäireregistris
3.6.2.1.        Creditinfo Eesti poolt hallatavasse Maksehäireregistrisse võivad maksehäiretega seotud Isikuandmeid sisestada need juriidilised isikud, kes on saanud vastava õiguse Creditinfo Eestiga sõlmitud lepingu alusel. Töötlemise õiguslikuks aluseks on Creditinfo õigustatud huvi (GDPR art 6 lg 1 punkt f) võimaldada oma klientidel hinnata koostööpartnerite krediidivõimelisust ning luua usaldusväärsemat majanduskeskkonda.
3.6.2.2.        Maksehäireregistrisse sisestatakse ja seal avaldatakse järgmised Isikuandmed: Maksehäiret puudutava Andmesubjekti ees- ja perekonnanimi, isikukood või sünniaeg, maksehäire aluseks oleva võla tekkimise ja lõppemise kuupäev, võlasumma suurusjärk ning info võla päritolu kohta. Andmesubjektile endale kuvatakse ka maksehäirete päringu tegija ja päringu aeg.
3.6.2.3.        Creditinfo Eesti töötleb (haldab ja edastab) Maksehäireregistrisse sisestatud maksehäiretega seotud Isikuandmeid selleks, et koguda erinevate isikute võlainfot ning edastada seda Vastuvõtjatele, kasutamiseks krediidivõimelisuse hindamise ja muul samasugusel eesmärgil. Creditinfo Eesti töötleb kõnealuseid Isikuandmeid Creditinfo Eesti enda õigustatud huvides ja ka nende Vastuvõtjate õigustatud huvides, kellele Maksehäireregistrist maksehäiretega seotud Isikuandmeid edastatakse.
3.6.2.4.        Creditinfo Eestil on õigus edastada maksehäirega seotud Isikuandmeid seaduses sätestatud tingimustel nendele Vastuvõtjatele, kellel on vastavate Isikuandmete saamiseks õiguslik alus ja kes kasutavad neid Isikuandmeid krediidivõimelisuse hindamise ja/või muul samasugusel eesmärgil.
3.6.3.        Isikuandmete Töötlemine turunduslikul eesmärgil
3.6.3.1.        Turunduspakkumuste ja -teadete, sh uudiskirjade saatmiseks kasutab Creditinfo Eesti Andmesubjektide e-posti aadresse ja/või mobiiltelefoni numbreid, kui Andmesubjekt on andnud selleks seaduses sätestatud tingimustele vastava nõusoleku. Nõusoleku saab Andmesubjekt igal hetkel tagasi võtta. Nõusoleku tagasivõtmisel lõpetab Creditinfo Eesti Andmesubjekti Isikuandmete kasutamise turunduslikel eesmärkidel.
3.6.3.2.        Töötlemise õiguslikuks aluseks on Creditinfo õigustatud huvi (GDPR art 6 lg 1 punkt f) edendada enda äritegevust.
3.6.3.3.        Creditinfo Eestil on õigus saata Andmesubjektidele turunduspakkumusi ja -teateid elektroonilisel teel ka ilma Andmesubjekti nõusolekuta Creditinfo Eesti õigustatud huvides, lähtudes õigusaktide nõuetest.
3.7.         Lisaks eeltoodud eesmärkidele töötleb Creditinfo Eesti Andmesubjektide Isikuandmeid ka Creditinfo Eesti rikutud või vaidlustatud õiguste kaitsmiseks, Creditinfo Eesti õiguste teostamiseks seoses õiguslike nõuetega, nende tõendamisega ja kaitsmisega kohtus või kohtuväliselt. Töötlemine toimub Creditinfo Eesti õigustatud huvi alusel ning Andmesubjektiga sõlmitud lepingu täitmiseks.

4.        Õigustatud huvi alusel töötlemine
4.1.        Juhul, kui käesolevatest põhimõtetest nähtuvalt toimub andmetöötlus õigustatud huvi alusel, on õigustatud huvi analüüsiga võimalik tutvuda ning selleks tuleb edastada sellekohane pöördumine e-posti aadressile andmekaitse@creditinfo.ee.

5.        Isikuandmete edastamine Creditinfo Eesti poolt
5.1.        Creditinfo Eesti edastab Isikuandmeid:
5.1.1.        päringute vastusena ja raportite koosseisus oma klientidele – kasutamiseks krediidivõimelisuse hindamise ja muu usaldusväärsuse hindamise eesmärgil;
5.1.2.        ametiasutustele ja -isikutele (nt õiguskaitseorganid, kohtud, järelevalveasutused, kohtutäiturid, notaribürood, maksuhaldurid, pankrotihaldurid jmt) – nende seadusest tulenevate kohustuste täitmiseks;
5.1.3.        nõudeõiguse loovutamise korral uuele võlausaldajale;
5.1.4.        Creditinfo Eesti volitatud töötlejatele.
5.2.         Creditinfo Eesti volitatud töötlejad on Creditinfo Eesti koostööpartnerid, kes osutavad Creditinfo Eestile raamatupidamise ja arvelduste korraldamise teenust, arhiveerimisteenust, auditeerimisteenust, õigusabi- või finantskonsultatsiooni teenust, võlgade sissenõudmise teenust ning IT abi ja hooldust. Volitatud töötlejal on õigus teostada Töötlemise toiminguid üksnes nende Isikuandmete osas ja sellises ulatuses, milleks Creditinfo Eesti on volitatud töötlejat volitanud.
5.3.        Creditinfo Eesti ei edasta andmeid kolmandatesse riikidesse.  Juhul, kui Creditinfo Eestil tekib vajadus edastada andmeid kolmandatesse riikidesse, järgib Creditinfo Eesti isikuandmete kaitse üldmääruses ja muudes kohalduvates õigusaktides ette nähtud nõudeid.

6.        Isikuandmete säilitamise tähtaeg
6.1.        Creditinfo Eesti töötleb Isikuandmeid seni, kuni see on vajalik Töötlemise eesmärkide saavutamiseks ja olemas on õiguslik alus.,  Avalikest registritest  saadud andmeid säilitab Creditinfo Eesti seni, kuni need andmed on kättesaadavad avalikust registrist. Ametlikke Teadaandeid säilitab Creditinfo Eesti seni, kuni need arhiveeritakse Ametlike Teadaannete portaalis. Maksehäireregistris avaldab Creditinfo Eesti lõpetatud maksehäire andmeid kuni 5 aastat pärast kohustuse rikkumise lõppemist.
6.2.        Kui andmeid enam aktiivselt ei kasutata, siis säilitab Creditinfo Eesti neid veel Creditinfo Eesti õigustatud huvi alusel 3+1 aastat, lähtuvalt kolmeaastasest aegumistähtajast ning lisaks ühe aasta, et tagada andmete olemasolu, kuivõrd Creditinfo Eesti ei pruugi koheselt nõude esitamisest teada saada.
6.3.        Andmesubjektil on võimalik saada täiendavat infot tema andmete säilitamise tähtaegade osas saates päringu aadressil: andmekaitse@creditinfo.ee.

7.        Andmesubjekti õigused tema Isikuandmete Töötlemisega seoses
7.1.        Andmesubjektil on õigus:
7.1.1.        saada Creditinfo Eestilt teavet, kas Creditinfo Eesti töötleb tema Isikuandmeid, ja kui töötleb, siis saada juurdepääs nendele Isikuandmetele õigusaktides sätestatud korras ning ulatuses, sh saada Isikuandmetest koopia.;
7.1.2.        taotleda oma Isikuandmete parandamist, kui need on ebapiisavad, puudulikud või väärad;
7.1.3.        taotleda oma Isikuandmete kustutamist õigusaktides sätestatud juhtudel ja ulatuses, näiteks kui Creditinfo Eestil puudub õiguslik alus selliseid Isikuandmeid Töödelda või Isikuandmeid Töödeldakse Andmesubjekti nõusolekul ning Andmesubjekt on oma nõusoleku tagasi võtnud. Selline õigus ei kohaldu, kui Isikuandmeid, mida palutakse kustutada, töödeldakse lisaks ka teistel õiguslikel alustel, nt lepingu täitmiseks. Juhul, kui töötlemise aluseks on õigustatud huvi, on Andmesubjektil õigus esitada vastuväide ning seejärel hindab Creditinfo Eesti, kas töötlemiseks on õiguspäraseid põhjuseid või tuleb andmed kustutada;
7.1.4.        piirata oma Isikuandmete Töötlemist õigusaktides sätestatud korras ja ulatuses, näiteks ajal, mil Creditinfo Eesti hindab, kas Andmesubjektil on õigus oma Isikuandmete kustutamisele;
7.1.5.        saada oma Isikuandmeid, millised Andmesubjekt on ise Creditinfo Eestile esitanud ja mida töödeldakse nõusoleku alusel või lepingu täitmiseks, üldkasutatavas masinloetavas vormis, ja kui tehniliselt võimalik, edastada need Isikuandmed teisele vastutavale töötlejale (andmete ülekantavus);
7.1.6.        esitada vastuväiteid oma Isikuandmete Töötlemise suhtes, sh profiilianalüüsi teostamisele, kui Isikuandmete Töötlemine põhineb õigustatud huvil. Sellisel juhul lõpetab Creditinfo Eesti Andmesubjekti Isikuandmete Töötlemise, välja arvatud, kui Creditinfo Eesti huvid kaaluvad üles Andmesubjekti õiguste võimaliku riive;
7.1.7.        nõuda enda Isikuandmete Töötlemise lõpetamist, kui Isikuandmete Töötlemine toimub õigusvastaselt, st Creditinfo Eestil puudub õiguslik alus Isikuandmete Töötlemiseks;
7.1.8.        võtta tagasi oma nõusolek oma Isikuandmete Töötlemiseks;
7.1.9.        esitada kaebus Isikuandmete Töötlemise kohta Creditinfo Eestile, kui Andmesubjekt leiab, et tema Isikuandmete Töötlemine riivab tema õiguseid ja huve;
7.1.10.        esitada kaebus Isikuandmete Töötlemise kohta Andmekaitse Inspektsioonile (veebileht: www.aki.ee) või pöörduda pädeva kohtu poole, kui Andmesubjekt leiab, et tema Isikuandmete Töötlemine riivab tema õiguseid ja huve.
7.2.         Oma õiguste kasutamiseks on Andmesubjektil võimalik pöörduda Creditinfo Eesti poole, edastades oma päringu, taotluse või kaebuse e-posti aadressil andmekaitse@creditinfo.ee. Creditinfo Eesti vastab Andmesubjektile tarbetu viivitamiseta, kuid mitte hiljem kui ühe kuu jooksul pöördumise saamise päevast. Kui enne Andmesubjektile vastamist on vaja asjaolusid põhjalikumalt täpsustada või kontrollida, võib Creditinfo Eesti vastamise tähtaega pikendada, teavitades sellest eelnevalt Andmesubjekti.

Põhimõtete muutmine
Creditinfo Eestil on õigus Põhimõtteid igal ajal ühepoolselt muuta, lähtudes kehtivatest õigusaktidest. Põhimõtete uus versioon avaldatakse Creditinfo Eesti hallataval veebilehel www.creditinfo.ee