AS Koduliising isikuandmete töötlemise kord

kehtiv alates 25.05.2018

kliendiandmed on igasugune info, mis on ettevõttel kliendi kohta teada (isikuandmed, kontaktandmed, tehingute andmed jms);

kliendiandmete töötlemine on igasugune kliendiandmetega tehtav toiming (sh kogumine, salvestamine, korrastamine, säilitamine, muutmine, avalikustamine, juurdepääsu võimaldamine, päringute ja väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, kustutamine);

ettevõte on AS Koduliising (kliendiandmete vastutav töötleja), registrikood 14080830, aadress Posti 30, 90504 Haapsalu, telefon 675 5055, e-post info@liisi.ee;

volitatud töötleja on ettevõtte nimel kliendiandmeid töötlev isik. Volitatud töötlejate nimekiri on avaldatud ettevõtte koduleheküljel www.liisi.ee ja seda uuendatakse hiljemalt ühe kuu jooksul alates andmete muutumisest;

klient on isik, kes kasutab või on kasutanud ettevõtte teenuseid või andnud ettevõttele tagatise või edastanud (sh kolmanda isiku vahendusel) ettevõttele oma kliendiandmeid ettevõtte teenuste kasutamise eesmärgil.

2.1. Käesolevas korras sisalduvad ettevõtte poolt kehtestatud põhimõtted ettevõttes kliendiandmete töötlemise kohta. Klient annab ettevõttele oma nõusoleku tema kohta käivate kliendiandmete töötlemiseks vastavalt käesolevas korras kehtestatud tingimustele. Lepingu sõlmimisel esindaja kaudu võib ettevõte lepingu sõlmimiseks ja täitmiseks vajalikus ulatuses töödelda ka esindaja isiku- ja kontaktandmeid.

2.2. Kliendiandmete töötlemine ettevõttes  toimub isikuandmete kaitse seaduses, isikuandmete üldmääruses (General Data Protection Regulation), krediidiandjate ja –vahendajate seaduses, rahapesu ja terrorismi rahastamise tõkestamise seaduses, muudes asjakohastes õigusaktides ning käesolevas korras kehtestatud nõuete kohaselt.

2.3. Ettevõte ja ettevõtte töötajad hoiavad kliendiandmed konfidentsiaalsena ning töötlevad ja avaldavad neid kolmandatele isikutele ainult kliendi kirjalikku taasesitamist võimaldavas vormis antud nõusolekul või seaduses sätestatud muudel alustel ja korras. Juhul, kui kliendiandmete töötlemiseks on vaja kliendi nõusolekut, küsitakse kliendilt vajalik nõusolek üldjuhul teenuse taotluse esitamisel või ettevõttega lepingu sõlmimise käigus.

2.4. Ettevõte rakendab korralduslikke, infotehnoloogilisi ja muid vajalikke turvameetmeid kliendiandmete kaitsmise tagamiseks ning kliendiandmete töötlemise jälgimiseks.

2.5. Kui õigusaktidest ei tulene teisiti, on ettevõtte töötajad kohustatud hoidma kliendiandmeid konfidentsiaalsena tähtajatult.

2.6. Õigusaktidega lubatud tingimustel või muudel põhjendatud juhtudel (eelkõige majanduslikel või õiguslikel kaalutlustel) on ettevõttel õigus sõlmida lepinguid, mille alusel volitatud töötlejad töötlevad ettevõtte edastatud kliendiandmeid. Nendes lepingutes peab sisalduma konfidentsiaalsuse hoidmise kohustus ning volitatud töötleja peab edastama ettevõttele kõik taotlused, mille klient on volitatud töötlejale enda kliendiandmete töötlemise kohta esitanud. Nimekiri volitatud töötlejatest, kellele võidakse edastada kliendiandmeid, on avaldatud ettevõtte koduleheküljel www.liisi.ee. Ettevõte nõuab üldjuhul isikutelt, kellele kliendiandmeid edastatakse või avalikustatakse, ettevõtte poolt määratud turva- ja konfidentsiaalsusreeglite täitmist.

2.7. Ettevõte piirdub kliendiandmete töötlemisel vähimaga, mis on vajalik sõlmitud lepingute täitmiseks, klientide teenindamiseks ning kliendiandmete töötlemise eesmärkide saavutamiseks.

3.1. Ettevõte töötleb kõiki kliendiandmeid, mis ta on kliendi kohta teada saanud. Peamised kliendiandmete liigid, mida töödeldakse, on eelkõige järgmised:

3.1.1.     kliendi isiklikud andmed (sh nimi, isikukood, sünniaeg, isikut tõendava dokumendi andmed, elukoht, kodakondsus, suhtluskeel  jne), samuti kliendi tegevusala kohta käivad andmed (sh haridus, õppeasutus, amet, töökoht jne);

3.1.2.     kliendi kontaktandmed (sh aadress, telefoninumber, e-posti aadress jne);

3.1.3.     andmed kliendi tehingute ja sõlmitud lepingute kohta (sh tehtud tehingud, sõlmitud ja/või lõppenud lepingud, esitatud taotlused, avaldused, saadud ja makstud intressid ning teenustasud, lepingu rikkumised jne);

3.1.4.     kliendi finantsandmed (sh sissetulek, vara, kohustused, varasem maksekäitumine jne);

3.1.5.     andmed kliendi vara päritolu kohta (sh andmed tööandja, tehingupartnerite, äritegevuse, tegelike kasusaajate kohta jne);

3.1.6.     andmed kliendi usaldusväärsuse kohta (nt andmed maksekäitumise kohta või kolmandatele isikutele tekitatud kahju kohta, rahapesuga, terrorismi rahastamisega või organiseeritud kuritegevusega seotuse kohta);

3.1.7.     seadusest  tuleneva  kohustuse  täitmisel  saadud  andmed  (nt  uurimisorganite, notarite, maksuhalduri, kohtu järelpärimistest, kohtutäiturite nõuetest tulenevad andmed jne);

3.1.8     andmed kliendi teovõime kohta (üksnes teovõime või selle piiramise fakt punktis 4.1.2 ja 4.1.5 toodud eesmärgil ja tingimusel, et neid andmeid ei edastata kolmandatele isikutele);

3.1.9.     andmed kliendi harjumuste, eelistuste ja rahulolu kohta (nt andmed teenuste kasutamise aktiivsuse, kasutatavate teenuste, kliendi kaebustega seotud andmed jne);

3.1.10.    andmed kliendi segmendi kohta (nt vanuseline kuuluvus, sugu, seotus avaliku võimu ülesannete täitmisega);

3.1.11.    tarbijamängudes ja kampaaniates osalemisega seotud andmed (nt andmed tarbijamängudes võidetud auhindade, kampaaniates kogutud punktide jms kohta);

3.1.12.    andmed kliendi poolt külastatavate veebilehtede kohta (nt sotsiaalmeedia kanali konto).

4.1. Ettevõte töötleb kliendiandmeid järgmistel eesmärkidel:

4.1.1.     õigusaktides sätestatud kohustuste täitmiseks;

4.1.2.     otsustamiseks, kas ja mis tingimustel osutada kliendile teenust (sellisel juhul võib kliendiandmete   töötlemine   toimuda   juba   enne   teenuse   osutamist   või   lepingu sõlmimist);

4.1.3.     kliendisuhte loomiseks ja kliendi identifitseerimiseks kliendisuhte loomisel;

4.1.4.     kliendi ja ettevõtte vahel sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks ning oma  õiguste realiseerimiseks,  mis  tulenevad  kliendiga  sõlmitud  lepingust  või  seotud lepingust, samuti oma rikutud või vaidlustatud õiguste kaitsmiseks (nt andmete edastamine kohtule või ettevõtet esindavale isikule);

4.1.5.     kliendi krediidivõimelisuse hindamiseks (nt krediidilepingu sõlmimiseks, vastutustundliku laenamise põhimõtte rakendamiseks) või usaldusväärsuse kontrollimiseks (nt krediidiotsuse tegemiseks teiste krediidi- või finantsasutustega varasema maksekäitumise kohta andmete vahetamiseks);

4.1.6.     rahapesu ja terrorismi rahastamise tõkestamiseks ning riigisisestest õigusaktidest ning Eesti Vabariigi poolt sõlmitud ning ratifitseeritud rahvusvahelistest lepingutest tulenevate kohustuste täitmiseks (sh andmete kogumine, teabevahetus ja andmete edastamine uurimisasutustele, notaritele, maksuhalduritele jms);

4.1.7.     riskide vähendamiseks või ärahoidmiseks (nt et hinnata ettevõtte krediidiportfelli või teha ettevõtet tervikuna hõlmavaid auditeid, stressiteste või analüüse) ning ettevõttele kahju tekkimise vältimiseks;

4.1.8.     kliendigruppide ja toodete ning teenuste turuosade ja muude finantsnäitajate statistiliste uuringute ja analüüside teostamiseks ning aruandluse ja riskide juhtimiseks;

4.1.9.     olemasolevate teenuste arendamiseks ning uute teenuste väljatöötamiseks, sh teenustasude suuruste määramiseks, samuti ettevõtte IT-süsteemide ja -programmide kontrollimiseks, arendamiseks või hooldamiseks;

4.1.10.    kliendi poolt esitatud andmete kontrollimiseks ja vajaduse korral parandamiseks või täiendamiseks;

4.1.11.    ettevõtte ja volitatud töötlejate toodete/teenuste kohta reklaamide ja pakkumiste edastamiseks;

4.1.12.    tarbijamängude või kampaaniate korraldamiseks;

4.1.13.    nende eesmärkide täitmiseks, mille osas ettevõttel on õigustatud huvi (kliendi harjumuste, eelistuste ja rahulolu uurimine ettevõtte poolt pakutavate teenuste parendamiseks (sh tarbijaharjumuste uuringud, turu-uuringud, kliendiküsitlused jne)).

4.2. Kui ettevõte soovib kliendiandmeid töödelda käesolevas korras nimetamata eesmärgil või soovib töödelda selle isiku andmeid, kes ei ole ettevõtte klient, peab vastav isik selleks andma eraldi nõusoleku vähemalt kirjalikku taasesitamist võimaldaval viisil. Nõusoleku andmisel tuleb isik identifitseerida ettevõttes kehtiva korra kohaselt, kuid erandina võib ettevõte töödelda piiratud ulatuses kliendiandmeid ka juhul, kui andmed on edastatud ettevõtte või volitatud töötleja kodulehekülje kaudu teenuse taotlemise käigus ning isikult andmete töötlemiseks nõusoleku saamisel ei ole järgitud isiku identifitseerimise tavanõudeid. Nõusoleku võib igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud kliendiandmete töötlemise seaduslikkust.

4.3. Kliendiandmed, mida ettevõte eeltoodud eesmärkide täitmiseks töötleb, võivad pärineda kliendilt või avalikest allikatest (sh internetis avaldatud andmed). Kliendiandmeid kogutakse ka volitatud töötlejatelt, kelle kaudu jõuab ettevõtteni kliendi soov ettevõtte teenuse kasutamiseks. Kliendiandmed võivad pärineda ka muudelt kolmandatelt isikutelt, kui selline kliendiandmete edastamine ettevõttele kolmandate isikute poolt on seaduslik.

4.4. Järgides kliendiandmete konfidentsiaalsena hoidmise kohustust, on ettevõttel õigus töödelda ning sealhulgas vahetada kliendiandmeid nii Eesti kui ka välisriikide krediidi- ja finantseerimisasutustega, et hinnata ja maandada oma riske ning rakendada vastutustundliku laenamise põhimõtet. Kui nimetatud eesmärgi täitmiseks osutub vajalikuks kliendiandmeid edastada Euroopa Liidust või Euroopa Majanduspiirkonnast väljaspool asuvatesse riikidesse, tagab ettevõte kliendiandmete edastamise vastavalt kohalduva andmekaitseõiguse nõuetele.

5.1. Ettevõttel on õigus kliendiandmeid edastada:

5.1.1.     teistele ettevõttega samasse konsolideerumisgruppi kuuluvatele ühingutele, kes võivad kliendiandmeid töödelda käesolevas korras toodud ulatuses ja eesmärkidel;

5.1.2.    teenuse osutamise ja kliendiga sõlmitud lepingu täitmisega seotud isikutele ja organisatsioonidele (nt käendajad, notarid, kohtutäiturid, inkassofirmad, tõlke-, side-, arhiivi-, IT- ja postiteenuse osutajad, advokaadi- ja õigusbürood jne);

5.1.3.     andmekogude pidajatele (sh AS-ile Creditinfo Eesti või mis tahes muule isikule, kes peab  maksehäireregistrit),  kellele ettevõte edastab  infot  õigusaktide või sõlmitud lepingu alusel vastutustundliku laenamise põhimõtte rakendamise eesmärgil, samuti selleks, et teha kolmandatele isikutele võimalikuks kliendi maksekäitumise ja krediidivõimelisuse hindamine;

5.1.4.     teistele nii Eesti kui välisriikide krediidi- ja finantseerimisasutustele ning finantsteenuse vahendajatele vastava järelpärimise alusel kliendile tema poolt soovitud teenuse osutamiseks või kliendi või temaga seotud isiku usaldusväärsuse ja riski hindamiseks;

5.1.5.     volitatud töötlejale, kellele ettevõte on õigusaktides sätestatud tingimustel andnud edasi osaliselt või tervikuna oma tegevuse ning tingimusel, et sellised isikud täidavad ettevõtte poolt ette nähtud nõudeid kliendiandmete konfidentsiaalsena hoidmise ja kaitse kohta;

5.1.6.     nõudeõiguse loovutamise korral uuele võlausaldajale;

5.1.7.     muudele kolmandatele isikutele võla sissenõudmiseks, kui klient on rikkunud lepingut.

5.2. Ettevõte on kohustatud avaldama ja edastama kliendiandmeid õigusaktidest tulenevate kohustuste täitmiseks (nt andmete edastamine uurimisasutustele, notarile, pankrotihaldurile, Maksu- ja Tolliametile, rahapesu andmebüroole, Finantsinspektsioonile, Tarbijakaitseametile).

5.3. Kliendiga sõlmitud lepingu täitmisel (nt e-arvete ja püsikorralduste tegemiseks või krediitkaartide tehinguinfo haldamiseks) võib ettevõte kasutada kolmandaid isikuid (nt pankasid, makseteenuse osutajaid, rahvusvahelist kaardiorganisatsiooni VISA) ja teha neile lepingu täitmiseks vajalikus ulatuses kättesaadavaks ka kliendiandmeid. Need isikud töötlevad kliendiandmeid omal vastutusel ja vastavalt neile kohalduvatele reeglitele.

5.4. Klient on teadlik ja nõustub, et:

5.4.1.     ettevõttel on kliendiandmete maksehäireregistrisse edastamise õigus, kui kliendil on ettevõtte ees nõuetekohaselt  täitmata  rahaline  kohustus  ning  klient  on  rahalise kohustuse täitmisega viivitanud rohkem kui 45 päeva. Maksehäireregistris avalikustatakse teave kliendi maksehäire kohta ning registripidajale edastatud kliendiandmeid saavad töödelda kõik isikud, kes on sellise registri liikmed või kellel on muul alusel sellisele registrile ligipääs. AS Creditinfo Eesti poolt peetavas maksehäireregistris töödeldavate  kliendiandmetega ning andmete töötlemise tingimuste, edastamise aluste ja ulatusega saab tutvuda veebilehel www.krediidiinfo.ee. Muude andmekogude, millesse ettevõte edastab teavet kliendi maksehäire kohta, andmete töötlemise tingimustega saab tutvuda vastava asutuse koduleheküljel, mille andmed saab vajadusel ettevõttelt;

5.4.2.     Avalike andmekogude pidajatele (nt rahvastikuregistri pidaja) edastab ettevõte kliendiandmeid päringuna, et kontrollida kliendiandmete vastavust andmekogus olemasolevatele andmetele, tagada kliendiandmete õigsus ja asjakohasus või saada kliendi kohta vajalikku lisainfot (nt krediidivõimelisuse hindamiseks).

6.1. Ettevõtte töötajal on õigus töödelda kliendiandmeid üksnes juhul, kui see on otseselt vajalik talle määratud tööülesannete täitmiseks ja kui talle on juurdepääs vastavatele andmetele lubatud. Ettevõtte töötaja peab võtma kasutusele kõik meetmed selleks, et kliendiandmed ei saaks teatavaks ettevõtte vastava õiguseta töötajale.

6.2. Kui klient leiab, et kliendiandmete töötlemisel rikutakse tema õigusi, on tal õigus esitada ettevõttele vastuväide oma kliendiandmete töötlemisele ja nõuda rikkumise lõpetamist. Kliendil on lisaks igal ajal õigus tema õiguste rikkumise korral pöörduda Andmekaitse Inspektsiooni või kohtu poole. Kui tuvastatakse, et kliendiandmete töötlemisel on rikutud kliendi õigusi, on kliendil õigus nõuda temale rikkumisega tekitatud kahju hüvitamist.

6.3. Kliendil on õigus saada viivitamata ja tasuta teavet tema krediidivõimelisuse hindamiseks andmekogudest tehtud päringute tulemusel saadud andmete kohta. Kliendil on õigus igal ajal saada teavet tema kohta kogutud kliendiandmete ja nende töötlemise eesmärkide kohta.

6.4. Klient võib keelata kliendiandmete töötlemise punktis 4.1.11 kuni 4.1.13 nimetatud eesmärkide täitmiseks (sh keelata kliendiandmete edastamise volitatud töötlejatele või kolmandatele isikutele, kes soovivad kliendiandmeid töödelda samadel eesmärkidel). Punktis 4.1.11 nimetatud reklaamideks ja pakkumisteks ei loeta ettevõtte toodete/teenuste üldist ja tutvustavat infot ning ettevõtte poolt edastatavaid teateid seoses tingimuste või hinnakirja muudatuste või sõlmitud lepingute täitmisega (vastava teabe saamisest ei saa klient reeglina keelduda).

6.5. Klient on teadlik, et ettevõtte toodete/teenuste pakkumised ja krediidiotsused võivad põhineda ettevõtte infosüsteemi poolt ilma ettevõtte töötaja osaluseta tehtud automaatsetel otsustel, arvestades ettevõttele kliendi kohta teadaolevaid kliendiandmeid. Ettevõtte poolt teostatud automaatse otsuse kohta võib klient esitada vastuväite, taotleda sellise otsuse ülevaatamist või küsida teavet otsuse vastuvõtmise protsessi ja kliendiandmete töötlemise tingimuste kohta.

6.6. Klient peab ettevõtet koheselt teavitama kõikidest muudatustest, võrreldes lepingutes või ettevõttele esitatud teabes fikseeritud kliendiandmetega. Ettevõttel on õigus nõuda dokumenti, mis tõendab muudatusi kliendiandmetes ja kliendil on kohustus see esitada. Klient on teadlik, et õigete kliendiandmete olemasolu tagab korrektsema ja kiirema teeninduse ning ebatäpsed kliendiandmed võivad kitsendada kliendi võimalusi ettevõtte toodete/teenuste kasutamisel. Klient võib ettevõttelt igal ajal nõuda paranduste tegemist oma andmetes, kui andmed on muutunud või ebatäpsed. Klient saab oma kliendiandmeid vaadata ja muuta ka ettevõtte koduleheküljel asuvas iseteeninduskeskkonnas.

6.7. Klient võib taotleda ettevõttelt juurdepääsu teda puudutavatele kliendiandmetele, samuti nende andmete kustutamist, piiramist või sulgemist (v.a juhul, kui ettevõttel on õigus andmeid edasi töödelda õigusaktidest või kliendiga sõlmitud lepingust tulenevate kohustuste täitmiseks või õigustatud huvi tõttu) või ülekandmist, kui see on tehniliselt teostatav.

6.8. Klient võib kliendiandmete töötlemise kohta selgituste saamiseks, samuti kaebuste, taotluste või teadete edastamiseks kontakteeruda ettevõtte koduleheküljel asuva iseteeninduskeskkonna vahendusel või järgmistel kontaktidel: AS Koduliising, registrikood 14080830, aadress Posti 30, 90504 Haapsalu, telefon 675 5055, e-post info@liisi.ee. Ettevõtte andmekaitseametniku kontaktid on avaldatud ettevõtte kodulehel www.liisi.ee.

6.9. Kui klient pöördub ettevõtte poole esindaja kaudu, peab esindusõigust tõendav dokument olema ettevõtte nõutud vormis. Ettevõte võib nõuda, et väljaspool ettevõtet vormistatud volikiri oleks notariaalselt või sellega samaväärselt tõestatud.

7.1. Ettevõte rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid selleks, et säilitada kliendiandmete piisav turvalisus. Kliendiandmeid kaitstakse hävimise, muutmise, ebaseadusliku avaldamise ja ebaseadusliku juurdepääsu eest. Kliendiandmeid kaitstakse samuti ebaseadusliku töötlemise kõigi muude vormide eest. Võttes arvesse teaduse ja tehnoloogia arengut ja rakendamise kulusid ning kliendiandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte üksikisikute õigustele ja vabadustele, hõlmavad ettevõtte poolt rakendavad tehnilised ja korralduslikud meetmed vastavalt vajadusele, muuhulgas:

7.1.1.     kliendiandmete pseudonümiseerimist ja krüpteerimist;

7.1.2.     võimet tagada kliendiandmeid töötlevate süsteemide ja teenuste kestvat konfidentsiaalsust, terviklust, kättesaadavust ja vastupidavust;

7.1.3.     võimet taastada õigeaegselt kliendiandmete kättesaadavust ja juurdepääsu andmetele füüsilise või tehnilise vahejuhtumi korral ja

7.1.4.     tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise korda kliendiandmete töötlemise turvalisuse tagamiseks

8.1. Ettevõte säilitab kliendiandmeid üldjuhul seni, kuni see on vajalik punktis 4 nimetatud eesmärkide täitmiseks või kuni õigusaktides sätestatud tähtaegade lõppemiseni või senikaua, kuni see on vajalik tulevikus tekkida võivate õigusvaidluste jaoks ettevõtte ja kliendi vahel.

8.2. Ettevõte lõpetab üldjuhul isiku kohta kogutud andmete töötlemise ettevõtte infosüsteemis järgmistel juhtudel:

8.2.1.     ilmneb, et kliendiandmed on ettevõttele edastatud kolmanda isiku poolt ilma kliendi nõusolekuta ja klient on avaldanud soovi tema andmete töötlemise lõpetamiseks (v.a. juhul, kui ettevõttel on õigus andmeid edasi töödelda õigusaktidest tulenevate kohustuste täitmiseks või õigustatud huvi tõttu);

8.2.2.     möödub andmete säilitamiseks ettevõtte poolt punktis 8.1 ettenähtud tähtaeg või selle puudumisel õigusaktidega ettenähtud vastav tähtaeg;

8.2.3.     ettevõttega õigussuhteid mitteomav isik on esitanud taotluse toote või teenuse saamiseks, kuid ei ole ettevõtte pakkumist selle kehtivuse ajal vastu võtnud või kui ettevõte on otsustanud jätta sellele isikule toode või teenus pakkumata

9.1. Ettevõte võib igal ajal käesolevat korda muuta, lähtudes kehtivatest õigusaktidest ja teavitades sellest klienti ettevõtte kodulehekülje kaudu vähemalt üks 1 kuu enne muudatuste jõustumist. Muudatustest ei pea teavitama juhul, kui need on tingitud õigusaktide muutumisest.

9.2. Käesolevat korda kohaldatakse kõikide klientide kliendiandmete töötlemisele, sh ka kliendisuhetele, mis on tekkinud enne käesoleva korra jõustumist