Holm Bank AS kliendiandmete töötlemise kord

Kehtiv alates 03.05.2019. Kuni 02.05.19 kehtiva isikuandmete töötlemise korraga saab tutvuda siin.

1.1 Kliendiandmete töötlemise kord (edaspidi Kord) määrab kindlaks Klientide isikuandmete töötlemise tingimused  Holm Bank AS  (edaspidi Pank). Klientide jaoks väljenduvad need reeglid Panga veebilehel avaldatavas Kliendiandmete töötlemise korras.
Korras kasutatavatel mõistetel on järgnev tähendus:

Vastutav töötleja on Holm Bank AS (Vastutav töötleja), registrikood 14080830.

Klient on isik, kes kasutab või on kasutanud Panga teenuseid või andnud Pangale tagatise või edastanud (sh kolmanda osapoole vahendusel) Pangale oma Kliendiandmeid Panga teenuse kasutamise või tagatise andmise eesmärgil.

Kliendiandmed on igasugune teave, mis on Pangal Kliendi kohta teada.

Töötlemine on igasugune Kliendiandmetega tehtav toiming, sõltumata toimingu teostamise viisist ja kasutatavatest vahenditest (sh kogumine, salvestamine, korrastamine, säilitamine, muutmine, avalikustamine, juurdepääsu võimaldamine, päringute tegemine, andmeid sisaldavast dokumentatsioonist väljavõtete tegemine, andmete kasutamine, edastamine, ristkasutamine, kustutamine jne).

Volitatud töötleja  on  Panga nimel Kliendiandmeid töötlev isik. Nimekiri Volitatud töötlejatest ning nende kategooriatest, kellele võidakse edastada Kliendiandmeid, on avaldatud Panga veebilehel.

Kolmas isik on juriidiline või füüsiline isik, kes ei ole Pank või Panga töötaja, Volitatud töötleja ega Klient.

3.1. Kliendiandmete töötlemine Pangas toimub isikuandmete kaitse üldmääruses (General Data Protection Regulation, edaspidi „GDPR“), isikuandmete kaitse seaduses, krediidiasutuste seaduses, rahapesu ja terrorismi rahastamise tõkestamise seaduses, muudes asjakohastes õigusaktides ning Korras sätestatud nõuete kohaselt.

3.2. Pank ja Panga töötajad hoiavad pangasaladust tähtajatult ning töötlevad Kliendiandmeid konfidentsiaalsena, avaldades neid kolmandatele isikutele ainult Kliendi kirjalikku taasesitamist võimaldavas vormis antud nõusolekul või seaduses sätestatud muudel alustel või käesolevas Korras ettenähtud juhtudel.

3.3. Juhul, kui Kliendiandmete töötlemine toimub Kliendi nõusoleku alusel, küsitakse Kliendilt vajalik nõusolek üldjuhul teenuse taotluse esitamisel või Pangaga lepingu sõlmimise käigus. Nõusoleku andmisel tuleb isik identifitseerida Pangas kehtivas korras, välja arvatud juhul, kui töötlemise eesmärgist tulenevalt ei ole kehtiva korra alusel identifitseerimine vajalik (nt otseturustuse eesmärkidel) või nõusoleku alusel töödeldavad andmed on edastatud Panga või Volitatud töötleja veebilehe kaudu teenuse taotlemise käigus. Nõusoleku võib igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud Kliendiandmete töötlemise seaduslikkust. Klienti teavitatakse õigusest nõusolek igal ajal tagasi võtta. Nõusolek peab vastama kõikidele GDPR-s ja asjakohasel juhul teistes õigusaktides esitatud nõuetele.

3.4. Pank rakendab asjakohaseid korralduslikke, infotehnoloogilisi ja muid vajalikke turvameetmeid pangasaladuse ja Kliendiandmete käideldavuse, terviklikkuse ning konfidentsiaalsuse tagamiseks.

3.5. Volitatud töötlejatega ja Panga lepingupartneritega sõlmitavates lepingutes peab sisalduma konfidentsiaalsuse hoidmise kohustus ning Volitatud töötleja ja lepingupartner on kohustatud edastama Pangale kõik taotlused, mille Klient on Volitatud töötlejale või lepingupartnerile enda Kliendiandmete töötlemise kohta esitanud. Pank nõuab üldjuhul isikutelt, kellele Kliendiandmeid edastatakse või avalikustatakse, asjakohaste turva- ja konfidentsiaalsusreeglite täitmist.

3.6. Pank piirdub Kliendiandmete töötlemisel vähimaga, mis on vajalik sõlmitud lepingute täitmiseks, Klientide teenindamiseks ning Kliendiandmete töötlemise eesmärkide saavutamiseks. Kui Klient sõlmib Pangaga lepingu esindaja kaudu, võib Pank lepingu sõlmimiseks ja täitmiseks vajalikus ulatuses töödelda ka esindaja isiku- ja kontaktandmeid.

Pank töötleb alljärgnevaid Kliendiandmete liike:

4.1. Kliendi isiklikud andmed (sh nimi, isikukood, sünniaeg, isikut tõendava dokumendi andmed, elukoht, kodakondsus, suhtluskeel jne), samuti Kliendi tegevusala kohta käivad andmed (sh haridus, õppeasutus, amet, töökoht, seotus avaliku võimu ülesannete täitmisega jne);

4.2. Kliendi kontaktandmed (sh aadress, telefoninumber, e-posti aadress jne);

4.3. andmed Kliendi tehingute ja sõlmitud lepingute kohta (sh tehtud tehingud, sõlmitud ja/või lõppenud lepingud, esitatud taotlused, avaldused, saadud ja makstud intressid ning teenustasud, lepingu rikkumised jne);

4.4. Kliendi finantsandmed (sh sissetulek, vara, kohustused, varasem maksekäitumine jne);

4.5. andmed Kliendi vara päritolu kohta (sh andmed tööandja, tehingupartnerite, äritegevuse, tegelike kasusaajate kohta jne);

4.6. andmed Kliendi usaldusväärsuse kohta (nt andmed maksekäitumise kohta või kolmandatele isikutele tekitatud kahju kohta, rahapesuga, terrorismi rahastamisega või organiseeritud kuritegevusega seotuse kohta);

4.7. seadusest tuleneva kohustuse täitmisel saadud andmed (nt uurimisorganite, notarite, maksuhalduri, kohtu järelpärimistest, kohtutäiturite nõuetest tulenevad andmed jne);

4.8. andmed Kliendi teovõime kohta (üksnes teovõime piiramise fakt);

4.9. andmed Kliendi ja Panga töötaja vahelise telefonikõne kohta (kõne sisu, toimumiseaeg, -kestus);

4.10. andmed Kliendi harjumuste, eelistuste ja rahulolu kohta (nt andmed teenuste kasutamise aktiivsuse, kasutatavate teenuste, kliendi kaebustega seotud andmed jne);

4.11. andmed Kliendi segmendi kohta (nt vanuseline kuuluvus ja sugu);

4.12. tarbijamängudes ja kampaaniates osalemisega seotud andmed (nt andmed tarbijamängudes võidetud auhindade, kampaaniates kogutud punktide jms kohta);

4.13. andmed Kliendi poolt külastatavate Panga veebilehtede ja -rakenduste kohta (sh IP-aadress ning andmed sotsiaalmeedia kanali konto külastamise kohta).

5.1. Pank töötleb Kliendiandmeid peamiselt järgmistel eesmärkidel:

5.1.1.  otsustamiseks, kas ja mis tingimustel osutada Kliendile teenust. Sellisel juhul võib Kliendiandmete töötlemine toimuda profiilianalüüsi alusel automaatse otsuse tegemise kaudu arvestades Pangale Kliendi kohta teadaolevaid Kliendiandmeid ning enne teenuse osutamist või lepingu sõlmimist;

5.1.2.   Kliendi identifitseerimiseks;

5.1.3.   Kliendi ja Panga vahel sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks ning oma õiguste realiseerimiseks,  mis  tulenevad  Kliendiga  sõlmitud  lepingust  või  seotud lepingust, samuti oma rikutud või vaidlustatud õiguste kaitsmiseks (nt andmete edastamine kohtule või Panka esindavale isikule);

5.1.4.   Kliendi poolt esitatud andmete kontrollimiseks ja vajaduse korral parandamiseks või täiendamiseks;

5.1.5.   Kliendi krediidivõimelisuse hindamiseks (nt krediidilepingu sõlmimiseks, vastutustundliku laenamise põhimõtte rakendamiseks) või usaldusväärsuse kontrollimiseks (nt krediidiotsuse tegemiseks teiste krediidi- või finantsasutustega varasema maksekäitumise kohta andmete vahetamiseks);

5.1.6.   rahapesu ja terrorismi rahastamise tõkestamiseks ning Eesti Vabariigi poolt sõlmitud ning ratifitseeritud rahvusvahelistest lepingutest tulenevate kohustuste täitmiseks (sh andmete kogumine, teabevahetus ja andmete edastamine uurimisasutustele, notaritele, maksuhalduritele jms);

5.1.7.   krediidiandjate ja -vahendajate seadusest, krediidiasutuste seadusest ning muudest siseriiklikest ning rahvusvahelistest õigusaktidest tulenevate kohustuste täitmiseks ning asjakohaste järelevalveasutuste juhendite järgimiseks;

5.1.8.   kliendigruppide ja toodete ning teenuste turuosade ja muude finantsnäitajate statistiliste uuringute ja analüüside ning aruandluse teostamiseks;

5.1.9.   riskijuhtimise meetmete rakendamiseks ja turvanõuete täitmiseks, samuti maksepettuste tõkestamiseks ning Pangale kahju tekkimise vältimiseks (sh Kliendi profiilianalüüsi alusel);

5.1.10.  klienditeeninduse ja Panga teenuste kvaliteedi tagamiseks, arendamiseks ning uute teenuste väljatöötamiseks, sh teenustasude suuruste määramiseks, samuti Panga IT-süsteemide ja – programmide kontrollimiseks, arendamiseks või hooldamiseks;

5.1.11. tarbijamängude või kampaaniate korraldamiseks;

5.1.12. Kliendi harjumuste, eelistuste ja rahulolu uurimiseks, et parendada Panga poolt pakutavaid teenuseid (sh tarbijaharjumuste uuringud, turu-uuringud, kliendiküsitlused jne)).

5.1.13. Panga ja Volitatud töötlejate toodete/teenuste kohta reklaamide ja pakkumiste edastamiseks.

5.2. Kui Pank soovib Kliendiandmeid töödelda Korras nimetamata eesmärgil, peab Klient andma selleks eraldi nõusoleku vähemalt kirjalikku taasesitamist võimaldaval viisil.

5.3. Kliendiandmed, mida Pank eeltoodud eesmärkide täitmiseks töötleb võivad pärineda Kliendilt või avalikest allikatest (sh internetis avaldatud andmed). Kliendiandmeid kogutakse ka Panga koostööpartneritelt, kelle kaudu jõuab Pangani Kliendi soov Panga teenuse saamiseks (sh jaemüüjad ja e-poed). Kliendiandmed võivad pärineda ka muudelt kolmandatelt isikutelt, kui selline Kliendiandmete edastamine Pangale kolmandate isikute poolt on seaduslik.

5.4. Järgides samal ajal pangasaladuse hoidmise kohustust, on Pangal õigus töödelda ning sealhulgas vahetada Kliendiandmeid nii Eesti kui ka välisriikide krediidi- ja finantseerimisasutustega, et hinnata ja maandada oma riske ning rakendada vastutustundliku laenamise põhimõtet. Kui nimetatud eesmärgi täitmiseks osutub vajalikuks Kliendiandmeid edastada Euroopa Liidust või Euroopa Majanduspiirkonnast väljapool asuvatesse riikidesse, tagab Pank Kliendiandmete edastamise vastavalt kohalduva andmekaitseõiguse nõuetele.

Pank töötleb Kliendiandmeid järgmistel õiguslikel alustel:

6.1. lepingu sõlmimise otsustamiseks ning lepingu täitmiseks ja täitmise tagamiseks (Korra punktis 5.1.1 kuni 5.1.5 nimetatud eesmärkidel);

6.2. seadusest tulenevate kohustuse täitmiseks (Korra punktis 5.1.2 ning 5.1.5 kuni 5.1.8 nimetatud eesmärkidel);

6.3. Panga õigustatud huvi alusel (Korra punktis 5.1.4 ning 5.1.7 kuni 5.1.13 nimetatud eesmärkidel). Panga õigustatud huvi seisneb järelevalveasutuste juhendite ja soovituste järgimises, efektiivse riskijuhtimise meetmete rakendamises ja turvanõuete täitmises (sh infoturve), äritegevuse arendamises (sh statistika ning Pangasisene aruandlus) ja edendamises (sh turunduslikel eesmärkidel). Õigustatud huvi ei kohaldu Korra punktis 5.1.12 ning 5.1.13 nimetatud eesmärkidel, kui Klient on keelanud nendel eesmärkidel Kliendiandmete töötlemise.

6.4. Kliendi nõusoleku alusel (Korra punktis 5.1.12 ja 5.1.13 nimetatud eesmärgil).

7.1. Pangal on õigus Kliendiandmeid edastada:

7.1.1. teistele Pangaga samasse konsolideerimisgruppi (Panga tütarettevõtted ja Panga emaettevõtte teised tütarettevõtted) kuuluvatele ühingutele, kes võivad Kliendiandmeid töödelda Korras toodud ulatuses ja eesmärkidel;

7.1.2. teenuse osutamise ja Kliendiga sõlmitud lepingu täitmisega seotud isikutele ja organisatsioonidele (nt käendajad, kaastaotlejad, notarid, kohtutäiturid, inkassofirmad, tõlke- side-, arhiivi-, IT- ja postiteenuse osutajad, advokaadi- ja õigusbürood jne.);

7.1.3. andmekogude pidajatele (sh AS-ile Creditinfo Eesti või mis tahes muule isikule, kes peab  maksehäireregistrit),  kellele  Pank  edastab  infot  õigusaktide  või  sõlmitud lepingu alusel vastutustundliku laenamise põhimõtte rakendamise eesmärgil, samuti selleks, et teha kolmandatele isikutele võimalikuks kliendi maksekäitumise ja krediidivõimelisuse hindamine;

7.1.4. teistele nii Eesti kui ka välisriikide krediidi- ja finantseerimisasutustele ning finantsteenuse vahendajatele vastava järelpärimise alusel Kliendile tema poolt soovitud teenuse osutamiseks või Kliendi või temaga seotud isiku usaldusväärsuse ja riski hindamiseks;

7.1.5. Panga koostööpartneritele, kellele Pank on õigusaktis sätestatud tingimustel andnud edasi osaliselt oma tegevuse ning tingimusel, et sellised isikud täidavad Panga poolt ette nähtud nõudeid Kliendiandmete konfidentsiaalsena hoidmise ja kaitse kohta.

7.1.6. nõudeõiguse loovutamise korral uuele võlausaldajale;

7.1.7. kolmandatele isikutele võla sissenõudmiseks, kui Klient on rikkunud lepingut või tekitanud Pangale kahju;

7.2. Pank on kohustatud avaldama ja edastama Kliendiandmeid õigusaktidest tulenevate kohustuste täitmiseks (nt andmete edastamine uurimisasutustele, notarile, pankrotihaldurile, Maksu- ja Tolliametile, rahapesu andmebüroole, Finantsinspektsioonile, Tarbijakaitseametile).

7.3. Kliendiga sõlmitud lepingu täitmisel (nt e-arvete ja püsikorralduste tegemiseks) võib Pank kasutada kolmandaid isikuid (nt teisi pankasid) ja teha neile kättesaadavaks ka Kliendiandmeid.

7.4. Pangal on Kliendiandmete maksehäireregistrisse edastamise õigus, kui Kliendil on Panga ees nõuetekohaselt täitmata rahaline kohustus ning Klient on rahalise kohustuse täitmisega viivitanud rohkem kui 45 päeva. Maksehäireregistris avalikustatakse teave Kliendi maksehäire kohta ning registripidajale edastatud Kliendiandmeid saavad töödelda kõik isikud, kes on sellise registri liikmed või kellel on muul alusel sellisele registrile ligipääs. AS Creditinfo Eesti poolt peetavas maksehäireregistris töödeldavate Kliendiandmetega ning andmete töötlemise tingimuste, edastamise aluste ja ulatusega saab Klient tutvuda veebilehel www.creditinfo.ee. Muude andmekogude, millesse Pank edastab teavet Kliendi maksehäire kohta, andmete töötlemise tingimustega saab tutvuda vastava asutuse veebilehel.

7.5. Avalike andmekogude pidajatele (nt rahvastikuregistri pidaja, äriregister) edastab Pank Kliendiandmeid päringuna, et kontrollida Kliendiandmete vastavust andmekogus olemasolevatele andmetele, tagada Kliendiandmete õigsus ja asjakohasus või saada Kliendi kohta vajalikku lisainfot (nt krediidivõimelisuse hindamiseks).

7.6. Kliendi esindajale võib Kliendiandmeid edastada vastavasisulise kohtulahendi või Kliendi volikirja alusel või kui esindaja esindusõigus tuleneb seadusest. Pank võib nõuda, et väljaspool Panka vormistatud volikiri oleks notariaalselt või sellega samaväärselt tõestatud. Esindaja tuleb identifitseerida Pangas kehtiva korra kohaselt.

7.7. Kliendiandmete edastamist õigusaktides või käesolevas Korras toodud juhtudel ei loeta pangasaladuse hoidmise kohustuse rikkumiseks.

8.1. Klient võib Kliendiandmete töötlemise kohta selgituste saamiseks, samuti kaebuste, taotluste või teadete edastamiseks igal ajal kontakteeruda Pangaga (sh otse Panga ) iseteeninduskeskkonna või Panga veebilehel toodud kontaktide vahendusel.

8.2. Kliendiandmete töötlemist puudutavad pöördumised (kaebused, taotlused või teated) peavad olema esitatud vähemalt kirjalikku taasesitamist võimaldavas vormis. Pank vastab pöördumisele hiljemalt 30 päeva jooksul arvates pöördumise kättesaamisest. Kui vastamiseks on vajalik teostada täiendavaid kontrolle või päringuid, võib Pank asjakohasel juhul vastamise tähtaega pikendada, teavitades sellest pöördumise esitajat. Pöördumine koos Panga poolt edastatud vastusega kuulub säilitamisele vastavalt Pangas kehtestatud korrale.

8.3. Kliendil on õigus saada teavet tema kohta kogutud Kliendiandmete ja nende töötlemise eesmärkide kohta (sh tema krediidivõimelisuse hindamiseks andmekogudest tehtud päringute tulemusel saadud andmete kohta). Korra punktis 4.9 nimetatud andmetega kõnesisu kohta saab Klient tutvuda kirjaliku kõneprotokolli kujul.

8.4. Kui Klient leiab, et Kliendiandmete töötlemisel rikutakse tema õigusi, on tal õigus pöörduda rikkumise lõpetamise nõudega Panga poole. Kliendil on lisaks igal ajal õigus tema õiguste rikkumise korral pöörduda Andmekaitse Inspektsiooni või pädeva kohtu poole. Kui tuvastatakse, et Kliendiandmete töötlemisel on rikutud Kliendi õigusi, on Kliendil õigus nõuda temale rikkumisega tekitatud kahju hüvitamist.

8.5. Klient võib keelata Kliendiandmete töötlemise punktis 5.1.12 ja 5.1.13 nimetatud eesmärkide täitmiseks (sh keelata Kliendiandmete edastamise Volitatud töötlejatele või kolmandatele isikutele, kes soovivad Kliendiandmeid töödelda samadel eesmärkidel). Punktis 5.1.13 nimetatud reklaamideks ja pakkumisteks ei loeta Panga poolt edastatavaid teateid seoses Panga üldinfo, teenuste tingimuste või hinnakirja muudatuste või sõlmitud lepingute täitmisega (vastava teabe saamisest ei saa Klient reeglina keelduda).

8.6. Korra punktis 5.1.1 sätestatud eesmärgil tehtud automaatse otsuse kohta võib Klient esitada vastuväite ning taotleda automaatse otsuse ülevaatamist või küsida teavet otsuse vastuvõtmise protsessi kohta. Samuti on Kliendil võimalik taotleda Korra punktis 5.1.1 sätestatud eesmärgil otsuse vastuvõtmist ilma automatiseeritud otsuseta.

8.7. Klient peab Panka koheselt teavitama kõikidest muudatustest, võrreldes lepingutes või Pangale esitatud teabes fikseeritud Kliendiandmetega. Pangal on õigus nõuda dokumenti, mis tõendab muudatusi Kliendiandmetes ja Kliendil on kohustus see esitada. Klient võib Pangalt igal ajal nõuda paranduste tegemist oma andmetes, kui andmed on muutunud või ebatäpsed (Klient saab oma andmeid vaadata ja muuta ka Panga iseteeninduskeskkonnas).

8.8. Kui õigusaktidest või Korrast ei tulene teisiti, võib Klient taotleda Pangalt juurdepääsu teda puudutavatele Kliendiandmetele, samuti nõuda nende andmete kustutamist, sulgemist, piiramist (s.h Kliendiandmete liikide ja eesmärkide lõikes), ülekandmist või esitada vastuväite Kliendiandmete töötlemisele. Pank võib jätkata Kliendiandmete töötlemist eelkõige juhul, kui töötlemine on vajalik Kliendiga sõlmitud lepingu täitmiseks ning täitmise tagamiseks, Pangal on õigus või kohustus töödelda Kliendiandmeid õigusaktidest tulenevalt või Pangal on Kliendiandmete töötlemise jätkamiseks õigustatud huvi ning Kliendi huvid ja õigused ei ole sellest kaalukamad.

8.9. Kliendil ei ole õigust tutvuda oma andmetega, andmete kustutamisele, töötlemise piiramisele, andmete ülekandmisele ega esitada vastuväiteid, kui Pank töötleb neid Kliendiandmeid Korra punktis 5.1.6 või 5.1.9 sätestatud eesmärkidel ning täidetud on õigusaktides sätestatud tingimused Kliendi õiguste piiramiseks.

8.10. Pärast Kliendi surma on tema kohta käivate Kliendiandmete suhtes õigusaktide ja Korraga kehtestatud õigused Kliendi pärijal.

9.1. Pank säilitab Kliendiandmeid ainult senikaua, kuni see on vajalik Korra punktis 5 nimetatud eesmärkide täitmiseks või kuni õigusaktides sätestatud tähtaegade lõppemiseni või senikaua, kuni see on vajalik tulevikus tekkida võivate õigusvaidluste jaoks Panga ja Kliendi vahel. Selleks, et Pangal oleks võimalik õigusvaidluse tekkimise korral koostada, esitada või kaitsta õigusnõudeid, säilitab Pank andmeid kuni võimaliku nõude aegumistähtaja möödumiseni.

9.2. Korra punktis 4.9 sätestatud andmeid kõnesisu kohta (kõnesalvestis) säilitatakse 60 päeva kõne toimumisest arvates.

9.3 Pank kõrvaldab üldjuhul isiku kohta kogutud andmed Panga infosüsteemidest järgmistel juhtudel:

9.3.1.   ilmneb, et Kliendiandmed on Pangale edastatud kolmanda isiku poolt ilma Kliendi nõusolekuta ja Klient on avaldanud soovi tema andmete töötlemise lõpetamiseks (v.a. juhul, kui Pangal on õigus andmeid edasi töödelda õigusaktidest tulenevate kohustuste täitmiseks, õigustatud huvi tõttu või muul seaduslikul alusel);

9.3.2.  möödub andmete säilitamiseks Panga poolt punktis 9.1. ettenähtud tähtaeg või selle puudumisel õigusaktidega ettenähtud vastav tähtaeg;

9.3.3. Pangaga õigussuhteid mitteomav isik on esitanud taotluse toote või teenuse saamiseks, kuid ei ole Panga pakkumist selle kehtivuse ajal vastu võtnud või kui Pank on otsustanud jätta sellele isikule toode või teenus pakkumata.

10.1. Korda kohaldatakse Kliendiandmete töötlemisele, s.h. ka kliendisuhetele, mis on tekkinud enne Korra jõustumist.

10.2. Pangal on õigus Korda igal ajal ühepoolselt muuta, lähtudes kehtivatest õigusaktidest. Korra uuendamisest teavitatakse Klienti Pangale teadaolevate kontaktandmete vahendusel vähemalt üks kuu enne muudatuste jõustumist (muudatusest ei pea teavitama, kui muudatus on tingitud õigusaktide muutumisest).