Isikuandmete töötlemise tingimused

I JAOTIS

ÜLDSÄTTED

  1. Siinsete isikuandmete töötlemise põhimõtete (edaspidi: põhimõtted) eesmärk on reguleerida Finora Bank UAB (edaspidi: pank) tehtavat isikuandmete töötlemist. Põhimõtted on kooskõlas Euroopa Parlamendi ja nõukogu 27. aprilli 2016 määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (edaspidi: määrus), Leedu Vabariigi isikuandmete kaitse seaduse ja muude õigusaktidega, mis puudutavad isikuandmete töötlemist ja kaitset.
  2. Põhimõtetes kirjeldatakse, kuidas pank töötleb isikuandmeid.
  3. Põhimõtetes kasutatakse järgmisi mõisteid:
    3.1. Isikuandmed on igasugune teave, mis võimaldab otseselt või kaudselt tuvastada klienti või panga töötajat.
    3.2. Andmete vastuvõtja on füüsiline või juriidiline isik, avaliku sektori asutus või muu organ, kellele pangal on õigus isikuandmeid avaldada. Andmete vastuvõtjate kategooriad on toodud siinsete põhimõtete III jaotises.
    3.3. Andmetöötlus on isikuandmetega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, näiteks kogumine, dokumenteerimine, korrastamine, säilitamine, kohandamine, muutmine, päringute tegemine, kasutamine, ühildamine, kustutamine või hävitamine.
    3.4. Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.
    3.5. Vastutav töötleja on igaüks, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Siinsetes põhimõtetes kirjeldatud isikuandmete töötlemise puhul on vastutav töötleja pank.
    3.6. Klient on füüsiline isik, kes kasutab, on kasutanud või avaldanud soovi kasutada teenuseid, on muul moel seotud mõne teenuse kasutamise ja/või kasutajaga ja/või on pangaga seotud muul viisil.
    3.7. Teenused on mis tahes teenused, nõuanded ja tooted, mida pank pakub kliendile seoses finantseerimise, hoiuste, laenamise, liisingu või faktooringuga.
    3.8. Profiilianalüüs on igasugune isikuandmete automatiseeritud töötlemine, mis kujutab endast isikuandmete kasutamist füüsilise isikuga seotud teatud isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike hobide, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega. Profiilianalüüsi kasutatakse näiteks analüüsi koostamiseks, lepingu täitmiseks, otseturunduse eesmärgil, infosüsteemide täiustamiseks, lähtudes panga õiguspärasest huvist või kliendi nõusolekust.
    3.9. Andmete eriliigid on isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised tõekspidamised või ametiühingusse kuulumine, samuti geneetilised andmed, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
    3.10. Nõusolek on vabatahtlik, konkreetne ja ühemõtteline tahteavaldus, millega andmesubjekt, kas otsesõnu või üheselt mõistetava tegutsemisega nõustub tema kohta käivate isikuandmete töötlemisega.
  4. Pank kogub ja töötleb järgmist liiki isikuandmeid:
    4.1. isikutuvastusandmeid, nagu nimi, isikukood, sünniaeg, andmed isikut tõendava dokumendi kohta, kodune aadress, näopilt;
    4.2. kontaktandmeid, nagu aadress, telefoninumber, e-posti aadress;
    4.3. finantsandmeid, nagu omandiõigus, rahaliste vahendite päritolu, tehingud, krediidid, sissetulek, finantseesmärgid, kohustused, varad;
    4.4. kontoandmeid, nagu pangakonto number;
    4.5. andmeid, mida pank vajab rahapesu ja terrorismi rahastamise tõkestamises vajalike meetmete rakendamiseks ning rahvusvaheliste sanktsioonide täitmise tagamiseks, sealhulgas ärisuhete eesmärk ja see, kas klient on isik, kes osaleb poliitikas, samuti ka varade päritolu kindlaksmääramiseks;
    4.6. andmeid kliendi tehingupoolte ja äritegevuse kohta;
    4.7. andmeid, mis on saadud ja/või loodud õigusaktidest tuleneva kohustuse täitmiseks, näiteks andmeid, mida pank on kohustatud esitama ametiasutustele (maksuhaldurid, kohtud, õiguskaitseasutused), näiteks andmed sissetulekute, laenukohustuste, kinnisvaraomandite ja võlakoormuse kohta;
    4.8. perekonnaga seotud andmeid, nagu teave kliendi perekonna kohta;
    4.9. rahvastikuandmeid, nagu elukohariik, sünniaeg ja kodakondsus;
    4.10. andmeid ametialase tegevuse kohta, näiteks haridus või ametialane karjäär; 4.11. andmeid seoste kohta juriidiliste isikutega, näiteks andmed, mille on esitanud klient või mis on saadud avalikest andmebaasidest või kolmandast isikust teenusepakkuja käest konkreetse juriidilise isiku nimel tehingute tegemiseks.

    II JAOTIS

    Isikuandmete töötlemine
  5. Pank kogub ja töötleb oma töös järgmiste isikute isikuandmeid:
    5.1. panga töötajad ja tööle kandideerijad;
    5.2. panka juhtivad isikud, juhatuse, järelevalve (sh panga järelevalve nõukogu, auditikomitee) või muude organite liikmed, aktsionärid, tegelikud kasusaajad;
    5.3. pangale teenuste osutamiseks avaldusi esitanud isikud (taotlejad), taotleja kohustuste tagajad, muud avaldustes nimetatud isikud, juhtivad isikud, juhatuse, järelevalve- või muude organite liikmed, neid otseselt või kaudselt kontrollivad isikud, aktsionärid, tegelikud kasusaajad;
    5.4. panga töövõtjad, teenuseosutajad, juhatuse, järelevalve- või muude organite liikmed, neid otseselt või kaudselt kontrollivad isikud, aktsionärid, tegelikud kasusaajad;
    5.5. põhimõtete punktides 5.2–5.3 nimetatud isikute esindajad, abikaasad või nendega muul moel seotud isikud.
  6. Pank töötleb isikuandmeid järgmistel eesmärkidel.
    6.1. Lepingute täitmine:
    6.1.1. töölepingute sõlmimine panga töötajatega;
    6.1.2. asutusesisene asjaajamine;
    6.1.3. kliendi nõudmisel toimingute tegemine enne lepingu sõlmimist, lepingu, mille üks pool on klient, sõlmimine, täitmine või lõpetamine.
    6.2. Juriidilise kohustuse täitmine:
    6.2.1. klientide kaebuste käsitlemine;
    6.2.2. rahapesu tõkestamine, maksukohustuse kontrolli- ja deklareerimiskohustuse täitmine ja riskijuhtimine;
    6.2.3. krediidivõimelisuse või muu riski hindamine teenuste osutamiseks, riski maandamiseks ja pangale kehtestatud kapitali adekvaatsusnõuete täitmiseks;
    6.2.4. kahtlaste tehingute tuvastamine, uurimine ja nendest teatamine;
    6.2.5. kliendi isikusamasuse kindlaks määramine ja kontrollimine, isikuandmete õigsuse ja täielikkuse tagamine, nende kontrollimine ja täpsustamine avalike ja sisemiste andmeallikate abil.
    6.3. Õiguspärane huvi:
    6.3.1. krediidikvaliteedi ja riskide hindamiseks, et teha kindlaks, milliseid teenuseid ja millistel tingimustel saab kliendile pakkuda, langetada otsuseid, jälgida laenuportfelli, samuti vähendada või kõrvaldada panga potentsiaalseid riske;
    6.3.2. krediidivõimelisuse või muuks riskihindamiseks, et osutada kliendile finantseerimis- või muid teenuseid;
    6.3.3. finantsnõuete kinnitamiseks, täitmise tagamiseks, kaitsmiseks, ülekandmiseks või müügiks, samuti sel eesmärgil teabe säilitamiseks;
    6.3.4. kliendi, panga ja panga töötajate õigustatud huvide kaitsmiseks, rakendades sealjuures vajalikke turvameetmeid;
    6.3.5. panga tegevuse, teenuste ja kliendikogemuse toetamiseks, laiendamiseks, hindamiseks ja täiustamiseks.
    6.4. Nõusolek:
    6.4.1. isikuandmete töötlemiseks otseturunduse eesmärgil;
    6.4.2. telefonivestluste salvestamiseks, et tagada teenuste kvaliteet;
    6.4.3. panga kliendiks saada sooviva isiku (või tema esindaja) näokujutise kasutamiseks ja video tegemiseks, et tuvastada isikud kaugtuvastuse teel;
    6.4.4. tööle kandideerijate isikuandmete töötlemiseks, kui panga pakutavatele ametikohtadele kandideerimisel esitatakse pangale otse või värbamisagentuuri kaudu oma CV,
    motivatsioonikiri vms. Pank töötleb isikuandmeid nõusoleku alusel, mille tööle kandideerijad vastavate andmete esitamisel annavad;
    6.4.5. kui kliendid külastavad panga veebisaiti (www.finorabank.eu), töötleb pank kliendi nõusolekul kliendi IP-aadressi ja muid võrguandmeid;
    6.4.6. kliendi nõusolekul Finora kontserni kuuluvaid ettevõtteid puudutavatel põhjendatud juhtudel.
  7. Isikuandmete automaatseks haldamiseks kasutab pank järgmisi programme: Dropbox, Google Drive, MS Excel, Word, Outlook ja muid panga töös kasutatavaid programme. Panga töötajate isikuandmeid saab edastada ja töödelda ka järgmistes riigiasutuste IT-süsteemides: Sodra andmebaas, VMI elektrooniline deklareerimise süsteem, Sodra elektrooniline kindlustusvõtjate süsteem, elektrooniline statistiliste andmete koostamise ja edastamise süsteem, VMI (deklaratsiooniandmed), VMI (ebaseaduslik töö), valitsuse elektrooniline portaal jne.
  8. Pank teeb profiilianalüüsi ja kasutab automatiseeritud otsuseid, et parandada klientide kasutajakogemust, näiteks kohandades teenuseid eri seadmetele või koostades klientidele sobivaid teenusepakkumisi. Pank teeb automatiseeritud otsuseid sellistes toimingutes nagu krediidivõimelisuse hindamine, riskijuhtimine, tehingute jälgimine, pettustevastane tegevus, õigusaktide nõuetega arvestamine rahapesu ja terrorismi rahastamise tõkestamise ning finantsteenuste valdkonnas.
  9. Isikuandmete säilitamise aja määramisel võetakse arvesse konkreetseid eesmärke, milleks isikuandmeid koguti, või õigusaktidega määratud tähtaega. Isikuandmeid töödeldakse ajal, mil kestavad ärisuhted kliendiga, säilitamistähtaegade määramisel ja kohaldamisel võidakse arvestada panga õiguspäraste huvidega. Isikuandmeid säilitatakse pangas kümme aastat pärast kliendiga ärisuhte lõppemist, välja arvatud juhtudel, kui õigusaktidest tulenevad muud säilitamistähtajad.
  10. Pank töötleb eriliiki andmeid ainult määruse artiklis 9 sätestatud isikuandmete töötlemise tingimuste ja nõuete kohaselt.

    III JAOTIS

    ISIKUANDMETE TÖÖTLEMISE JA AVALDAMISE PÕHINÕUDED
  11. Pank järgib oma ülesannete täitmisel ja isikuandmete töötlemisel muu hulgas järgmisi isikuandmete töötlemise põhinõudeid: 1) isikuandmeid kogutakse siinsetes põhimõtetes määratletud eesmärkidel ja seejärel töödeldakse kooskõlas nende eesmärkidega; 2) isikuandmeid töödeldakse täpselt, õiglaselt ja seaduslikult; 3) isikuandmed peavad olema õiged ja vajaduse korral tuleb neid töötlemiseks pidevalt uuendada; ebaõiged või mittetäielikud andmed tuleb parandada, täiendada, hävitada või nende töötlemine peatada; 4) isikuandmed peavad olema identsed, asjakohased ja ainult ulatuses, mis on vajalik nende kogumiseks ja edasiseks töötlemiseks; 5) isikuandmeid säilitatakse niisugusel kujul, et andmesubjekte poleks võimalik tuvastada kauem, kui on vaja nende andmete kogumise ja töötlemise eesmärkide saavutamiseks; 6) isikuandmeid töödeldakse kooskõlas määruses, Leedu Vabariigi isikuandmete kaitse seaduses ja muudes õigusaktides kehtestatud isikuandmete töötlemise nõuetega.
  12. Pank võtab isikuandmeid vastu nii otse andmesubjektidelt kui ka kolmandatest isikutest vastutavatelt töötlejatelt, tehes seda üksnes kooskõlas õigusaktidega.
  13. Teenuste osutamise tagamiseks või muudel juhtudel, kui see on vajalik, on pangal õigus avaldada isikuandmeid vastuvõtjatele. Sellised vastuvõtjad on:
    13.1. Finora kontserni kuuluvad äriühingud;
    13.2. riigiasutused, muud neile seadusega pandud ülesandeid täitvad isikud, nagu järelevalveasutused, maksuamet, õiguskaitseasutused, kohtutäiturid, notarid, kohtud, kohtuvälised vaidluste lahendamise asutused;
    13.3. finants- ja õigusküsimustes nõustavad, panka auditeerivad või pangale muid teenuseid osutavad isikud;
    13.4. kolmandad isikud, kes haldavad registreid (sh rahaliste kohustuste ja tulude andmebaasid, elanike register, juriidiliste isikute register, riigi kinnisvararegister, mootorsõidukiregister, maksehäireregister või muud registrid, milles isikuandmeid töödeldakse) või vahendavad isikuandmete esitamist niisugustest registritest;
    13.5. võlgade sissenõudmisega tegelevad isikud ja äriühingud, lepingutest tulenevaid õigusi ja kohustusi üle võtvad isikud, maksejõuetusmenetluse haldajad;
    13.6. isikud, kes tagavad kliendi panga ees võetud kohustuste nõuetekohase täitmise, näiteks käendajad ja pantijad; 13.7. muud teenuste osutamisega seotud isikud, nagu IT-, telekommunikatsiooni-, arhiveerimis- ja postiteenuste osutajad, kliendile osutatavate teenuste osutajad, müüjad ja muud volitatud isikud.
  14. Pank ei jaga kellegagi rohkem isikuandmeid, kui on konkreetse töötlemise eesmärgi täitmiseks vajalik. Vastuvõtjad võivad töödelda isikuandmeid volitatud ja/või vastutavate töötlejatena. Kui vastuvõtja töötleb kliendi isikuandmeid vastutava töötlejana enda nimel, vastutab vastuvõtja andmesubjektidele nende isikuandmete töötlemise kohta teabe edastamise eest. Sellisel juhul soovitab pank kliendil võtta vastuvõtjaga ühendust, et saada teavet vastuvõtja tehtava isikuandmete töötlemise kohta.

    IV JAOTIS

    ANDMESUBJEKTI ÕIGUSTE RAKENDAMINE
  15. Pank tagab andmesubjekti, sh panga töötajate õiguste rakendamise, et andmesubjektile oleks tagatud järgmised õigused:
    15.1. saada teavet selle kohta, kas pank töötleb tema isikuandmeid, ja kui töötleb, siis nendega tutvuda;
    15.2. nõuda oma isikuandmete parandamist, kui need on ebaõiged, mittetäielikud või ebatäpsed;
    15.3. nõuda oma isikuandmete kustutamist;
    15.4. nõuda oma isikuandmete töötlemise piiramist;
    15.5. mitte nõustuda oma isikuandmete töötlemisega, kui töötlemine põhineb panga õigustatud huvil;
    15.6. saada kirjalikult või tavalises arvutiloetavas vormingus tema esitatud isikuandmeid, mida töödeldakse tema nõusoleku või lepingu alusel, ning võimalusel edastada need teisele teenusepakkujale (õigus andmete ülekandmisele);
    15.7. võtta tagasi isikuandmete töötlemiseks antud nõusolek; 15.8. mitte nõustuda täielikult automatiseeritud otsuste tegemisega, sealhulgas profiilianalüüsiga, kui sellisel otsusel on õiguslikud tagajärjed või samavõrd oluline mõju kliendile. See õigus ei kehti juhul, kui niisugune otsustamine on vajalik kliendiga lepingu sõlmimiseks või täitmiseks, on lubatud õigusaktidega või kui klient on andnud selleks sõnaselge nõusoleku.
  16. Andmesubjektil, kes on esitanud pangale isikut tõendava dokumendi või tõendanud enda isikusamasust õigusaktidega kehtestatud korras või isikut tuvastada võimaldavate elektrooniliste sidevahendite abil, on õigus tutvuda oma pangas töödeldavate andmetega ning saada teavet selle kohta, millistest allikatest ja milliseid tema isikuandmeid koguti, mis eesmärgil neid töödeldakse ning millistele vastuvõtjatele neid edastatakse ja on viimase aasta jooksul edastatud.
  17. Kui pank saab andmesubjektilt taotluse, esitab pank vastutava töötlejana andmesubjektile viivitamata, kuid igal juhul mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe määruse artiklite 15–22 kohase taotluse alusel tehtavate toimingute kohta. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, olenevalt taotluste hulgast ja keerukusest. Kui andmesubjekti taotlused on ilmselgelt põhjendamatud või ebaproportsionaalsed, eelkõige nende korduva sisu tõttu, võib pank kas: 1) nõuda mõistlikku tasu, võttes arvesse nõutava teabe või teatiste edastamise või nõutud toimingute halduskulusid või 2) keelduda taotlust menetlemast.
  18. Kui andmesubjekt leiab oma isikuandmetega tutvudes, et tema isikuandmed on ebaõiged, mittetäielikud või ebatäpsed, ja pöördub panga poole, kontrollib pank neid isikuandmeid viivitamatult ning parandab kohe andmesubjekti kirjalikul nõudmisel ebaõiged või ebatäpsed andmed, täiendab panga mittetäielikke töödeldud isikuandmeid ja/või peatab nende töötlemise, välja arvatud säilitamise, kuni ebaõiged, ebatäpsed või mittetäielikud isikuandmed on parandatud või hävitatud.
  19. Pank teavitab andmesubjekti viivitamatult andmesubjekti nõudmisel tehtud isikuandmete parandustest, andmete hävitamisest või töötlemise peatamisest või eespool loetletu tegemata jätmisest.
  20. Andmesubjektile võib soovi korral teavet anda suuliselt, võimaldades samas juurdepääsu dokumendile ja esitades tõendi, dokumendi väljavõtte või dokumendi paberkoopia, elektroonilise teabekandja või juurdepääsu teabefailile. Kui taotluses ei ole teabe esitamise vormi märgitud, esitab pank selle samas vormis, nagu esitati taotlus.
  21. Kliendil on õigus esitada isikuandmete töötlemise kohta kaebus Andmekaitse Inspektsioonile, mis asub aadressil www.vdai.lrv.lt, kui klient usub, et tema isikuandmete töötlemisel rikutakse tema õigusi ja õigustatud huve, mis tulenevad isikuandmete kaitset reguleerivatest õigusaktidest.
  22. Kliendil on õigus pöörduda panga poole taotluste esitamiseks, juba antud nõusolekute tagasivõtmiseks, taotluste esitamiseks andmesubjekti õiguste rakendamise kohta ja kaebuste esitamiseks isikuandmete töötlemise kohta. Panga kontaktandmed on avaldatud panga veebisaidil www.finorabank.eu.

    V JAOTIS

    LÕPPSÄTTED
  23. Pangal on õigus neid põhimõtteid igal ajal ühepoolselt muuta, teavitades sellest kliente panga veebisaidi, SMSi või e-posti teel hiljemalt üks kuu enne muudatuste jõustumist, välja arvatud juhul, kui muudatused on vajalikud vastavuse tagamiseks õigusaktidega