Privaatsuspoliitika

Käesolev privaatsuspoliitika kirjeldab, kuidas FormaCash OÜ (edaspidi "FormaCash", "meie" või "me") kogub, kasutab, säilitab, jagab ja kaitseb oma kasutajate, kandidaatide, Õppijate ja veebisaidi külastajate isikuandmeid. FormaCash OÜ on vastutav töötleja Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus ehk GDPR) artikli 4 lõike 7 tähenduses. Vastutava töötleja andmed: - Ettevõtte nimi: FormaCash OÜ - Äriregistri number: 16284759 - Registreeritud aadress: Pärnu mnt 148, 11317 Tallinn, Eesti - E-post: contact@formacash.com Isikuandmete töötlemisega seotud küsimuste, murede või taotluste korral, sealhulgas andmesubjekti õiguste kasutamiseks, palume pöörduda aadressil privacy@formacash.com.

FormaCash kogub ja töötleb järgmisi isikuandmete kategooriaid, sõltuvalt suhtluse olemusest ja kasutatavatest teenustest: Isikutuvastusandmed: - Täisnimi (eesnimi ja perekonnanimi) - Sünniaeg - Kodakondsus - Riikliku isikut tõendava dokumendi number (kui see on sertifitseerimise või regulatiivsete eesmärkide jaoks nõutav) - Foto (konto profiili jaoks, valikuline) Kontaktandmed: - E-posti aadress (isiklik ja/või ametialane) - Telefoninumber (mobiiltelefon ja/või lauatelefon) - Postiaadress (elu- ja/või töökoha aadress) - Elukohariik Makse- ja finantsandmed: - Maksekaardi andmed (töödeldakse ja säilitatakse ainult Stripe'i poolt; FormaCash ei salvesta täielikke kaardi numbreid) - Pangakonto andmed (SEPA otsekorralduse või tagasimakse töötlemise jaoks) - Arveldusaadress - Tehingute ajalugu ja arve kirjed - Rahastamisavalduse andmed (sissetuleku tase, tööhõiveseisund, edastatakse QuickFundile Õppija selgesõnalise nõusolekuga) Koolituse ja edenemise andmed: - Registreeritud programm(id) ja sessioonide kuupäevad - Kohalolekuandmed ja osalusandmed - Hindamistulemused, hinded ja tagasiside - Projektide esitlused ja koodihoidlad - Sertifitseerimise staatus ja sertifikaadi üksikasjad - VMCloud labori kasutuslogid (tarbitud ressursid, ettevalmistatud keskkonnad) - Õppimise edenemise mõõdikud ja lõpetamise määrad Ühenduse ja sirvimisandmed: - IP-aadress - Brauseri tüüp ja versioon - Operatsioonisüsteem - Seadme tüüp ja ekraani resolutsioon - Platvormil külastatud leheküljed, igal lehel veedetud aeg - Viiteallikas (kuidas kasutaja Platvormile jõudis) - Seansi identifikaatorid ja ajatemplid - Keele-eelistus Kandideerimisandmed: - CV/elulookirjeldus (kui see on esitatud kandideerimisprotsessi osana) - Motivatsioonikiri - Hariduslik taust ja kvalifikatsioonid - Töökogemus ja tööhõiveajalugu - Vastuvõtuhindamise tulemused - Intervjuu märkmed (salvestatud kandidaadi nõusolekul) Suhtlusandmed: - FormaCashile saadetud või FormaCashilt saadud e-kirjad ja sõnumid - Tugitaotlused ja nende lahendamine - Kaebused ja tagasiside - Vestlussõnumid Platvormil

FormaCash töötleb isikuandmeid järgmistel eesmärkidel, millest igaüks on seotud konkreetse õigusliku alusega GDPR artikli 6 lõike 1 alusel: Kandideerimis- ja vastuvõtuprotsessi haldamine: - Õiguslik alus: lepingueelsete meetmete võtmine andmesubjekti taotluse alusel (GDPR artikkel 6(1)(b)). - Üksikasjad: kandideerimisandmete töötlemine, sobivuse kontroll, vastuvõtuhindamine ja vastuvõtuotsuste edastamine. Koolituslepingu täitmine: - Õiguslik alus: lepingu täitmine, mille osapooleks andmesubjekt on (GDPR artikkel 6(1)(b)). - Üksikasjad: registreeringu haldamine, Platvormi juurdepääsu tagamine, Õppesisu osutamine, VMCloud labori ettevalmistamine, kohaloleku jälgimine, hindamiste haldamine, sertifitseerimise väljastamine ja kõik Koolituse täitmiseks vajalikud haldustoimingud. Maksete töötlemine ja arveldamine: - Õiguslik alus: lepingu täitmine (GDPR artikkel 6(1)(b)) ja õiguslike kohustuste täitmine (GDPR artikkel 6(1)(c)). - Üksikasjad: maksete töötlemine Stripe'i kaudu, arvete väljastamine, järelmakseplaanide ja krediidikorralduste haldamine QuickFundi kaudu ning maksude aruandlus. Rahastamisavalduse töötlemine QuickFundi kaudu: - Õiguslik alus: andmesubjekti selgesõnaline nõusolek (GDPR artikkel 6(1)(a)). - Üksikasjad: rahaliste ja isikuandmete edastamine QuickFundile järelmakseplaanide või sooduskrediidi sobivuse hindamiseks. Andmeid jagatakse QuickFundiga ainult Õppija selgesõnalise nõusoleku alusel, mida võib igal ajal tagasi võtta. Tehniline tugi ja klienditeenindus: - Õiguslik alus: lepingu täitmine (GDPR artikkel 6(1)(b)) ja õigustatud huvi (GDPR artikkel 6(1)(f)). - Üksikasjad: tugitaotlustele vastamine, tehniliste probleemide tõrkeotsing, kaebuste haldamine. Platvormi parandamine ja analüütika: - Õiguslik alus: FormaCashi õigustatud huvi (GDPR artikkel 6(1)(f)). - Üksikasjad: anonüümitud ja koondatud sirvimis- ja kasutusandmete analüüs Platvormi funktsionaalsuse, sisu ja kasutajakogemuse parandamiseks. Mõjuhinnang andmesubjektide õigustele on teostatud ja FormaCashi õigustatud huvi kaalub üles minimaalse mõju andmesubjektidele. Turundus ja teabevahetus: - Õiguslik alus: nõusolek (GDPR artikkel 6(1)(a)) turunduskommunikatsiooni jaoks; õigustatud huvi (GDPR artikkel 6(1)(f)) teenusega seotud teadete jaoks. - Üksikasjad: uudiskirjade, koolituse uuenduste ja kampaaniapakkumiste saatmine (ainult nõusoleku alusel); teenusega seotud teadete saatmine (nt ajakava muudatused, platvormi uuendused). Õiguslik vastavus ja vaidluste lahendamine: - Õiguslik alus: õigusliku kohustuse täitmine (GDPR artikkel 6(1)(c)) ja õigustatud huvi (GDPR artikkel 6(1)(f)). - Üksikasjad: kohaldatavate seaduste ja määruste järgimine, õigusnõuete koostamine, esitamine ja kaitsmine, auditid ja regulatiivsed päringud.

FormaCash võib jagada isikuandmeid järgmiste saajate ja volitatud töötlejate kategooriatega, kellest igaüks on seotud lepinguliste andmekaitsekohusetega vastavalt GDPR artiklile 28: Stripe Payments Europe, Ltd.: - Roll: maksete töötlemise volitatud töötleja. - Jagatavad andmed: maksekaardi andmed, arveldusaadress, tehingusummad ja seotud makseandmed. - Asukoht: registreeritud Iirimaal; võib töödelda andmeid Ameerika Ühendriikides (vt jaotis 5 rahvusvaheliste edastamiste kohta). - Tagatised: Stripe on PCI-DSS Level 1 sertifitseeritud, mis on maksekaardi tööstuse kõrgeim sertifitseerimistase. Stripe rakendab ulatuslikke turvameetmeid ja on seotud FormaCashiga andmetöötluslepinguga (DPA) vastavalt GDPR artiklile 28. - Privaatsuspoliitika: https://stripe.com/privacy VMCloud OÜ: - Roll: hostimistaristud ja VMCloud laborkeskkonna volitatud töötleja. - Jagatavad andmed: Õppija isikutuvastusandmed (labori konto loomiseks), labori kasutusandmed, ühenduslogid ja mis tahes andmed, mida Õppija on laborkeskkonnas salvestanud. - Asukoht: registreeritud Eestis. Kõik serverid asuvad ainult Euroopa Liidus: Pariis (Prantsusmaa), Amsterdam (Madalmaad) ja Frankfurt (Saksamaa), tegutsedes Verceli taristul. - Tagatised: VMCloud on seotud andmetöötluslepinguga FormaCashiga ja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid andmeturbe tagamiseks, sealhulgas krüpteeritud andmeedastus, juurdepääsukontrollid ja regulaarsed turvaauditid. QuickFund: - Roll: rahastamisavalduse töötlemise partner. - Jagatavad andmed: Õppija isikutuvastusandmed, kontaktandmed ja finantsandmed (sissetulek, tööhõiveseisund), mis on vajalikud rahastamise sobivuse hindamiseks. - Andmete jagamise tingimus: isikuandmeid jagatakse QuickFundiga ainult Õppija selgesõnalise, teadliku nõusoleku alusel, mis saadakse rahastamisavalduse esitamise ajal. - Asukoht: Euroopa Liit. - Tagatised: QuickFund on seotud andmetöötluslepinguga ja töötleb andmeid vastavalt GDPR-ile ja kohaldatavatele tarbijalaenu regulatsioonidele. E-posti teenusepakkuja: - Roll: tehinguliste ja turunduslike e-kirjade edastamise volitatud töötleja. - Jagatavad andmed: e-posti aadress, eesnimi, e-kirja avamise ja klikkimise statistika. - Asukoht: Euroopa Liit. - Tagatised: seotud andmetöötluslepinguga, andmed töödeldakse ainult EL-i serverites. FormaCash ei müü, ei rendi ega kauple isikuandmetega kolmandatele osapooltele turundus- ega muudel eesmärkidel. Isikuandmeid võib avaldada pädevatele õiguskaitse- ja järelevalveasutustele ainult seaduslikult põhjendatud nõude alusel.

FormaCash on pühendunud tagama, et kõiki isikuandmeid töödeldakse Euroopa Majanduspiirkonna (EMP) piires, kus see on võimalik. Andmeedastuste suhtes kehtivad järgmised korraldused: VMCloud OÜ: - Kõik hostimis- ja laboritaristu serverid asuvad ainult Euroopa Liidus (Pariis, Amsterdam, Frankfurt). VMCloudi poolt töödeldavaid isikuandmeid ei edastata väljaspool EMP-d. VMCloudi Verceli taristu kasutamine on konfigureeritud tagama ainult EL-i andmeresidentsust. Stripe Payments Europe, Ltd.: - Stripe'i peamised toimingud Euroopa klientide jaoks asuvad Iirimaal (EL). Siiski võib Stripe kui globaalne ettevõte edastada teatud isikuandmeid oma emaettevõttele Stripe Inc., mis asub Ameerika Ühendriikides, maksete töötlemise, pettuse ennetamise ja operatiivtoe eesmärkidel. - Sellised edastamised toimuvad vastavalt GDPR V peatükile ja on kaitstud järgmiste kaitsemeetmetega: a) EL-USA andmeprivaatsuse raamistik (DPF): Stripe Inc. on sertifitseeritud andmeprivaatsuse raamistiku alusel, mille Euroopa Komisjon on tunnistanud piisava andmekaitsetaseme tagajana (piisavusotsus 10. juulist 2023). b) Standardsed lepingulised klauslid (SCC): lisaks DPF sertifitseerimisele on FormaCash ja Stripe sõlminud Euroopa Komisjoni poolt heakskiidetud standardsed lepingulised klauslid (komisjoni rakendusotsus (EL) 2021/914) täiendava kaitsemeetmena. c) Täiendavad meetmed: Stripe rakendab täiendavaid tehnilisi ja korralduslikke meetmeid, sealhulgas krüpteerimist edastuse ajal ja puhkeolekus, juurdepääsukontrolle ja regulaarseid turvahindamisi, et tagada edastatud andmete kaitsetase, mis on sisuliselt samaväärne EMP-s tagatud tasemega. QuickFund: - QuickFund töötleb kõiki isikuandmeid ainult Euroopa Liidu piires. Rahvusvahelisi edastamisi ei toimu. E-posti teenusepakkuja: - E-posti teenusepakkuja töötleb andmeid ainult EL-i serverites. Rahvusvahelisi edastamisi ei toimu. Muid isikuandmete edastamisi väljaspool Euroopa Liitu/Euroopa Majanduspiirkonda ei toimu. Kui tulevikus peaks tekkima vajadus andmete edastamiseks kolmandatesse riikidesse, tagab FormaCash nõuetekohase kaitse vastavalt GDPR V peatükile ja teavitab andmesubjekte eelnevalt.

FormaCash säilitab isikuandmeid ainult nii kaua, kui see on vajalik eesmärkide saavutamiseks, milleks neid koguti, välja arvatud juhul, kui pikem säilitamisperiood on kohaldatava seadusega nõutud või lubatud. Kehtivad järgmised säilitamistähtajad: Kandideerimisandmed (mittevastuvõetud kandidaatide puhul): - Säilitamisperiood: kaksteist (12) kuud alates vastuvõtuotsuse kuupäevast. - Põhjendus: võimaldab kandidaatidel uuesti kandideerida ilma kogu dokumentatsiooni uuesti esitamata; õigustatud huvi kandideerimisandmete säilitamiseks programmi parandamise eesmärgil. - Pärast seda perioodi andmed anonüümitakse või kustutatakse lõplikult. Õppija konto ja isikutuvastusandmed: - Säilitamisperiood: Koolituse kestus pluss viis (5) aastat alates Koolituse lõpetamisest või lõpetamisest. - Põhjendus: vajalik sertifikaadi kontrollimiseks, vilistlasteenusteks ja lepinguliste ning õiguslike kohustuste täitmiseks (Eesti lepinguliste nõuete aegumistähtaeg). Makse- ja finantsandmed: - Säilitamisperiood: kümme (10) aastat alates tehingu kuupäevast. - Põhjendus: vastavus Eesti ja EL-i raamatupidamis- ja maksuregulatsioondele (Eesti raamatupidamise seadus, EL-i käibemaksudirektiiv), mis nõuavad finantsandmete säilitamist vähemalt seitse aastat, pikendatuna kümnele aastale tervikliku vastavuse tagamiseks. Koolituse ja edenemise andmed (kohalolekuandmed, hindamised, sertifitseerimised): - Säilitamisperiood: Koolituse kestus pluss kümme (10) aastat alates Sertifikaadi väljastamisest. - Põhjendus: vajalik pikaajalise sertifikaadi kontrollimise, akrediteerimisauditite ja regulatiivse vastavuse jaoks. Sertifikaate võivad tööandjad või haridusasutused kontrollida aastaid pärast väljastamist. Ühenduse ja sirvimisandmed (logid, analüütika): - Säilitamisperiood: kolmteist (13) kuud alates kogumise kuupäevast. - Põhjendus: vajalik platvormi turvalisuse, jõudluse jälgimise ja analüütika jaoks. See periood on kooskõlas CNIL-i ja EDPB suunistega analüütika andmete säilitamise kohta. Turunduskommunikatsiooni andmed (nõusolekuandmed): - Säilitamisperiood: kuni nõusoleku tagasivõtmiseni pluss kolm (3) aastat nõusoleku tõendamiseks. - Põhjendus: nõusoleku tõendamine vastavalt ePrivacy nõuetele ja GDPR-ile. Säilitamisperioodi lõppedes anonüümitakse või kustutatakse andmed turvaliselt vastavalt tööstuse parimatele tavadele. Anonüümitud andmeid, mida ei saa enam konkreetse isikuga seostada, võib säilitada määramata ajaks statistilistel ja uurimiseesmärkidel.

GDPR alusel on andmesubjektidel (Õppijatel, kandidaatidel ja kasutajatel) seoses oma isikuandmetega järgmised õigused: Juurdepääsuõigus (GDPR artikkel 15): Teil on õigus saada FormaCashilt kinnitus selle kohta, kas teiega seotud isikuandmeid töödeldakse. Isikuandmete töötlemise korral on teil õigus andmetele juurde pääseda ja saada järgmist teavet: töötlemise eesmärgid, asjaomased andmekategooriad, saajad või saajate kategooriad, säilitamisperiood, muude õiguste olemasolu, andmete allikas (kui neid ei ole otse teilt kogutud) ja automatiseeritud otsuste tegemise olemasolu. FormaCash esitab töödeldavate isikuandmete koopia tasuta. Täiendavate koopiate eest võidakse nõuda mõistlikku haldustasu. Parandamisõigus (GDPR artikkel 16): Teil on õigus saada põhjendamatu viivituseta teid puudutavate ebatäpsete isikuandmete parandamine. Teil on ka õigus saada puudulike isikuandmete täiendamine, sealhulgas täiendava avalduse esitamise teel. Teatud isikuandmeid saate uuendada otse oma Konto seadete kaudu Platvormil. Kustutamisõigus / õigus olla unustatud (GDPR artikkel 17): Teil on õigus saada oma isikuandmete kustutamine põhjendamatu viivituseta, kui: andmed ei ole enam vajalikud eesmärkide jaoks, milleks neid koguti; võtate nõusoleku tagasi ja töötlemiseks puudub muu õiguslik alus; esitate töötlemise suhtes vastuväite ja ülekaalukad õiguspärased alused puuduvad; andmeid on ebaseaduslikult töödeldud; või kustutamine on vajalik õigusliku kohustuse täitmiseks. See õigus ei kehti, kui töötlemine on vajalik õigusliku kohustuse täitmiseks, õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või avalikes huvides arhiveerimise eesmärkidel. Töötlemise piiramise õigus (GDPR artikkel 18): Teil on õigus saada töötlemise piiramine, kui: vaidlustate andmete täpsuse; töötlemine on ebaseaduslik, kuid te ei soovi kustutamist; FormaCash ei vaja enam andmeid, kuid teie vajate neid õigusnõuete jaoks; olete esitanud töötlemise suhtes vastuväite, oodates kontrollimist, kas FormaCashi õiguspärased alused kaaluvad üles teie alused. Andmete ülekandmise õigus (GDPR artikkel 20): Teil on õigus saada oma isikuandmed, mille olete FormaCashile esitanud, struktureeritud, üldkasutatavas ja masinloetavas vormingus ning õigus edastada need andmed teisele vastutavale töötlejale ilma FormaCashi takistuseta. Vastuväite esitamise õigus (GDPR artikkel 21): Teil on õigus esitada vastuväiteid oma isikuandmete töötlemisele, mis põhineb õigustatud huvil (artikkel 6(1)(f)). FormaCash lõpetab andmete töötlemise, välja arvatud juhul, kui töötlemiseks on ülekaalukad õiguspärased alused. Nõusoleku tagasivõtmine: Kui töötlemine põhineb teie nõusolekul (artikkel 6(1)(a)), on teil õigus nõusolek igal ajal tagasi võtta. Tagasivõtmine ei mõjuta enne tagasivõtmist toimunud töötlemise seaduspärasust. Õiguste kasutamise protseduur: 1. Saatke taotlus e-posti teel aadressil privacy@formacash.com või kirjalikult aadressil FormaCash OÜ, Pärnu mnt 148, 11317 Tallinn, Eesti. 2. Lisage oma taotlusele isikut tõendava dokumendi koopia (identiteedi kontrollimiseks). 3. FormaCash vastab ühe (1) kuu jooksul, pikendatav kahe (2) lisakuu võrra keeruliste taotluste korral, millest teid teavitatakse. 4. Õiguste kasutamine on tasuta, välja arvatud ilmselt põhjendamatud või ülemäärased taotlused. Kaebuse esitamise õigus: Kui leiate, et teie isikuandmete töötlemine rikub GDPR-i, on teil õigus esitada kaebus Andmekaitse Inspektsioonile (AKI) aadressil Tatari 39, 10134 Tallinn, Eesti (info@aki.ee, https://www.aki.ee) või teie alalise elukoha või töökoha järelevalveasutusele.

FormaCash kasutab oma Platvormil küpsiseid ja sarnaseid jälgimistehnoloogiaid, et tagada nõuetekohane toimimine, parandada kasutajakogemust ja analüüsida kasutusmustreid. Küpsis on väike tekstifail, mis salvestatakse teie seadmesse (arvuti, tahvelarvuti või nutitelefon), kui külastate Platvormi. Kasutatakse järgmisi küpsiste kategooriaid: Rangelt vajalikud küpsised: Need küpsised on Platvormi toimimiseks hädavajalikud ja neid ei saa keelata. Need võimaldavad põhifunktsioone nagu navigeerimine, juurdepääs turvalistele aladele ja seansi haldamine. - Seansiküpsis: säilitab kasutaja autenditud seansi Platvormil navigeerimisel. Kestus: aegub sirvimisseansi lõppedes (seansiküpsis). - CSRF-tõend: kaitseb saidiüleste võltsingupäringute rünnakute eest, valideerides vormi esitamiste autentsust. Kestus: aegub sirvimisseansi lõppedes. - Keele-eelistuse küpsis: salvestab kasutaja valitud keele, et tagada ühtlane kogemus kõigil lehtedel. Kestus: kaksteist (12) kuud. - Küpsiste nõusoleku küpsis: salvestab kasutaja küpsiste eelistused, et vältida korduvaid nõusolekupalveid. Kestus: kaksteist (12) kuud. Õiguslik alus: õigustatud huvi (GDPR artikkel 6(1)(f)), kuna need küpsised on rangelt vajalikud kasutaja poolt selgesõnaliselt taotletud teenuse osutamiseks ja ei nõua nõusolekut ePrivacy direktiivi alusel. Analüütika küpsised: Need küpsised koguvad anonüümitud ja koondatud teavet selle kohta, kuidas külastajad Platvormi kasutavad, sealhulgas külastatud leheküljed, igal lehel veedetud aeg, põrkemäärad ja liiklusallikad. Neid andmeid kasutatakse ainult Platvormi funktsionaalsuse ja sisu parandamise eesmärgil. - Analüütika seansiküpsis: jälgib kasutaja navigeerimisteed ühe külastuse ajal. Kestus: kolmkümmend (30) minutit tegevusetust. - Analüütika püsiküpsis: määrab anonüümitud identifikaatori unikaalsete külastajate eristamiseks. Kestus: kolmteist (13) kuud. FormaCash kasutab privaatsust austavat analüütikalahendust, mis anonüümib IP-aadressid ja ei jaga andmeid kolmandate osapooltega. Analüütika küpsised paigaldatakse ainult kasutaja selgesõnalise nõusoleku alusel, mis saadakse küpsiste nõusoleku bänneri kaudu esimesel külastusel. Reklaamiküpsised: FormaCash EI KASUTA reklaamiküpsiseid ega jälgimisküpsiseid. Me ei jaga sirvimisandmeid reklaamivõrgustike ega sotsiaalmeediaplatvormidega. Küpsiste haldamine: Te saate küpsiseid hallata oma brauseri seadete kaudu. Enamik brausereid võimaldab küpsiseid blokeerida, kustutada või saada hoiatust enne küpsise salvestamist. Rangelt vajalike küpsiste blokeerimine võib kahjustada Platvormi toimimist.

FormaCash rakendab ulatuslikke tehnilisi ja korralduslikke turvameetmeid isikuandmete kaitsmiseks loata juurdepääsu, avalikustamise, muutmise, hävitamise või juhusliku kadumise eest. Need meetmed on kavandatud tagama töötlemisega seotud riskidele vastava turvatase vastavalt GDPR artiklile 32. Tehnilised meetmed: - Krüpteerimine edastuse ajal: kõik kasutaja brauseri ja Platvormi vahel edastatavad andmed on krüpteeritud transpordikihi turbe (TLS) versiooni 1.3 abil, mis on protokolli kõige uuem ja turvalisem versioon. HTTP rangete transpordikihi turbe (HSTS) rakendamine takistab protokolli alandamise rünnakuid. - Krüpteerimine puhkeolekus: kõik FormaCashi serverites ja andmebaasides säilitatavad isikuandmed on krüpteeritud puhkeolekus AES-256 (Advanced Encryption Standard 256-bitise võtmega) abil, mis on tööstusstandardi krüpteerimisalgoritm, mida kasutavad valitsused ja finantsasutused kogu maailmas. - Tulemüür ja võrguturve: ettevõtte taseme tulemüürid, sissetungimise tuvastamise ja ennetamise süsteemid (IDS/IPS) ning võrgu segmenteerimine on juurutatud taristu kaitsmiseks loata juurdepääsu ja küberrünnakute eest. - 24/7 seire: automatiseeritud turvaseiresüsteemid töötavad ööpäevaringselt, et tuvastada ja reageerida anomaalsetele tegevustele, potentsiaalsetele sissetungimistele ja turvaintsidentidele reaalajas. - Iga-aastane tungimistestimine: FormaCash kaasab sõltumatuid, kvalifitseeritud küberturbe ettevõtteid Platvormi ja taristu iga-aastaste tungimistestide läbiviimiseks. Tuvastatud haavatavused prioritiseeritakse ja parandatakse vastavalt raskusastmele. - Haavatavuse haldamine: regulaarseid haavatavuse skaneerimisi viiakse läbi ning tarkvarapaigad ja turbeuuendused rakendatakse viivitamatult. FormaCash peab kõigi tarkvarakomponentide ajakohast registrit ja jälgib teadaolevaid haavatavusi (CVE-d). - Turvalised arenduspraktikad: Platvorm on arendatud järgides turvalise kodeerimise juhiseid (OWASP Top 10) ja kõik koodimuudatused läbivad turvaülevaatuse enne juurutamist. Korralduslikud meetmed: - Vajaduspõhine juurdepääs: töötajad ja volitatud töötlejad saavad juurdepääsu ainult nendele isikuandmetele, mis on vajalikud nende konkreetsete tööülesannete täitmiseks. - Töötajate koolitus: regulaarne andmekaitse- ja turvateadlikkuse koolitus kõigile töötajatele, kes töötlevad isikuandmeid. - Konfidentsiaalsuslepingud: kõik töötajad ja töövõtjad, kellel on juurdepääs isikuandmetele, on seotud konfidentsiaalsuslepingutega. - Andmekaitse mõjuhinnang (DPIA): uute töötlustegevuste korral, mis tõenäoliselt kujutavad kõrget riski andmesubjektide õigustele, viiakse läbi andmekaitse mõjuhinnang vastavalt GDPR artiklile 35. - Intsidentidele reageerimise plaan: FormaCash säilitab dokumenteeritud andmerikkumise reageerimise plaani, mis määratleb protseduurid rikkumiste tuvastamiseks, ohjeldamiseks, hindamiseks ja teavitamiseks.

Isikuandmete rikkumise korral täidab FormaCash GDPR artiklites 33 ja 34 sätestatud teavitamiskohustused. Järelevalveasutuse teavitamine (GDPR artikkel 33): Kui isikuandmete rikkumine tõenäoliselt ohustab füüsiliste isikute õigusi ja vabadusi, teavitab FormaCash Andmekaitse Inspektsiooni (Andmekaitse Inspektsioon) põhjendamatu viivituseta ja võimaluse korral mitte hiljem kui seitsekümmend kaks (72) tundi pärast rikkumisest teadlikuks saamist. Teavitus sisaldab: - Isikuandmete rikkumise olemuse kirjeldust, sealhulgas puudutatud andmesubjektide ja andmekirjete kategooriad ja ligikaudne arv. - Kontaktandmeid (privacy@formacash.com). - Rikkumise tõenäoliste tagajärgede kirjeldust. - Rikkumise lahendamiseks võetud või kavandatavate meetmete kirjeldust, sealhulgas meetmeid selle võimalike kahjulike mõjude leevendamiseks. Kui esialgse teavituse ajal ei ole võimalik kogu teavet esitada, võib teavet esitada etappidena ilma põhjendamatu lisaviivituseta. Puudutatud andmesubjektide teavitamine (GDPR artikkel 34): Kui isikuandmete rikkumine tõenäoliselt kujutab kõrget riski füüsiliste isikute õigustele ja vabadustele, edastab FormaCash rikkumise puudutatud andmesubjektidele põhjendamatu viivituseta. Teade kirjeldab selges ja lihtsas keeles: - Rikkumise olemust. - Tõenäolisi tagajärgi. - Rikkumise lahendamiseks ja selle mõjude leevendamiseks võetud või kavandatavaid meetmeid. - Soovitusi andmesubjektile enda kaitsmiseks (nt paroolide muutmine, kontode jälgimine). - Kontaktandmeid lisateabe saamiseks (privacy@formacash.com). Andmesubjekti teavitamine ei ole nõutav, kui: (a) FormaCash on rakendanud asjakohaseid tehnilisi ja korralduslikke kaitsemeetmeid (nagu krüpteerimine), mis muudavad isikuandmed arusaamatuks igale isikule, kellel puudub juurdepääsuluba; (b) FormaCash on võtnud meetmeid, mis tagavad, et kõrge risk andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline; või (c) see nõuaks ebaproportsionaalset jõupingutust, millisel juhul tehakse avalik teade.

FormaCash ei tee automatiseeritud individuaalseid otsuseid, sealhulgas profiilianalüüsi, nagu on määratletud GDPR artiklis 22. Ühtegi otsust, mis tekitab andmesubjekti suhtes õiguslikke tagajärgi või mõjutab teda sarnaselt olulisel viisil, ei tehta ainult isikuandmete automatiseeritud töötlemise alusel. Konkreetselt ei kasuta FormaCash isikuandmeid automaatselt Koolitusprogrammidesse vastuvõtmise otsustamiseks, krediidivõimelisuse hindamiseks rahastamise eesmärkidel (seda teeb QuickFund oma poliitikate alusel), individuaalsete hindade määramiseks ega teenustele juurdepääsu piiramiseks automatiseeritud profiilianalüüsi alusel. Kõik olulised Õppijaid puudutavad otsused (vastuvõtt, hindamiste hindamine, distsiplinaarmeetmed, sertifikaadi väljastamine) hõlmavad sisulist inimlikku ülevaatust ja neid teevad kvalifitseeritud FormaCashi töötajad. Kui FormaCash kasutab automatiseeritud tööriistu otsuste tegemise toetamiseks (näiteks valikvastustega hindamiste automatiseeritud hindamine või plagiaadi tuvastamise tarkvara), esitavad need tööriistad soovitusi või märgistatud üksusi, mida vaatab üle inimlik otsustaja enne mis tahes Õppijat mõjutava meetme võtmist. Kui FormaCash peaks tulevikus kasutusele võtma mis tahes automatiseeritud otsuste tegemise või profiilianalüüsi vormi, mis tekitab õiguslikke või sarnaselt olulisi tagajärgi, siis: (a) teavitab andmesubjekte eelnevalt; (b) rakendab asjakohaseid kaitsemeetmeid, sealhulgas õiguse saada inimsekkumist, väljendada oma seisukohta ja otsust vaidlustada; ja (c) uuendab käesolevat privaatsuspoliitikat vastavalt.

FormaCashi Koolitusprogrammid on mõeldud täiskasvanutele ja on suunatud isikutele, kes on vähemalt kuusteist (16) aastased. FormaCash ei kogu ega töötle teadlikult alla kuueteistkümne (16) aasta vanuste isikute isikuandmeid ilma vanema või seadusliku eestkostja nõusolekuta. Kuueteistkümne (16) kuni kaheksateistkümne (18) aasta vanuste isikute puhul: - Mis tahes Koolitusprogrammi registreerimiseks ja isikuandmete töötlemiseks on vajalik vanema või seadusliku eestkostja nõusolek. - Vanem või seaduslik eestkostja peab registreerimislepingu kaasallkirjastama ja andma selgesõnalise nõusoleku andmetöötluseks. - FormaCash esitab eakohaselt privaatsusteavet alaealisele ja tema vanemale või eestkostjale. Alla kuueteistkümne (16) aasta vanuste isikute puhul: - FormaCash ei aktsepteeri alla kuueteistkümne (16) aasta vanuste isikute registreeringuid. - Kui FormaCash avastab, et on tahtmatult kogunud alla kuueteistkümne (16) aasta vanuse lapse isikuandmeid ilma asjakohase vanema nõusolekuta, võtab ta viivitamatult meetmeid andmete kustutamiseks ja Konto lõpetamiseks. Vanemad või seaduslikud eestkostjad, kes usuvad, et nende laps on esitanud FormaCashile isikuandmeid ilma nende nõusolekuta, võivad pöörduda aadressil privacy@formacash.com, et taotleda lapse andmetele juurdepääsu, nende parandamist või kustutamist. Kuueteistkümne (16) aasta vanuse piirmäär on kehtestatud vastavalt GDPR artiklile 8 ja Eesti isikuandmete kaitse seadusele, mis lubab EL-i liikmesriikidel määrata digitaalse nõusoleku vanuse kolmeteistkümne (13) ja kuueteistkümne (16) aasta vahele.

FormaCash jätab endale õiguse käesolevat privaatsuspoliitikat igal ajal uuendada või muuta, et kajastada muudatusi kohaldatavates andmekaitseseadustes, regulatiivses juhendamises, meie andmetöötlustavades või pakutavates teenustes. Igast olulisest muudatusest käesolevas privaatsuspoliitikas teavitatakse registreeritud kasutajaid ja Õppijaid vähemalt kolmkümmend (30) kalendripäeva enne uuendatud poliitika jõustumist. Teavitus tehakse: - E-posti teel kasutaja Kontoga seotud aadressile. - Silmapaistva teatega Platvormil (nt bänner või hüpikteade). - Uuendatud privaatsuspoliitika avaldamisega Platvormil selgelt nähtava "Viimati uuendatud" kuupäevaga. Väikesed muudatused, mis ei mõjuta oluliselt andmesubjektide õigusi (nagu vormistusparandused, selgitused või kontaktandmete uuendused), võidakse teha ilma eelneva teavituseta, kuid "Viimati uuendatud" kuupäev muudetakse alati, et kajastada viimast muudatust. Kasutajaid julgustatakse käesolevat privaatsuspoliitikat perioodiliselt üle vaatama, et olla kursis sellega, kuidas nende isikuandmeid kaitstakse. Käesoleva privaatsuspoliitika eelmised versioonid arhiveeritakse ja tehakse kättesaadavaks kirjaliku taotluse alusel aadressil privacy@formacash.com. Iga versioon sisaldab jõustumiskuupäeva ja kuupäeva, mil see asendati. Kui käesoleva privaatsuspoliitika muudatus nõuab teie nõusolekut GDPR alusel (näiteks teie andmete töötlemine uuel eesmärgil, mida teie algne nõusolek ei hõlmanud), saab FormaCash teie selgesõnalise nõusoleku enne muudatuse rakendamist.

Mis tahes küsimuste, murede või taotluste korral seoses käesoleva privaatsuspoliitika, teie isikuandmete töötlemise või andmesubjekti õiguste kasutamisega palume pöörduda meie poole: FormaCash OÜ Pärnu mnt 148 11317 Tallinn, Eesti E-post: privacy@formacash.com Üldpäringud (mitte andmekaitsega seotud): contact@formacash.com Õiguslikud päringud: legal@formacash.com FormaCash vastab andmekaitsepäringutele järgmiste tähtaegade jooksul: - Kättesaamise kinnitus: viie (5) tööpäeva jooksul. - Sisuline vastus andmesubjekti õiguste taotlustele: ühe (1) kuu jooksul, pikendatav kahe (2) lisakuu võrra keeruliste taotluste korral, pikendamisest teavitatakse. - Üldised privaatsuspäringud: viieteistkümne (15) tööpäeva jooksul. Kui te ei ole rahul FormaCashi vastusega teie päringule või taotlusele, on teil õigus esitada kaebus Andmekaitse Inspektsioonile (Andmekaitse Inspektsioon) aadressil Tatari 39, 10134 Tallinn, Eesti (info@aki.ee, https://www.aki.ee) või teie alalise elukoha või töökoha järelevalveasutusele.