Privaatsuspoliitika
Jõustumiskuupäev: 2026-05-07 · Dokumendi versioon: 2026-05-07
Käesolev privaatsuspoliitika selgitab, kuidas Operaator töötleb isikuandmeid Teenusega seoses. Järgime määrust (EL) 2016/679 ("GDPR") ja Eesti isikuandmete kaitse seadust (IKS).
1. Andmete kontrollija
Xprofit OÜ, registrikood 14662029, registreeritud aadressil Pae tn 21, 11414 Tallinn, Estonia. Andmekaitse kontakt: info@xprofitx.com.
Me ei ole määranud andmekaitsespetsialisti, kuna jääme allapoole GDPR art 37(1) künnist. Andmekaitse päringud lähevad ülaltoodud e-posti aadressile ja neid käsitleb juhatus.
2. Töödeldavate isikuandmete kategooriad
| Kategooria | Näited | Allikas |
|---|---|---|
| Konto | E-post, nimi, parool (bcrypt-räsitud), TOTP-saladus (AES-256-ga krüpteeritud), eelistatud keel, registreerimise aeg. | Sinult |
| Ettevõtte andmed | Registrikood, nimi, aadress, KMKR number, EMTAK kood, juhatuse liige. | Sinult ja avalikust Äriregistrist |
| Sinu ettevõtte töötajad | Nimed, töötamise kuupäevad, palk, isikukood (rakenduse tasandil AES-256-GCM-ga krüpteeritult salvestatud). | Sinult |
| Pangandus ja arved | IBAN (krüpteeritud), pangaväljavõtte kirjed, arved, kviitungid, deklaratsioonid ja nende mustandid. | Sinult / sinu panga CSV ekspordist |
| Maksete andmed | Tellimuspakett, arvelduse e-post, makse kinnitamise märgised. Me EI näe ega salvesta täielikke kaardinumbreid — need teisendab märgisteks Stripe / EveryPay. | Sinult, läbi maksevahendaja |
| Tehniline | IP-aadress, sisselogimise aeg, kasutaja brauser, päringulogid, muudatuste auditijälg. | Automaatne |
| AI päringud ja vastused | Tekst, mille esitate AI-funktsioonidele (vestlus, dokumentide tuvastamine, kategoriseerimine), ja AI vastus. | Sinult |
3. Eesmärgid ja õiguslikud alused (GDPR art 6)
| Eesmärk | Õiguslik alus |
|---|---|
| Teenuse osutamine: deklaratsioonide ettevalmistamine, sinu andmete majutamine, dokumentide loomine. | Lepingu täitmine — art 6(1)(b) |
| Autentimine, turvalisus, pettuste vältimine. | Õigustatud huvi — art 6(1)(f) |
| Arveldamine ja maksete töötlemine. | Lepingu täitmine — art 6(1)(b); juriidiline kohustus — art 6(1)(c) (raamatupidamise seadus). |
| Seadusjärgne arvestuse pidamine. | Juriidiline kohustus — GDPR art 6(1)(c) (raamatupidamise seadus § 12, 7-aastane säilitamine). |
| Teenuse täiustamine, telemeetria, vigade jälgimine. | Õigustatud huvi — art 6(1)(f). Saad esitada vastuväite kontakti e-posti kaudu. |
| AI funktsioonid (vestlus, töötlemine, kategoriseerimine). | Lepingu täitmine — art 6(1)(b) nende aktiivsel kasutamisel. |
| Turundus-e-postid (ainult sinu nõusoleku korral). | Nõusolek — GDPR art 6(1)(a). Igal ajal tagasivõetav. |
4. Vastuvõtjad ja töötlejad
Avaldame isikuandmeid ainult Teenuse osutamiseks vajalikus ulatuses. Meie alamtöötlejad on:
- Stripe Payments Europe Ltd (Iirimaa) ja Stripe Inc. (USA) — rahvusvaheliste kaartide maksete töötlemine. USA edastuse jaoks tüüplepingutingimused.
- EveryPay AS (Eesti, LHV Grupi osa) — maksete töötlemine SEPA, Eesti kaardisüsteemide ja avatud panganduse jaoks.
- OpenAI Ireland Ltd / OpenAI L.L.C. (USA) — AI funktsioonid. Andmeid saadetakse OpenAI ettevõtte andmekäsitluse tingimuste alusel; OpenAI ei kasuta esitatud sisu oma avalike mudelite õpetamiseks. USA edastuse jaoks tüüplepingutingimused.
- Iseseisvalt majutatav AI (Ollama, EmbeddingGemma) — töötab meie enda infrastruktuuris, kolmandate osapoolte edastust ei toimu.
- Hostinguinfrastruktuuri pakkuja (EL piirkond) — Teenuse opereerimine meie nimel kirjaliku lepingu alusel, mis sisaldab GDPR art 28 sätteid.
- E-posti edastusteenuse pakkuja (konfigureeritud korral) — tehingu- ja teavituse-meilide jaoks.
- Eesti ametiasutused (Maksu- ja Tolliamet, Äriregister) — ainult siis, kui sa ise käivitad esitamise ja ainult sinu enda kasutajaandmetega. Me ei esita sinu andmeid ametiasutustele omal algatusel.
5. Rahvusvahelised andmeedastused
Kui andmeid edastatakse Euroopa Majanduspiirkonnast väljapoole (Stripe US, OpenAI US), tugineme tüüplepingutingimustele (otsus (EL) 2021/914) — moodul kaks vastutava töötleja → volitatud töötleja edastusele ja moodul kolm, kui vastuvõtja ise sub-töötleb — koos tehniliste meetmetega, sh edastuskrüpteering (TLS 1.3) ja säilitamiskrüpteering (AES-256-GCM tundlike väljade jaoks). Iga USA vastuvõtja kohta oleme läbi viinud edastuse mõjuhinnangu (TIA) ning uuendame seda õigusraamistiku oluliste muudatuste korral (nt adekvaatsusotsuse kehtivuse lõppemine). SCC-de ja TIA koopia on andmekaitse kontaktilt tellimisel saadaval.
6. Säilitamine
- Konto ja ettevõtte andmed: konto aktiivse perioodi jooksul, pluss 7 aastat pärast lõpetamist, kui Raamatupidamise seaduse § 12 seda nõuab. Muul juhul kustutatakse 90 päeva jooksul konto sulgemisest.
- Pangakanded, arved, deklaratsioonid ja peamised raamatupidamise dokumendid: 7 aastat asjaomase majandusaasta lõpust.
- Autentimise / turvalogid: 12 kuud.
- AI päringud ja vastused: 30 päeva, seejärel kustutatakse meie andmebaasist. AI pakkujad (nt OpenAI) võivad sisendeid säilitada kuni 30 päeva väärkasutuse seireks vastavalt nende tingimustele.
- Nõusoleku logi kanded: 5 aastat (GDPR art 7(1) järgi nõusoleku tõendamiseks).
- Turundusandmed (sinu nõusoleku korral): kuni tellimuse tühistamiseni.
7. Sinu õigused (GDPR art 15–22)
- Juurdepääsuõigus — taotleda oma isikuandmete koopiat.
- Õigus parandamisele — ebatäpsete andmete parandamine.
- Õigus kustutamisele — andmete kustutamine, kui seaduslikku säilitamiskohustust ei ole.
- Õigus töötlemise piiramisele.
- Õigus andmete ülekantavusele — saada oma andmeid struktureeritud, masinloetavas vormingus.
- Õigus esitada vastuväide õigustatud huvil põhinevale töötlemisele.
- Õigus nõusolek igal ajal tagasi võtta, mõjutamata enne tagasivõtmist toimunud töötlemise õiguspärasust.
- Õigus mitte olla allutatud üksnes automatiseeritud töötlemise alusel tehtud otsusele, millel on õiguslik või sarnaselt oluline mõju (me selliseid otsuseid ei tee).
Õiguste teostamiseks kirjuta aadressile info@xprofitx.com oma kontoga seotud e-posti aadressilt, märkides ära soovitud õiguse(d) ja konteksti, mis aitab meil andmeid tuvastada. Vastame 30 päeva jooksul; keerukate või arvukate taotluste puhul võime perioodi pikendada kahe kuu võrra ja teavitame sind pikendamisest ning põhjustest esimese 30 päeva jooksul.
Andmesubjekti taotlused on tasuta esimese taotluse osas iga 12-kuulise perioodi jooksul. Kui taotlus on ilmselgelt põhjendamata või liigne (eriti selle korduva iseloomu tõttu), võime nõuda mõistlikku haldustasu või keelduda toimingust GDPR art 12(5) kohaselt.
8. Kaebuse esitamise õigus
Te võite esitada kaebuse Andmekaitse Inspektsioonile (Tatari 39, 10134 Tallinn, aki.ee) või oma EL-i elukohariigi järelevalveasutusele.
8.1 Eriliigid (GDPR art 9)
Teenus ei ole mõeldud isikuandmete eriliikide töötlemiseks — terviseandmed, biomeetria, rassiline või etniline päritolu, poliitilised vaated, religioossed veendumused, ametiühingu kuuluvus, geneetilised andmed, seksuaalelu, seksuaalne sättumus. Sa ei tohi selliseid andmeid Teenusesse üles laadida. Kui tuvastame eriliigi andmete üleslaadimise, kustutame need ilma etteteatamata ja teavitame sind toimingust; korduv üleslaadimine võib viia konto peatamiseni.
8.2 Isikuandmete rikkumised
Kui isikuandmete rikkumine kujutab tõenäoliselt kõrget riski sinu õigustele ja vabadustele (GDPR art 34), teavitame sind põhjendamatu viivituseta e-posti teel sinu konto registreeritud aadressile ning vajaduse korral rakenduse banneri kaudu. Teavitus kirjeldab rikkumise olemust, mõjutatud andmesubjektide ja kirjete kategooriaid ning ligikaudset arvu, tõenäolisi tagajärgi ja võetud või kavandatud meetmeid. Andmekaitse Inspektsiooni teavitame 72 tunni jooksul rikkumise teadasaamisest (GDPR art 33).
9. Turvalisus
Rakendatavad tehnilised ja korralduslikud meetmed hõlmavad:
- Transpordikrüpteering (TLS 1.3) kõigi kliendiühenduste jaoks.
- Rakendusekihi krüpteering (AES-256-GCM Cloaki kaudu) tundlike väljade jaoks: isikukood, IBAN, TOTP saladus.
- Bcrypt parooli räsimine.
- Valikuline kaheastmeline autentimine (TOTP).
- Rollipõhine juurdepääsukontroll Operaatori sees ja iga administratiivse toimingu auditilogi.
- Igapäevased krüpteeritud andmebaasi varukoopiad 30-päevase rotatsiooniga.
- Dokumenteeritud intsidentide haldamise plaan koos andmesubjektide ja Inspektsiooni teavitamisega 72 tunni jooksul kõrge riskiga isikuandmete rikkumisest (GDPR art 33–34).
10. Küpsised
Kasutame hädavajalikke küpsiseid autentimiseks ja turvalisuseks. Valikulisi analüütika ja turunduse küpsiseid laetakse ainult sinu eelneva küpsiste banneris antud nõusoleku korral. Vt detaile ja nõusoleku tagasivõtmist küpsiste poliitikast.
11. Lapsed
Eesti isikuandmete kaitse seaduse § 8 ja GDPR art 8 kohaselt nõuab alla 13-aastase lapse isikuandmete töötlemine vanema nõusolekut. Teenus on suunatud ettevõtteid juhtivatele täiskasvanutele; me ei kogu Teenuse osutamisel teadlikult ühegi alla 16-aastase isikuandmeid. Kui saad teada, et laps on andnud andmeid ilma asjakohase loata, võta meiega ühendust allpool oleval e-posti aadressil, et kustutaksime andmed ja sellega seotud konto.
Rakendame Teenuses andmete minimeerimise põhimõtet: kogume ainult andmeid, mis on vajalikud taotletud funktsiooni osutamiseks, säilitame neid ainult vastava õigusliku aluse nõutud perioodi jooksul ning ei rikasta profiile ega tegele käitumusliku reklaamiga.
12. Käesoleva poliitika muutmine
Avaldame käesoleva poliitika olulised muudatused 30 päeva enne nende jõustumist e-posti ja rakenduse banneri kaudu. Praegune versiooni kuupäev on toodud lehe ülaservas.
13. Kontakt
Privaatsuse päringud: info@xprofitx.com. Posti teel: Pae tn 21, 11414 Tallinn, Estonia.