Andmete töötlemine saab toimuda ainult andmete omaniku dokumenteeritud nõusolekul, välja arvatud juhul, kui töötlemise kohustus tuleneb mõnest muust õigusaktist või õigustatud huvist. Nõusolekut kinnitav dokument peab olema taasesitatav. Juhul, kui andmete töötlemiseks kasutatakse Directot, soovitame me nõusoleku dokumente samuti hoida Directos. Näide: eraisik soovib liituda püsikliendiprogrammiga ja allkirjastab vastava avalduse, mille raames annab ta nõusoleku oma andmete töötlemiseks. Allkirjastatud dokument lisatakse Directosse kliendikaardi manuseks. Juhul, kui tekib küsimus, miks on antud isiku andmeid töötlema asutud, on nõusolek andmekirjega 1:1 seotud. Loe ka Andmekaitse Inspektsiooni (AKI) juhiseid korrektseks nõusoleku küsimiseks:
https://www.aki.ee/et/isikuandmete-tootleja-uldjuhendi-veebitekst#peat%C3%BCkk9.9
Andmete omanikul on õigus esitada küsimus, kes ja millal on tema andmeid töödelnud. Kõikidest toimingutest, mis Directos tehakse, jääb maha kasutuslogi, mida säilitatakse igavesti. Vastava aruande abil saab tulevikus vastata küsimustele, KES, MILLAL ja KUST on andmeid vaadanud või muutnud. See viimane, ehk KUST (IP aadress) võib osutuda oluliseks juhul, kui andmeid töödeldakse väljaspool EU-d
Andmete omanikul on õigus esitada nõudmine oma andmete töötlemine lõpetada. Sellisel puhul tuleb andmed töötleja valdusest kõrvaldada, välja arvatud juhul, kui nende (osaline) säilitamine on reguleeritud mõne muu õigusaktiga. Näide. Eraisikust klient, kes on aastaid ettevõttelt teenuseid ostnud, nõuab oma andmete töötlemise lõpetamist. Directos kustutatakse sellisel puhul kliendi kaart, mille puhul Directo nõuab mingit asenduskoodi. Oletame, et selleks on 1111 Klient. Pärast kliendi kustutamist ei ole Directos enam eraisikust kliendi kirjet ega ole ükski temaga seotud toiming enam isikuliselt tuvastatav. AGA - Raamatupidamisseaduse nõuetest tulenevalt peavad olema raamatupidamise algdokumendid säilitatud taasesitamist võimaldaval kujul, mis tähendab, et näiteks kliendile esitatud arve pealt tema nime eemaldada ei tohi.
Oluline on tähele panna, et andmete töötlemise vajadus võib tekkida ka muus olukorras kui eraisikust klienti teenindades. Näiteks kui ettevõte kasutab Directot selleks, et töötajale töötasu arvestada, on tegemist andmete töötlemisega ja selleks on vaja andmete omaniku nõusoleku kinnitust.
Eraldi tasub hinnata riske, mis võivad kaasneda sellega, et Directot kasutav isik salvestab andmeid lokaalselt mingeid sõltumatuid vahendeid kasutades. Näide: Directo kasutaja XXX vaatab ettevõtte eraisikust kliendi kaarti Directos. Logis on vastav kirje. Ekraanil avatud kliendi andmetest võtab töötaja Copy-Paste meetodil isiku koduse aadressi ja salvestab selle oma arvutis olevasse Exceli faili. Sellise toimingu kohta ei ole kuskil ühtegi kirjet ja ei saagi olla, aga andmete töötlemine on laienenud väljapoole Directot. Selliste riskide tähtsus suureneb juhul, kui Directot kasutav isik asub väljaspool EU piire.
Andmete töötlemiseks EI ole vaja küsida subjekti nõusolekut juhul, kui see on vajalik kehtiva lepingu täitmiseks. Seda on oluline teada ka seetõttu, et kõik ettevõtted, mis Directot kasutavad, teevad seda kehtiva litsentsilepingu alusel ning seetõttu pole neil vaja anda Directole eraldi nõusolekut selliseks andmete töötlemiseks, mis toimub lepingu tingimuste kohaselt Directot kasutades.
-