Настоящая политика конфиденциальности охватывает два вида обработки персональных данных: во-первых, данные самих пользователей и жертвователей nimistu.ee, и во-вторых, персональные данные из публичных реестров о лицах, связанных с компаниями (члены правления, владельцы и другие). Второй вид основан на законном интересе, и наша оценка законного интереса опубликована ниже.
Ответственный обработчик
Ответственным обработчиком настоящих условий конфиденциальности является:
К какой деятельности применяются эти условия
Настоящие условия конфиденциальности охватывают обработку персональных данных в рамках следующих видов деятельности:
- Приём пожертвований — Swedbank LinkPay, банковские переводы, прочие платёжные услуги
- Использование веб-сайта — посещение nimistu.ee, создание учётной записи пользователя, аутентификация через eeID
- Общение через контактную форму — запросы на исправление, общие запросы, заявки на доступ к базе данных
- Отправка рассылки и уведомлений — если пользователь дал на это согласие
Обработка персональных данных из публичных реестров (члены правления и совета компаний, владельцы, политически значимые лица и другие) в базе данных nimistu.ee подробно описана в разделе ниже. Для каждого конкретного представления и источника дополнительно приведены методология и ссылка на источник, а общие правила также изложены в условиях использования.
Обработка персональных данных из публичных реестров
nimistu.ee объединяет данные Коммерческого регистра Эстонии и других публичных источников и делает их доступными для поиска в одном месте. При этом мы также обрабатываем персональные данные физических лиц, которые фигурируют в этих реестрах в связи с юридическими лицами - например, в качестве члена правления или участника. Ответственным обработчиком этой обработки является Nimistu MTÜ (контактные данные выше). Данные отображаются открыто на веб-сайте, поэтому получателями являются посетители сайта и общественность; данные не продаются и не передаются в рекламных или маркетинговых целях.
Источники данных
Мы не собираем эти данные у самого субъекта данных, а из публичных источников. Основные источники:
- Открытые данные Коммерческого регистра (Центр регистров и информационных систем)
- Открытые данные Налогово-таможенного департамента (налоговые данные, налоговые задолженности)
- регистр государственных закупок, данные о товарных знаках EUIPO и другие открытые данные
- международные списки санкций и политически значимых лиц (например, OpenSanctions)
- публичные источники информации и другие, указанные отдельно для каждого представления
Категории обрабатываемых данных
- имя
- роль в юридическом лице (например, член правления, участник), а также даты начала и окончания роли
- связь с конкретной компанией или организацией
- дата рождения или год рождения и возраст, если они есть в публичном источнике
- статус политически значимого лица (PEP) или санкций, если он следует из публичного списка
Мы не публикуем на публичных страницах личный код, не обрабатываем особые категории (чувствительные) персональных данных и не составляем рейтинг репутации или кредитоспособности физических лиц. Мы также не публикуем оценочных или создающих негативное впечатление описаний лиц.
Цели
Мы обрабатываем эти данные в следующих целях:
- повышение прозрачности деловой среды - чтобы было возможно знать, кто представляет, владеет и контролирует эстонские юридические лица
- предотвращение мошенничества, отмывания денег и конфликта интересов, а также поддержка выполнения обязательств должной осмотрительности (KYC/AML)
- обеспечение свободы информации и доступа к информации, представляющей общественный интерес, для журналистов, исследователей и граждан
- повторное использование открытых данных публичного сектора в общественных интересах
Правовое основание и оценка законного интереса
Правовым основанием является законный интерес (статья 6(1)(f) Общего регламента по защите данных). То, что данные находятся в публичном реестре, не является самостоятельным правовым основанием - поэтому мы провели оценку законного интереса (трёхэтапный тест):
- 1. Тест цели — вышеуказанные интересы (прозрачность, предотвращение мошенничества и отмывания денег, свобода информации) являются реальными, актуальными и правомерными. Они служат как нашему интересу, так и более широкому общественному интересу.
- 2. Тест необходимости — обработка необходима и соразмерна цели. Данные уже являются публичными; ценность создаётся их объединением и обеспечением возможности поиска. Мы собираем как можно меньше данных (минимизация данных), и менее интрузивная мера не достигла бы той же цели прозрачности.
- 3. Тест баланса — субъекты данных выступают в деловой или представительской роли, а не в частной жизни, и в Коммерческом регистре Эстонии их роль является публичной по закону. Член правления может разумно ожидать, что его роль является публичной. Перечисленные ниже меры защиты гарантируют, что наш интерес и общественный интерес не перевешивают основные права и свободы субъекта данных. Случаи с повышенным интересом к конфиденциальности оцениваются индивидуально на основании возражения.
Вывод оценки: законные интересы реальны и не перевешиваются правами субъекта данных при условии применения нами указанных ниже мер защиты и рассмотрения возражений в индивидуальном порядке. Вы можете запросить копию полного анализа законного интереса, обратившись к нам.
Меры защиты
- роли бывших членов правления, совета и других представителей мы отображаем публично в течение не более 5 лет после окончания роли
- личный код удалён с публичных страниц и из структурированных данных
- не обрабатываем данные особых категорий, не составляем рейтинги репутации или кредитоспособности и не публикуем оценочных описаний
- данные ежедневно обновляются из источников для обеспечения их точности
- у каждого поля данных указаны источник и дата
- лица, связанные только с некоммерческими объединениями и фондами, а также более уязвимые лица помечаются как неиндексируемые для поисковых систем
- субъект данных может подать возражение, которое мы решаем в индивидуальном порядке; мы также применяем механизм удаления и сокрытия
- данные политически значимых (PEP) и подсанкционных лиц могут храниться дольше по причине преобладающего общественного интереса (борьба с отмыванием денег и коррупцией)
Срок хранения
Действующие роли мы отображаем до тех пор, пока они действительны в реестре. Завершённые представительские роли мы отображаем публично в течение не более 5 лет после окончания роли, за исключением случаев преобладающего общественного интереса (например, политически значимые или подсанкционные лица). Данные могут оставаться в базе данных после прекращения публичного отображения только в течение срока, необходимого для достижения цели.
Права субъекта данных и возражение
Вы имеете право на доступ к своим данным, их исправление, требование удаления или ограничения обработки, а также на возражение против обработки на основании законного интереса (статья 21 GDPR). При получении обоснованного возражения мы приостанавливаем обработку, оцениваем вашу конкретную ситуацию индивидуально и прекращаем отображение данных, если у нас нет веских законных оснований, которые перевешивают ваши интересы. Вы также имеете право подать жалобу в Инспекцию по защите данных (aki.ee). Для осуществления своих прав свяжитесь с нами.
Какие персональные данные мы собираем
От жертвователей
- имя (если жертвователь его сообщает)
- адрес электронной почты (если жертвователь его сообщает)
- номер банковского счёта или информация о способе оплаты (получается через платёжную услугу; полные платёжные данные мы сами не храним)
- сумма, дата и способ оплаты пожертвования
- IP-адрес на момент транзакции (в целях безопасности)
От пользователей веб-сайта
- IP-адрес
- технические данные браузера и устройства (user agent, размер экрана и т. п.)
- посещённые страницы и время посещения
- URL источника перехода (с какой страницы пришёл посетитель)
- при необходимости: данные учётной записи из аутентификации eeID (личный код, имя и фамилия)
От пользователей контактной формы
- имя
- адрес электронной почты
- содержание сообщения
- организационная принадлежность (если этого требует характер запроса)
От подписчиков рассылки
- адрес электронной почты
- дата начала подписки
- дата отписки (если применимо)
Правовые основания
Правовое основание для каждой категории обработки данных:
- Обработка и учёт пожертвований — исполнение договорного обязательства (статья 6(1)(b) GDPR) и предусмотренная законом обязанность в части бухгалтерского учёта (статья 6(1)(c))
- Работа и безопасность веб-сайта — законный интерес (статья 6(1)(f)) — обеспечение безопасности, предотвращение злоупотреблений, непрерывность сервиса
- Общение через контактную форму — законный интерес (статья 6(1)(f)) — приём и обработка запросов пользователей
- Учётные записи пользователей через аутентификацию eeID — согласие (статья 6(1)(a)) — пользователь делает осознанный выбор идентифицировать себя перед nimistu
- Рассылка — согласие (статья 6(1)(a)) — пользователь может отписаться в любой момент
В отношении обработки на основании законного интереса мы оценили баланс между нашими интересами и правами субъектов данных. С результатами оценки можно ознакомиться, обратившись к нам.
Кому мы передаём данные
Мы обрабатываем данные сами, но в некоторых случаях используем уполномоченных обработчиков (субподрядчиков), которым передаём данные для оказания услуги:
- Swedbank — для оказания платёжных услуг (LinkPay, банковские переводы)
- Поставщик услуг хостинга — для обеспечения серверной инфраструктуры nimistu.ee (местонахождение: государство — член Европейского союза)
- Поставщик бухгалтерских услуг — для выполнения обязанностей по Закону о бухгалтерском учёте (если применимо)
- eeID / Департамент государственной инфосистемы — при аутентификации пользователя
- Поставщик услуг электронной почты — для контактной и новостной переписки
- Cloudflare — для обеспечения доступности веб-сайта, CDN и безопасности
Данные ни при каких условиях не продаются третьим лицам. Данные не передаются третьим лицам в рекламных или маркетинговых целях.
Местонахождение данных и передача за пределы ЕС
Персональные данные хранятся на серверах, расположенных в государствах — членах Европейского союза. Если кто-либо из наших уполномоченных обработчиков передаёт данные за пределы Европейской экономической зоны, это происходит только на основании решения Европейской комиссии о достаточном уровне защиты данных или на основании стандартных договорных положений о защите данных (статьи 45–46 GDPR).
Сроки хранения
- Данные, связанные с пожертвованиями — хранится в соответствии с Законом о бухгалтерском учёте 7 лет с года совершения транзакции
- Логи веб-сайта (IP-адреса и т. п.) — хранится, как правило, до 12 месяцев для выявления возможных злоупотреблений
- Учётные записи пользователей (через eeID) — хранится до тех пор, пока пользователь не закроет учётную запись; через 24 месяца после последнего входа мы можем удалить учётную запись
- Общение через контактную форму — хранится, как правило, до 36 месяцев
- Данные подписчиков рассылки — хранится до тех пор, пока пользователь является подписчиком; после отписки адрес электронной почты хранится недолго как подтверждение отказа
- Личный код eeID — хранится только пока активна учётная запись пользователя
Ваши права
У вас есть следующие права в отношении ваших персональных данных:
- Право на доступ — запросите у нас копию обрабатываемых о вас данных
- Право на исправление — если данные неверны или неполны, пожалуйста, сообщите нам
- Право на удаление — («право быть забытым») мы можем удалить данные, за исключением тех, хранение которых требуется по закону
- Право на ограничение обработки — в определённых случаях мы можем приостановить использование данных
- Право на переносимость данных — вы можете получить свои данные в структурированном формате
- Право на возражение — в частности, против обработки на основании законного интереса
- Право отозвать согласие — если обработка основана на согласии, вы можете отозвать его в любой момент
- Право подать жалобу — в надзорный орган — Инспекцию по защите данных (aki.ee)
Для осуществления своих прав свяжитесь с нами контактную форму или по электронной почте info@nimistu.ee. На запросы мы отвечаем, как правило, в течение одного месяца.
Безопасность
Мы применяем соответствующие технические и организационные меры безопасности для защиты персональных данных от случайного или незаконного уничтожения, потери, изменения или несанкционированного доступа:
- обмен данными с веб-сайтом осуществляется через зашифрованное соединение (HTTPS/TLS)
- пароли и иные конфиденциальные данные хранятся в зашифрованном виде
- доступ к данным ограничен только теми лицами, которым он необходим по работе
- серверы расположены в защищённых центрах обработки данных
- регулярно создаются резервные копии
- постоянный мониторинг безопасности и обновления
Файлы cookie
nimistu.ee использует файлы cookie для обеспечения работы сервиса и улучшения опыта использования. Настройками cookie можно управлять через диалог cookie внизу страницы. Подробную информацию о файлах cookie можно найти в условиях использования или спросите нас через контактную форму.
Изменение условий
Настоящие условия конфиденциальности мы можем со временем обновлять. О существенных изменениях мы уведомляем на веб-сайте. Дата последнего обновления условий указана в начале страницы.
Надзорный орган
Надзор в области защиты данных осуществляет Инспекция по защите данных Эстонии:
Вы всегда вправе обратиться напрямую в надзорный орган, но мы рекомендуем сначала обсудить вопрос с нами.
Контакт
По всем вопросам защиты персональных данных свяжитесь с нами контактную форму.