EN ET RU PL
Язык
EN ET RU PL

Политика конфиденциальности

Последнее обновление: 4 декабря 2025 г.

1. Общие положения

Настоящий документ является Политикой конфиденциальности бренда Handke Digital Solutions (Handke DS), принадлежащего компании Handke Holding OÜ, зарегистрированной в Республике Эстония, с местонахождением по адресу: Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Estonia, внесённой в Эстонский коммерческий регистр под номером 17387477.

Handke Digital Solutions осуществляет деятельность в области программирования, разработки веб-сайтов, автоматизации процессов и предоставления цифровых решений для компаний и частных лиц на территории Европейского союза и Европейской экономической зоны (ЕЭЗ).

Целью настоящей Политики конфиденциальности является ясное, прозрачное и соответствующее требованиям законодательства изложение принципов обработки персональных данных лиц:

  • пользующихся услугами Handke Digital Solutions,
  • посещающих веб-сайт www.handkeds.com,
  • направляющих запросы коммерческих предложений или использующих контактные формы,
  • состоящих с Администратором в деловых или договорных отношениях.

Политика конфиденциальности определяет правила обработки персональных данных в связи с:

  • ведением и обслуживанием веб-сайта,
  • оказанием программных, веб-разработческих и цифровых услуг,
  • заключением и исполнением договоров и поручений,
  • ведением деловой, административной и информационной переписки,
  • исполнением юридических обязанностей, вытекающих из законодательства Европейского союза и Республики Эстония.

Положения настоящей Политики применяются к:

  • Клиентам (компаниям и частным лицам),
  • Деловым партнёрам и контрагентам,
  • Представителям государственных учреждений и органов публичной власти — в рамках служебных контактов,
  • Пользователям веб-сайта и иным лицам, персональные данные которых обрабатываются в рамках деятельности Администратора.

Политика охватывает как персональные данные, передаваемые Администратору непосредственно (например, через контактные формы, по электронной почте или телефону), так и технические данные, автоматически собираемые в связи с использованием веб-сайта (например, IP-адрес, данные серверных журналов, сведения об устройстве и браузере).

Правовая основа обработки данных

Настоящая Политика конфиденциальности разработана в соответствии с:

  • Регламентом Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 г. (GDPR / RODO),
  • эстонским Законом о защите персональных данных Isikuandmete kaitse seadus (RT I, 26.03.2019, 10),
  • иными применимыми нормами законодательства Республики Эстония и Европейского союза.

Характер документа

Настоящий документ носит информационный характер и служит выполнению обязанности Администратора по информированию субъектов персональных данных. Документ не является юридической консультацией и не представляет собой толкование норм права.

Все вопросы, связанные с обработкой персональных данных, могут быть направлены Администратору по адресу электронной почты: office@handkeds.com.

Территориальный охват и передача данных

Услуги Handke Digital Solutions предоставляются на территории Европейского союза и Европейской экономической зоны (ЕЭЗ).

Персональные данные могут передаваться субъектам, находящимся в других государствах ЕС или ЕЭЗ, исключительно в объёме, необходимом для оказания услуг, с применением надлежащих мер безопасности.

В случае передачи персональных данных за пределы ЕЭЗ Администратор применяет соответствующие правовые гарантии, в частности:

  • стандартные договорные положения ЕС (SCC),
  • иные механизмы, соответствующие статьям 44–49 GDPR.

Добровольность предоставления данных

Предоставление персональных данных является добровольным, однако в определённых случаях необходимо для:

  • подготовки коммерческого предложения,
  • заключения или исполнения договора,
  • предоставления ответа на запрос.

Непредоставление требуемых данных может сделать невозможной реализацию указанных целей.

2. Администратор персональных данных

Администратором персональных данных в понимании статьи 4 пункта 7 Регламента Европейского парламента и Совета (ЕС) 2016/679 (RODO / GDPR) является:

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Estonia
Registry code: 17387477
VAT UE: EE102932869
E-mail: office@handkeds.com
Телефон: +372 5617 1770

Статус бренда Handke Digital Solutions

Handke Digital Solutions является брендом, принадлежащим компании Handke Holding OÜ, и не представляет собой отдельное юридическое лицо либо самостоятельного администратора персональных данных.

Все персональные данные, обрабатываемые в рамках деятельности Handke Digital Solutions, обрабатываются компанией Handke Holding OÜ в качестве Администратора, который определяет цели и способы обработки персональных данных в соответствии со статьёй 4 пунктом 7 GDPR.

Язык коммуникации

Основным рабочим языком Администратора является английский язык.

Письменная коммуникация, включая запросы и обращения, касающиеся обработки персональных данных, может осуществляться на любом официальном языке Европейского союза или Европейской экономической зоны (ЕЭЗ). Администратор обеспечивает рассмотрение такой корреспонденции в соответствии с действующими нормами законодательства.

Уполномоченное лицо по защите данных

Администратор не обязан назначать Уполномоченного по защите данных (Data Protection Officer, DPO), поскольку характер, объём и цели обработки персональных данных не отвечают критериям, установленным статьёй 37 пунктом 1 GDPR.

По всем вопросам, связанным с защитой персональных данных, можно обращаться непосредственно к Администратору по адресу электронной почты: office@handkeds.com.

Объём ответственности Администратора

Администратор, в частности, несёт ответственность за:

  • обеспечение соответствия обработки персональных данных требованиям GDPR и эстонского закона Isikuandmete kaitse seadus,
  • внедрение и применение надлежащих технических и организационных мер для защиты персональных данных,
  • реализацию прав субъектов персональных данных,
  • сотрудничество с компетентным надзорным органом по защите персональных данных в Республике Эстония (Andmekaitse Inspektsioon).

3. Категории лиц, персональные данные которых обрабатываются

В рамках осуществляемой деятельности Handke Digital Solutions, принадлежащей компании Handke Holding OÜ, персональные данные обрабатываются исключительно в объёме, необходимом для надлежащего оказания программных, проектных и административных услуг.

Обработка персональных данных осуществляется прозрачным, соразмерным и ограниченным способом — исключительно в пределах, необходимых для достижения целей, для которых данные собираются, в соответствии с принципом минимизации данных, закреплённым в статье 5 пункте 1 букве c GDPR.

Администратор обрабатывает персональные данные следующих категорий лиц:

3.1. Индивидуальные клиенты

Физические лица, пользующиеся услугами Handke Digital Solutions, в частности заказывающие разработку веб-сайтов, приложений, решений по автоматизации либо иных цифровых продуктов.

Обрабатываемые данные включают, в частности: имя и фамилию, адрес электронной почты, номер телефона, расчётные данные, а также информацию, переданную в рамках сотрудничества.

3.2. Корпоративные клиенты и представители компаний

Представители предприятий, компаний или иных организаций, пользующихся услугами Handke Digital Solutions.

Обрабатываемые данные включают, в частности: имя и фамилию, должность, служебный адрес электронной почты, номер телефона, а также данные, идентифицирующие организацию, от имени которой действует соответствующее лицо (например, наименование компании, адрес, идентификационный номер NIP/VAT).

3.3. Потенциальные клиенты и контрагенты

Физические лица, включая представителей предприятий или организаций, которые обращаются к Администратору с целью получения информации об услугах, условиях сотрудничества либо установления деловых отношений.

Персональные данные могут предоставляться непосредственно субъектом данных (например, через контактную форму, по электронной почте или в ходе телефонного разговора), а также поступать из общедоступных источников, в частности с официальных веб-сайтов компаний либо профессиональных деловых платформ (например, LinkedIn).

Обработка персональных данных в данном объёме осуществляется на основании законного интереса Администратора, заключающегося в ведении информационной деятельности, установлении и поддержании деловых отношений, а также развитии предпринимательской деятельности (статья 6 пункт 1 буква f GDPR).

Лица, персональные данные которых обрабатываются на указанном основании, вправе в любой момент заявить возражение против такой обработки в соответствии со статьёй 21 GDPR.

3.4. Поставщики услуг и технические партнёры

Физические лица, осуществляющие предпринимательскую деятельность, а также представители организаций, сотрудничающих с Handke Digital Solutions в сфере вспомогательных услуг, таких как хостинг, графический дизайн, бухгалтерский учёт, переводы или IT-поддержка.

Персональные данные обрабатываются с целью заключения и исполнения договора либо выполнения юридических обязанностей, связанных с ведением предпринимательской деятельности.

3.5. Лица, обращающиеся к Администратору

Лица, направляющие запросы, отзывы или обращения посредством контактных форм, электронной почты, телефонной связи либо иных каналов коммуникации.

Обрабатываемые данные включают основные контактные сведения и содержание корреспонденции и используются исключительно с целью предоставления ответа, обработки запроса или разрешения заявленного вопроса.

3.6. Представители государственных органов и публичных учреждений

Сотрудники или представители органов государственной власти, публичных учреждений и надзорных органов, с которыми Администратор взаимодействует в связи с выполнением обязанностей, вытекающих из законодательства Республики Эстония и Европейского союза.

Дополнительные положения

Администратор не получает персональные данные из неофициальных либо скрытых источников и не осуществляет систематического мониторинга субъектов персональных данных.

Все персональные данные обрабатываются в соответствии с принципами законности, добросовестности, прозрачности, минимизации, целостности и конфиденциальности, установленными статьёй 5 GDPR и § 11 эстонского закона Isikuandmete kaitse seadus.

4. Объём обрабатываемых персональных данных

Объём обрабатываемых персональных данных зависит от характера взаимоотношений с субъектом данных, а также от цели их обработки.

Персональные данные обрабатываются надлежащим, ограниченным и соразмерным образом в соответствии с принципом минимизации данных, вытекающим из статьи 5 пункта 1 буквы c GDPR, а также § 11 пункта 1 эстонского закона Isikuandmete kaitse seadus.

Администратор может обрабатывать следующие категории персональных данных:

4.1. Идентификационные и контактные данные

  • имя и фамилия,
  • адрес электронной почты (служебный или личный),
  • номер телефона,
  • почтовый или расчётный адрес (если необходим для выставления счёта),
  • данные компании (например, наименование, адрес, идентификационный номер NIP / VAT UE, веб-сайт),
  • должность или выполняемая функция в компании.

Указанные данные необходимы для установления и поддержания контакта, подготовки коммерческого предложения, исполнения договора либо ведения деловой переписки.

4.2. Данные, связанные с проектами и деловым сотрудничеством

  • данные представителей клиентов и контрагентов,
  • сведения, содержащиеся в договорах, поручениях, проектных спецификациях или технических заданиях,
  • данные, необходимые для финансовых расчётов (например, платежи, счета, бухгалтерские документы),
  • электронная переписка и история сотрудничества,
  • файлы и материалы, переданные клиентом в целях оказания услуги (например, тексты, графические материалы, снимки экрана, техническая документация).

4.3. Данные, полученные из общедоступных источников

  • данные, размещённые в открытом доступе на веб-сайтах, B2B-платформах или профессиональных порталах (например, LinkedIn),
  • контактная информация представителей компаний, опубликованная в деловых целях.

Обработка указанных данных осуществляется в соответствии со статьёй 14 GDPR с соблюдением обязанности по информированию субъекта данных в установленный срок после их получения, если иное не предусмотрено применимыми нормами законодательства.

4.4. Технические и эксплуатационные данные

В процессе использования веб-сайта www.handkeds.com могут автоматически фиксироваться базовые технические данные, такие как:

  • IP-адрес устройства,
  • идентификатор браузера и операционной системы,
  • дата и время подключения,
  • посещаемая страница или ресурс.

Указанные данные обрабатываются исключительно в целях обеспечения безопасности, поддержания непрерывной работы веб-сайта и предотвращения злоупотреблений (например, попыток несанкционированного доступа или перегрузки сервера).

Технические данные не используются в маркетинговых целях и не применяются для профилирования, а Администратор не осуществляет анализ, направленный на отслеживание активности пользователей.

4.5. Данные, связанные с подписанием или утверждением электронных документов

В случае подписания или утверждения документов в электронной форме посредством сервиса SignRequest / Dropbox Sign либо иных эквивалентных решений может формироваться так называемый журнал аудита (audit trail), содержащий, в частности:

  • IP-адрес,
  • дату и время подписания,
  • идентификационные данные подписывающего лица (например, имя и фамилия, адрес электронной почты).

Целью обработки указанных данных является обеспечение подлинности подписи и целостности документа.

Правовым основанием обработки является статья 6 пункта 1 буква f GDPR — законный интерес Администратора, заключающийся в обеспечении безопасности и достоверности заключаемых договоров и документов.

4.6. Технические данные, связанные с поддержанием систем и резервным копированием

В целях обеспечения непрерывности оказания услуг и информационной безопасности Администратор может обрабатывать технические данные, связанные с функционированием систем и инфраструктуры, в частности:

  • системные идентификаторы и данные аутентификации (в объёме, необходимом для контроля доступа),
  • системные журналы и журналы событий,
  • резервные копии файлов и корреспонденции.

Указанные данные хранятся на серверах, расположенных на территории Европейской экономической зоны (ЕЭЗ), и защищаются соответствующими мерами безопасности, включая шифрование, в соответствии со статьёй 32 GDPR.

4.7. Особые категории персональных данных (чувствительные данные)

Администратор, как правило, не обрабатывает особые категории персональных данных в понимании статьи 9 GDPR (например, данные о состоянии здоровья, политических взглядах, этническом происхождении, религиозных убеждениях или сексуальной ориентации).

В случае если субъект данных добровольно предоставляет такие сведения (например, в содержании сообщения или во вложении), их обработка осуществляется исключительно в необходимом объёме и на соответствующем правовом основании, в частности:

  • на основании явного согласия (статья 9 пункт 2 буква a GDPR), либо
  • в объёме, требуемом применимыми нормами законодательства.

Дополнительные положения

Администратор не получает персональные данные из неофициальных или скрытых источников, не осуществляет профилирование и не применяет автоматизированное принятие решений.

Веб-сайт Handke Digital Solutions не использует файлы cookie и не применяет аналитические инструменты для отслеживания активности пользователей.

Персональные данные обрабатываются исключительно в целях, связанных с осуществлением программной и технической деятельности, в соответствии с принципами прозрачности и безопасности, установленными статьями 5 и 32 GDPR, а также § 11 закона Isikuandmete kaitse seadus.

5. Цели и правовые основания обработки персональных данных

Handke Digital Solutions, принадлежащая компании Handke Holding OÜ, обрабатывает персональные данные исключительно в объёме, необходимом для осуществления законной деятельности, добросовестным, прозрачным и соразмерным образом.

Обработка осуществляется в соответствии с принципами, установленными статьями 5 и 6 Регламента (ЕС) 2016/679 («GDPR»), а также §§ 10–11 эстонского закона Isikuandmete kaitse seadus (Закона о защите персональных данных Республики Эстония).

Администратор гарантирует, что персональные данные обрабатываются исключительно для чётко определённых целей в соответствии с принципом ограничения цели и не будут в дальнейшем обрабатываться способом, несовместимым с этими целями.

5.1. Подготовка предложения и установление сотрудничества

Обработка персональных данных с целью ответа на запрос, подготовки коммерческого предложения либо осуществления действий до заключения договора.

Правовое основание: статья 6 пункт 1 буква b GDPR — действия, предпринятые по запросу субъекта данных до заключения договора.

5.2. Исполнение договоров и поручений

Обработка данных клиентов, контрагентов, партнёров и поставщиков в целях заключения и исполнения договоров, касающихся программных услуг, обслуживания веб-сайтов или разработки программного обеспечения.

Правовое основание:

  • статья 6 пункт 1 буква b GDPR — исполнение договора,
  • статья 6 пункт 1 буква c GDPR — выполнение юридических обязанностей, вытекающих из налогового и бухгалтерского законодательства (в частности, Raamatupidamise seadus §§ 12–13).

5.3. Ведение корреспонденции и обработка запросов

Обработка данных лиц, обращающихся в Handke Digital Solutions посредством контактных форм, электронной почты, телефонной связи либо иных каналов коммуникации, с целью ведения текущей переписки и предоставления ответов.

Правовое основание: статья 6 пункт 1 буква f GDPR — законный интерес Администратора, заключающийся в предоставлении ответов, поддержании контакта и надлежащей организации деловой коммуникации.

5.4. Финансовые расчёты, бухгалтерский учёт и архивирование

Обработка финансовых и документальных данных, необходимых для выставления счетов, ведения бухгалтерского учёта и налоговых расчётов, а также архивирования документации в течение срока, установленного законодательством Республики Эстония.

Правовое основание:

  • статья 6 пункт 1 буква c GDPR — юридическая обязанность Администратора,
  • Raamatupidamise seadus §§ 12–13 — обязанность хранения документации в течение не менее 7 лет.

5.5. Информационная безопасность и инфраструктура

Обработка технических данных (например, IP-адресов, системных журналов, данных доступа к серверу) в целях обеспечения безопасности информационных систем, предотвращения злоупотреблений и утраты данных, поддержания резервного копирования и непрерывности предоставления услуг.

Правовое основание:

  • статья 6 пункт 1 буква f GDPR — законный интерес Администратора в обеспечении безопасности информации и услуг,
  • § 11 Isikuandmete kaitse seadus — обязанность обеспечения целостности и конфиденциальности данных.

5.6. Подписание электронных документов

Обработка персональных данных в связи с подписанием электронных документов с использованием сервиса SignRequest / Dropbox Sign либо иных эквивалентных инструментов, в целях подтверждения подлинности подписи и обеспечения целостности документа.

Правовое основание:

  • статья 6 пункт 1 буква b GDPR — исполнение договора либо осуществление действий до его заключения (в зависимости от стадии сотрудничества),
  • статья 6 пункт 1 буква f GDPR — законный интерес Администратора, заключающийся в обеспечении безопасности и надёжности заключаемых договоров.

5.7. Установление, осуществление и защита правовых требований

Обработка персональных данных в целях установления, предъявления либо защиты правовых требований, в том числе в рамках судебных, административных или медиационных разбирательств.

Правовое основание: статья 6 пункт 1 буква f GDPR — законный интерес Администратора, заключающийся в защите его прав и законных интересов.

5.8. Исполнение обязанностей перед государственными органами

Обработка и передача персональных данных компетентным органам публичной власти, налоговым или судебным органам, если это вытекает из обязательных норм законодательства Республики Эстония либо Европейского союза.

Правовое основание:

  • статья 6 пункт 1 буква c GDPR — юридическая обязанность Администратора,
  • Isikuandmete kaitse seadus § 10 пункт 1 подпункт 2.

5.9. Отсутствие профилирования и автоматизированного принятия решений

Администратор не осуществляет автоматизированное принятие решений, включая профилирование, в понимании статьи 22 GDPR.

Все решения, касающиеся клиентов, контрагентов и деловых партнёров, принимаются индивидуально уполномоченными лицами.

6. Правовые основания обработки персональных данных

Администратор обрабатывает персональные данные исключительно в случаях, когда для этого существует чёткое и законное правовое основание, вытекающее из положений:

  • Регламента Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года (GDPR),
  • эстонского Закона о защите персональных данных — Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Обработка персональных данных всегда осуществляется в соответствии с принципами, установленными статьёй 5 GDPR и § 11 IKS, в частности принципами законности, добросовестности, прозрачности, ограничения цели, минимизации данных, целостности, конфиденциальности и подотчётности.

6.1. Правовые основания обработки персональных данных (статья 6 GDPR)

Администратор обрабатывает персональные данные на следующих правовых основаниях:

a) Согласие субъекта персональных данных

(статья 6 пункт 1 буква a GDPR; § 10 пункт 1 IKS)

Данное основание применяется в случаях, когда субъект персональных данных добровольно и однозначно предоставляет персональные данные, не требуемые для исполнения договора, в частности в рамках добровольной переписки либо при передаче проектных материалов, содержащих дополнительную информацию.

Согласие может быть отозвано в любое время без ущерба для законности обработки, осуществлённой до его отзыва, в соответствии со статьёй 7 пунктом 3 GDPR.

b) Исполнение договора или действия до его заключения

(статья 6 пункт 1 буква b GDPR; § 10 пункт 1 подпункт 2 IKS)

Данное основание охватывает обработку персональных данных в целях:

  • подготовки, заключения и исполнения договоров с клиентами и контрагентами,
  • оказания программных, проектных или технических услуг,
  • ведения текущего рабочего взаимодействия и сопровождения сотрудничества.

c) Исполнение юридической обязанности, возложенной на Администратора

(статья 6 пункт 1 буква c GDPR; § 10 пункт 1 подпункт 3 IKS)

Данное основание включает обработку персональных данных, требуемую законодательством Республики Эстония и Европейского союза, в частности в области:

  • ведения и хранения бухгалтерской и налоговой документации в соответствии с Raamatupidamise seadus §§ 12–13 (срок хранения не менее 7 лет),
  • исполнения налоговых и отчётных обязанностей,
  • выполнения обязанностей перед органами публичной администрации и контрольными органами.

d) Законный интерес Администратора

(статья 6 пункт 1 буква f GDPR; § 11 пункт 2 IKS)

Администратор обрабатывает персональные данные в объёме, необходимом для реализации своих законных интересов, таких как:

  • ведение текущей переписки и обработка запросов,
  • обеспечение безопасности информационных систем, документов и технической инфраструктуры,
  • поддержание резервных копий и системных журналов,
  • установление, осуществление или защита правовых требований.

Администратор в каждом конкретном случае оценивает, не нарушает ли его законный интерес права и свободы субъекта персональных данных, в соответствии со статьёй 6 пунктом 1 буквой f GDPR в связи с соображением 47 GDPR.

Субъект персональных данных, чьи данные обрабатываются на данном основании, имеет право в любое время заявить возражение против обработки персональных данных в соответствии со статьёй 21 GDPR.

6.2. Обработка особых категорий персональных данных (статья 9 GDPR)

Администратор, как правило, не обрабатывает особые категории персональных данных в понимании статьи 9 пункта 1 GDPR.

Если субъект персональных данных добровольно раскрывает такие данные (например, в тексте сообщения, вложении или документе), их обработка осуществляется исключительно:

  • на основании явного согласия субъекта персональных данных (статья 9 пункт 2 буква a GDPR; § 21 IKS), либо
  • в объёме, прямо требуемом императивными нормами законодательства.

Указанные данные подлежат применению дополнительных технических и организационных мер защиты в соответствии со статьёй 32 GDPR.

6.3. Общие принципы обработки данных

Администратор обеспечивает, что все операции по обработке персональных данных осуществляются в соответствии с:

  • статьями 5 и 6 GDPR — принципами законности, ограничения цели, минимизации данных, целостности, конфиденциальности и подотчётности,
  • § 11 IKS — принципами соразмерности, добросовестности и адекватности данных,
  • статьёй 32 GDPR — принципами безопасности обработки, включая шифрование, контроль доступа и создание резервных копий,
  • статьёй 24 GDPR — принципом подотчётности Администратора.

Администратор не осуществляет автоматизированного принятия решений и не применяет профилирование в понимании статьи 22 GDPR.

6.4. Оценка правомерности и внутренняя документация

В целях обеспечения полной соответствия требованиям GDPR и законодательству Республики Эстония Администратор ведёт и регулярно обновляет, в частности:

  • Реестр операций по обработке персональных данных (Record of Processing Activities) в соответствии со статьёй 30 GDPR,
  • оценки баланса интересов (Legitimate Interest Assessment) в случаях обработки данных на основании статьи 6 пункта 1 буквы f GDPR,
  • политику информационной безопасности и защиты персональных данных,
  • процедуры реагирования на нарушения защиты персональных данных в соответствии со статьями 33–34 GDPR и § 23 IKS.

7. Источники получения персональных данных

Персональные данные, обрабатываемые Handke Digital Solutions, принадлежащей компании Handke Holding OÜ, поступают как непосредственно от субъектов персональных данных, так и из законных, общедоступных источников.

Администратор действует в соответствии со статьёй 14 GDPR и §§ 14–15 Isikuandmete kaitse seadus (IKS) и — в случае получения данных косвенным образом — обязан без необоснованной задержки проинформировать субъекта персональных данных об источнике их получения, не позднее сроков, предусмотренных статьёй 14 пунктом 3 GDPR, если применимое законодательство не предусматривает исключений.

7.1. Данные, получаемые непосредственно от субъектов персональных данных

Персональные данные могут добровольно предоставляться в рамках текущей коммуникации и сотрудничества, в частности:

  • посредством электронной почты, телефонных разговоров и интернет-мессенджеров,
  • через контактные формы на веб-сайте www.handkeds.com,
  • во время онлайн-встреч или прямых деловых переговоров,
  • в составе передаваемых проектных материалов, документов или файлов, необходимых для исполнения договора.

7.2. Данные клиентов, контрагентов и деловых партнёров

Персональные данные представителей компаний, клиентов и деловых партнёров могут поступать из следующих источников:

  • непосредственных служебных контактов (электронная почта, телефон, встречи),
  • официальных веб-сайтов компаний и организаций,
  • корпоративных и профессиональных профилей на платформах, таких как LinkedIn,
  • публичных реестров предпринимателей, включая эстонский Äriregister (E-Business Register),
  • отраслевых мероприятий и сетевого делового взаимодействия (networking).

Указанные данные используются исключительно в объёме, необходимом для установления или поддержания сотрудничества, а также для реализации законных деловых целей Администратора.

7.3. Данные представителей государственных учреждений и органов администрации

Данные данной категории поступают из официальной корреспонденции (письма, электронные сообщения, электронные документы) и публичных служебных источников и обрабатываются исключительно в объёме, вытекающем из требований законодательства, в соответствии со статьёй 6 пунктом 1 буквой c GDPR и § 10 IKS.

7.4. Данные, полученные из иных законных источников

Администратор также может получать персональные данные из законных, общедоступных источников, таких как:

  • публичные отраслевые каталоги и B2B-реестры контактных данных,
  • информационные порталы или веб-сайты, содержащие контактные данные компаний, опубликованные в деловых целях,
  • социальные сети — исключительно в том объёме, в котором соответствующее лицо самостоятельно сделало профессиональную информацию общедоступной (например, профиль LinkedIn или корпоративная страница).

Администратор не получает данные из частных аккаунтов, не применяет скрытые методы сбора информации и не обрабатывает персональные данные, полученные из непубличных источников.

7.5. Технические данные, связанные с электронными подписями

При подписании электронных документов (например, договоров или форм) с использованием сервисов SignRequest / Dropbox Sign либо иных эквивалентных систем могут автоматически регистрироваться технические и идентификационные данные, в частности:

  • IP-адрес устройства,
  • дата и время подписания,
  • идентификаторы, связанные с процессом подписания (например, идентификатор пользователя или устройства) — при условии их формирования системой.

Целью обработки указанных данных является обеспечение подлинности подписи, целостности документа и достоверности заключаемых договоров.

Правовым основанием обработки является статья 6 пункт 1 буква f GDPR и § 11 IKS.

7.6. Технические данные веб-сервера

При использовании веб-сайта www.handkeds.com могут автоматически сохраняться базовые технические данные, такие как:

  • IP-адрес устройства,
  • тип и версия браузера,
  • операционная система,
  • дата и время подключения,
  • серверные журналы (log-files).

Указанные данные обрабатываются исключительно в целях обеспечения безопасности, стабильности и корректного функционирования веб-сайта в соответствии со статьёй 6 пунктом 1 буквой f GDPR и § 11 IKS (принцип целостности и конфиденциальности).

Администратор не осуществляет профилирование, не ведёт систематического мониторинга пользователей и не применяет технологии отслеживания в маркетинговых целях.

8. Получатели персональных данных

Персональные данные могут передаваться исключительно проверенным и надёжным субъектам, которые поддерживают Администратора в осуществлении деятельности, оказании услуг или выполнении юридических обязанностей, а также государственным органам — в случаях, когда такая передача прямо вытекает из положений законодательства Республики Эстония или Европейского союза.

Любое раскрытие и передача персональных данных осуществляется в соответствии с принципами, установленными статьёй 28 и статьями 44–49 GDPR, а также с учётом положений Isikuandmete kaitse seadus (IKS), при соблюдении принципов минимизации данных, конфиденциальности и ограничения цели обработки.

Категории получателей данных

8.1. Технические и организационные субъекты, поддерживающие деятельность Администратора

Персональные данные могут передаваться или предоставляться субъектам, оказывающим Администратору вспомогательные услуги, в частности:

  • поставщикам хостинга и серверных услуг,
  • операторам электронной почты и онлайн-коммуникаций,
  • поставщикам IT-систем и облачных решений,
  • поставщикам услуг электронного подписания документов (например, SignRequest / Dropbox Sign),
  • бухгалтерским и учётным компаниям,
  • юридическим фирмам и бизнес-консультантам,
  • субъектам, оказывающим услуги технической поддержки и сопровождения IT-инфраструктуры.

Указанные субъекты обрабатывают персональные данные исключительно в объёме, необходимом для оказания услуг Администратору, а в случае, если они выступают в роли обработчиков данных, — на основании договора поручения обработки персональных данных (Data Processing Agreement) в соответствии со статьёй 28 GDPR.

Каждый обработчик персональных данных, в частности, обязан:

  • соблюдать конфиденциальность персональных данных,
  • применять надлежащие технические и организационные меры защиты (статья 32 GDPR и § 11 IKS),
  • обрабатывать персональные данные исключительно на основании документированных указаний Администратора.

8.2. Государственные органы и публичные учреждения

Персональные данные могут передаваться исключительно органам, уполномоченным запрашивать такие данные на основании законодательства, в частности:

  • Maksu- ja Tolliamet (Налогово-таможенный департамент Эстонии / Estonian Tax and Customs Board),
  • Andmekaitse Inspektsioon (эстонский надзорный орган по защите персональных данных),
  • судам, правоохранительным органам и иным контрольным органам,
  • органам Европейского союза и Европейской экономической зоны — в объёме, вытекающем из действующих нормативных актов.

Передача данных указанным субъектам осуществляется исключительно в случаях, прямо предусмотренных законодательством, и в минимальном объёме, необходимом для исполнения обязанностей Администратора.

8.3. Поставщики услуг в рамках проектного сотрудничества

В отдельных случаях персональные данные могут передаваться субъектам, участвующим в реализации IT-проектов (например, независимым исполнителям или субподрядчикам), выполняющим конкретные технические задачи.

Такие субъекты обрабатывают персональные данные исключительно в объёме, необходимом для выполнения порученных работ, и на основании соответствующего договора, включая — при наличии такой необходимости — договор поручения обработки персональных данных в соответствии со статьёй 28 GDPR.

Принципы передачи данных

Любая передача персональных данных осуществляется исключительно в объёме, необходимом для достижения целей, указанных в настоящей Политике, и на основании надлежащего правового основания, предусмотренного статьёй 6 GDPR.

Администратор обеспечивает, что все получатели персональных данных обрабатывают их в соответствии с требованиями безопасности и конфиденциальности, установленными статьёй 32 GDPR и § 11 Isikuandmete kaitse seadus.

Персональные данные не передаются социальным сетям или рекламным платформам и не используются в маркетинговых, рекламных либо профилирующих целях.

Администратор не продаёт персональные данные и не передаёт их третьим лицам без наличия соответствующего правового основания.

9. Передача персональных данных за пределы Европейской экономической зоны (ЕЭЗ)

В рамках осуществляемой деятельности Handke Digital Solutions, принадлежащей компании Handke Holding OÜ, персональные данные могут обрабатываться с использованием инструментов и услуг, предоставляемых внешними поставщиками, что в отдельных случаях может быть связано с передачей персональных данных за пределы Европейской экономической зоны (ЕЭЗ).

Каждая такая передача данных осуществляется исключительно в объёме, необходимом для достижения конкретных целей обработки, и в строгом соответствии со статьями 44–49 GDPR, с применением надлежащих правовых гарантий.

9.1. Cloudflare

Веб-сайт Handke Digital Solutions использует услуги Cloudflare, в частности в целях:

  • защиты от злоупотреблений и сетевых атак,
  • обеспечения безопасности контактных форм (Cloudflare Turnstile),
  • обработки сетевого трафика и технических журналов.

В связи с глобальным характером инфраструктуры Cloudflare технические данные (такие как IP-адрес, сведения о соединении или системные журналы) могут обрабатываться на серверах, расположенных за пределами ЕЭЗ, включая Соединённые Штаты Америки.

Передача данных может осуществляться на основании:

  • стандартных договорных положений Европейского союза (Standard Contractual Clauses — SCC),
  • а также — в применимых случаях — решений о достаточном уровне защиты (например, EU–US Data Privacy Framework).

9.2. Whereby

Handke Digital Solutions использует инструмент Whereby для проведения онлайн-встреч и коммуникации с клиентами и деловыми партнёрами.

Данные, обрабатываемые в рамках онлайн-встреч (например, IP-адрес, сведения о соединении, технические метаданные), могут обрабатываться на серверах, расположенных как в пределах ЕЭЗ, так и за его пределами, в зависимости от местоположения участников встречи и используемой в конкретный момент сетевой инфраструктуры.

Whereby применяет надлежащие правовые гарантии, включая стандартные договорные положения ЕС (SCC), в соответствии со статьями 44–49 GDPR.

9.3. SignRequest / Dropbox Sign

В целях электронного подписания документов Handke Digital Solutions использует сервисы SignRequest / Dropbox Sign.

В рамках использования данных сервисов могут обрабатываться, в частности, следующие категории данных:

  • имя и фамилия подписывающего лица,
  • адрес электронной почты,
  • IP-адрес,
  • дата и время подписания документа,
  • так называемый журнал аудита (audit trail) документа.

Использование указанных сервисов может быть связано с передачей персональных данных за пределы ЕЭЗ, в частности в Соединённые Штаты Америки. Передача данных осуществляется на основании стандартных договорных положений ЕС (SCC) в соответствии со статьёй 46 GDPR.

9.4. Гарантии и общие принципы

Администратор гарантирует, что:

  • персональные данные передаются за пределы ЕЭЗ исключительно в случаях, когда это необходимо для реализации конкретных целей обработки,
  • каждый обработчик применяет надлежащие технические и организационные меры безопасности в соответствии со статьёй 32 GDPR,
  • передача данных осуществляется исключительно на основании действительных и правомерных механизмов защиты персональных данных, предусмотренных статьями 44–49 GDPR.

Администратор не осуществляет неконтролируемую передачу персональных данных за пределы ЕЭЗ и не передаёт их без наличия соответствующего правового основания.

10. Срок хранения персональных данных

Администратор хранит персональные данные исключительно в течение периода, необходимого для достижения целей, для которых они были собраны, в соответствии с принципом ограничения хранения, установленным статьёй 5 пунктом 1 буквой e Регламента (ЕС) 2016/679 (GDPR), а также действующими нормами законодательства Республики Эстония.

По истечении указанных сроков хранения персональные данные подлежат безвозвратному удалению, анонимизации либо архивированию способом, исключающим возможность идентификации субъекта данных, за исключением случаев, когда общеобязательные нормы права (в частности налоговые, бухгалтерские или архивные) требуют их дальнейшего хранения.

10.1. Данные клиентов и контрагентов

a) Персональные данные, обрабатываемые в целях подготовки, заключения и исполнения договоров на основании статьи 6 пункта 1 буквы b GDPR, хранятся в течение срока действия договора, а после его прекращения — до истечения срока давности возможных требований, как правило не менее 3 лет, если специальные нормы не предусматривают более длительный срок.

b) Персональные данные, обрабатываемые в целях текущего делового контакта, обработки запросов и сотрудничества на основании статьи 6 пункта 1 буквы f GDPR (законный интерес Администратора), хранятся в течение периода сотрудничества либо до завершения контакта по соответствующему вопросу.

c) Персональные данные, обрабатываемые в бухгалтерских, расчётных и налоговых целях на основании статьи 6 пункта 1 буквы c GDPR (юридическая обязанность), хранятся в течение 7 лет с окончания финансового года в соответствии с Raamatupidamise seadus §§ 12–13, если иное не требуется действующим законодательством.

d) Персональные данные, обрабатываемые в целях установления, предъявления либо защиты правовых требований на основании статьи 6 пункта 1 буквы f GDPR, хранятся до истечения срока давности таких требований, как правило не менее 3 лет с момента окончания договора или делового контакта.

10.2. Потенциальные клиенты, поставщики и деловые партнёры

a) Персональные данные лиц, с которыми был установлен контакт в связи с предложением сотрудничества либо которые передали свои данные посредством электронной почты, контактных форм или иных каналов коммуникации и обрабатываемые на основании статьи 6 пункта 1 буквы f GDPR, хранятся в течение периода, необходимого для ведения коммерческих переговоров, либо до момента заявления возражения против обработки данных, но не дольше 3 лет с даты последней контактной активности.

b) Персональные данные представителей субъектов, сотрудничающих с Администратором (в частности в сфере IT-услуг, хостинга, бухгалтерского сопровождения или консультирования), обрабатываемые на основании статьи 6 пункта 1 букв b и c GDPR, хранятся в течение срока сотрудничества и после его завершения — до истечения срока давности возможных требований (как правило 3 года), тогда как бухгалтерская и налоговая документация — в течение 7 лет в соответствии с законодательством Республики Эстония.

10.3. Лица, обращающиеся к Администратору

Персональные данные лиц, направляющих запросы посредством контактной формы, электронной почты или телефонной связи и обрабатываемые на основании статьи 6 пункта 1 буквы f GDPR, хранятся в течение периода, необходимого для предоставления ответа и завершения переписки, а затем — при наличии обоснованной необходимости — до истечения срока давности возможных требований, но не дольше 3 лет с момента завершения контакта.

10.4. Технические данные и системные журналы

Технические данные, серверные журналы и сведения о событиях в системах Администратора, обрабатываемые на основании статьи 6 пункта 1 буквы f GDPR, хранятся в течение периода, необходимого для обеспечения безопасности систем, выявления инцидентов, анализа ошибок и предотвращения злоупотреблений, но не дольше 90 дней, если требования информационной безопасности, аудита или иные юридические обязанности не предусматривают более длительный срок хранения.

10.5. Данные представителей государственных органов и учреждений

Персональные данные сотрудников или представителей органов публичной администрации и учреждений, с которыми Администратор ведёт служебную переписку, хранятся в течение периода, необходимого для рассмотрения соответствующего дела, а также в течение архивного срока, установленного действующим законодательством, но не дольше 10 лет с момента завершения производства, проверки или административного дела.

10.6. Заключительные положения о хранении данных

a) По истечении вышеуказанных сроков персональные данные подлежат безвозвратному удалению, анонимизации либо архивированию способом, исключающим возможность идентификации субъекта данных, в соответствии с действующим законодательством.

b) В случае если общеобязательные нормы права требуют более длительного хранения персональных данных, срок хранения может быть соответственно продлён исключительно в объёме, необходимом для исполнения таких обязанностей.

c) Администратор регулярно проводит пересмотр обрабатываемых персональных данных и оценку обоснованности их дальнейшего хранения, обеспечивая, чтобы персональные данные не обрабатывались дольше, чем это необходимо для достижения целей, для которых они были собраны.

11. Добровольность предоставления персональных данных

Предоставление персональных данных лицами, пользующимися услугами Handke Digital Solutions, принадлежащей компании Handke Holding OÜ, носит, как правило, добровольный характер.

В отдельных случаях предоставление персональных данных является необходимым для реализации конкретных целей обработки, в частности для предоставления ответа на запрос, подготовки коммерческого предложения, заключения или исполнения договора, а также для выполнения юридических обязанностей, возложенных на Администратора.

Непредоставление персональных данных, необходимых для достижения соответствующей цели, может привести к невозможности предоставления ответа, подготовки предложения, заключения договора либо исполнения программных, сервисных или иных цифровых услуг, оказываемых Администратором.

11.1. Объём требуемых данных

В частности:

  • в случае направления запроса посредством контактной формы, электронной почты или телефонной связи — необходимо указание базовых контактных данных, позволяющих идентифицировать отправителя и предоставить ответ;
  • в случае заключения договора или оформления поручения — требуется предоставление идентификационных и контактных данных, включая данные о компании (например, наименование, адрес, номер VAT UE), в объёме, необходимом для заключения и исполнения договора;
  • в случае подписания электронных документов — может потребоваться предоставление данных, необходимых для авторизации подписи, таких как адрес электронной почты, IP-адрес и временная метка;
  • в случае выставления счёта, расчётного документа или подтверждения платежа — необходимо предоставление данных, требуемых налоговым или бухгалтерским законодательством.

11.2. Добровольные данные и согласие

Администратор в каждом конкретном случае ясно указывает, какие персональные данные являются необходимыми для достижения определённой цели, а какие предоставляются на добровольной основе.

Объём обрабатываемых персональных данных ограничивается минимально необходимым, в соответствии с принципом минимизации данных, закреплённым в статье 5 пункте 1 букве c GDPR.

В ситуациях, когда обработка персональных данных осуществляется на основании согласия (статья 6 пункт 1 буква a GDPR), в частности при добровольном информационном или деловом контакте, решение о предоставлении данных принимается исключительно субъектом персональных данных.

Согласие может быть отозвано в любое время без ущерба для законности обработки, осуществлённой до момента его отзыва, в соответствии со статьёй 7 пунктом 3 GDPR.

11.3. Общие принципы

Администратор прилагает все разумные усилия для обеспечения субъектам персональных данных полной прозрачности в отношении обработки персональных данных, а также реального контроля над объёмом предоставляемых сведений, целями их обработки и сроками хранения.

Обработка персональных данных осуществляется с соблюдением принципов, установленных статьёй 5 GDPR, в частности принципов законности, добросовестности, прозрачности и минимизации данных.

12. Место хранения персональных данных и меры защиты

12.1. Место хранения данных

Персональные данные, обрабатываемые Администратором, хранятся исключительно в электронной форме — на устройствах и в системах, находящихся под его исключительным контролем, либо у проверенных поставщиков услуг, инфраструктура которых может располагаться на территории Европейской экономической зоны (ЕЭЗ) либо — в отдельных случаях — за её пределами, при применении надлежащих правовых гарантий в соответствии со статьями 44–49 GDPR.

Администратор не ведёт бумажную документацию — все персональные данные обрабатываются, хранятся и архивируются исключительно в цифровом виде.

12.2. Локации и системы обработки данных

Физические и виртуальные места обработки персональных данных включают, в частности:

  • зашифрованный ноутбук, используемый Администратором, защищённый надёжным паролем, полным шифрованием диска и двухфакторной аутентификацией (2FA);
  • зашифрованный внешний носитель данных, используемый для создания регулярных резервных копий (offline-backup), хранящийся в безопасном месте и изолированный от основной системы;
  • серверы хостинг-провайдера Zone Media OÜ (Zone.ee), Lõõtsa 5, 11415 Tallinn, Estonia — предоставляющего услуги хостинга и электронной почты, с физическим размещением инфраструктуры на территории Республики Эстония (ЕЭЗ), соответствующие требованиям безопасности, установленным статьёй 32 GDPR;
  • серверы и системы инструментов, поддерживающих деятельность Администратора, в частности:
    • SignRequest / Dropbox Sign — сервис электронной подписи, использование которого может быть связано с обработкой персональных данных как в пределах ЕЭЗ, так и за её пределами, в частности в Соединённых Штатах Америки, при применении стандартных договорных положений ЕС (SCC) в соответствии со статьёй 46 GDPR;
    • иные вспомогательные системы, используемые в административных, коммуникационных или бухгалтерских целях, поставщики которых обеспечивают документально подтверждённое соответствие требованиям GDPR и применение надлежащих мер безопасности.

12.3. Технические и организационные меры

Администратор внедрил и поддерживает надлежащие технические и организационные меры для обеспечения безопасности персональных данных в соответствии со статьёй 32 GDPR и действующим законодательством Республики Эстония, включая, в частности:

  • шифрование сетевых соединений (SSL/TLS);
  • шифрование устройств и носителей данных;
  • ограничение доступа к персональным данным исключительно Администратору;
  • использование надёжных, уникальных паролей и двухфакторной аутентификации (2FA);
  • регулярное обновление операционных систем, программного обеспечения и средств безопасности;
  • создание и безопасное хранение зашифрованных резервных копий;
  • защиту устройств с использованием межсетевых экранов (firewall) и программного обеспечения против вредоносных программ;
  • автоматическую блокировку экрана и физическую защиту оборудования от доступа третьих лиц;
  • ограничение обработки данных исключительно устройствами, защищёнными в соответствии с настоящей Политикой;
  • сотрудничество исключительно с IT-поставщиками, обеспечивающими соответствие требованиям GDPR;
  • ведение реестра поручений на обработку персональных данных и реестра инцидентов безопасности;
  • внедрение процедур реагирования на нарушения защиты персональных данных в соответствии со статьями 33–34 GDPR;
  • регулярный пересмотр прав доступа и периодические проверки безопасности в соответствии с принципами privacy by design и privacy by default (статья 25 GDPR).

13. Права субъектов персональных данных

Лицам, персональные данные которых обрабатываются Handke Digital Solutions, принадлежащей компании Handke Holding OÜ, предоставляются все права, предусмотренные Регламентом (ЕС) 2016/679 (GDPR), а также законодательством Республики Эстония — Isikuandmete kaitse seadus (IKS).

В частности, вам предоставляется право на получение прозрачной информации об обработке персональных данных, право доступа к данным, их исправления, ограничения обработки, удаления, переноса данных, возражения против обработки, а также право на отзыв согласия — в объёме и на условиях, установленных действующим законодательством.

13.1. Право доступа к данным и получения их копии

Вы имеете право получить подтверждение того, обрабатывает ли Администратор ваши персональные данные, а в случае такой обработки — право доступа к этим данным и получения их копии в соответствии со статьёй 15 GDPR.

Если запрос подан в электронной форме, информация предоставляется в общепринятом электронном формате, если вы не запросили иную форму.

13.2. Право на исправление данных

Вы вправе требовать безотлагательного исправления касающихся вас персональных данных, которые являются неточными, а также дополнения неполных данных, в том числе путём предоставления дополнительного заявления, в соответствии со статьёй 16 GDPR.

13.3. Право на ограничение обработки

Вы имеете право требовать ограничения обработки персональных данных в случаях, предусмотренных статьёй 18 GDPR, в частности если:

  • вы оспариваете точность данных — на период, необходимый для их проверки;
  • обработка является незаконной, и вы возражаете против удаления данных;
  • персональные данные более не требуются Администратору, но необходимы вам для установления, осуществления или защиты правовых требований;
  • вы заявили возражение против обработки — до момента определения, имеют ли законные основания Администратора приоритет над вашими правами и свободами.

13.4. Право на удаление данных («право быть забытым»)

Вы имеете право требовать удаления персональных данных в случаях, предусмотренных статьёй 17 GDPR, в частности если:

  • персональные данные более не необходимы для целей, для которых они были собраны или иным образом обработаны;
  • вы отозвали согласие, на котором основывалась обработка, и отсутствует иное правовое основание;
  • персональные данные обрабатывались незаконно.

Указанное право не применяется в той мере, в какой обработка необходима для выполнения юридических обязанностей, возложенных на Администратора, либо для установления, осуществления или защиты правовых требований.

13.5. Право на переносимость данных

Вы имеете право получить персональные данные, которые вы предоставили Администратору, в структурированном, общепринятом и машиночитаемом формате, а также передать эти данные другому администратору, если обработка осуществляется на основании согласия или договора и автоматизированным способом, в соответствии со статьёй 20 GDPR.

13.6. Право на возражение

Вы вправе в любое время заявить возражение против обработки персональных данных, если такая обработка осуществляется на основании законного интереса Администратора (статья 6 пункт 1 буква f GDPR).

После подачи возражения Администратор прекращает обработку данных, если не докажет наличие веских законных оснований для продолжения обработки, имеющих приоритет над вашими интересами, правами и свободами, либо оснований для установления, осуществления или защиты правовых требований.

Право на возражение не применяется в случае обработки персональных данных для выполнения юридической обязанности, возложенной на Администратора (статья 6 пункт 1 буква c GDPR).

13.7. Право на отзыв согласия

Если обработка персональных данных осуществляется на основании согласия, вы имеете право отозвать его в любое время. Отзыв согласия не влияет на законность обработки, осуществлённой до момента его отзыва, в соответствии со статьёй 7 пунктом 3 GDPR.

13.8. Право на подачу жалобы в надзорный орган

Если вы считаете, что обработка ваших персональных данных нарушает положения GDPR или законодательство Республики Эстония, вы вправе подать жалобу в компетентный надзорный орган, в частности в:

Andmekaitse Inspektsioon (AKI)
Tatari 39, 10134 Tallinn, Estonia
тел.: +372 627 4135
e-mail: info@aki.ee
веб-сайт: https://www.aki.ee

Если вы проживаете, работаете либо предполагаемое нарушение произошло в ином государстве-члене Европейского союза, вы также вправе подать жалобу в соответствующий надзорный орган этого государства в соответствии со статьёй 77 GDPR.

13.9. Отсутствие профилирования и автоматизированного принятия решений

Персональные данные не обрабатываются автоматизированным способом, который мог бы привести к принятию решений, порождающих юридические последствия либо иным образом существенно влияющих на субъектов данных, в понимании статьи 22 GDPR.

Администратор не осуществляет профилирование.

13.10. Реализация прав

Для реализации любого из вышеуказанных прав вы можете связаться с Администратором:

e-mail: office@handkeds.com

Handke Holding OÜ / Handke Digital Solutions
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Estonia

Администратор предоставляет ответ на запросы, связанные с реализацией прав субъектов персональных данных, без необоснованной задержки и не позднее одного месяца с момента их получения в соответствии со статьёй 12 пунктом 3 GDPR. В особо сложных случаях данный срок может быть продлён ещё на два месяца, о чём субъект персональных данных будет уведомлён.

14. Нарушения защиты персональных данных

В случае нарушения защиты персональных данных — понимаемого как случайное или незаконное уничтожение, утрата, изменение, несанкционированное раскрытие либо несанкционированный доступ к персональным данным клиентов, деловых партнёров или пользователей — Администратор незамедлительно принимает меры, направленные на ограничение последствий инцидента и предотвращение его повторения.

Администратор в каждом случае проводит оценку риска нарушения прав и свобод субъектов персональных данных и внедряет соответствующие технические и организационные меры с целью устранения либо минимизации последствий нарушения.

Все инциденты, связанные с безопасностью персональных данных, документируются в соответствии с принципом подотчётности, указанным в статье 5 пункте 2 GDPR, а также в соответствии с § 25 пунктом 3 закона Республики Эстония Isikuandmete kaitse seadus.

14.1. Уведомление надзорного органа о нарушениях

Если нарушение защиты персональных данных может привести к риску нарушения прав или свобод физических лиц, Администратор уведомляет компетентный надзорный орган — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — не позднее чем в течение 72 часов с момента его выявления, в соответствии со статьёй 33 GDPR и § 25 Isikuandmete kaitse seadus.

14.2. Информирование субъектов персональных данных

В случаях, когда нарушение может повлечь высокий риск нарушения прав или свобод физических лиц, Администратор информирует субъектов персональных данных о:

  • характере нарушения защиты персональных данных,
  • возможных последствиях нарушения,
  • принятых или планируемых мерах по защите персональных данных.

Информирование осуществляется в соответствии со статьёй 34 GDPR, в ясной и понятной форме.

14.3. Процедура реагирования на нарушения

Администратор внедрил внутреннюю процедуру реагирования на нарушения защиты персональных данных, которая включает, в частности:

  • идентификацию и классификацию инцидентов,
  • незамедлительные действия по ограничению последствий нарушения,
  • оценку риска и принятие решения о необходимости уведомления о нарушении,
  • документирование нарушений в реестре инцидентов,
  • анализ причин нарушений и внедрение превентивных мер для предотвращения аналогичных инцидентов в будущем.

14.4. Контроль и совершенствование безопасности

Эффективность применяемых процедур реагирования на нарушения защиты персональных данных регулярно проверяется с целью обеспечения соответствия требованиям GDPR и законодательства Республики Эстония, а также поддержания высокого уровня безопасности обработки персональных данных.

15. Автоматизированное принятие решений и профилирование

Администратор персональных данных — Handke Holding OÜ, действующая под брендом Handke Digital Solutions — не осуществляет процессы автоматизированного принятия решений, включая профилирование, которые могли бы порождать юридические последствия для физических лиц или иным образом существенно на них влиять, в понимании статьи 22 Регламента (ЕС) 2016/679 (GDPR) и § 23 закона Республики Эстония Isikuandmete kaitse seadus.

Все решения, касающиеся клиентов, деловых партнёров и лиц, контактирующих с Администратором, принимаются исключительно человеком на основе индивидуального анализа предоставленной информации, документов или деловой переписки. Никакие решения не принимаются полностью автоматизированным способом.

Под профилированием понимается любая форма автоматизированной обработки персональных данных, заключающаяся в использовании таких данных для оценки отдельных личностных аспектов физического лица, в частности для анализа или прогнозирования аспектов, касающихся его поведения, предпочтений, интересов или иных личных характеристик.

Администратор может использовать технические или аналитические инструменты, поддерживающие операционную деятельность (например, автоматическую сортировку электронных писем, фильтрацию обращений из контактных форм или базовые статистические инструменты, связанные с посещаемостью веб-сайта), однако их использование не приводит к самостоятельному принятию решений в отношении физических лиц.

Каждое решение, затрагивающее физическое лицо, всегда предполагает участие человека и индивидуальную оценку конкретной ситуации.

16. Надзорный орган

Если у вас возникают какие-либо сомнения относительно порядка обработки ваших персональных данных либо вы считаете, что ваши права, вытекающие из Регламента (ЕС) 2016/679 (GDPR), были нарушены, вы имеете право подать жалобу в компетентный надзорный орган — независимо от места вашего проживания, места работы или предполагаемого места нарушения — в соответствии со статьёй 77 GDPR и § 21 закона Республики Эстония Isikuandmete kaitse seadus.

В случае деятельности, осуществляемой Handke Holding OÜ / Handke Digital Solutions, компетентным надзорным органом в Республике Эстония является:

Andmekaitse Inspektsioon (AKI)
Tatari 39, 10134 Tallinn, Estonia
тел.: +372 627 4135
e-mail: info@aki.ee
веб-сайт: https://www.aki.ee

Если вы проживаете, работаете либо предполагаемое нарушение произошло в другом государстве-члене Европейского союза или Европейской экономической зоны (ЕЭЗ), вы также вправе подать жалобу в соответствующий орган по защите персональных данных этого государства в соответствии со статьёй 77 GDPR.

До подачи жалобы субъект персональных данных может обратиться напрямую к Администратору данных с целью разъяснения ситуации:

e-mail: office@handkeds.com

Handke Holding OÜ / Handke Digital Solutions
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Estonia

Администратор прилагает все усилия для добросовестного, прозрачного и соответствующего требованиям GDPR и законодательства Республики Эстония рассмотрения каждого обращения.

17. Юрисдикция и применимое право

Настоящая Политика конфиденциальности регулируется правом Республики Эстония и подлежит толкованию в соответствии с положениями Регламента (ЕС) 2016/679 (GDPR) и закона Республики Эстония Isikuandmete kaitse seadus.

Все споры или требования, возникающие в связи с обработкой персональных данных, использованием веб-сайта либо услугами, предоставляемыми Handke Holding OÜ / Handke Digital Solutions, подлежат юрисдикции судов Республики Эстония, территориально компетентных по месту нахождения Администратора, в частности Harju Maakohus (районный суд Таллина).

Положения настоящего раздела не ограничивают права физических лиц, включая потребителей, вытекающие из императивных норм права Европейского союза или права государства их места проживания на территории Европейского союза или Европейской экономической зоны.

В случае расхождений между положениями настоящей Политики конфиденциальности и нормами права Европейского союза приоритет имеют положения GDPR и национальные правовые акты, реализующие его требования.

18. Обновления Политики конфиденциальности

Настоящая Политика конфиденциальности может периодически обновляться с целью обеспечения её соответствия действующему законодательству, в частности Регламенту (ЕС) 2016/679 (GDPR) и закону Isikuandmete kaitse seadus, а также для отражения изменений в характере осуществляемой деятельности, предоставляемых услугах, применяемых технологиях или процедурах обработки персональных данных.

Каждая обновлённая версия Политики конфиденциальности публикуется на официальном веб-сайте Handke Digital Solutions по адресу:
https://handkeds.com

Дата вступления в силу текущей версии Политики конфиденциальности каждый раз указывается в тексте документа.

В случае существенных изменений, которые могут повлиять на права субъектов персональных данных или на порядок обработки персональных данных (в частности на цели обработки, правовые основания, категории получателей данных или поставщиков IT-услуг), Администратор уведомит об этом прозрачным способом, в частности посредством:

  • чёткого уведомления на веб-сайте, либо
  • сообщения по электронной почте — при наличии у Администратора контактного адреса и возможности использования такого канала связи.

Администратор рекомендует регулярно знакомиться с актуальной редакцией Политики конфиденциальности с целью получения информации о действующих правилах обработки персональных данных.

19. Маркетинговая деятельность и контакт с Администратором

Веб-сайт Handke Digital Solutions / Handke Holding OÜ не использует файлы cookies и не применяет инструменты отслеживания в аналитических или рекламных целях. Использование сайта не связано с автоматизированной обработкой персональных данных пользователей в маркетинговых целях.

Администратор осуществляет маркетинговую деятельность исключительно в рамках продвижения собственных IT-, проектных и цифровых услуг, в частности посредством:

  • публикации контента на официальных корпоративных профилях в социальных сетях (например, LinkedIn),
  • прямой коммуникации в рамках деловых отношений B2B.

Маркетинговая деятельность не включает профилирование и автоматизированное принятие решений в отношении физических лиц.

В рамках прямого маркетинга Администратор может связываться с представителями компаний и учреждений (например, имя и фамилия, должность, служебный адрес электронной почты) с целью представления предложения о сотрудничестве в области цифровых услуг. Такой контакт (так называемый B2B-маркетинг / cold mailing) осуществляется исключительно на основании законного интереса Администратора, заключающегося в продвижении собственных услуг, в соответствии со статьёй 6 пунктом 1 буквой f GDPR.

Каждое лицо, с которым Администратор установил контакт в маркетинговых целях, имеет право в любой момент заявить возражение против обработки персональных данных для таких целей. Возражение может быть направлено путём отправки сообщения на адрес электронной почты:

office@handkeds.com

Пользователи также могут по собственной инициативе связываться с Администратором посредством электронной почты или контактной формы. Персональные данные, переданные таким образом (например, имя и фамилия, адрес электронной почты, содержание сообщения), обрабатываются исключительно с целью предоставления ответа или ведения переписки в соответствии со статьёй 6 пунктом 1 буквой f GDPR.

Персональные данные, обрабатываемые в связи с маркетинговой деятельностью и коммуникацией, не используются в рекламных целях по отношению к пользователям веб-сайта, не применяются для профилирования и обрабатываются в соответствии с принципами минимизации данных, целостности и прозрачности, установленными статьёй 5 GDPR.

20. Файлы cookies

Веб-сайт Handke Digital Solutions / Handke Holding OÜ не использует файлы cookies и иные технологии отслеживания в маркетинговых, аналитических, рекламных или профилирующих целях.

Администратор не применяет аналитические, ремаркетинговые инструменты или системы мониторинга поведения пользователей в статистических или коммерческих целях. Использование веб-сайта не связано с автоматизированной обработкой персональных данных пользователей для таких целей.

Веб-сайт может использовать исключительно технические механизмы, необходимые для его корректного и безопасного функционирования, в частности связанные с защитой от злоупотреблений, сетевых атак или попыток несанкционированного доступа (например, средства безопасности, предоставляемые Cloudflare).

Указанные механизмы не предназначены для отслеживания пользователей и не требуют получения согласия в соответствии со статьёй 5 пунктом 3 Директивы 2002/58/EC (ePrivacy) и § 102 закона Elektroonilise side seadus.

В связи с вышеизложенным на текущем этапе отсутствует обязанность отображения баннера cookies или получения согласия пользователей.

В случае внедрения в будущем файлов cookies или аналогичных технологий в целях, отличных от исключительно технических (например, аналитических или функциональных), Администратор проинформирует пользователей прозрачным образом и получит требуемые согласия в соответствии с действующим законодательством, в частности:

  • Директивой 2002/58/EC (ePrivacy),
  • законодательством Республики Эстония,
  • статьёй 6 пунктом 1 Регламента (ЕС) 2016/679 (GDPR).

21. Журналы сервера

Использование веб-сайта Handke Digital Solutions / Handke Holding OÜ связано с автоматической передачей запросов на сервер, на котором размещён сайт. Каждый такой запрос фиксируется в так называемых журналах сервера (server logs).

Журналы сервера могут содержать следующие технические данные:

  • IP-адрес устройства пользователя;
  • дату и время запроса;
  • информацию о используемом браузере и операционной системе;
  • адрес посещённой подстраницы или запрошенного ресурса;
  • коды ответа сервера и технические сообщения об ошибках.

Указанные данные носят исключительно технический характер и не используются для идентификации пользователей, а также не применяются в маркетинговых, аналитических или профилирующих целях.

Журналы сервера обрабатываются исключительно в следующих целях:

  • обеспечение безопасности веб-сайта и IT-инфраструктуры;
  • выявление злоупотреблений и попыток несанкционированного доступа;
  • диагностика технических ошибок и поддержание стабильности работы сервисов.

Правовым основанием обработки данных, содержащихся в журналах сервера, является статья 6 пункт 1 буква f GDPR — законный интерес Администратора, заключающийся в обеспечении безопасности информационных систем, в соответствии со статьёй 32 GDPR и § 24 закона Республики Эстония Isikuandmete kaitse seadus.

Журналы сервера хранятся хостинг-провайдером Zone Media OÜ (Zone.ee) в течение периода до 90 дней, если более длительный срок хранения не требуется в связи с инцидентом безопасности, техническим анализом или проведением расследования.

По истечении указанного срока данные автоматически удаляются либо анонимизируются таким образом, который исключает возможность идентификации пользователей.