Уведомление о конфиденциальности Stebby
Обновлено: 01.04.2025
Уведомление о конфиденциальности содержит информацию о том, как Stebby (мы, нас и т. п.) обрабатывает персональные данные физических лиц, которые:
- пользуются услугами Stebby (Пользователь), включая посещение онлайн-среды Stebby на доменах stebby.eu или business.stebby.eu, а также на других локальных доменах Stebby, либо мобильными приложениями Stebby, доступными в Google Play или App Store (совместно именуемыми Платформа);
- являются представителями бизнес-партнеров Stebby, бизнес-клиентов или предприятий, продающих услуги через онлайн-среду Stebby (Представитель);
- подали заявление о приеме на работу Stebby (Соискатель).
Пользователь, Представитель и Соискатель далее совместно именуются Субъект данных.
Настоящее Уведомление о конфиденциальности составлено в соответствии с требованиями регламента Европейского парламента и Совета (ЕС) 2016/679 (GDPR).
Здесь даны ответы на следующие вопросы:
- Кто является контролером персональных данных?
- Какие персональные данные мы обрабатываем?
- Почему мы обрабатываем персональные данные?
- Принимаем ли мы автоматизированные решения?
- Как мы обрабатываем данные несовершеннолетних?
- Кто, кроме нас, может обрабатывать персональные данные Субъекта данных?
- Каковы права Субъекта данных в отношении обработки персональных данных?
- Что делает Stebby в социальных сетях?
- Как долго мы храним персональные данные?
- Как мы обеспечиваем безопасность обработки персональных данных?
Кто является контролером персональных данных?
Если в Уведомлении о конфиденциальности не указано иное, то контролером персональных данных Субъекта данных является:
Stebby OÜ
Рег. код: 12231911
Адрес: Tartu linn, Raatuse 20, 51013, Eesti
Контакт: info@stebby.eu
Специалист по защите данных: privacy@stebby.eu
Медицинское страхование со стороны работодателя
В ситуации, когда Stebby выступает на Платформе в качестве страхового агента, предлагающего пакеты медицинского страхования эстонского филиала ERGO Life Insurance SE, рег. код 12025488 (ERGO), ERGO является самостоятельным контролером персональных данных в части, связанной с предложением и заключением медицинского страхования, а Stebby – самостоятельным контролером в части, связанной с другими действиями на Платформе.
Для страховщиков или страховых посредников, которые сами или через клиентов пользуются Платформой для оказания посреднических услуг в медицинском страховании в разрешенных законом рамках или для администрирования страховых договоров и застрахованных лиц Stebby выступает в роли процессора данных. Такие случаи регулируются договором об обработке данных, заключаемым между Stebby и страховщиком или страховым посредником.
Компенсация от работодателя
Если Пользователь получает от своего работодателя компенсацию через Платформу, то работодатель является самостоятельным контролером персональных данных в части операций обработки, связанных с приглашением сотрудников на Платформу, ведением списков сотрудников, предоставлением и использованием компенсации, выделенной сотрудникам, а также выдачей отчетов о пользовании услугами.
В некоторых случаях Stebby является для работодателя только процессором. Это происходит тогда, когда работодатель добавил данные Пользователя на Платформу, но Пользователь свой аккаунт не активировал. В такой ситуации Stebby обрабатывает персональные данные Пользователя только теми способами и для тех целей, которые согласованы с работодателем в договоре об обработке данных.
Поставщики услуг
Stebby тесно взаимодействует и с другими предприятиями (например, с кассовой системой какого-либо поставщика услуг, если Пользователь хочет совершить через него оплату за счет компенсации Stebby). Тогда Stebby является контролером для тех этапов обработки данных, которые связаны с подтверждением соответствующему поставщику услуг факта покупки.
Какие персональные данные мы обрабатываем?
Пользователь сам регистрирует свой аккаунт
Для того чтобы Пользователь мог пользоваться услугами Платформы, он должен на ней зарегистрироваться. При создании аккаунта запрашиваются персональные данные Пользователя, из которых обязательными являются:
- Полное имя
- Адрес электронной почты
- Страна проживания
- Дата рождения
- Номер телефона (обязателен в Латвии и Литве)
- Личный код (обязателен в Эстонии)
Чтобы правильно привязать аккаунт Пользователя, Stebby запрашивает у него название предприятия его работодателя. Привязка аккаунта Пользователя к работодателю необходима, если работодатель предоставляет компенсацию, а Пользователь хочет использовать ее на Платформе.
Добровольно предоставляемые персональные данные для более персонализированной услуги:
- Пол
- Загружаемые Пользователем документы, например счета за покупки
- Предпочтения в отношении услуг (в мобильном приложении)
В процессе пользования Платформой Stebby также обрабатывает данные, возникающие при покупке товаров и услуг (например, факт участия в спортивных клубах, тренировках и спортивных мероприятиях, пользования медицинскими услугами), а также связанные с покупкой платежные реквизиты (номер банковского счета, банк, IBAN и т. п.).
Работодатель предоставляет Stebby персональные данные для регистрации аккаунта
Если у Stebby заключен с работодателем Пользователя договор, то работодатель передает нам следующие персональные данные Пользователя:
- Полное имя
- Адрес электронной почты
- Страна проживания
- Дата рождения
- Номер телефона (обязателен в Латвии и Литве)
- Личный код (обязателен в Эстонии)
- Название должности (необязательно)
Эти данные позволяют Stebby связываться с Пользователем для информирования его о создании аккаунта и возможностях пользования им, а также для подтверждения прав Пользователя на компенсацию от работодателя.
В соответствии с условиями, согласованными с работодателем Пользователя, работодатель должен предварительно уведомить Пользователя о создании аккаунта Пользователя и обеспечить надлежащую правовую основу для обработки персональных данных. При получении от нас электронного письма о том, что ваш работодатель или кто-то другой создал для вас на Платформе аккаунт без вашего ведома, просьба сообщить нам об этом по адресу privacy@stebby.eu.
Использование компенсации от работодателя
Если Пользователь приобретает товары или услуги на Платформе, используя предоставленную работодателем компенсацию (в том числе частично), то информация о транзакции доступна как Пользователю, так и работодателю в объеме, необходимом для бухгалтерских операций и проверки правильности использования компенсации. Как указано выше, в таких случаях работодатель Пользователя выступает самостоятельным контролером персональных данных, что регулируется договором об обработке данных.
Если Пользователь приобретает услугу вне Платформы, он может загрузить на нее подтверждающие покупку документы. Эти документы передаются администратору группы работодателя Пользователя и могут включать в себя, в частности, информацию о предоставленной услуге, данные поставщика услуги, медицинские данные Пользователя и дополнительную информацию, добавленную поставщиком услуги. Stebby не собирает документы о покупке для иных целей, кроме передачи их администратору группы работодателя, который принимает решение о компенсации услуги на основании документа. Несмотря на то, что Stebby установлены строгие ограничения доступа к документам о покупке, мы все же рекомендуем всем Пользователям по возможности не предоставлять документов, содержащих медицинские данные. В случае если расходы были возмещены на основании загруженного Пользователем документа, такой документ должен храниться как бухгалтерский оригинал в соответствии с установленным законодательством сроком.
Данные Соискателя
Если у нас открыта вакансия, мы сообщаем об этом через социальные сети или на сайтах, занимающихся посредничеством при найме, таких как CV Online. В процессе найма мы обрабатываем персональные данные, которые Соискатель предоставляет нам при выдвижении на вакансию, например резюме или мотивационное письмо.
Представители
Если поставщик услуг продает свои услуги через Платформу или бизнес-клиент использует Платформу для предоставления компенсации своим сотрудникам, мы, помимо данных юридического лица, обрабатываем в соответствии с пояснениями в настоящем Уведомлении о конфиденциальности также имя и фамилию Представителя юридического лица и его контактные данные.
Stebby может сотрудничать с различными бизнес-партнерами (например, агентами по продажам) для продвижения бизнеса и предоставления услуг Stebby, обрабатывая имена, фамилии и контактные данные их представителей в описанном в настоящем Уведомлении о конфиденциальности порядке.
Почему мы обрабатываем персональные данные?
Stebby обрабатывает персональные данные на различных правовых основаниях, например, если Пользователь или Соискатель дал нам согласие на обработку своих данных, у нас заключен договор с Пользователем или Представителем, у нас есть различные юридические обязательства по обработке персональных данных или легитимный интерес в отношении обработки персональных данных.
Обработка данных на основании согласия
Если мы запрашиваем согласие на обработку персональных данных, то мы обрабатываем их исключительно в целях, для которых было дано согласие.
Если Пользователь дал согласие на получение уведомлений об оздоровительных и спортивных клубах и мероприятиях, Stebby будет отправлять соответствующие уведомления. Персональные данные Пользователя, включая контактные данные, для отправки прямых маркетинговых уведомлений поставщикам услуг не передаются. Прямые маркетинговые уведомления могут предлагаться в персонализированном виде в зависимости от возраста, пола и данных, собранных Stebby о велнес- и спортивных привычках Пользователя.
Данные о геолокации собираются для того, чтобы Пользователь мог быстро найти ближайшие к нему услуги. Геолокация может передаваться Платформе на основании соответствующего согласия.
Stebby не продает и не сдает в аренду персональные данные третьим лицам.
Согласие может быть отозвано в любой момент. Если Пользователь не хочет получать прямые маркетинговые уведомления, он может отказаться от них, зайдя на Платформе в свой аккаунт. Там он может указать, что именно он хочет или не хочет получать. Ссылки на отказ от рассылок и прямых маркетинговых уведомлений содержатся также в каждом отправляемом нами письме.
Обработка данных, необходимая для исполнения договора
Stebby обрабатывает персональные данные Пользователей для исполнения своих договорных обязательств перед Пользователями, работодателями или поставщиками услуг, чтобы:
- Пользователи могли пользоваться предлагаемыми в среде Stebby оздоровительными и спортивными услугами;
- исполнять договор между Пользователем и Stebby по администрированию билетов Пользователя и их передаче поставщикам услуг, а также для связи с Пользователем по поводу общих условий или других существенных изменений в связи с договором;
- управлять компенсациями или осуществлять при необходимости возврат средств и передавать информацию поставщикам услуг;
- отвечать на вопросы Пользователей.
Stebby обрабатывает персональные данные Представителей для того, чтобы поставщики услуг могли предоставлять свои услуги Пользователям через Платформу Stebby.
Обработка для выполнения юридических обязательств
Помимо вышеизложенного, Stebby может обрабатывать персональные данные Пользователя для выполнения своих юридических обязательств. Сюда входят данные, обрабатываемые для выполнения бухгалтерских обязательств и предоставления информации соответствующим органам, например Налогово-таможенному департаменту Эстонии.
Обработка данных на основании легитимного интереса
Легитимный интерес означает, что мы обрабатываем персональные данные в коммерческих интересах Stebby. Например, мы можем обрабатывать персональные данные Пользователя для управления, поддержания и развития наших услуг или для налаживания и укрепления клиентских отношений. Stebby также может отправлять электронные письма в целях прямого маркетинга третьим сторонам, являющимся юридическими лицами, предоставляя получателю возможность запретить дальнейшее использование его контактных данных в этих целях. Когда мы решаем вопрос об использовании персональных данных на основании легитимного интереса, мы проводим его оценку и устанавливаем, что наш коммерческий интерес не нарушает прав лиц на конфиденциальность. Для анализа услуг мы используем псевдонимизированные персональные данные.
Принимаем ли мы автоматизированные решения?
Автоматизированное принятие решений происходит тогда, когда цифровая система использует персональные данные для принятия решения без участия человека. Stebby автоматизированных решений на основании собранных персональных данных не принимает.
Как мы обрабатываем данные несовершеннолетних?
Пользователь младше 13 лет должен перед созданием учетной записи посоветоваться с родителями и не предоставлять свои персональные данные без их согласия. Если родитель обнаружит, что ребенок, не послушавшись его, создал аккаунт, об этом нужно сообщить Stebby по адресу privacy@stebby.eu.
Каковы права Субъекта данных в отношении обработки персональных данных?
В связи с персональными данными GDPR предоставляет людям различные права на связанную с ними информацию, о чем подробнее будет сказано ниже. В Stebby по закону обязаны убедиться, что лицо, запрашивающее информацию о себе, действительно имеет право на получение данных, поэтому мы просим Субъекта данных подтвердить свою личность или право на запрос данных.
Право на получение информации об обработке персональных данных
Субъект данных имеет право получить от нас информацию об обработке своих данных. Он также имеет право на доступ к своим данным. Получить доступ можно, связавшись с нами по электронной почте privacy@stebby.eu или через Платформу.
Право на удаление
Субъект данных имеет право требовать удаления своего аккаунта и/или других данных, если для их обработки нет оснований. Следует иметь в виду, что при ограничении доступа к данным, их удалении или передаче Субъект данных больше не сможет пользоваться Платформой, и Пользователь не сможет использовать компенсацию от работодателя. При удалении данных учитываются сроки, в течение которых их необходимо хранить по закону даже после удаления аккаунта Пользователя.
Если администратор группы работодателя экспортировал аккаунты с неверными контактными данными, то доступ к аккаунтам приостанавливается до тех пор, пока администратор группы, связанный с аккаунтом Пользователя, не исправит эти данные. Если данные не исправлены в течение четырнадцати (14) дней с момента уведомления администратора, Stebby имеет право удалить аккаунт. Вышеуказанное относится ко всем зарегистрированным на Платформе аккаунтам.
Просьба учитывать, что мы не можем удалять данные, которые обрабатываем для выполнения договорных или юридических обязательств.
Право на исправление
Субъект данных имеет право требовать исправления данных о себе, в том числе запрашивать дополнение данных, если они неполны.
Право на ограничение обработки
Субъект данных может потребовать от нас ограничить обработку его персональных данных. При ограничении обработки данные Субъекта данных только сохраняются и дальнейшей обработке не подвергаются. В случае подозрения на мошенничество Stebby имеет право закрыть аккаунт связанного с подозрением Пользователя и приостановить его операции. Если Stebby удаляет аккаунт из-за нарушения общих условий, Пользователь имеет право потребовать удаления своих данных, обратившись по адресу privacy@stebby.eu.
Право возражать против обработки персональных данных
Субъект данных имеет право предъявлять возражения по поводу обработки своих персональных данных. Такое право чаще всего используется субъектами данных для прекращения прямого маркетинга.
Право на перенос данных
Если обработка данных осуществляется автоматизированным способом и на основании договора или согласия, Субъект данных имеет право получить предоставленные им персональные данные в структурированном и общепринятом формате для передачи другому аналогичному сервису, если это технически возможно.
Право на жалобу в Инспекцию по защите данных
Если вы не удовлетворены тем, как Stebby исполняет свои обязательства по защите персональных данных, вы можете сообщить об этом в Инспекцию по защите данных, обратившись по адресу Väike-Ameerika 19, Tallinn 10129 или www.aki.ee.
Кто, кроме нас, может обрабатывать персональные данные Субъекта данных?
Доступ к персональным данным Субъекта данных имеют только те сотрудники Stebby, которым эти данные необходимы для выполнения своих рабочих обязанностей в силу так называемого принципа необходимости знать.
За пределами Stebby в строго в ограниченном объеме и в соответствии с целями обработки мы передаем данные Субъекта данных следующим категориям субподрядчиков:
- Поставщикам услуг (список не исчерпывающий и может меняться): поставщикам услуг ИТ-обслуживания, хостинга, электронной почты, программного обеспечения для управления персоналом, бухгалтерского учета, поддержки клиентов, коммуникации и маркетинга, страховщикам и другим посредникам, администраторам сайта, платежным посредникам, аудиторам, юристам и другим консультантам.
- Велнес- и спортивные клубам, а также организаторам мероприятий персональные данные Пользователей передаются только в объеме, необходимом для идентификации Пользователя и проверки лимитов оплаты его аккаунта Stebby для продажи ему нужной услуги или товара.
- При наличии юридического обязательства данные передаются государственным органам и учреждениям (например, полиции, суду, Центру тревоги, Инспекции по защите данных).
Stebby применяет в отношении субподрядчиков надлежащие договорные и организационные меры, чтобы обеспечить обработку персональных данных в соответствии с целями, указанными в настоящем Уведомлении о конфиденциальности, а также в соответствии с применимыми законами и нашими инструкциями, с соблюдением положенных обязательств по конфиденциальности и мерам безопасности.
Мы не храним и не передаем персональные данные за пределы Европейской экономической зоны или в какие-либо страны без решения Европейской комиссии, указывающего на обеспечение там достаточного уровня безопасности.
В случае предоставляемой работодателем компенсации расходов на укрепление здоровья и занятия спортом он получает через Платформу данные о компенсации, используемой его работниками, которые являются Пользователями, в той мере, в какой работодатель эту компенсацию выплачивал. Работодатель имеет право доступа к таким данным в течение установленного законом срока.
Для обеспечения безопасной и законной обработки персональных данных мы заключили с нашими партнерами договоры о защите данных. Эти договоры обязывают другие стороны:
- принимать надлежащие меры для обеспечения конфиденциальности и безопасности персональных данных;
- обрабатывать персональные данные в соответствии с требованиями закона и условиями договора.
Если Субъект данных предоставляет персональные данные напрямую третьему лицу, например поставщику услуг, через ссылку на Платформе, обработка данных осуществляется в соответствии с принципами и стандартами этого третьего лица.
Что делает Stebby в социальных сетях?
Подписаться на наши аккаунты в социальных сетях (например, Facebook, Instagram или LinkedIn) или поставить лайк может любой желающий. В этом случае мы видим имя человека, и, нажав на это имя, можем увидеть общедоступную информацию его профиля.
В отношении социальных сетей следует учитывать, что:
- наш профиль является публичным, то есть его видят все;
- любой желающий может опубликовать пост на наших страницах в социальных сетях, а также ссылаться на наши страницы и их общедоступный контент;
- по возможности мы разрешаем автоматический перевод постов читателям на другие языки;
- в социальных сетях мы применяем автоматическую фильтрацию контента, что означает автоматическое предотвращение публикации постов, содержащих общеизвестные оскорбительные выражения;
- с нами можно связаться в социальных сетях лично.
Мы получаем статистические данные об активности в наших социальных сетях – количество лайков, посещений и т. п. Эти данные собираются самими операторами социальных сетей и предоставляются нам в обезличенном виде.
Как долго мы храним персональные данные?
Мы храним данные Пользователя, пока у него есть наш аккаунт. После удаления аккаунта мы будем хранить его данные только до тех пор, пока это требуется по закону или необходимо для исполнения наших юридических обязательств либо реализации легитимных интересов, например для урегулирования претензий, бухгалтерского учета, в целях внутренней отчетности и разрешения споров.
Все связанные с операциями данные в аккаунте, удаляются через 7 лет после окончания календарного года, в котором операции совершались, за исключением персональных данных, используемых в судебных разбирательствах или в других случаях, когда более длительный срок хранения обязателен по закону. Если Пользователь использовал при покупке услуг компенсацию работодателя, то работодатель сохраняет доступ к соответствующим операциям в течение указанного выше срока. Информация о совершенных Пользователем покупках доступна также поставщикам услуг, у которых была совершена покупка.
Персональные данные Представителя хранятся до тех пор, пока он предлагает свои услуги через Платформу или оказывает услуги для Stebby.
Данные Соискателей хранятся в течение 1 года с момента подачи заявления. Если мы хотим сохранить резюме Соискателя для будущих вакансий, мы запрашиваем у него соответствующее согласие.
Данные удаленных Пользователей окончательно исчезают из резервных копий и логов не позднее чем через 90 дней после удаления.
Как мы обеспечиваем безопасность обработки персональных данных?
Для защиты персональных данных Stebby принимает надлежащие юридические, организационные, физические и технические меры безопасности.
Вот некоторые примеры таких мер:
- Физические меры – офисы запираются, бумажные документы не используются.
- Технические меры – компьютеры защищены паролями, жесткие диски зашифрованы; используются межсетевые экраны и антивирусные программы; регулярно создаются резервные копии; всем пользователям ИТ-систем назначаются роли и профили. В среде Stebby используется безопасный обмен данными, который не поддается отслеживанию третьими сторонами, а все запросы данных, совершаемые в среде Stebby и исходящие из нее, зашифрованы.
- Организационные меры – политика защиты данных, информационной безопасности и управления доступом; регулярное обучение персонала, требования конфиденциальности для сотрудников, субподрядчиков и партнеров.
Stebby не несет ответственности за ситуации, при которых персональные данные Пользователей становятся известны другим Пользователям или третьим лицам из-за действий администратора работодателя или лиц, связанных с работодателем (например, при раскрытии имени пользователя и/или пароля, добавлении Пользователей в группу без их согласия, обмене информацией о событиях группы между ее участниками и т. п.).
Если в отношении обработки персональных данных Пользователя произошло нарушение высокой степени риска, Stebby незамедлительно уведомляет об этом Пользователя в соответствии со статьей 34 GDPR.
Куки
Информация об использовании куки представлена в размещенном на сайте Уведомлении о куки.
Изменения в Уведомлении о конфиденциальности
В целях уточнения нашей практики обработки данных и внесения других изменений мы можем периодически обновлять Уведомление о конфиденциальности. Актуальная версия публикуется на нашем сайте. Мы не вносим существенных изменений в Уведомление о конфиденциальности и не урезаем прав Пользователей, не проинформировав их об этом.