2.1. В настоящий порядок включены установленные предприятием принципы в отношении обработки клиентских данных. Клиент предоставляет предприятию свое согласие на обработку относящихся к нему клиентских данных в соответствии с условиями, установленными в настоящем порядке. При заключении договора через представителя предприятие может обрабатывать личные и контактные данные представителя в объеме, необходимом для заключения и исполнения договора.

2.2. В настоящий порядок включены установленные предприятием принципы в отношении обработки клиентских данных. Клиент предоставляет предприятию свое согласие на обработку относящихся к нему клиентских данных в соответствии с условиями, установленными в настоящем порядке. При заключении договора через представителя предприятие может обрабатывать личные и контактные данные представителя в объеме, необходимом для заключения и исполнения договора.

2.3. Предприятие и его сотрудники хранят в конфиденциальности данные клиента, обрабатывают и публикуют их третьим лицам только в форме, позволяющей письменное воспроизведение, при данном клиентом согласии или на других основаниях, предусмотренных в законе и порядке. В случае, если на обработку клиентских данных требуется согласие клиента, у клиента запрашивается необходимое согласие, как правило, во время подачи ходатайства на оказание услуги или в ходе заключения договора с предприятием.

2.4. Предприятие применяет организационные, инфотехнологические и прочие необходимые меры безопасности с целью обеспечения защиты клиентских данных и наблюдения за обработкой клиентских данных.

2.5. Если правовыми актами не предусмотрено иное, сотрудники предприятия обязаны обеспечивать конфиденциальность клиентских данных бессрочно.

2.6. В условиях, разрешенных правовыми актами или в других обоснованных случаях (прежде всего, по экономическим или юридическим соображениям), предприятие имеет право заключать договоры, на основании которых уполномоченные обработчики обрабатывают клиентские данные, переданные предприятием. Эти договоры должны содержать обязательство сохранять конфиденциальность, и уполномоченный обработчик должен передавать предприятию все ходатайства, которые клиент представил уполномоченному обработчику для обработки своих данных. Список уполномоченных обработчиков, которым могут быть отправлены данные клиента, опубликован на домашней странице предприятия www.liisi.ee. Как правило, предприятие требует от лиц, которым передаются или раскрываются клиентские данные, соблюдения правил безопасности и конфиденциальности, указанных предприятием.

2.7. Предприятие при обработке клиентских данных ограничивается минимумом, необходимым для исполнения договоров, обслуживания клиентов и достижения целей обработки клиентских данных.

3.1. Предприятие обрабатывает все клиентские данные, полученные о клиенте. Основными обрабатываемыми типами клиентских данных являются, прежде всего, следующие:

3.1.1.    личные данные клиента (в т. ч. имя и фамилия, личный код, дата рождения, данные удостоверяющего личность документа, место жительства, гражданство, язык общения и т.д.), также данные о сфере деятельности клиента (в т. ч. образование, учебное заведение, должность, место работы и т.д.);

3.1.2.    контактные данные клиента (в т. ч. адрес, номер телефона, адрес электронной почты и т.д.);

3.1.3.    данные о сделках и заключенных договорах клиента (в т. ч. совершенные сделки, заключенные и/или завершенные договоры, представленные ходатайства, заявления, полученные и уплаченные проценты, а также платы за обслуживание, нарушения договора и т.д.);

3.1.4.    финансовые данные клиента (в т. ч. доход, имущество, обязательства, кредитная история и т.д.);

3.1.5.    данные о происхождении имущества клиента (в т. ч. данные о работодателе, партнерах по сделкам, коммерческой деятельности, фактических выгодоприобретателях и т.д.);

3.1.6.    данные о надежности клиента (например, данные о кредитной истории или причиненном третьему лицу ущербе, связи с отмыванием денег, финансированием терроризма или организованной преступностью);

3.1.7.    данные, полученные при выполнении проистекающего из закона обязательства (например, данные, проистекающие из запросов следственных органов, нотариусов, налоговых управляющих, судебных запросов, требований судебных исполнителей и т.д.);

3.1.8   данные о дееспособности клиента (только дееспособность или факт ее ограничения с целью, указанной в пунктах 4.1.2 и 4.1.5, и при условии, что эти данные не будут переданы третьим лицам);

3.1.9   данные о привычках, предпочтениях и удовлетворенности клиента (например, данные об активности использования услуг, используемых услугах, данные, связанные с жалобами клиента и т.д.);

3.1.10.   данные о сегменте клиента (например, возрастная принадлежность, пол, связь с выполнением задач публичной власти);

3.1.11.  данные, связанные с участием в потребительских играх и кампаниях (например, данные о выигранных в потребительских играх призах, набранных в ходе кампаний пунктах и т.п.);

3.1.12.    данные о посещаемых клиентом веб-сайтах (например, учетная запись канала в социальных сетях).

4.1. Предприятие обрабатывает клиентские данные для следующих целей:

4.1.1.    выполнить обязательства, предусмотренные правовыми актами;

4.1.2.    решить, оказывать ли и на каких условиях оказывать клиенту услугу (в этом случае обработка клиентских данных может производиться уже до оказания услуги или заключения договора);

4.1.3.    создать отношения с клиентом и идентифицировать клиента при создании клиентских отношений;

4.1.4.    исполнить заключенный между клиентом и предприятием договор или обеспечить исполнение договора и реализовать свои права, проистекающие из заключенного с клиентом договора или связанного договора, а также защитить свои нарушенные или оспоренные права (например, передача данных суду или представляющему предприятие лицу);

4.1.5.    оценить кредитоспособность (например, для заключения кредитного договора, применения принципа ответственного кредитования) или проверить надежность клиента (например, для принятия кредитного решения с целью обмена данными о кредитной истории с другими кредитными или финансовыми учреждениями);

4.1.6.    пресечь отмывание денег или финансирование терроризма, а также выполнить проистекающие из внутригосударственных правовых актов и из заключенных Эстонской Республикой и ратифицированных международных договоров обязанности (в т. ч. сбор данных, обмен информацией и передача данных следственным органам, нотариусу, налоговому управляющему и т. д.);

4.1.7.    уменьшить или предотвратить риски (например, с целью оценки кредитного портфеля предприятия или совершения полностью охватывающих деятельность предприятия аудитов, стресс-тестов или анализов), а также предотвратить причинение ущерба предприятию;

4.1.8.    осуществить статистические исследования и анализы клиентских групп, рыночных долей товаров и услуг и других финансовых показателей, а также отчетность и управление рисками;

4.1.9.    развить имеющиеся услуги и разработать новые услуги, в т. ч. назначить размер плат за услуги, а также проверить, развить или провести обслуживание ИТ-систем и -программ предприятия;

4.1.10.    проверить и в случае необходимости исправить или дополнить представленные клиентом данные;

4.1.11.    отправить клиенту рекламу и предложения товаров/услуг предприятия и уполномоченных обработчиков;

4.1.12.    организовать потребительские игры или кампании;

4.1.13.    достичь целей, по части которых предприятие имеет законный интерес (изучение привычек, предпочтений и удовлетворенности клиентов для улучшения услуг, предлагаемых предприятием (в т. ч. исследования потребительских привычек, рыночные исследования, опросы клиентов и т.д.)).

4.2. Если предприятие желает обработать клиентские данные для целей, отличных от тех, которые указаны в настоящем порядке, или желает обработать данные лица, не являющегося клиентом предприятия, соответствующее лицо должно дать на это отдельное согласие допускающим, по крайней мере, письменное воспроизведение образом. Соглашаясь, лицо должно быть идентифицировано в соответствии с действующим на предприятии порядком, но в порядке исключения предприятие может обрабатывать ограниченный объем данных клиента также в случае, если данные были переданы предприятием или через домашнюю страницу уполномоченного обработчика в ходе ходатайства об услуге, и для обработки данных при получении согласия от лица не были соблюдены стандартные требования для идентификации лица. Согласие может быть отозвано в любое время без ущерба для законности обработки клиентских данных, которые имели место до отзыва согласия.

4.3. Клиентские данные, обрабатываемые предприятием с вышеприведенными целями, могут поступать от клиента или из открытых источников (в т. ч. данные, опубликованные в интернете). Данные клиента также собираются от уполномоченных обработчиков, через которые предприятию поступает желание клиента воспользоваться услугой предприятия. Клиентские данные могут также поступать от прочих третьих лиц, если такая передача данных о клиентах предприятию третьими лицами является законной.

4.4. В соответствии с обязательством хранить клиентские данные в конфиденциальности, предприятие имеет право обрабатывать и, в частности, обмениваться клиентскими данными с кредитными и финансовыми учреждениями как из Эстонии, так и из-за рубежа, чтобы оценить и снизить их риски, а также реализовать принцип ответственного кредитования. Если для выполнения названной цели необходимо передавать клиентские данные в страны, находящимися за пределами Европейского Союза или Европейской экономической зоны, предприятие обеспечивает передачу данных клиентов в соответствии с применимыми требованиями права о защите данных.

5.1. Предприятие имеет право передавать клиентские данные:

5.1.1.    другим объединениям, входящим в одну с предприятием группу консолидации, которые могут обрабатывать данные клиента в объеме и целях, указанных в настоящем порядке;

5.1.2.    лицам и организациям, связанным с оказанием услуг и выполнением заключенного с клиентом договора (например, поручители, нотариусы, судебные исполнители, инкассо-фирмы, лица, оказывающие услуги перевода, связи, ИТ- и почтовые услуги, адвокатские и юридические бюро и т.д.);

5.1.3.    держателям баз данных (в т. ч. AS Creditinfo Eesti или любому иному держателю регистра задолженностей), которым предприятие передает информацию на основании правовых актов или заключенного договора с целью применения принципа ответственного кредитования, а также для того, чтобы дать возможность третьим лицам оценить кредитную историю и кредитоспособность клиента;

5.1.4.    прочим как эстонским, так и зарубежным кредитным и финансовым учреждениям, а также финансовым посредникам на основании запроса с их стороны для оказания клиенту желаемой им услуги или с целью оценки надежности и риска связанного с ним лица;

5.1.5.    уполномоченным обработчикам, которым предприятие на установленных в правовом акте условиях частично или полностью передало свою деятельность, а также при условии, что данные лица выполняют предусмотренные предприятием требования о соблюдении конфиденциальности и защите клиентских данных;

5.1.6.    в случае уступки прав требования новому кредитору;

5.1.7.    прочим третьим лицам в целях взыскания задолженности, если клиент нарушил договор.

5.2. Предприятие обязано публиковать и передавать клиентские данные с целью выполнения проистекающих из правовых актов обязанностей (например, передача данных следственным органам, нотариусу, управляющему имуществом банкрота, Налогово-таможенному департаменту, бюро данных об отмывании денег, Финансовой инспекции, Департаменту защиты прав потребителя).

5.3. При исполнении заключенного с клиентом договора (например, при совершении э-счетов и постоянных платежных поручений или при администрировании информации о сделках по кредитным карточкам) предприятие может использовать третьих лиц (например, банки, лица, оказывающие платежные услуги, международную карточную организацию VISA) и предоставлять им доступ к клиентским данным в объеме, необходимом для исполнения договора. Эти лица обрабатывают клиентские данные под свою ответственность и в соответствии с применимыми для них правилами.

5.4. Клиент осведомлен и согласен с тем, что:

5.4.1.    предприятие имеет право на передачу клиентских данных в регистр задолженностей, если клиент имеет перед предприятием не выполненное должным образом денежное обязательство и клиент задержал выполнение денежного обязательства более чем на 45 дней. В регистре задолженностей публикуется информация о задолженности клиента, и переданные держателю регистра клиентские данные могут обрабатывать все лица, которые являются членами такого регистра или которые имеют доступ к такому регистру на ином основании. Ознакомиться с подлежащими обработке клиентскими данными, условиями, основаниями для передачи и масштабом обработки данных можно в находящимся в ведении AS Creditinfo Eesti регистре задолженностей на веб-странице www.krediidiinfo.ee. С прочими базами данных, в которые предприятие передает информацию о задолженностях клиента, условиями обработки данных можно ознакомиться на домашней странице соответствующего учреждения, данные которого при необходимости могут быть получены от предприятия;

5.4.2.    Держателям публичных баз данных (например, держатель регистра народонаселения) предприятие передает клиентские данные в виде запроса с целью проверки соответствия клиентских данных имеющимся в базе данных данным, обеспечения верности и уместности клиентских данных или получения необходимой дополнительной информации о клиенте (например, для оценки кредитоспособности).

6.1. Сотрудник предприятия имеет право обрабатывать клиентские данные только в том случае, если это строго необходимо для выполнения возложенных на него обязанностей, и если у него есть доступ к соответствующим данным. Сотрудник предприятия должен принять все меры для того, чтобы не допустить раскрытия клиентских данных сотруднику предприятия без соответствующего права.

6.2. Если клиент считает, что при обработке клиентских данных нарушаются его права, он имеет право обратиться к предприятию с требованием прекращения обработки данных и тем самым прекращения нарушения. Кроме того, в случае нарушения его прав клиент в любое время имеет право обратиться в Инспекцию по защите данных или суд. Если будет обнаружено, что при обработке данных клиента были нарушены права клиента, клиент имеет право потребовать компенсацию за ущерб, причиненный ему в результате нарушения.

6.3. Клиент имеет право немедленно и бесплатно получать информацию о данных, полученных в результате сделанных в базы данные запросов для оценки кредитоспособности клиента. Клиент имеет право в любое время получать информацию о собранных в отношении его клиентских данных и целях, для которых они обрабатываются.

6.4. Клиент может запретить обработку клиентских данных для исполнения целей, указанных в пунктах 4.1.11–4.1.13 (в т. ч. запретить передачу клиентских данных уполномоченным обработчикам или третьим лицам, которые желают обрабатывать данные клиента для тех же целей). Названные в пункте 4.1.11 рекламы и предложения не рассматриваются как товары/услуги предприятия в целом, как знакомящая с предприятием информация, а также как сообщения, которые передаются в связи с изменением условий или прейскуранта, или исполнением заключенных договоров (от получения соответствующей информации клиент, как правило, отказаться не может).

6.5. Клиент осведомлен о том, что предложения о товарах/услугах предприятия и кредитные решения могут основываться на автоматических решениях информационной системы предприятия без участия сотрудника предприятия с учетом известных предприятию клиентских данных. Принятое предприятием автоматическое решение может быть предметом возражения, ходатайства о пересмотре данного решения или запросе информации о процессе принятия решения и условиях обработки клиентских данных.

6.6. Клиент должен незамедлительно оповещать предприятие о всех изменениях клиентских данных по сравнению с зафиксированными в договорах или иных представленных предприятию документах. Предприятие имеет право потребовать документ, подтверждающий изменение клиентских данных, и клиент обязан его представить. Клиент осведомлен о том, что наличие верных данных о клиенте обеспечит более правильное и быстрое обслуживание, а неточные клиентские данные могут ограничить возможности клиента при использовании товаров/услуг предприятия. Клиент может в любое время потребовать от предприятия внести поправки в свои данные, если данные были изменены или неточны. Клиент также может просматривать и изменять свои клиентские данные в среде самообслуживания на домашней странице предприятия.

6.7. Клиент может ходатайствовать у предприятия о доступе к имеющим к клиенту отношение клиентским данным, а также об удалении, ограничении или закрытии этих данных (за исключением случаев, когда предприятие имеет право продолжать обработку данных на предмет соблюдения правовых актов или обязательств, вытекающих из заключенного с клиентом договора, или из-за законных интересов), либо переноса данных, если это технически возможно.

6.8. Для получения разъяснений об обработке клиентских данных, а также для подачи жалоб, ходатайств или сообщений клиент может связаться с предприятием посредством находящейся на домашней странице среды самообслуживания или по следующим контактам: AS Koduliising, регистрационный код 14080830, адрес Пости, 30, 90504 Хаапсалу, телефон 675 5055, электронная почта . Контактные данные работника, ответственного за сохранность данных, опубликованы на домашней странице предприятия по адресу www.liisi.ee

6.9. Для получения разъяснений об обработке клиентских данных, а также для подачи жалоб, ходатайств или сообщений клиент может связаться с предприятием посредством находящейся на домашней странице среды самообслуживания или по следующим контактам: AS Koduliising, регистрационный код 14080830, адрес Пости, 30, 90504 Хаапсалу, телефон 675 5055, электронная почта info@liisi.ee. Если клиент связывается с предприятием через представителя, должен быть предъявлен в требуемой предприятием форме документ, подтверждающий право представительства. Предприятие может потребовать, чтобы доверенность, составленная за пределами предприятия, была заверена нотариально или подтверждена равнозначным образом.

7.1. Предприятие применяет соответствующие технические и организационные меры для обеспечения достаточной безопасности клиентских данных. Данные клиента защищены от уничтожения, изменения, незаконного раскрытия и незаконного доступа. Клиентские данные также защищены от всех других форм незаконной обработки. С учетом научных и технологических разработок, затрат на внедрение, характер, масштабы, контекст и цели обработки клиентских данных, а также вероятность различных рисков и размер индивидуальных прав и свобод, применяемые предприятием технические и организационные меры, в соответствии с необходимостью, охватывают в частности:

7.1.1.    псевдонимизацию и криптонимизацию клиентских данных;

7.1.2.    способность обеспечить постоянную конфиденциальность, целостность, доступность и долговечность систем и услуг, обрабатывающих данные клиентов;

7.1.3.    способность своевременного восстановления клиентских данных и доступа к данным в случае физического или технического инцидента и

7.1.4.    регулярное тестирование и оценку эффективности технических и организационных мер для обеспечения безопасности обработки клиентских данных.

8.1. В общем случае предприятие сохраняет клиентские данные до тех пор, пока это необходимо для названных в пункте 4 целей или до истечения сроков, установленных правовыми актами, или до тех пор, пока это необходимо для возможных юридических споров, которые могут возникнуть в будущем между предприятием и клиентом.

8.2. Предприятие, как правило, прекращает обработку собранных о лице в информационной системе предприятия в следующих случаях:

8.2.1.    выясняется, что клиентские данные были переданы предприятию третьим лицом без согласия клиента, и клиент выразил желание прекратить обработку своих данных (за исключением случаев, когда предприятие имеет право продолжать обработку данных на предмет обязательств, вытекающих из правовых актов, или из-за законных интересов);

8.2.2.    истекает указанный в пункте 8.1 срок для хранения данных предприятием или, за его отсутствием, соответствующий срок, предусмотренный правовыми актами;

8.2.3.    лицо, не имеющее правовых отношений с предприятием, подало ходатайство о получении товара или услуги, но не приняло предложение предприятия в течение срока его действия, или если предприятие приняло решение не предоставлять данному лицу товар или услугу.

9.1. Предприятие в любое время может изменить настоящий порядок, в соответствии с действующими правовыми актами и уведомив об этом клиента через домашнюю страницу предприятия по крайней мере за 1 месяц до вступления изменений в силу. Об изменениях нет необходимости уведомлять в случае, если они обусловлены изменениями в правовых актах.

9.2. Настоящий порядок применяется при обработке клиентских данных всех клиентов, включая клиентские отношения, возникшие до вступления в силу настоящего порядка.