egiid

Privaatsuspoliitika

Viimati uuendatud: 08.06.2026.

1. Vastutav töötleja

egiid teenuse pakkuja on Vire Lahendused OÜ (reg. nr 16225600), aadress Vana-Lõuna tn 39-75, Kesklinna linnaosa, 10134 Tallinn, Harju maakond. Andmekaitse küsimustes kirjuta meile aadressile info@vire.ee.

2. Kaks rolli — millal me vastutame ja millal töötleme

egiid platvorm puudutab kahte erinevat andmesubjektide rühma:

Muuseumi haldajad (egiid-i otsesed kliendid ja kasutajad) — siin oleme vastutavad töötlejad. Töötleme nende andmeid (e-post, nimi, sisselogimised, tegevuste logi, arveldus) teenuse pakkumiseks ja arvelduseks. Käesolev dokument sisaldabki põhiliselt seda osa.
Külastajad ja tagasiside-vastused — tagasiside tahvlite vastused, mille külastaja kioskil sisestab, kogub muuseum ise oma näituse jaoks. Selle osas tegutseb egiid volitatud töötlejana ja vastav muuseum on vastutav töötleja. Töötlemise tingimused on määratletud iga muuseumiga sõlmitavas andmetöötluslepingus (DPA).

3. Milliseid andmeid kogume

Töötleme järgmiseid isikuandmete kategooriaid:

Konto andmed (muuseumi haldajad): e-post, nimi, salasõna räsi, sisselogimised, IP-aadress, kasutaja-agent.
Tegevuste logi: kasutaja sooritatud toimingud (lisamine, muutmine, kustutamine) koos ajatempliga.
Külastajate tagasiside (muuseumi nimel): tagasiside tahvlite vastused (skaala, valik, vabatekst). Vabatekstis võivad külastajad ise jagada isikuandmeid; me ei küsi neid eraldi ega kasuta neid muudel eesmärkidel kui muuseumile teenuse osutamine.
Arveldusandmed: muuseumi nimi, registrikood, aadress, KMKR, IBAN, makseseisud.
Failid: muuseumi haldaja üleslaaditud sisu (audiogiidi heli/video/pildid, brändingu logod).

4. Töötlemise alused ja eesmärgid

Lepingu täitmine (GDPR art 6 lg 1 p b) — sisuhalduse, tagasiside ja arvelduse võimaldamiseks.
Õigustatud huvi (GDPR art 6 lg 1 p f) — süsteemi töökindluse tagamiseks, turvaintsidentide uurimiseks ja teenuse väärkasutuse ennetamiseks (sh tegevuste logi ja request log).
Juriidiline kohustus (GDPR art 6 lg 1 p c) — raamatupidamise (arvete) säilitamiseks 7 aastat (raamatupidamise seadus § 12).

5. Säilitamise aeg

Konto andmed — kuni konto kustutamiseni; pärast kustutamist eemaldatakse 30 päeva jooksul ka varukoopiatest (välja arvatud andmed, mida tuleb säilitada seadusest tuleneva kohustuse tõttu).
Tegevuste logi — 24 kuud.
Tagasiside vastused — kuni muuseum ise need kustutab või kuni konto sulgemiseni.
Arved — 7 aastat (raamatupidamise seadus § 12).
Varukoopiad — 30 päeva rotatsioonis.

6. Alltöötlejad

Kasutame teenuse osutamisel järgmisi alltöötlejaid. Iga alltöötleja poolne andmete töötlemine toimub vastava teenusepakkuja standardsete lepingutingimuste raames, mis sisaldavad GDPR art 28 nõuetele vastavaid andmetöötluse sätteid (sh standardsed lepingutingimused kolmandatesse riikidesse edastamisel).

Zone Media OÜ (Eesti) — põhihosting (rakendus + andmebaas), Tallinna andmekeskus. Edastatakse: kogu rakenduse andmestik.
Backblaze, Inc. (USA, andmekeskus Amsterdam — eu-central-003) — failide hoiustamine ja andmebaasi varukoopiad. Edastatakse: üleslaaditud meedia ja krüpteeritud andmebaasi dump'id. Backblaze on kolmandasse riiki (USA) edastav teenus; ülekanne põhineb Euroopa Komisjoni heaks kiidetud standardsetel lepingutingimustel (SCC) ning Backblaze on liitunud EL-USA Data Privacy Framework'iga (DPF).
DeepL SE (Saksamaa) — tekstide tõlkimine. Edastatakse: ainult tõlkimiseks valitud audiogiidi/küsimustiku tekst. DeepL Pro API kohustub mitte säilitama sisestatud teksti pärast töötlemist.
Narakeet Ltd (Ühendkuningriik) — teksti heliks teisendamine. Edastatakse: ainult heliks teisendatav tekst. UK suunas kehtib Euroopa Komisjoni piisavusotsus (uuendatud 19.12.2025, kehtib kuni 27.12.2031), seetõttu lisatagatised pole nõutavad.
Montonio Finance UAB (Leedu) — pangalingi maksed. Edastatakse: arve number ja summa; isikuandmeid ei jagata.
Zone Media OÜ (Eesti) — väljaminev e-post. Edastatakse: emaili adressaat, sisu (arve, kutse, parooli taastamine jms).

Märkus: "Andmed asuvad EL-i piirkonnas" tähendab füüsiliselt EL-is, kuid Backblaze puhul on tegu USA ettevõttega, mistõttu juriidiliselt toimub andmeedastus kolmandasse riiki. Vt eelmist punkti.

7. Sinu õigused

Andmesubjektina on sul õigus:

tutvuda enda kohta töödeldavate andmetega ja saada koopia (art 15);
nõuda ebaõigete andmete parandamist (art 16);
nõuda kustutamist (art 17) — sisuhalduses on otse "Kustuta minu konto" nupp;
saada oma andmed masinloetaval kujul (art 20) — JSON-allalaadimine profiilis;
esitada vastuväide (art 21) ja piirata töötlemist (art 18);
nõusoleku tagasivõtmine (art 7 lg 3), kui töötlus tugineb nõusolekule;
pöörduda Andmekaitse Inspektsiooni poole (info@aki.ee, 627 4135).

Külastaja küsimustes (sh tagasiside vastuste juurdepääs või kustutamine) palume pöörduda otse vastava muuseumi poole, kuna egiid tegutseb seal volitatud töötlejana.

8. Küpsised

egiid sisuhaldus kasutab ainult hädavajalikke küpsiseid:

sessionid — sisselogimise sessiooni hoidmiseks;
csrftoken — vormide turvalisuse tagamiseks.

Hädavajalikele küpsistele nõusolekut ei küsita (GDPR ja ePR art 5 lg 3). Hetkel ei kasutata analüütikat ega reklaamiküpsiseid. Kui mõni neist tulevikus lisandub, kuvatakse enne nende laadimist vastav nõusoleku-bänner.

9. Turvalisus

Liiklus krüpteeritakse HTTPS-iga, paroolid räsitakse Django standardalgoritmiga (PBKDF2). Failid B2-s on privaatses ämbris ning serveeritakse muuseumi-skoobiliste HMAC-allkirjade abil. Andmebaasist tehakse iga 15 minuti tagant varukoopia eraldi B2 ämbrisse; retentsioon on 30 päeva.

10. Kontakt

Kõiki andmekaitse küsimusi (sh art 15–22 õiguste teostamiseks) saab esitada aadressile info@vire.ee. Eraldi andmekaitsespetsialisti (DPO) ei ole määratud — tegu on väikese organisatsiooniga, mille puhul DPO ei ole GDPR art 37 järgi kohustuslik.