Privaatsuspoliitika

Viimati uuendatud: 4. detsember 2025

1. Üldsätted ja vastutav andmetöötleja

1.1. Dokumendi kohaldamisala
Käesolev dokument sätestab reeglid isikuandmete töötlemiseks isikute suhtes, kes kasutavad kaubamärgi Hansa Careers all osutatavaid teenuseid, mida haldab Handke Holding OÜ, Eesti Vabariigis registreeritud äriühing. Käesoleva privaatsuspoliitika eesmärk on selgelt ja läbipaistvalt selgitada, kuidas ja millises ulatuses isikuandmeid töödeldakse, kui isikud suhtlevad vastutava töötlejaga tema majandustegevuse käigus.

1.2. Andmetöötleja andmed

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn
Eesti

Äriregistri kood (registrikood): 17387477
ELi käibemaksukohustuslase number (KMKR): EE102932869

1.3. Majandustegevuse iseloom
Vastutav töötleja tegutseb töövahendusteenuste valdkonnas Euroopa Liidus ja Euroopa Majanduspiirkonnas, eelkõige vahendades suhtlust ja koostööd tööandjate ning tööd otsivate isikute vahel.

1.4. Isikud, kellele käesolev privaatsuspoliitika kohaldub
Käesolev privaatsuspoliitika kohaldub eelkõige isikutele, kes:

• kasutavad vastutava töötleja poolt osutatavaid teenuseid,
• külastavad veebisaiti www.hansacareers.ee,
• osalevad värbamisprotsessides,
• võtavad vastutava töötlejaga ühendust äri-, haldus- või teabepäringute eesmärgil,
• peavad vastutava töötlejaga professionaalset kirjavahetust,
• esindavad avalik-õiguslikke või eraõiguslikke isikuid ametliku koostöö raames.

1.5. Andmete töötlemise eesmärgid
Käesolevas poliitikas sätestatud reegleid kohaldatakse isikuandmete töötlemisele seoses:

• veebisaidi www.hansacareers.ee haldamise ja toimimise tagamisega,
• töövahendusteenuste osutamisega,
• kliendiülesannete täitmise ja B2B-koostööga,
• jätkuva äri- ja halduskirjavahetuse korraldamisega,
• kohaldatavast Euroopa Liidu ja Eesti õigusest tulenevate kohustuste täitmisega.

1.6. Õiguslik alus
Käesolev privaatsuspoliitika on koostatud vastavalt:

• Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (GDPR),
• Eesti isikuandmete kaitse seadusele (Isikuandmete kaitse seadus),
• muudele kohaldatavatele Euroopa Liidu ja Eesti Vabariigi õigusaktidele.

1.7. Suhtluskeel ja kontaktivõimalused
Vastutava töötleja tegevuse peamine töökeel on inglise keel. Kirjalik suhtlus võib toimuda mis tahes Euroopa Liidu või Euroopa Majanduspiirkonna ametlikus keeles.

Soovitatav ja eelistatud viis vastutava töötlejaga ühenduse võtmiseks on elektrooniline suhtlus, eelkõige:

• e-posti teel aadressil: office@hansacareers.ee,
• veebisaidil oleva kontaktivormi kaudu: www.hansacareers.ee,
• telefoni teel: +372 5617 1770.

Vastutava töötlejaga võib ühendust võtta ka posti teel punktis 1.2 nimetatud aadressil. Tõhusa taotluste käsitlemise ning isikuandmete asjakohase kaitse tagamiseks soovitab vastutav töötleja, kes tegutseb täielikult digitaalses keskkonnas, siiski kasutada elektroonilist suhtlust. Traditsiooniline posti teel suhtlus võib edastatava teabe iseloomu tõttu, sealhulgas isikuandmete võimaliku edastamise tõttu, olla seotud pikemate töötlemisaegade ning suurenenud andmekao või volitamata juurdepääsu riskiga.

1.8. Andmete esitamise vabatahtlikkus ja vastutava töötleja kohustused
Isikuandmete esitamine on vabatahtlik, kuid teatud juhtudel vajalik vastutava töötleja teenuste kasutamiseks, värbamisprotsessides osalemiseks või päringule vastuse saamiseks. Nõutud andmete esitamata jätmine võib muuta nimetatud eesmärkide saavutamise võimatuks.

Vastutaval töötlejal ei ole kohustust määrata andmekaitseametnikku, kuna andmete töötlemise laad ja ulatus ei vasta GDPR artikli 37 lõikes 1 sätestatud kriteeriumidele.

Vastutav töötleja vastutab:

• isikuandmete töötlemise eest vastavalt kohaldatavale õigusele,
• asjakohaste tehniliste ja korralduslike meetmete rakendamise eest isikuandmete kaitseks,
• andmesubjektide õiguste tagamise ja teostamise eest,
• koostöö eest Eesti järelevalveasutusega — Andmekaitse Inspektsiooniga.

2. Isikute kategooriad, kelle andmeid töödeldakse

Hansa Careersi tegevuse raames, mida haldab Handke Holding OÜ, töödeldakse üksnes selliseid isikuandmeid, mis on vajalikud töövahendusteenuste osutamiseks, ärisuhete hoidmiseks ning pideva operatiivse ja organisatsioonilise suhtluse tagamiseks. Kõik andmetöötlustoimingud viiakse läbi kooskõlas seaduslikkuse, õigluse, läbipaistvuse ja andmete minimaalsuse põhimõtetega, nagu on sätestatud GDPR artikli 5 lõikes 1, ning need piirduvad alati üksnes sellega, mis on konkreetse töötlemise eesmärgi saavutamiseks vajalik ja proportsionaalne. Vastutav töötleja töötleb isikuandmeid järgmiste isikukategooriate kohta:

2.1. Värbamisprotsessides osalevad kandidaadid
Isikud, kes kandideerivad tööle Hansa Careersi kaudu vastuseks konkreetsetele ja parasjagu aktiivsetele värbamisprotsessidele, mille kohta on avaldatud tööpakkumised. Töödeldavad andmed võivad hõlmata eelkõige professionaalses elulookirjelduses (CV) sisalduvat teavet, kontaktandmeid ning muud teavet, mille kandidaat on värbamisprotsessi raames edastanud. Kandidaatide andmeid võidakse saada:

• otse kandidaadilt,
• avalikult kättesaadavatest allikatest, kuid üksnes ulatuses, milles kandidaat on vastava teabe ise avalikuks teinud, kooskõlas GDPR artikliga 14.

Käesolevaid andmeid töödeldakse üksnes konkreetse värbamisprotsessi läbiviimise eesmärgil ning neid edastatakse eranditult ainult neile klientidele, kelle jaoks vastav värbamisprotsess toimub.

2.2. Kandidaadid, kes edastavad andmeid väljaspool aktiivseid värbamisprotsesse
Vastutav töötleja töötleb kandidaatide andmeid eranditult seoses konkreetsete ja aktiivsete värbamisprotsessidega. Juhul kui vastutav töötleja ei vii parajasti läbi ühtegi värbamisprotsessi või kui isikud edastavad oma andmeid — eelkõige elulookirjeldusi või sõnumeid — ilma viiteta konkreetsele tööpakkumisele, ei võeta selliseid andmeid vastu ega kasutata neid ühegi värbamisprotsessi raames. Vabatahtlikult esitatud andmeid, mis ei ole seotud konkreetse töökuulutusega, ei vaadata läbi, ei säilitata ega edastata ning need võidakse kustutada viivitamata pärast kättesaamist, välja arvatud juhul, kui kehtiv õigusakt nõuab nende säilitamist. Vastutav töötleja ei pea spontaanseid ega soovimatuid kandideerimisandmete andmebaase ega kasuta selliseid esitamisi tulevastes värbamisprotsessides. Kontakti võetakse üksnes nende isikutega, kes on selgesõnaliselt kandideerinud konkreetsele tööpakkumisele või kes on avalikult väljendanud huvi töötamise vastu — näiteks sotsiaalmeedias avalikult kättesaadavate postituste kaudu — ning üksnes ulatuses, mis on vajalik vastava tööpakkumisega seotud suhtluse algatamiseks.

2.3. Kliendid ja nende esindajad
Isikud ning äriühingute esindajad, kellega vastutav töötleja teeb koostööd töövahendusteenuste osutamisel. Töödeldavad andmed hõlmavad eelkõige nimesid, kontaktandmeid, ametialaseid rolle ning teavet, mis on vajalik lepingute täitmiseks või ärikoostöö elluviimiseks.

2.4. Potentsiaalsed kliendid ja äripartnerid
Isikud, kellega on loodud kontakt koostöö ettepaneku tegemiseks või kelle andmed on saadud avalikult kättesaadavatest allikatest, nagu äriühingute veebisaidid või professionaalsed äriplatvormid. Neid andmeid töödeldakse vastutava töötleja õigustatud huvi alusel, eesmärgiga majandustegevuse teostamine ja ärisuhete arendamine.

2.5. Töövõtjad ja teenusepakkujad
Füüsilisest isikust ettevõtjad ning nende äriühingute esindajad, kes osutavad vastutavale töötlejale teenuseid, mis on vajalikud äritegevuse toimimiseks, eelkõige tehnilisi, raamatupidamis-, õigus- või kommunikatsiooniteenuseid. Andmeid töödeldakse lepingute täitmise, pideva suhtluse tagamise ning seadusest tulenevate kohustuste täitmise eesmärgil.

2.6. Muud isikud, kes võtavad vastutava töötlejaga ühendust, ning avaliku võimu esindajad
Isikud, kes esitavad päringuid kontaktivormide, e-posti või muude suhtluskanalite kaudu, samuti avaliku sektori asutuste ja institutsioonide esindajad, kellega vastutav töötleja peab ametlikku kirjavahetust. Neid andmeid töödeldakse üksnes kirjavahetuse käsitlemise, vastuste andmise või õigusaktidest tulenevate kohustuste täitmise eesmärgil.

2.7. Alaealised
Vastutava töötleja poolt osutatavad teenused on mõeldud eranditult täisealistele isikutele (18-aastastele ja vanematele). Vastutav töötleja ei kogu ega töötle teadlikult alaealiste isikuandmeid. Juhul kui vastutav töötleja saab teada, et alla 18-aastase isiku isikuandmeid on kogutud, kustutatakse sellised andmed viivitamata, välja arvatud juhul, kui kehtiv õigus nõuab nende edasist säilitamist.

Täiendav teave

Vastutav töötleja:

• ei kogu andmeid mitteavalikest allikatest,
• ei teosta isikute süstemaatilist jälgimist,
• ei töötle andmeid, mis ei ole seotud taotletavate eesmärkidega.

3. Töödeldavate isikuandmete ulatus

Töödeldavate isikuandmete ulatus sõltub vastutava töötleja ja andmesubjekti vahelise suhte iseloomust ning eesmärgist, milleks andmed esitatakse. Vastutav töötleja töötleb üksnes selliseid andmeid, mis on vajalikud konkreetsete ja seaduslike eesmärkide saavutamiseks, järgides rangelt andmete minimaalsuse põhimõtet. Isikuandmeid töödeldakse viisil, mis on asjakohane, sobiv ja piiratud sellega, mis on vajalik, kooskõlas GDPR artikli 5 lõike 1 punktiga c ning Eesti isikuandmete kaitse seaduse §-ga 11.

3.1. Isikut tuvastavad ja kontaktandmed
Vastutav töötleja võib eelkõige töödelda järgmisi andmekategooriaid:

• ees- ja perekonnanimi,
• e-posti aadress,
• telefoninumber,
• muud kontaktandmed, mis on vabatahtlikult esitatud kirjavahetuse või kontaktivormi kaudu,
• ametialase suhtluse raames edastatud ärialane teave (ettevõtte nimi, ametikoht, tööalane e-posti aadress, tööalane telefoninumber).

Neid andmeid töödeldakse suhtlemise eesmärgil, päringutele vastamiseks, koostöö elluviimiseks või halduskohustuste täitmiseks.

3.2. Värbamisprotsessides osalevate kandidaatide andmed
Aktiivsete värbamisprotsesside ajal töötleb vastutav töötleja kandidaatide poolt esitatud andmeid eranditult vastusena konkreetsetele värbamiskuulutustele. Töödeldavad andmed võivad hõlmata:

• elulookirjelduses (CV) sisalduvat teavet, nagu töökogemus, haridus, kvalifikatsioonid, oskused ja keeleoskus,
• kandideerimisega seotud sõnumi sisu,
• muu teave, mille kandidaat on vabatahtlikult esitanud seoses avaldatud ametikohaga.

Vastutav töötleja ei saa kandidaatide andmeid muudest allikatest peale otsese kontakti vastusena tööpakkumisele ning ei töötle kandidaatide andmeid ulatuses, mis ületab konkreetse värbamisprotsessi jaoks vajalikku.

3.3. Kandidaadid, kes esitavad andmeid väljaspool värbamisprotsesse
Juhul kui vastutav töötleja ei vii läbi aktiivseid värbamisprotsesse või ei ole avaldanud töökuulutusi, ei võeta vastu ega kasutata omal algatusel esitatud isikuandmeid (eelkõige elulookirjeldusi, mis on saadetud ilma viiteta konkreetsele tööpakkumisele). Sellised andmed kustutatakse ilma täiendava töötlemiseta ning vastutav töötleja ei loo andmebaase ega registrikirjeid spontaanselt esitatud kandideerimiste kohta. Vastutav töötleja võtab vastu ja hindab üksnes neid kandideerimisi, mis on esitatud vastusena konkreetsetele ja aktiivsetele värbamiskuulutustele.

3.4. Kliendi- ja ärikoostööga seotud andmed
Vastutav töötleja töötleb klientide ja nende esindajate isikuandmeid ulatuses, mis on vajalik töövahendusteenuste osutamiseks ja ärikoostöö läbiviimiseks. Töödeldavad andmed võivad hõlmata:

• kontaktisiku nimi,
• e-posti aadress ja telefoninumber,
• ametikoht või professionaalne roll,
• lepingutes, arvete ja raamatupidamisdokumentides sisalduv teave.

Neid andmeid töödeldakse lepingute täitmiseks, tööalase suhtluse korraldamiseks ning maksundus- ja raamatupidamiskohustuste täitmiseks.

3.5. Suhtluse ja kirjavahetuse käigus sisalduvad andmed
Vastutav töötleja töötleb andmeid, mis sisalduvad e-posti, kontaktivormide või muude suhtluskanalite kaudu peetud kirjavahetuses. Töödeldavate andmete ulatus sõltub saatja poolt edastatud sõnumi sisust ning piirdub üksnes sellega, mis on vajalik vastuse andmiseks või asja lahendamiseks.

3.6. Veebisaidiga seotud tehnilised ja operatiivsed andmed
Veebisaidi www.hansacareers.ee kasutamisel võidakse töödelda tehnilisi andmeid, sealhulgas:

• IP-aadress,
• brauseri ja operatsioonisüsteemi teave,
• ühenduse kuupäev ja kellaaeg,
• serverilogides salvestatud tehnilised andmed.

Neid andmeid kasutatakse üksnes veebisaidi turvalisuse tagamiseks, kuritarvituste ennetamiseks ning veebisaidi korrektse toimimise võimaldamiseks. Sellega seoses kasutab vastutav töötleja Cloudflare, Inc. teenuseid, kes töötleb tehnilisi andmeid vastutava töötleja nimel volitatud töötlejana.

3.7. Videopõhise suhtlusega seotud andmed
Veebikohtumiste või -kõnede läbiviimiseks võib vastutav töötleja kasutada Whereby platvormi. Töötlemine piirdub üksnes ühenduse loomiseks vajalike andmetega, nagu osaleja nimi või kasutajanimi, IP-aadress ning tehnilised ühendusandmed. Vastutav töötleja ei salvesta kohtumisi ega nende sisu, välja arvatud juhul, kui osalejaid on sellest eelnevalt teavitatud ja nad on andnud selleks nõusoleku.

3.8. Isikuandmete eriliigid
Üldjuhul ei töötle vastutav töötleja GDPR artiklis 9 määratletud isikuandmete eriliike. Vastutav töötleja ei küsi selliseid andmeid ega nõua nende esitamist. Juhul kui sellised andmed esitatakse vabatahtlikult kirjavahetuses või dokumentides, töödeldakse neid üksnes ulatuses, mis on vajalik nende esitamise eesmärgi täitmiseks, või kustutatakse need viivitamata.

4. Isikuandmete töötlemise eesmärgid ja õiguslikud alused

Vastutav töötleja töötleb isikuandmeid üksnes ulatuses, mis on vajalik tema tegevuse läbiviimiseks kooskõlas kehtiva õigusega ning viisil, mis vastab õigluse, läbipaistvuse ja andmete minimaalsuse põhimõtetele. Isikuandmete töötlemine toimub kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (GDPR) artiklitega 5 ja 6 ning Eesti isikuandmete kaitse seaduse sätetega. Isikuandmeid töödeldakse üksnes selgelt määratletud ja õiguspärastel eesmärkidel ning neid ei kasutata edasi viisil, mis ei ole nende eesmärkidega kooskõlas.

4.1. Värbamisprotsesside läbiviimine
Kandidaatide isikuandmeid töödeldakse järgmiste eesmärkide saavutamiseks:

• konkreetsetele värbamiskuulutustele vastusena esitatud kandideerimisavalduste vastuvõtmine ja läbivaatamine,
• suhtlemine kandidaatidega kogu värbamisprotsessi vältel,
• kandidaadi professionaalse profiili hindamine seoses konkreetse tööpakkumise nõuetega,
• kandidaadi andmete edastamine klientidele, kes on potentsiaalsed tööandjad — rangelt konkreetse värbamisprotsessi ulatuses.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt a — kandidaadi nõusolek,
GDPR artikli 6 lõike 1 punkt b — andmesubjekti taotlusel enne lepingu sõlmimist võetavad meetmed,
GDPR artikli 9 lõike 2 punkt a — selgesõnaline nõusolek juhul, kui kandidaat avaldab vabatahtlikult isikuandmete eriliike.

4.2. Kandideerimisandmete säilitamine tulevaste värbamiste jaoks
Kandidaadi andmeid võib pärast värbamisprotsessi lõppu säilitada üksnes juhul, kui kandidaat on andnud selleks eraldi ja selgesõnalise nõusoleku. Andmeid säilitatakse nõusolekus määratud ajavahemiku jooksul või kuni nõusoleku tagasivõtmiseni.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt a.

4.3. Lepingute sõlmimine ja täitmine
Klientide, töövõtjate ja äripartnerite andmeid töödeldakse järgmiste eesmärkide saavutamiseks:

• lepingute sõlmimine ja täitmine,
• töövahendusteenuste osutamine,
• ärilise, haldusliku ja operatiivse suhtluse korraldamine.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt b — lepingu täitmine,
GDPR artikli 6 lõike 1 punkt c — maksundus- ja raamatupidamisõigusest tulenevate juriidiliste kohustuste täitmine.

4.4. Ärisuhete hoidmine ja B2B-turundus
Äriühingute esindajate kontaktandmeid võidakse töödelda järgmiste eesmärkide saavutamiseks:

• pideva ärisuhtluse läbiviimine,
• koostööpakkumiste esitamine,
• otsene turundus B2B suhetes.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt f — vastutava töötleja õigustatud huvi majandustegevuse läbiviimiseks ja arendamiseks.
Andmesubjektil on õigus sellise töötlemise suhtes vastuväiteid esitada.

4.5. Päringutele vastamine ja kirjavahetuse pidamine
Isikute andmeid, kes võtavad vastutava töötlejaga ühendust kontaktivormide, e-posti või telefoni teel, töödeldakse vastuste andmise ja pideva kirjavahetuse pidamise eesmärgil.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt f — vastutava töötleja õigustatud huvi.

4.6. Arveldused, raamatupidamine ja arhiveerimine
Isikuandmeid töödeldakse raamatupidamis-, maksu- ja arhiveerimiskohustuste täitmiseks, mis tulenevad Eesti Vabariigi õigusaktidest.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt c — vastutava töötleja juriidiline kohustus.

4.7. Vormide ja IT-süsteemide turvalisuse tagamine (Cloudflare)
Vastutav töötleja rakendab tehnilisi ja korralduslikke meetmeid veebisaidi ja kontaktivormide kaitsmiseks rämpsposti, väärkasutuse ja automatiseeritud päringute eest. Selleks kasutatakse Cloudflare’i teenuseid, sealhulgas Turnstile’i turvamehhanisme, mille raames võidakse töödelda järgmisi tehnilisi andmeid:

• IP-aadress,
• brauseri ja operatsioonisüsteemi andmed,
• riskihindamiseks vajalik tehniline teave.

Neid andmeid töödeldakse üksnes IT-süsteemide turvalisuse ja tervikluse tagamise eesmärgil.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt f — vastutava töötleja õigustatud huvi veebisaidi ja andmete kaitsmisel.

4.8. Õigusnõuete esitamine, kaitsmine või jõustamine
Isikuandmeid võidakse töödelda õigusnõuete esitamise, kaitsmise või nende vastu kaitsmise eesmärgil.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt f — vastutava töötleja õigustatud huvi.

4.9. Kohustuste täitmine avalike asutuste ees
Isikuandmeid võidakse edastada pädevatele avaliku võimu asutustele, kohtutele või järelevalveorganitele ulatuses, mis on seadusega ette nähtud.

Õiguslik alus:
GDPR artikli 6 lõike 1 punkt c — vastutava töötleja juriidiline kohustus.

5. Isikuandmete töötlemise õiguslikud alused

Vastutav töötleja töötleb isikuandmeid üksnes juhul, kui selleks on selge ja õiguspärane alus, mis tuleneb:

• Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679, 27. aprill 2016 (GDPR),
• Eesti isikuandmete kaitse seadusest – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Kõik isikuandmete töötlemistoimingud viiakse läbi kooskõlas GDPR artiklis 5 ning IKS §-s 11 sätestatud põhimõtetega, eelkõige seaduslikkuse, õigluse, läbipaistvuse, eesmärgipärasuse, andmete minimaalsuse, tervikluse ja konfidentsiaalsuse põhimõtetega.

5.1. Isikuandmete töötlemise õiguslikud alused (GDPR artikkel 6)
Vastutav töötleja töötleb isikuandmeid järgmistel õiguslikel alustel:

a) Andmesubjekti nõusolek
(GDPR artikli 6 lõike 1 punkt a; IKS § 10 lõige 1)
Kohaldub olukordades, kus isik annab vabatahtlikult ja üheselt mõistetavalt nõusoleku, eelkõige:

• osalemiseks tulevastes värbamisprotsessides,
• andmete edastamiseks potentsiaalsele tööandjale,
• täiendavate vabatahtlikult esitatud andmete töötlemiseks (nt kujutis või foto).

Nõusoleku võib igal ajal tagasi võtta, ilma et see mõjutaks enne nõusoleku tagasivõtmist toimunud töötlemise seaduslikkust (GDPR artikli 7 lõige 3).

b) Lepingu täitmine või lepingu sõlmimisele eelnevate meetmete võtmine
(GDPR artikli 6 lõike 1 punkt b; IKS § 10 lõike 1 punkt 2)

• värbamisprotsesside ja töövahendusteenuste läbiviimine,
• koostöö loomine ja täitmine klientide ning töövõtjatega,
• teenusepakkumiste ettevalmistamine ja elluviimine,
• operatiivse suhtluse tagamine kogu koostöö kestel.

c) Juriidilise kohustuse täitmine
(GDPR artikli 6 lõike 1 punkt c; IKS § 10 lõike 1 punkt 3)
Hõlmab töötlemist, mis on nõutud Eesti ja Euroopa Liidu õigusaktidega, eelkõige:

• Raamatupidamise seadus §§ 12–13 — kohustus säilitada raamatupidamisdokumente 7 aastat,
• maksu- ja aruandluskohustused,
• avalike auditite ja finantskontrollidega seotud kohustused.

d) Vastutava töötleja õigustatud huvi
(GDPR artikli 6 lõike 1 punkt f; IKS § 11 lõige 2)
Töötlemine, mis on vajalik vastutava töötleja õigustatud eesmärkide saavutamiseks, sealhulgas:

• pideva suhtluse läbiviimine ja päringute käsitlemine,
• professionaalsete suhete ja B2B-koostöö arendamine,
• otsene turundus ärisuhetes (kooskõlas Elektroonilise side seaduse §-ga 102),
• IT-süsteemide, kontaktivormide ja dokumentatsiooni turvalisuse tagamine,
• kuritarvituste ennetamine ning kaitse rämpsposti ja rünnakute eest,
• õigusnõuete esitamine, kaitsmine või jõustamine.

Vastutav töötleja hindab alati, kas tema õigustatud huvid kaaluvad üles andmesubjekti õigused ja vabadused (GDPR artikli 6 lõike 1 punkt f koostoimes GDPR põhjendusega 47).

e) Avalikes huvides täidetava ülesande täitmine
(GDPR artikli 6 lõike 1 punkt e; IKS § 10 lõike 1 punkt 4)
Kohaldub olukordades, kus töötlemine toimub avalike asutuste raames või nende järelevalve all, eelkõige tööturu ja tööjõu liikuvuse programmide puhul (nt Eesti Töötukassa, EURES, ELi programmid), kui selline töötlemine aset leiab.

5.2. Isikuandmete eriliikide töötlemine (GDPR artikkel 9)
Üldjuhul ei töötle vastutav töötleja GDPR artikli 9 lõikes 1 nimetatud isikuandmete eriliike. Juhul kui andmesubjekt avaldab sellist teavet vabatahtlikult (nt tervise- või puudeandmed):

• toimub töötlemine üksnes selgesõnalise nõusoleku alusel (GDPR artikli 9 lõike 2 punkt a; IKS § 21),
• sellistele andmetele kohaldatakse tõhustatud tehnilisi ja korralduslikke turvameetmeid (GDPR artikkel 32),
• nõusoleku puudumine ei too kaasa mingeid negatiivseid tagajärgi.

5.3. Isikuandmete töötlemise üldpõhimõtted
Vastutav töötleja tagab, et kõik isikuandmete töötlemistoimingud vastavad:

• GDPR artiklitele 5 ja 6,
• Isikuandmete kaitse seaduse §-le 11,
• GDPR artiklile 32 — töötlemise turvalisuse osas,
• GDPR artiklile 24 — vastutuse põhimõtte osas.

Vastutav töötleja ei vii läbi automatiseeritud otsuste tegemist ega profiilianalüüsi GDPR artikli 22 tähenduses.

5.4. Vastavushindamine ja sisemine dokumentatsioon
GDPR-i ja Eesti õiguse nõuetele vastavuse tagamiseks peab vastutav töötleja ning ajakohastab:

• isikuandmete töötlemistoimingute registrit (GDPR artikkel 30),
• õigustatud huvi hindamisi töötlemise puhul GDPR artikli 6 lõike 1 punkti f alusel,
• infoturbealast dokumentatsiooni,
• isikuandmete rikkumistele reageerimise protseduure (GDPR artiklid 33–34, IKS § 23).

6. Isikuandmete allikad

Vastutava töötleja poolt töödeldavad isikuandmed pärinevad eranditult õiguspärastest allikatest ning neid saadakse viisil, mis vastab kehtivale õigusele, eelkõige Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklitele 13 ja 14 ning Eesti isikuandmete kaitse seaduse asjakohastele sätetele.

Juhul kui isikuandmeid saadakse muudest allikatest kui otse andmesubjektilt, täidab vastutav töötleja teavitamiskohustuse mõistliku aja jooksul, kuid hiljemalt 30 päeva jooksul alates andmete kogumise kuupäevast, välja arvatud juhul, kui õigusaktidest tuleneb teisiti.

6.1. Andmed, mis saadakse otse andmesubjektidelt
Isikuandmed esitatakse vastutavale töötlejale vabatahtlikult eelkõige järgmiste kanalite kaudu:

• veebisaidil kättesaadavate kontaktivormide kaudu,
• e-posti teel peetava kirjavahetuse käigus,
• telefonivestluste või veebikohtumiste raames,
• vastusena vastutava töötleja poolt avaldatud värbamiskuulutustele,
• pideva suhtluse käigus koostöö või ärikontaktide raames.

Esitatavate andmete ulatus sõltub kontakti iseloomust ning eesmärgist, milleks isik vastutava töötlejaga ühendust võtab.

6.2. Värbamisprotsesside raames saadud andmed
Tööle kandideerijate puhul saadakse isikuandmeid eranditult:

• otse kandidaatidelt, kes vastavad vastutava töötleja poolt avaldatud konkreetsele värbamiskuulutusele,
• kandidaadi algatatud suhtluse käigus seoses konkreetse ametikohaga.

Vastutav töötleja ei võta vastu ega töötle elulookirjeldusi ega muid kandidaadiandmeid, mis on esitatud spontaanselt juhul, kui aktiivseid värbamisprotsesse ei toimu või kui esitatud andmed ei ole seotud konkreetse tööpakkumisega.
Sellised andmed kustutatakse viivitamata ning neid ei kasutata ühelgi värbamiseesmärgil.

Vastutav töötleja ei kasuta mitteavalikke andmeallikaid ega kogu andmeid privaatsetest või piiratud juurdepääsuga sotsiaalmeediaprofiilidest.

6.3. Klientide, töövõtjate ja äripartnerite andmed
Klientide, töövõtjate ja nende esindajate isikuandmeid saadakse:

• otseste professionaalsete kontaktide kaudu,
• läbirääkimiste, lepingute sõlmimise ja täitmise käigus,
• avalikult kättesaadavatest allikatest, mis on seotud ametialase või äritegevusega.

Selliseid andmeid töödeldakse üksnes ulatuses, mis on vajalik ärikoostöö läbiviimiseks, operatiivse suhtluse tagamiseks ning õigusaktidest tulenevate kohustuste täitmiseks.

6.4. Avalike asutuste ja institutsioonide esindajate andmed
Vastutav töötleja töötleb ametiasutuste, avalike institutsioonide ja järelevalveorganite esindajate isikuandmeid rangelt ulatuses, mis tuleneb:

• ametliku kirjavahetuse pidamisest,
• õigusaktidest tulenevate kohustuste täitmisest,
• koostööst pädevate avaliku halduse asutustega.

Töödeldavate andmete hulka kuuluvad tavapäraselt isiku nimi, ametlik e-posti aadress, ametikoht või funktsioon ning muud andmed, mis on esitatud ametliku suhtluse raames.
Sellise töötlemise õiguslikuks aluseks on eelkõige Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 6 lõike 1 punktid c ja f.

6.5. Tehnilised andmed ja vormide turvalisus
Vastutava töötleja veebisaidi ja kontaktivormide kasutamisel võidakse automaatselt töödelda põhilisi tehnilisi andmeid, sealhulgas:

• IP-aadress,
• ühenduse kuupäev ja kellaaeg,
• brauseri ja operatsioonisüsteemi tehniline teave,
• turvalise suhtluse tagamiseks vajalikud andmed.

Kontaktivormide kaitsmiseks kuritarvituste, rämpsposti ja automatiseeritud päringute eest kasutab vastutav töötleja turvainfrastruktuuri teenusepakkuja (Cloudflare, Inc.) teenuseid.

Selle mehhanismi raames võidakse töödelda tehnilisi kasutajaandmeid — sealhulgas IP-aadressi ja ühendusega seotud teavet.

Andmete töötlemine toimub käesolevas kontekstis järgmistel õiguslikel alustel:

• GDPR artikli 6 lõike 1 punkt f — vastutava töötleja õigustatud huvi süsteemide turvalisuse tagamisel ja kuritarvituste ennetamisel,
• asjakohased kaitsemeetmed ja õiguslikud mehhanismid, mida kohaldatakse andmete edastamisel väljapoole Euroopa Liitu.

6.6. Registri-, raamatupidamis- ja dokumentatsiooniandmed
Raamatupidamise, maksustamise või arhiveerimise eesmärgil töödeldavad isikuandmed pärinevad:

• otse klientidelt ja töövõtjatelt,
• lepingulisest ja arveldusdokumentatsioonist,
• äritegevusega seotud ametlikust kirjavahetusest.

Selliste andmete ulatus ja säilitustähtajad määratakse otseselt kehtivate Eesti ja Euroopa Liidu õigusaktide alusel.

7. Isikuandmete saajad

Hansa Careersi poolt töödeldavaid isikuandmeid, mis tegutseb Handke Holding OÜ kaubamärgi all, võidakse edastada üksnes sellistele saajatele, kes:

• on kehtiva õiguse alusel õigustatud vastavaid andmeid saama või
• töötlevad andmeid vastutava töötleja nimel seoses konkreetsete äri- või õiguslike eesmärkide täitmisega.

Kõik andmete edastamised viiakse läbi kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklitega 28 ja 44–49 ning Eesti isikuandmete kaitse seaduse asjakohaste sätetega, järgides täiel määral andmete minimaalsuse, konfidentsiaalsuse ja eesmärgipärasuse põhimõtteid.

7.1. Potentsiaalsed tööandjad ja värbamispartnerid
Kandidaatide andmeid võidakse edastada potentsiaalsetele tööandjatele või värbamispartneritele üksnes:

• konkreetse värbamisprotsessi raames,
• pärast kandidaadi eelnevat teavitamist,
• ulatuses, mis on vajalik professionaalse sobivuse hindamiseks,
• asjakohase õigusliku aluse olemasolul, eelkõige kandidaadi nõusoleku või lepingu sõlmimisele eelnevate meetmete alusel.

Andmeid ei avaldata massiliselt ega kasutata väljaspool selgelt määratletud värbamisprotsessi.

7.2. Tehnilised ja korralduslikud üksused, kes töötlevad andmeid vastutava töötleja nimel
Isikuandmeid võidakse usaldada üksustele, kes toetavad vastutava töötleja tegevust, eelkõige:

• veebimajutuse ja serveriinfrastruktuuri teenusepakkujad,
• e-posti ja kontaktivormide teenusepakkujad,
• IT-tööriistade ja suhtlussüsteemide pakkujad,
• veebikohtumiste ja videopõhise suhtluse teenusepakkujad,
• turvalahenduste ja kuritarvituste vastaste süsteemide pakkujad, sealhulgas vormide kaitse tööriistad,
• raamatupidamis- ja arvestusteenuste pakkujad,
• advokaadibürood, maksunõustajad ja ärinõustajad.

Need üksused töötlevad isikuandmeid üksnes andmetöötluslepingu alusel ning on kohustatud:

• tagama konfidentsiaalsuse,
• rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid,
• töötlema andmeid üksnes vastutava töötleja dokumenteeritud juhiste alusel.

7.3. Kandidaadid ja kliendid
Isikuandmeid võidakse edastada kandidaatidele või klientidele üksnes ulatuses, mis on vajalik konkreetse eesmärgi täitmiseks, eelkõige:

• kandidaatidele töötingimuste, töökoha asukoha või tööandja profiili kohta teabe edastamiseks,
• klientidele teabe edastamiseks kandidaadi kohta käimasoleva värbamisprotsessi raames.

Avaldatavate andmete ulatus on alati piiratud miinimumiga ning sõltub konkreetse protsessi etapist.

7.4. Avalikud asutused ja institutsioonid
Isikuandmeid võidakse edastada pädevatele avaliku võimu asutustele üksnes seaduses sätestatud ulatuses, eelkõige:

• maksuhalduritele,
• tööhõiveasutustele ja tööturu institutsioonidele,
• andmekaitse järelevalveasutusele,
• kohtutele, õiguskaitseorganitele ja muudele järelevalveorganitele,
• Euroopa Liidu ja Euroopa Majanduspiirkonna institutsioonidele.

7.5. Veebipõhiste suhtlusteenuste pakkujad
Veebikohtumiste või kaugside korraldamisel võidakse kaugsidevahendite teenusepakkujate poolt töödelda isikuandmeid, nagu nimi, e-posti aadress või tehnilised ühendusandmed.
Selline töötlemine toimub üksnes suhtluse võimaldamise ja kohtumiste korraldamise eesmärgil ning põhineb vastutava töötleja õigustatud huvil või lepingu sõlmimisele eelnevate meetmete võtmisel.

7.6. Tehniliste andmete saajad turvalisuse eesmärgil
Veebisaidi, IT-infrastruktuuri ja kontaktivormide turvalisuse tagamiseks võidakse tehnilisi kasutajaandmeid — nagu IP-aadress või ühendusandmed — töödelda võrguturbe teenusepakkujate poolt.
Juhul kui andmeid edastatakse väljapoole Euroopa Liitu, rakendatakse asjakohaseid õiguslikke kaitsemeetmeid vastavalt GDPR artiklitele 44–49.

7.7. Andmete edastamise üldpõhimõtted
Vastutav töötleja:

• ei müü isikuandmeid,
• ei edasta andmeid kolmandatele isikutele ilma õigusliku aluseta,
• ei edasta andmeid reklaami-, turundus- ega profiilianalüüsi eesmärkidel,
• ei edasta andmeid sotsiaalmeediaplatvormidele ega kommertsportaalidele turunduse eesmärgil.

Iga andmesaaja töötleb isikuandmeid kooskõlas turvalisuse, konfidentsiaalsuse ja eesmärgipärasuse põhimõtetega ning üksnes ulatuses, mis on vajalik talle määratud ülesande täitmiseks.

7.8. Kaarditeenus (OpenStreetMap)
Veebisait sisaldab OpenStreetMapi pakutavat integreeritud interaktiivset kaarti, mida kasutatakse üksnes vastutava töötleja registreeritud aadressi esitamiseks ja kontakti hõlbustamiseks.

Kaart kuvatakse iframe’i kujul ning laaditakse otse OpenStreetMapi serveritest. Vastutav töötleja ei saa OpenStreetMapilt isikuandmeid ega oma ligipääsu selle teenuse poolt töödeldavatele isikuandmetele.

OpenStreetMap Foundation on asutatud Ühendkuningriigis, mis on kolmas riik, mille suhtes kehtib Euroopa Komisjoni otsus piisava andmekaitse taseme kinnitamise kohta vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklile 45.

Sõltuvalt kasutaja seadmest, brauseri seadistustest ja võrgukonfiguratsioonist võib OpenStreetMap töödelda tehnilisi andmeid, nagu IP-aadress, kooskõlas oma privaatsuspoliitikaga.

Integreeritud kaarti kasutatakse eranditult teabe- ja kontaktieesmärkidel ning seda ei kasutata jälgimiseks, analüütikaks, profiilianalüüsiks ega turundustegevusteks.

8. Isikuandmete edastamine väljapoole Euroopa Majanduspiirkonda (EMP)

Üldjuhul ei edasta vastutav töötleja isikuandmeid väljapoole Euroopa Majanduspiirkonda (EMP) ega rahvusvahelistele organisatsioonidele. Põhilised isikuandmete töötlemise toimingud viiakse läbi Euroopa Liidu territooriumil, eelkõige Euroopa Liidus asuva infrastruktuuri abil, sealhulgas Eesti Vabariigis.

Vastutav töötleja kasutab veebimajutuse ja e-posti teenuseid, mida pakub Zone Media OÜ, tegutsedes kaubamärgi zone.ee all, ning mille andmetöötlusinfrastruktuur asub Euroopa Liidu territooriumil.
Veebisaidi toimimise ja e-posti teel suhtlemisega seotud isikuandmeid töödeldakse üldjuhul Euroopa Majanduspiirkonnas (EMP) ning neile kohalduvad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 (GDPR) tulenevad kaitsemeetmed.

Veebisaidi, kontaktivormide turvalisuse ning kuritarvituste ja automatiseeritud tegevuse vastu kaitse tagamiseks kasutab vastutav töötleja ka Cloudflare, Inc. poolt pakutavaid teenuseid. Selle raames võidakse töödelda tehnilisi andmeid, näiteks IP-aadressi, võrguühenduse andmeid, brauseri ja seadme teavet ning muid andmeid, mis on vajalikud turvariski hindamiseks. Cloudflare’i infrastruktuuri globaalse iseloomu tõttu võib selliste andmete töötlemine hõlmata nende edastamist või kättesaadavaks tegemist väljaspool EMP-d, eelkõige Ameerika Ühendriikides.

Cloudflare’i teenuste kasutamisega seotud andmeedastused viiakse läbi kooskõlas GDPR V peatükiga, eelkõige Euroopa Komisjoni poolt kinnitatud standardsete lepinguliste tingimuste (GDPR artikkel 46) alusel ning vajaduse korral Euroopa Liidu ja Ameerika Ühendriikide vahelise andmekaitseraamistiku (EU–US Data Privacy Framework) mehhanismide alusel.
Vastutav töötleja rakendab täiendavaid tehnilisi ja korralduslikke kaitsemeetmeid, sealhulgas andmete krüpteeritud edastamist ning töödeldavate andmete ulatuse piiramist üksnes sellega, mis on rangelt vajalik teenuse turvalisuse ja tervikluse tagamiseks.

Peale eespool kirjeldatud juhtude ei teosta vastutav töötleja regulaarseid ega kavandatud isikuandmete edastamisi kolmandatesse riikidesse. Värbamisprotsessid, suhtlus klientide ja lepingupartneritega, e-posti teel peetav kirjavahetus ning igapäevane tegevus viiakse läbi vahendite ja teenuste abil, mis töötlevad andmeid Euroopa Liidu piires.

Vastutav töötleja lubab suhtlust väliste sõnumivahetusplatvormide kaudu üksnes isiku enda algatusel ja rangelt informatiivsel eesmärgil. Kuna selliste teenuste serverid võivad asuda väljaspool EMP-d, ei käsitleta neid isikuandmeid sisaldava suhtluse puhul soovitatava ega turvalise sidekanalina.
Vastutav töötleja soovitab tungivalt, et kandideerimisdokumendid, eriliiki isikuandmed ning muu tundlik teave edastataks üksnes ametlike ja selleks ette nähtud suhtluskanalite kaudu.

Igal juhul, kui isikuandmeid edastatakse väljapoole EMP-d, tagab vastutav töötleja, et selline edastamine toimub üksnes ulatuses, mis on vajalik konkreetse eesmärgi saavutamiseks, pärast edastamisega seotud riskide hindamist ning kooskõlas andmete minimaalsuse, konfidentsiaalsuse ja töötlemise turvalisuse põhimõtetega vastavalt GDPR artiklitele 32 ja 44–49.

9. Andmete säilitamise tähtajad

Vastutav töötleja säilitab isikuandmeid üksnes nii kaua, kui see on vajalik andmete kogumise eesmärkide täitmiseks, kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (GDPR) artikli 5 lõike 1 punktiga e ning Isikuandmete kaitse seaduse (§ 17) sätetega.

Asjakohaste säilitamistähtaegade möödumisel kustutatakse andmed jäädavalt, anonümiseeritakse või arhiveeritakse viisil, mis ei võimalda isiku tuvastamist, välja arvatud juhul, kui Eesti või Euroopa Liidu õigusaktid näevad ette pikema säilitamiskohustuse.

Säilitamistähtajad määratakse, võttes arvesse:

• andmete töötlemise eesmärki,
• andmete töötlemise õiguslikku alust,
• andmesubjekti ja vastutava töötleja vahelist suhte laadi,
• Eesti õiguse kohaseid nõuete aegumistähtaegu.

9.1. Kandidaatide andmed

a) Isikuandmeid, mida töödeldakse konkreetse töökuulutuse alusel läbiviidava värbamisprotsessi raames GDPR artikli 6 lõike 1 punkti b alusel, säilitatakse ajavahemiku jooksul, mis on vajalik vastutava töötleja teenustega seotud õigusnõuete tekkimiseks, esitamiseks või kaitsmiseks.

b) Andmeid, mida töödeldakse vastutava töötleja algatusel värbamisega seotud kontakti raames GDPR artikli 6 lõike 1 punkti f alusel, säilitatakse kuni konkreetse küsimusega seotud suhtluse lõppemiseni.

c) Isikuandmeid, mida edastatakse potentsiaalsetele tööandjatele konkreetse värbamisprotsessi läbiviimiseks GDPR artikli 6 lõike 1 punkti a alusel, säilitatakse kuni nõusoleku tagasivõtmiseni või värbamisprotsessi lõppemiseni, olenevalt sellest, kumb sündmus toimub varem.

d) Andmeid, mida töödeldakse arveldamise ja klientidele teenuste osutamise eesmärgil värbamistegevuse toetamiseks GDPR artikli 6 lõike 1 punkti f alusel, säilitatakse kuni lepingust tulenevate nõuete aegumiseni — üldjuhul 3 aastat, arvestatuna kalendriaasta lõpust, vastavalt Eesti õigusele.

e) Andmeid, mida töödeldakse teenuste osutamisest tulenevate õigusnõuete tuvastamiseks, esitamiseks või kaitsmiseks GDPR artikli 6 lõike 1 punkti f alusel, säilitatakse kuni selliste nõuete aegumiseni pärast lepingu lõppemist — üldjuhul 3 aastat, kui seadus ei näe ette pikemat tähtaega.

f) Andmeid, mida töödeldakse vastutava töötleja tegevusega seotud suhtluse eesmärgil GDPR artikli 6 lõike 1 punkti f alusel, säilitatakse ajavahemiku jooksul, mis on vajalik konkreetse asja lahendamiseks.

g) Andmeid, mida säilitatakse vastutava töötleja andmebaasis tulevaste värbamisprotsesside jaoks GDPR artikli 6 lõike 1 punkti a alusel, hoitakse mitte kauem kui 12 kuud alates nõusoleku andmisest või kuni nõusoleku tagasivõtmiseni — olenevalt sellest, kumb toimub varem.

h) Kandideerimisdokumente, eelkõige elulookirjeldusi (CV-sid), mis esitatakse väljaspool konkreetsele töökuulutusele vastamist või perioodil, mil aktiivseid värbamisprotsesse ei toimu, ei töödelda ning need kustutatakse viivitamata.

9.2. Klientide andmed

a) Isikuandmeid, mida töödeldakse lepingu sõlmimisele eelnevate toimingute teostamiseks või lepingu täitmiseks GDPR artikli 6 lõike 1 punkti b alusel, säilitatakse seaduses ettenähtud aja jooksul, eelkõige raamatupidamis- ja maksukohustusi silmas pidades — üldjuhul 7 aastat vastavalt Eesti õigusele, kui kohaldatav õigus ei näe ette pikemat tähtaega.

b) Andmeid, mida töödeldakse lepingu sõlmimise, täitmise või arveldamisega seotud pideva suhtluse raames GDPR artikli 6 lõike 1 punkti f alusel, säilitatakse koostöö kestel, välja arvatud juhul, kui edasine töötlemine on vajalik muu seadusliku eesmärgi saavutamiseks.

c) Andmeid, mida töödeldakse aruandluse, raamatupidamise ja maksustamise eesmärgil GDPR artikli 6 lõike 1 punkti c alusel, säilitatakse Eesti õiguses sätestatud aja jooksul — üldjuhul 7 aastat.

d) Andmeid, mida töödeldakse lepingu täitmisest tulenevate õigusnõuete tuvastamiseks, esitamiseks või kaitsmiseks GDPR artikli 6 lõike 1 punkti f alusel, säilitatakse kuni nõuete aegumiseni — üldjuhul 3 aastat, kui seadus ei näe ette pikemat tähtaega.

9.3. Muud andmekategooriad

a) Potentsiaalsete klientide ja lepingupartnerite andmeid säilitatakse ajavahemiku jooksul, mis on vajalik kontakti või koostöö eesmärgi täitmiseks, kuid mitte kauem kui 3 aastat alates viimasest suhtlusest, välja arvatud juhul, kui edasisäilitamine on vajalik õigusnõuete kaitseks.

b) Tarnijate, teenuseosutajate ja äripartnerite andmeid säilitatakse koostöö kestel ning seejärel vastavalt nõuete aegumistähtaegadele ja raamatupidamis- ning maksukohustustele.

c) Isikute andmeid, kes võtavad vastutava töötlejaga ühendust, säilitatakse ajavahemiku jooksul, mis on vajalik vastuse andmiseks ja asja lõpetamiseks, ning seejärel — kui see on põhjendatud — kuni nõuete aegumiseni, kuid mitte kauem kui 3 aastat.

d) Avalike asutuste ja institutsioonide esindajate andmeid säilitatakse ajavahemiku jooksul, mis on vajalik seadusest tuleneva kohustuse täitmiseks või haldustoimingu lõpetamiseks, ning seejärel seaduses ettenähtud arhiivimistähtaja jooksul, kuid mitte kauem kui 10 aastat.

9.4. Tehnilised andmed ja vormide turvalisus
Kontaktivormide kaitse raames (Cloudflare Turnstile) töödeldavaid tehnilisi andmeid, sealhulgas IP-aadressi ja tehnilist teavet, töödeldakse automaatselt ja lühiajaliselt üksnes riskihindamise, kuritarvituste ennetamise ning teenuste turvalisuse tagamise eesmärgil.

Vastutav töötleja ei säilita neid andmeid ning ei kasuta neid turundus- ega profiilide loomise eesmärgil. Säilitamine sõltub teenuseosutaja seadistustest ja turvamenetlustest ning võib hõlmata lühiajalisi tehnilisi logisid, mida säilitatakse üksnes süsteemi turvalisuse tagamiseks või võimalike intsidentide analüüsimiseks.

Kui turvaintsidente ei esine, ei säilitata selliseid tehnilisi andmeid pikaajaliselt.

9.5. Lõppsätted
Pärast eespool nimetatud säilitamistähtaegade möödumist kustutatakse isikuandmed jäädavalt, anonümiseeritakse või arhiveeritakse viisil, mis ei võimalda isiku tuvastamist, kooskõlas Isikuandmete kaitse seaduse § 17 lõikega 4.

Vastutav töötleja vaatab regulaarselt üle säilitatavad andmed ning nende edasise töötlemise vajalikkuse, tagades, et isikuandmeid ei säilitata kauem, kui see on vajalik nende kogumise eesmärkide saavutamiseks.

10. Isikuandmete vabatahtlik esitamine

10.1. Üldjuhul on isikuandmete esitamine vabatahtlik. Teatud juhtudel on siiski konkreetsete andmete esitamine vajalik selleks, et oleks võimalik teha teatud toiminguid, osutada teenuseid, viia läbi värbamisprotsessi või sõlmida ja täita vastutava töötlejaga leping. Nõutud andmete esitamata jätmine võib kaasa tuua olukorra, kus vastavaid toiminguid ei ole võimalik teostada või konkreetset eesmärki saavutada.

10.2. Eelkõige:

• värbamisprotsessis osalemine eeldab kontaktandmete esitamist ning kandideerimisdokumentide edastamist;
• päringute esitamine kontaktivormi või e-posti teel eeldab andmete esitamist, mis võimaldavad saatja tuvastamist;
• lepingu sõlmimine, täitmine või arveldamine eeldab selliste andmete esitamist, mis on vajalikud lepinguliste, maksualaste või raamatupidamisalaste kohustuste täitmiseks;
• teatud veebilehe funktsioonide kasutamine võib eeldada elementaarsete tehniliste andmete töötlemist, mis on vajalik süsteemide turvalisuse ja korrektse toimimise tagamiseks.

10.3. Vastutav töötleja teavitab isikuid alati sellest, milliste andmete esitamine on konkreetse eesmärgi saavutamiseks vajalik ning millised andmed on vabatahtlikud. Töödeldavate andmete ulatus piirdub üksnes vajalikuga, kooskõlas GDPR artikli 5 lõike 1 punktis c sätestatud andmete minimaalsuse põhimõttega.

10.4. Juhtudel, mil andmete töötlemine põhineb nõusolekul, on nõusoleku andmine täielikult vabatahtlik. Nõusoleku võib igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist toimunud töötlemise seaduslikkust, vastavalt GDPR artikli 7 lõikele 3.

10.5. Vastutav töötleja rakendab meetmeid, et tagada isikuandmete töötlemise läbipaistvus ning võimaldada isikutele tegelik kontroll nende poolt esitatud andmete töötlemise ulatuse, eesmärgi ja kestuse üle.

11. Andmete säilitamise asukohad ja turvameetmed

11.1. Vastutava töötleja poolt töödeldavad isikuandmed säilitatakse eranditult elektroonilisel kujul, seadmetes ja süsteemides, mis on vastutava töötleja ainukontrolli all, või väliste teenusepakkujate juures, kes tegutsevad Euroopa Majanduspiirkonnas (EMP) ning tagavad vastavuse Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (GDPR) ja Isikuandmete kaitse seadusele.

11.2. Isikuandmete töötlemise ja säilitamise füüsilised ja virtuaalsed asukohad hõlmavad eelkõige:

• vastutavale töötlejale kuuluvat krüpteeritud sülearvutit, mis on kaitstud parooliga, täisketta krüpteeringuga ning mitmeastmelise autentimisega;
• krüpteeritud välist andmekandjat, mida kasutatakse perioodiliste varukoopiate tegemiseks ning mida hoitakse turvalises asukohas, eraldatuna põhisüsteemist;
• veebimajutuse ja e-posti teenusepakkuja Zone Media OÜ (zone.ee) infrastruktuuri, asukohaga Lõõtsa 5, 11415 Tallinn, Eesti, mille serverid paiknevad Euroopa Liidu territooriumil ning mille turvameetmed vastavad GDPR artikli 32 nõuetele ja Isikuandmete kaitse seaduse asjakohastele sätetele;
• servereid ja süsteeme, mis toetavad vastutava töötleja tegevust, sealhulgas elektroonilise allkirjastamise ja haldusprotsessidega seotud teenuseid, mis asuvad peamiselt Euroopa Majanduspiirkonnas ning mida käitatakse dokumenteeritud GDPR-i nõuetele vastavuse alusel; erandjuhtudel, kui andmeid töödeldakse väljaspool EMP-d, toimub selline töötlemine üksnes GDPR artiklis 46 lubatud mehhanismide, eelkõige standardsete lepinguliste tingimuste alusel.

Vastutav töötleja ei pea paberkandjal dokumentatsiooni — kõiki isikuandmeid töödeldakse eranditult digitaalsel kujul.

11.3. Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada töötlemisega seotud riskidele vastav turvalisuse tase kooskõlas GDPR artikliga 32 ja Isikuandmete kaitse seadusega. Need meetmed hõlmavad eelkõige:

• andmete krüpteeritud edastamist (SSL/TLS);
• seadmete ja andmekandjate krüpteerimist;
• juurdepääsu piiramist isikuandmetele üksnes vastutavale töötlejale;
• tugevate ja unikaalsete paroolide ning mitmeastmelise autentimise kasutamist;
• operatsioonisüsteemide, tarkvara ja turvatööriistade regulaarset uuendamist;
• varukoopiate loomist ja nende turvalist säilitamist;
• tulemüüride ja turvatarkvara kasutamist;
• seadmete automaatset lukustamist ja füüsilist kaitset loata juurdepääsu eest;
• isikuandmete töötlemiseks eranditult turvaliste seadmete kasutamist ning eraisikute kaitsmata seadmete mittekasutamist;
• koostööd üksnes selliste teenusepakkujatega, kes tagavad GDPR-i nõuetele vastavuse;
• andmetöötluslepingute ja intsidentide logimisega seotud dokumentatsiooni pidamist;
• isikuandmete rikkumistele reageerimise protseduuride rakendamist vastavalt GDPR artiklitele 33–34;
• turvameetmete ja juurdepääsuõiguste regulaarset ülevaatamist kooskõlas andmekaitse lõimimise ja vaikimisi andmekaitse põhimõtetega (GDPR artikkel 25).

12. Teie õigused seoses isikuandmete töötlemisega

Isikutel, kelle isikuandmeid vastutav töötleja töötleb, on kõik Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 (GDPR) ning Isikuandmete kaitse seaduses sätestatud õigused. Vastutav töötleja tagab andmesubjektide õiguste täieliku austamise ning võimaldab nende õiguste kasutamist kooskõlas kohaldatava õigusega.

Eelkõige on Teil õigus saada selget ja läbipaistvat teavet oma isikuandmete töötlemise kohta ning kasutada õigusi andmetega tutvumiseks, nende parandamiseks, töötlemise piiramise, kustutamise, ülekantavuse, töötlemisele vastuväite esitamise ja nõusoleku tagasivõtmise osas – ulatuses ja tingimustel, mis on sätestatud GDPR-is.

12.1. Õigus tutvuda andmetega ja saada koopiaid
Teil on õigus saada kinnitust selle kohta, kas vastutav töötleja töötleb Teie isikuandmeid, ning sellisel juhul õigus tutvuda nende andmetega ja saada neist koopia vastavalt GDPR artiklile 15. Kui taotlus esitatakse elektrooniliselt, edastatakse teave üldkasutatavas elektroonilises vormingus.

12.2. Õigus andmete parandamisele
Teil on õigus nõuda ebatäpsete isikuandmete viivitamatut parandamist või puudulike andmete täiendamist vastavalt GDPR artiklile 16. Vastutav töötleja teeb parandused pärast taotluse põhjendatuse kontrollimist.

12.3. Õigus töötlemise piiramisele

a) kui Te vaidlustate isikuandmete õigsuse – ajavahemikuks, mis võimaldab vastutaval töötlejal andmete õigsust kontrollida;
b) kui töötlemine on õigusvastane ja Te ei soovi andmete kustutamist;
c) kui vastutav töötleja ei vaja enam andmeid oma eesmärkide saavutamiseks, kuid Teil on neid vaja õigusnõuete esitamiseks, teostamiseks või kaitsmiseks;
d) kui olete esitanud vastuväite töötlemisele – kuni on kontrollitud, kas vastutava töötleja õiguspärased alused kaaluvad üles Teie huvid.

12.4. Õigus andmete kustutamisele
Teil on õigus nõuda isikuandmete kustutamist GDPR artiklis 17 sätestatud juhtudel, eelkõige siis, kui andmeid ei ole enam vaja eesmärkidel, milleks need koguti, kui Te võtate tagasi nõusoleku või kui andmete töötlemine oli õigusvastane.
Seda õigust ei kohaldata, kui edasine töötlemine on vajalik vastutava töötleja seadusest tulenevate kohustuste täitmiseks või õigusnõuete kehtestamiseks, teostamiseks või kaitsmiseks vastavalt GDPR artikli 17 lõikele 3.

12.5. Õigus andmete ülekantavusele
Teil on õigus saada vastutavale töötlejale esitatud isikuandmed struktureeritud, üldkasutatavas ja masinloetavas vormingus ning edastada need teisele vastutavale töötlejale, kui töötlemine põhineb nõusolekul või lepingul ja toimub automatiseeritud vahendite abil, vastavalt GDPR artiklile 20.

12.6. Õigus esitada vastuväide
Teil on õigus igal ajal esitada vastuväide oma isikuandmete töötlemisele, kui töötlemine toimub vastutava töötleja õigustatud huvi alusel (GDPR artikkel 6 lõige 1 punkt f).
Pärast vastuväite esitamist lõpetab vastutav töötleja andmete töötlemise, välja arvatud juhul, kui ta tõendab veenvaid õiguspäraseid aluseid, mis kaaluvad üles Teie huvid, õigused ja vabadused, või kui töötlemine on vajalik õigusnõuete esitamiseks, teostamiseks või kaitsmiseks.
Seda õigust ei kohaldata juhul, kui andmete töötlemine on vajalik vastutavale töötlejale seadusest tulenevate kohustuste täitmiseks.

12.7. Õigus nõusoleku tagasivõtmisele
Kui isikuandmete töötlemine põhineb nõusolekul, on Teil õigus nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist toimunud töötlemise õiguslikkust vastavalt GDPR artiklile 7 lõikele 3.

12.8. Õigus esitada kaebus järelevalveasutusele
Kui leiate, et Teie isikuandmete töötlemine rikub GDPR-i või Isikuandmete kaitse seadust, on Teil õigus esitada kaebus pädevale järelevalveasutusele, eelkõige:
Andmekaitse Inspektsioon (AKI) – Eesti andmekaitse järelevalveasutus.

Kui Te elate või töötate mõnes teises Euroopa Liidu liikmesriigis, on Teil õigus esitada kaebus ka selle liikmesriigi pädevale järelevalveasutusele vastavalt GDPR artiklile 77.

12.9. Õigus mitte alluda automatiseeritud otsuste tegemisele
Teil on õigus mitte alluda üksnes automatiseeritud töötlemisel, sealhulgas profileerimisel, põhinevale otsusele, mis avaldab Teile õiguslikku mõju või mõjutab Teid samaväärselt oluliselt, vastavalt GDPR artiklile 22.
Vastutav töötleja ei kasuta automatiseeritud otsuste tegemist ega profileerimist. Kõik kandidaate, kliente ja koostööpartnereid puudutavad otsused tehakse volitatud isikute poolt.

12.10. Õiguste kasutamine ja kontakt vastutava töötlejaga
Käesolevas privaatsuspoliitikas sätestatud õiguste kasutamiseks võite võtta ühendust vastutava töötlejaga, eelkõige elektrooniliste vahendite kaudu:

E-post: office@hansacareers.ee

Vastutav töötleja tegutseb täielikult digitaalses keskkonnas ning soovitab elektroonilist suhtlust esmase ja kõige turvalisema viisina isikuandmete töötlemist puudutavate küsimuste lahendamisel. Elektrooniline suhtlus võimaldab taotluste kiiremat menetlemist ning vähendab loata juurdepääsu riski.

Kirjalikku kirjavahetust võib saata vastutava töötleja registrijärgsele aadressile:
Handke Holding OÜ, Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Eesti

Siiski ei soovita vastutav töötleja saata tavaposti teel dokumente, mis sisaldavad isikuandmeid — eelkõige kandideerimisdokumente, isikut tõendavate dokumentide koopiaid või tundlikku teavet. Selline kirjavahetus võib olla seotud loata avalikustamise riskiga ning jääb osaliselt väljapoole vastutava töötleja kontrolli.

Vastutav töötleja vastab õiguste kasutamisega seotud taotlustele põhjendamatu viivituseta ning hiljemalt ühe kuu jooksul alates taotluse saamisest vastavalt GDPR artikli 12 lõikele 3. Eriti keerukatel juhtudel võib seda tähtaega pikendada veel kahe kuu võrra, millest andmesubjekti teavitatakse.

13. Isikuandmete rikkumised

Isikuandmete rikkumise korral — mida mõistetakse kui isikuandmete juhuslikku või õigusvastast hävimist, kaotsiminekut, muutmist, loata avalikustamist või neile juurdepääsu — rakendab vastutav töötleja viivitamata meetmeid rikkumise mõju leevendamiseks ja selle kordumise vältimiseks.

Vastutav töötleja hindab iga juhtumit individuaalselt, võttes arvesse rikkumise olemust ja ulatust ning võimalikke riske mõjutatud isikute õigustele ja vabadustele. Seejuures rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid rikkumise põhjuse kõrvaldamiseks ja selle mõju vähendamiseks. Kõik andmeturbeintsidendid dokumenteeritakse vastavalt vastutuse põhimõttele, mis on sätestatud GDPR artikli 5 lõikes 2 ja Isikuandmete kaitse seaduse § 25 lõikes 3.

Kui isikuandmete rikkumine tõenäoliselt kujutab endast ohtu füüsiliste isikute õigustele või vabadustele, teatab vastutav töötleja rikkumisest pädevale järelevalveasutusele — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Eesti — hiljemalt 72 tunni jooksul pärast rikkumisest teada saamist vastavalt GDPR artiklile 33 ja Isikuandmete kaitse seaduse §-le 25, välja arvatud juhul, kui rikkumine tõenäoliselt sellist ohtu ei kujuta.

Kui isikuandmete rikkumine tõenäoliselt põhjustab kõrge riski füüsiliste isikute õigustele või vabadustele, teavitab vastutav töötleja mõjutatud isikuid põhjendamatu viivituseta rikkumise olemusest, võimalikest tagajärgedest ning rakendatud või kavandatavatest meetmetest kahjulike mõjude leevendamiseks, vastavalt GDPR artiklile 34.

Vastutav töötleja peab sisemist menetlust isikuandmete rikkumistele reageerimiseks, mis hõlmab intsidentide tuvastamist, riskihindamist, parandusmeetmete rakendamist ja teavitamiskohustuste täitmist. Selle menetluse tõhusust vaadatakse regulaarselt üle, et tagada vastavus GDPR-ile ja Eesti õigusele ning säilitada isikuandmete töötlemisel kõrge turvalisuse tase.

14. Automatiseeritud otsuste tegemine ja profileerimine

Vastutav töötleja ei kasuta automatiseeritud otsuste tegemist, sealhulgas profileerimist, mis tekitaks andmesubjekti suhtes õiguslikke tagajärgi või mõjutaks teda muul sarnaselt olulisel viisil, Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (GDPR) artikli 22 ning Isikuandmete kaitse seaduse § 23 tähenduses.

Kõik kandidaate, kliente ja äripartnereid puudutavad otsused tehakse inimese poolt, tuginedes individuaalsele hinnangule esitatud teabele, dokumentidele või kirjavahetusele. Ükski otsus ei ole tehtud üksnes automatiseeritud vahendite abil.

Vastutav töötleja ei kasuta profileerimist, mis hõlmaks isikuomaduste, pädevuste, käitumise, eelistuste või tööalase olukorra automatiseeritud hindamist eesmärgiga teha otsuseid, millel oleksid õiguslikud tagajärjed või mis mõjutaksid isikut oluliselt.

Tavapäraste haldusprotsesside raames võib vastutav töötleja kasutada tehnilisi abivahendeid üksnes toetavatel eesmärkidel (näiteks e-kirjade filtreerimine, esitatud päringute korraldamine või puudulike vormide klassifitseerimine). Need tööriistad ei tee iseseisvaid otsuseid isikute kohta ega asenda inimlikku otsustusvõimet.

15. Järelevalveasutus

Kui Teil on kahtlusi seoses Teie isikuandmete töötlemise viisiga või kui Te leiate, et Teie õigusi vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (GDPR) on rikutud, on Teil õigus esitada kaebus pädevale järelevalveasutusele, sõltumata Teie elukohast, töökohast või väidetava rikkumise toimumise kohast, vastavalt GDPR artiklile 77 ja Isikuandmete kaitse seaduse §-le 21.

Vastutava töötleja tegevuse osas on pädev järelevalveasutus Eesti Vabariigis:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Eesti —
tel: +372 627 4135;
e-post: info@aki.ee;
veebileht: https://www.aki.ee.

Kui Te elate või töötate mõnes teises Euroopa Liidu liikmesriigis, on Teil samuti õigus esitada kaebus selle liikmesriigi pädevale järelevalveasutusele vastavalt GDPR artiklile 77.

Ajakohane loetelu Euroopa Liidu liikmesriikide andmekaitse järelevalveasutustest on kättesaadav Euroopa Andmekaitsenõukogu (EDPB) veebilehel: https://edpb.europa.eu.

Vastutav töötleja julgustab siiski enne järelevalveasutuse poole pöördumist võtma temaga otse ühendust kõigis isikuandmete töötlemist puudutavates küsimustes, eelistatavalt e-posti teel aadressil: office@hansacareers.ee.

Vajaduse korral on võimalik võtta vastutava töötlejaga ühendust ka kirjalikult, saates vastava kirjavahetuse ettevõtte registrijärgsele aadressile. Palume arvestada, et tavapärane postisuhtlus võib olla isikuandmete jaoks vähem turvaline, mistõttu jääb elektrooniline suhtlus eelistatud kontaktiviisiks.

Vastutav töötleja teeb kõik endast oleneva, et lahendada iga küsimus läbipaistvalt, hoolsalt ja täielikus kooskõlas GDPR-iga ning ilma põhjendamatu viivituseta.

16. Kohaldatav õigus ja kohtualluvus

Käesolevale privaatsuspoliitikale kohaldatakse Eesti Vabariigi õigust ning seda tõlgendatakse kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679 (GDPR) ning Isikuandmete kaitse seadusega.

Kohaldatava õiguse lubatud ulatuses kuuluvad kõik isikuandmete töötlemisega, vastutava töötleja veebilehe kasutamisega või vastutava töötleja poolt osutatavate teenustega seotud vaidlused ja nõuded Eesti Vabariigi kohtute pädevusse, lähtudes vastutava töötleja registrijärgsest asukohast.

Käesoleva jaotise sätted ei mõjuta ega piira isikute õigusi, mis tulenevad Euroopa Liidu õiguse imperatiivsetest normidest, eelkõige tarbijakaitset reguleerivatest sätetest ning andmesubjektide õigustest Euroopa Liidus või Euroopa Majanduspiirkonnas, sealhulgas õigustest, mis on seotud nende hariliku elukoha või töökohaga.

17. Privaatsuspoliitika muudatused

Vastutav töötleja võib käesolevat privaatsuspoliitikat perioodiliselt ajakohastada, et tagada selle vastavus kohaldatavatele õigusaktidele ja regulatsioonidele — eelkõige Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (GDPR) ning Isikuandmete kaitse seadusele — samuti seoses muudatustega vastutava töötleja tegevusvaldkonnas, kasutatavates tehnoloogiates või isikuandmete töötlemise protseduurides.

Alati kohaldub vastutava töötleja veebilehel avaldatud privaatsuspoliitika versioon, mis on tähistatud viimase uuendamise kuupäevaga. Iga uus versioon asendab kõik varasemad dokumendi versioonid alates selle avalikustamise kuupäevast.

Vastutav töötleja soovitab andmesubjektidel privaatsuspoliitikaga regulaarselt tutvuda, et olla teadlik kehtivatest isikuandmete töötlemise reeglitest ning neile kuuluvatest õigustest.

Juhul kui privaatsuspoliitikasse viiakse sisse andmesubjektide seisukohast olulisi muudatusi — eelkõige muudatusi, mis mõjutavad isikuandmete töötlemise eesmärke või õiguslikke aluseid või andmesaajate kategooriaid — teavitab vastutav töötleja andmesubjekte sellest selgel ja läbipaistval viisil. Teave võidakse edastada silmatorkava teavituse kaudu vastutava töötleja veebilehel või võimaluse korral ning juhul, kui vastutaval töötlejal on andmesubjekti kehtiv e-posti aadress, ka e-posti teel.

18. Turundustegevused ja kontakt vastutava töötlejaga

Vastutav töötleja teavitab, et veebileht ei kasuta küpsiseid ega muid jälgimistehnoloogiaid ning ei vii läbi isikuandmete automatiseeritud kogumist turunduslikel ega analüütilistel eesmärkidel. Veebilehe kasutamine ei hõlma kasutajate profiilianalüüsi ega nende isikuandmete automatiseeritud töötlemist mis tahes kujul.

Vastutava töötleja poolt läbiviidavad turundustegevused piirduvad üksnes tema enda värbamisteenuste tutvustamisega, eelkõige teabe ja tööpakkumiste avaldamisega sotsiaalmeediaplatvormidel ning värbamiskuulutuste edastamisega veebikeskkondades. Vastutav töötleja ei kasuta veebilehe kasutajate andmeid ega nende käitumist turundusprofiilide loomiseks.

Otseturundustegevuse raames võib vastutav töötleja võtta ühendust äriühingute esindajatega B2B suhetes — näiteks kasutades nende ees- ja perekonnanime, ametikohta või tööalast e-posti aadressi — üksnes eesmärgiga tutvustada oma värbamisteenuste pakkumist. Sellise töötlemise õiguslikuks aluseks on vastutava töötleja õigustatud huvi äritegevuse teostamisel ja oma teenuste tutvustamisel.

Igal isikul, kellele vastutav töötleja edastab turundusteateid, on õigus igal ajal esitada vastuväide oma isikuandmete töötlemisele sel eesmärgil. Vastuväite saab esitada e-posti teel aadressil: office@hansacareers.ee. Pärast vastuväite saamist ei kasutata vastavaid andmeid enam otseturunduse eesmärgil.

Vastutav töötleja võimaldab kasutajatel ka iseseisvalt kontakti algatada — kas kontaktvormi või e-posti teel. Sel viisil edastatud andmeid, sealhulgas ees- ja perekonnanime, e-posti aadressi ning sõnumi sisu, kasutatakse üksnes vastamise, kirjavahetuse pidamise või päringu lahendamise eesmärgil vastutava töötleja õigustatud huvi alusel.

Turundus- ja kontakttegevustega seoses töödeldavaid isikuandmeid ei edastata Euroopa Majanduspiirkonnast (EMP) välja ning töötlemine toimub kooskõlas GDPR artikli 5 lõikes 1 sätestatud isikuandmete minimeerimise, läbipaistvuse ja eesmärgipärasuse põhimõtetega.

19. Küpsised ja sarnased tehnoloogiad

Vastutava töötleja veebileht ei kasuta küpsiseid ega muid sarnaseid jälgimistehnoloogiaid, mida tavapäraselt kasutatakse turundus-, reklaami- või analüütikaeesmärkidel. Vastutav töötleja ei kogu statistikat kasutajate käitumise kohta, ei kasuta analüütikavahendeid ega talleta teavet selle kohta, kuidas kasutajad veebilehel liiguvad. Veebilehe kasutamine ei hõlma kasutajate profiilimist ega jälgimist.

Ainsaks väliseks tehnoloogiliseks lahenduseks, mida veebilehel kasutatakse, on Cloudflare Turnstile, mis on rakendatud üksnes kontaktvormide kaitsmiseks rämpsposti, automatiseeritud päringute ja väärkasutuse eest. See lahendus ei kasuta turundusküpsiseid, ei jälgi kasutajaid ega ole mõeldud kasutajakäitumise analüüsimiseks.

Cloudflare Turnstile’i toimimise käigus võidakse töödelda üksnes piiratud ulatuses tehnilisi andmeid — näiteks kasutaja IP-aadressi või brauserisignaale. Selline töötlemine toimub eranditult teenuse turvalisuse ja vormide tervikluse tagamise eesmärgil ning põhineb vastutava töötleja õigustatud huvil.

Kuna veebileht ei kasuta küpsiseid, mis nõuaksid kasutaja nõusolekut, ei ole vajalik küpsiste teavitusriba kuvamine ega nõusoleku küsimine veebilehe kasutamiseks, kooskõlas e-privaatsuse direktiiviga ja Elektroonilise side seadusega.

Kui vastutav töötleja tulevikus rakendab küpsiseid või sarnaseid tehnoloogiaid, mis nõuavad kasutaja nõusolekut — näiteks funktsionaalsuse parandamiseks või anonüümse statistika kogumiseks — teavitatakse kasutajaid sellest selgelt ja ette, kooskõlas kohaldatavate õigusaktidega. Sellisel juhul küsitakse nõusolek vastavalt e-privaatsuse nõuetele, GDPR-ile ning Eesti elektroonilise side õigusele.

Kasutajatel on igal ajal võimalik hallata oma küpsiste eelistusi brauseri seadistuste kaudu või tulevikus rakendatava küpsiste halduspaneeli abil, juhul kui selline lahendus kasutusele võetakse.

20. Serverilogid

Veebilehe kasutamine hõlmab päringute saatmist serverisse, kus veebileht on majutatud. Iga võrgupäring salvestatakse automaatselt nn serverilogidesse ning see võib sisaldada järgmisi tehnilisi andmeid:

• kasutaja seadme IP-aadress;
• päringu kuupäev ja kellaaeg;
• teave kasutatud brauseri ja operatsioonisüsteemi kohta;
• külastatud alamlehe aadress;
• tehniliste veateadete olemasolu.

Need andmed on oma olemuselt tehnilised ning neid ei kasutata kasutajate otseseks tuvastamiseks ega kasutajaprofiilide loomiseks. Andmeid ei töödelda turundus- ega analüütilistel eesmärkidel.

Serverilogisid töödeldakse eelkõige järgmistel eesmärkidel:

• veebilehe turvalisuse ja stabiilsuse tagamiseks;
• tehniliste süsteemi- või võrguvigade diagnoosimiseks;
• kuritarvituste, sissetungikatsete ja turvaintsidentide tuvastamiseks.

Serverilogides sisalduvate tehniliste andmete töötlemise õiguslikuks aluseks on GDPR artikli 6 lõike 1 punkt f — vastutava töötleja õigustatud huvi tagada IT-süsteemide turvalisus, kooskõlas GDPR artikliga 32 ning Isikuandmete kaitse seaduse § 24-ga.

Serverilogisid säilitatakse mitte kauem kui 90 päeva, välja arvatud juhul, kui nende pikem säilitamine on vajalik turvaintsidendi, kuritarvituse või õigusnõuete kaitsmise vajaduse tõttu. Pärast nimetatud tähtaja möödumist kustutatakse andmed automaatselt või muudetakse anonüümseks.