Privaatsuspoliitika

Viimane uuendus: 4. detsember 2025

1. Üldteave ja andmetöötleja

1.1. Dokumendi ulatus
Käesolev dokument määratleb andmetöötluse põhimõtted isikutele, kes kasutavad Hansa Careers kaubamärgi all osutatavaid teenuseid, mida pakub Eestis registreeritud ettevõte Handke Holding OÜ. Privaatsuspoliitika eesmärk on selgitada selgelt ja arusaadavalt, kuidas ja millises ulatuses töödeldakse isikute andmeid, kes puutuvad administraatoriga kokku ettevõtte tegevuse raames.

1.2. Andmed vastutava töötleja kohta

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

registrikood: 17387477
KMKR (VAT-EU): EE102932869

1.3. Tegevusvaldkond
Administraator tegeleb töövahendusteenustega Euroopa Liidu ja Euroopa Majanduspiirkonna riikides, eriti tööandjate ja tööotsijate vaheliste kontaktide loomisega.

1.4. Privaatsuspoliitika adressaadid
Privaatsuspoliitika hõlmab eelkõige isikuid:

• kes kasutavad administraatori teenuseid,
• kes külastavad veebilehte www.hansacareers.ee,
• kes osalevad värbamisprotsessides,
• kes võtavad administraatoriga ühendust äri-, haldus- või infoküsimustes,
• kes peavad administraatoriga ametlikku kirjavahetust,
• kes esindavad avaliku või erasektori asutusi ametlikus suhtluses.

1.5. Töötlemise eesmärgid
Käesolevas poliitikas kirjeldatud põhimõtted hõlmavad andmetöötlust seoses:

• veebilehe www.hansacareers.ee toimimisega,
• töövahendusteenuste osutamisega,
• klientide tellimuste ja B2B koostöö täitmisega,
• jooksvate äri- ja halduskirjade vahetamisega,
• EL ja Eesti seadustest tulenevate kohustuste täitmisega.

1.6. Õiguslik alus
Privaatsuspoliitika on koostatud kooskõlas:
– Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679 (GDPR),
– Eesti Vabariigi isikuandmete kaitse seadusega (Isikuandmete kaitse seadus),
– Euroopa Liidu ja Eesti Vabariigi muude kohaldatavate õigusaktidega.

1.7. Suhtluskeel ja kontaktivorm
Vastutava töötleja tegevuse põhikeel on inglise keel. Kirjalik suhtlus võib toimuda mis tahes Euroopa Liidu või Euroopa Majanduspiirkonna ametlikus keeles.

Eelistatud ja soovitatav suhtlusvorm Vastutava töötlejaga on elektrooniline suhtlus, eelkõige:
– e-posti teel aadressil: office@hansacareers.ee,
– veebilehel kättesaadava kontaktivormi kaudu: www.hansacareers.ee,
– telefoni teel: +372 5617 1770.

Suhtlus Vastutava töötlejaga võib toimuda ka posti teel punktis 1.2 toodud aadressil. Pöördumiste tõhusa menetlemise ja isikuandmete asjakohase kaitsetaseme tagamiseks soovitab Vastutav töötleja, kes tegutseb täielikult digitaalses vormis, siiski kasutada elektroonilisi suhtlusvahendeid. Traditsiooniline paberpost, arvestades edastatava teabe olemust, sealhulgas isikuandmete edastamise võimalust, võib kaasa tuua pikema menetlusaja ning suurenenud riski andmete kadumiseks või neile loata juurdepääsuks.

1.8. Andmete esitamise vabatahtlikkus ja administraatori vastutus
Andmete esitamine on vabatahtlik, kuid teatud juhtudel vajalik teenuste kasutamiseks, värbamisprotsessides osalemiseks või päringule vastamiseks. Andmete esitamata jätmine võib muuta eesmärgi saavutamise võimatuks.

Administraator ei ole kohustatud määrama andmekaitsespetsialisti, kuna töötlemise laad ja ulatus ei vasta GDPR artikli 37 lõikes 1 sätestatud tingimustele.

Administraator vastutab:
– andmetöötluse vastavuse eest õigusaktidele,
– asjakohaste tehniliste ja organisatsiooniliste turvameetmete rakendamise eest,
– andmesubjektide õiguste tagamise eest,
– koostöö eest Eesti järelevalveasutusega — Andmekaitse Inspektsioon.

2. Töödeldavate isikute kategooriad

Hansa Careers’i tegevuse raames, mida haldab Handke Holding OÜ, töödeldakse üksnes neid isikuandmeid, mis on vajalikud töövahendusteenuste osutamiseks, äriliste suhete hoidmiseks ning igapäevase operatiivse ja organisatsioonilise suhtluse tagamiseks. Andmete töötlemine toimub kooskõlas seaduslikkuse, aususe, läbipaistvuse ja minimaalsuse põhimõtetega (GDPR art. 5 lg 1), ning andmete maht on igal juhul piiratud eesmärgiga, mille täitmiseks neid töödeldakse. Administraator töötleb järgmiste isikute andmeid:

2.1. Värbamisprotsessides osalevad kandidaadid
Füüsilised isikud, kes kandideerivad tööle Hansa Careers’i vahendusel vastusena konkreetsetele ja aktiivsetele värbamisprotsessidele, mille kohta on avaldatud töökuulutused. Töödeldavad andmed võivad hõlmata eelkõige CV-s sisalduvat teavet, kontaktandmeid ning muid kandidaadi poolt konkreetse värbamise raames esitatud andmeid. Kandidaadi andmed võivad olla saadud:

• otse kandidaadilt,
• avalikest allikatest üksnes ulatuses, milles kandidaat on need ise avalikustanud (vastavalt GDPR art. 14).

Neid andmeid töödeldakse üksnes konkreetse värbamisprotsessi läbiviimiseks ja edastatakse üksnes sellele kliendile, kelle jaoks värbamine toimub.

2.2. Kandidaadid, kes esitavad andmeid väljaspool aktiivseid värbamisprotsesse
Administraator töötleb kandidaatide andmeid üksnes seoses konkreetsete ja aktiivsete värbamisprotsessidega. Juhul kui administraator parasjagu värbamist ei läbi viia või kui isikud saadavad oma andmeid — eelkõige CV-sid või kirju — ilma seoseta konkreetse töökuulutusega, siis selliseid andmeid ei võeta vastu ega kasutata ühegi värbamisprotsessi raames. Omal algatusel saadetud andmeid ei analüüsita, ei arhiveerita ega edastata edasi ning need võidakse pärast saabumist viivitamata kustutada, välja arvatud juhul, kui seadus sätestab teisiti. Administraator ei kogu spontaanseid kandideerimisi ega kasuta neid tulevastes värbamisprotsessides. Kontakt võetakse üksnes isikutega, kes on kandideerinud konkreetsele töökuulutusele või avalikult väljendanud huvi töövõimaluste vastu (nt sotsiaalmeedias avaldatud kuulutuse kaudu) ning ainult ulatuses, mis on vajalik konkreetse tööpakkumisega seotud suhtluse alustamiseks.

2.3. Kliendid ja nende esindajad
Füüsilised isikud ning majandusüksuste esindajad, kellega administraator teeb koostööd töövahendusteenuste osutamisel. Töödeldavad andmed hõlmavad eelkõige nime, kontaktandmeid, ametipositsiooni ning teavet, mis on vajalik lepingute täitmiseks või ärilise koostöö elluviimiseks.

2.4. Potentsiaalsed kliendid ja koostööpartnerid
Isikud, kellega on võetud ühendust koostööettepaneku tegemiseks või kelle andmed on saadud avalikest allikatest, näiteks ettevõtete veebilehtedelt või professionaalsetelt äriportaalidelt. Neid andmeid töödeldakse administraatori õigustatud huvi alusel, mis seisneb ettevõtlustegevuses ja ärisuhete arendamises.

2.5. Teenusepakkujad ja lepingupartnerid
Füüsilisest isikust ettevõtjad ning üksuste esindajad, kes osutavad administraatorile teenuseid, mis on vajalikud tema tegevuse tagamiseks — sealhulgas tehnilisi, raamatupidamis-, õigus- või suhtlusteenuseid. Andmeid töödeldakse lepingute täitmiseks, igapäevase suhtluse tagamiseks ning seadusest tulenevate kohustuste täitmiseks.

2.6. Teised administraatoriga suhtlevad isikud ja avalike asutuste esindajad
Isikud, kes edastavad päringuid kontaktvormi, e-posti või muude suhtluskanalite kaudu, samuti avalike asutuste ja institutsioonide esindajad, kellega administraator peab ametlikku kirjavahetust. Andmeid töödeldakse üksnes kirjavahetuse pidamiseks, vastuste andmiseks või seadusest tulenevate kohustuste täitmiseks.

Täiendav teave
Administraator:
– ei kogu andmeid mitteavalikest allikatest,
– ei teosta isikute süstemaatilist jälgimist,
– ei töötle eesmärkide täitmiseks mittevajalikke andmeid.

3. Töödeldavate isikuandmete ulatus

Töödeldavate isikuandmete ulatus sõltub administraatori ja andmesubjekti vahelise suhte iseloomust ning eesmärgist, milleks andmeid edastatakse. Administraator töötleb üksnes neid andmeid, mis on vajalikud konkreetsete ja seaduslike eesmärkide täitmiseks, järgides andmete minimaalsuse põhimõtet. Isikuandmeid töödeldakse viisil, mis on eesmärgipärane, proportsionaalne ja piiratud üksnes sellega, mis on tingimata vajalik — kooskõlas GDPR art. 5 lg 1 punktiga c ning § 11 Isikuandmete kaitse seadus.

3.1. Identifitseerimis- ja kontaktandmed
Administraator võib töödelda eelkõige järgmisi andmeid:

• ees- ja perekonnanimi,
• e-posti aadress,
• telefoninumber,
• muu vabatahtlikult esitatud kontaktteave kirjavahetuses või kontaktvormis,
• ärisuhtluse korral ettevõtte andmed (ettevõtte nimi, ametipositsioon, tööalane e-post, töötelefon).

Neid andmeid töödeldakse suhtluse pidamiseks, päringutele vastamiseks, koostöö elluviimiseks või haldusülesannete täitmiseks.

3.2. Värbamisprotsessides osalevate kandidaatide andmed
Aktiivsete värbamisprotsesside korral töödeldakse üksnes neid andmeid, mille kandidaadid on esitanud vastusena konkreetsele töökuulutusele. Andmete ulatus võib hõlmata:

• CV-s sisalduvat teavet, nagu töökogemus, haridus, kvalifikatsioonid, oskused ja keelteoskus,
• kandideerimisega seotud kirjaliku sõnumi sisu,
• muu vabatahtlikult esitatud teave seoses konkreetse tööpakkumisega.

Administraator ei kogu kandidaatide andmeid muudest allikatest kui kandidaatide otsene vastus töökuulutusele ega töötle andmeid väljaspool konkreetse värbamisprotsessi eesmärke.

3.3. Kandidaadid, kes saadavad andmeid väljaspool värbamisprotsesse
Kui administraator ei vii parajasti läbi värbamisprotsesse ega ole avaldanud töökuulutusi, ei võeta isiku algatusel saadetud andmeid (eelkõige CV-sid ilma seoseta konkreetse pakkumisega) vastu ega kasutata. Sellised andmed kustutatakse ilma täiendava töötlemiseta ning administraator ei loo spontaanseid kandideerimisi käsitlevaid andmebaase ega registreid. Administraator võtab vastu ja menetleb üksnes neid avaldusi, mis on esitatud vastusena aktiivsetele töökuulutustele.

3.4. Kliendiandmed ja ärisuhetega seotud andmed
Administraator töötleb klientide ja nende esindajate isikuandmeid ulatuses, mis on vajalik töövahendusteenuste osutamiseks ja ärilise koostöö elluviimiseks. Andmed võivad hõlmata:

• kontaktisiku ees- ja perekonnanime,
• e-posti aadressi ja telefoninumbrit,
• ametipositsiooni või rolli,
• lepingutes, arvetes ja raamatupidamisdokumentides sisalduvat teavet.

Neid andmeid töödeldakse lepingute täitmiseks, tööalase suhtluse tagamiseks ning maksualaste ja raamatupidamislike kohustuste täitmiseks.

3.5. Suhtlus- ja kirjavahetusandmed
Administraator töötleb andmeid, mis sisalduvad e-kirjades, kontaktvormide kaudu esitatud teadetes või muudes suhtluskanalites. Andmete ulatus sõltub saatja edastatud teabest ning on piiratud üksnes sellega, mis on vajalik vastamiseks või konkreetse asjaajamise lahendamiseks.

3.6. Tehnilised ja veebiga seotud andmed
Veebilehe www.hansacareers.ee kasutamisel võidakse töödelda tehnilisi andmeid, nagu:

• IP-aadress,
• brauseri ja operatsioonisüsteemi tehnilised andmed,
• ühenduse kuupäev ja kellaaeg,
• serverilogides salvestatud tehniline teave.

Neid andmeid kasutatakse üksnes veebilehe turvalisuse tagamiseks, väärkasutuse ennetamiseks ning saidi korrektseks toimimiseks. Selles osas kasutab administraator teenusepakkujat Cloudflare, Inc., kes töötleb tehnilisi andmeid administraatori volitatud töötlejana.

3.7. Videokohtumiste ja -suhtluse andmed
Veebikohtumiste või -kõnede korral võib administraator kasutada platvormi Whereby. Töödeldakse üksnes neid andmeid, mis on vajalikud ühenduse loomiseks — näiteks nimi või kasutajanimi, IP-aadress ning tehnilised ühenduse andmed. Administraator ei salvesta ega t salvesta koosolekute sisu, välja arvatud juhul, kui osalejaid teavitatakse sellest eelnevalt ning nad annavad selgesõnalise nõusoleku.

3.8. Eriliiki isikuandmed
Administraator ei töötle tavapäraselt eriliiki isikuandmeid GDPR art. 9 tähenduses ning ei eelda ega nõua selliste andmete esitamist. Kui sellised andmed esitatakse vabatahtlikult kirjavahetuse või dokumentide kaudu, töödeldakse neid üksnes ulatuses, mis on vajalik edastamise eesmärgi saavutamiseks, või kustutatakse need viivitamata.

4. Isikuandmete töötlemise eesmärgid ja õiguslikud alused

Administraator töötleb isikuandmeid üksnes ulatuses, mis on vajalik tema tegevuse läbiviimiseks kooskõlas kehtivate õigusaktidega ning järgides aususe, läbipaistvuse ja andmete minimaalsuse põhimõtteid. Isikuandmete töötlemine toimub vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (GDPR) artiklitele 5 ja 6 ning Eesti Vabariigi isikuandmete kaitse seadusele (Isikuandmete kaitse seadus). Isikuandmeid töödeldakse üksnes selgelt määratletud ja õiguspärastel eesmärkidel ning neid ei kasutata edasi viisil, mis ei ole nende eesmärkidega kooskõlas.

4.1. Värbamisprotsesside läbiviimine
Kandidaatide isikuandmeid töödeldakse eesmärgiga:

• vastuvõtta ja analüüsida kandideerimisavaldusi, mis on esitatud vastusena konkreetsele töökuulutusele,
• pidada kandidaatidega ühendust värbamisprotsessi käigus,
• hinnata kandidaadi profiili vastavust konkreetse tööpakkumise nõuetele,
• edastada kandidaatide andmeid potentsiaalsetele tööandjatele – üksnes konkreetse värbamisprotsessi raames.

Õiguslik alus:
GDPR art. 6 lg 1 punkt a – kandidaadi nõusolek;
GDPR art. 6 lg 1 punkt b – toimingud lepingu sõlmimisele eelnevaks tegevuseks;
GDPR art. 9 lg 2 punkt a – selgesõnaline nõusolek, kui kandidaat esitab vabatahtlikult eriliiki andmeid.

4.2. Kandideerimisandmete säilitamine tulevaste värbamiste jaoks
Kandidaadi andmeid võidakse säilitada pärast värbamisprotsessi lõppu üksnes juhul, kui kandidaat annab selleks eraldi ja selgesõnalise nõusoleku. Andmeid säilitatakse üksnes nõusolekus märgitud perioodi vältel või kuni nõusoleku tagasivõtmiseni.

Õiguslik alus:
GDPR art. 6 lg 1 punkt a.

4.3. Lepingute sõlmimine ja täitmine
Klientide, koostööpartnerite ja äripartnerite isikuandmeid töödeldakse eesmärkidel:

• lepingute sõlmimine ja täitmine,
• töövahendusteenuste osutamine,
• ärilise, haldusliku ja operatiivse suhtluse tagamine.

Õiguslik alus:
GDPR art. 6 lg 1 punkt b – lepingu täitmine;
GDPR art. 6 lg 1 punkt c – seadusest tulenevate maksunduslike ja raamatupidamiskohustuste täitmine.

4.4. Ärisuhete hoidmine ja B2B-turundus
Ettevõtete esindajate kontaktandmeid võidakse töödelda eesmärkidel:

• igapäevase ärisuhtluse teostamine,
• koostööettepanekute esitamine,
• otsene B2B-turundus.

Õiguslik alus:
GDPR art. 6 lg 1 punkt f – administraatori õigustatud huvi arendada ja edendada majandustegevust.
Andmesubjektil on õigus sellise töötlemise suhtes esitada vastuväide.

4.5. Päringutele vastamine ja kirjavahetuse pidamine
Isikute andmeid, kes võtavad administraatoriga ühendust kontaktvormi, e-posti või telefoni teel, töödeldakse eesmärgiga vastata päringutele ja pidada jooksuvat kirjavahetust.

Õiguslik alus:
GDPR art. 6 lg 1 punkt f – administraatori õigustatud huvi.

4.6. Arveldus, raamatupidamine ja arhiveerimine
Isikuandmeid töödeldakse eesmärgiga täita raamatupidamisest, maksustamisest ja arhiveerimisest tulenevaid kohustusi vastavalt Eesti Vabariigi õigusaktidele.

Õiguslik alus:
GDPR art. 6 lg 1 punkt c – administraatori seadusest tulenev kohustus.

4.7. Veebivormide ja infosüsteemide turvalisus (Cloudflare)
Administraator rakendab tehnilisi ja organisatsioonilisi meetmeid veebilehe ning kontaktvormide kaitsmiseks spämmi, väärkasutuse ja automatiseeritud päringute eest. Selles eesmärgis kasutatakse Cloudflare’i teenuseid, sh Turnstile’i kaitsemehhanisme, mis võivad töödelda järgmisi kasutaja tehnilisi andmeid:

• IP-aadress,
• brauseri- ja operatsioonisüsteemi andmed,
• tehniline teave, mis on vajalik väärkasutuse riskihinnanguks.

Neid andmeid töödeldakse üksnes turvalisuse tagamiseks ja infosüsteemide terviklikkuse kaitseks.

Õiguslik alus:
GDPR art. 6 lg 1 punkt f – administraatori õigustatud huvi kaitsta veebilehte ja isikuandmeid.

4.8. Õigusnõuete esitamine ja kaitsmine
Isikuandmeid võidakse töödelda eesmärgiga tuvastada, esitada või kaitsta juriidilisi nõudeid.

Õiguslik alus:
GDPR art. 6 lg 1 punkt f – administraatori õigustatud huvi.

4.9. Kohustuste täitmine avalike asutuste ees
Isikuandmeid võidakse edastada pädevatele avalik-õiguslikele asutustele, kohtutele või järelevalveorganitele ulatuses, mis on vajalik seadusest tulenevate kohustuste täitmiseks.

Õiguslik alus:
GDPR art. 6 lg 1 punkt c – seadusest tulenev kohustus.

5. Isikuandmete töötlemise õiguslikud alused

Administraator töötleb isikuandmeid üksnes juhul, kui töötlemiseks on selge ja kehtivatest õigusaktidest tulenev õiguslik alus, mis põhineb:
– Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusel (EL) 2016/679 (GDPR),
– Eesti Vabariigi isikuandmete kaitse seadusel – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Isikuandmete töötlemine toimub alati kooskõlas GDPR artikkel 5 ja IKS § 11 sätestatud põhimõtetega, sealhulgas eelkõige seaduslikkuse, aususe ja läbipaistvuse, eesmärgipiiratuse, andmete minimaalsuse, andmete tervikluse ja konfidentsiaalsuse põhimõtetega.

5.1. Isikuandmete töötlemise õiguslikud alused (GDPR artikkel 6)
Administraator töötleb isikuandmeid järgmistel õiguslikel alustel:

a) Andmesubjekti nõusolek
(GDPR art. 6 lg 1 punkt a; IKS § 10 lg 1)
Kohaldub olukordades, kus andmesubjekt annab vabatahtliku, konkreetse ja üheselt mõistetava nõusoleku, eelkõige:

• osalemiseks tulevastes värbamisprotsessides,
• andmete edastamiseks potentsiaalsele tööandjale,
• vabatahtlikult esitatud lisateabe (nt kujutis, foto) töötlemiseks.

Andmesubjektil on õigus nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist toimunud töötlemise seaduslikkust (GDPR art. 7 lg 3).

b) Lepingu täitmine või lepingu sõlmimisele eelnev tegevus
(GDPR art. 6 lg 1 punkt b; IKS § 10 lg 1 p 2)

• värbamisprotsesside ja töövahendusteenuste läbiviimiseks,
• klientide ja lepingupartneritega koostöösuhete alustamiseks ja täitmiseks,
• teenusepakkumiste ettevalmistamiseks ja elluviimiseks,
• igapäevase operatiivse suhtluse tagamiseks lepingu kehtivuse ajal.

c) Administraatorile lasuva õigusliku kohustuse täitmine
(GDPR art. 6 lg 1 punkt c; IKS § 10 lg 1 p 3)
Hõlmab andmete töötlemist, mis on nõutav Eesti ja EL-i õigusaktide alusel, eelkõige:

• Raamatupidamise seaduse § 12–13 järgne kohustus hoida raamatupidamisdokumente 7 aasta jooksul,
• maksukohustuste ja aruandluskohustuste täitmine,
• avalik-õiguslike kontrollide ja finantsaudititega seotud kohustused.

d) Administraatori õigustatud huvi
(GDPR art. 6 lg 1 punkt f; IKS § 11 lg 2)
Isikuandmete töötlemine, mis on vajalik administraatori õigustatud eesmärkide saavutamiseks, näiteks:

• igapäevase kommunikatsiooni ja päringute käsitlemine,
• kutse- ja ärisuhete arendamine ning B2B-koostöö laiendamine,
• otsene turundus ärikeskkonnas (kooskõlas Elektroonilise side seadus § 102-ga),
• infosüsteemide, kontaktvormide ja dokumentide turvalisuse tagamine,
• pettuste, väärkasutuse, rünnete ja spämmi ennetamine ja tõkestamine,
• õigusnõuete esitamine, kaitsmine või nendega seonduvaks valmistumine.

Administraator hindab igal üksikjuhul, kas tema õigustatud huvid ei kahjusta ülemääraselt andmesubjekti põhiõigusi ja -vabadusi (GDPR art. 6 lg 1 punkt f koostoimes GDPR põhjendusega 47).

e) Üldist huvi pakkuva ülesande täitmine
(GDPR art. 6 lg 1 punkt e; IKS § 10 lg 1 p 4)
Kohaldub isikuandmete töötlemisele projektide raames, mida viivad ellu või juhivad avalik-õiguslikud asutused, eriti tööturu- ja tööjõumobiilsuse programmide puhul (nt Eesti Töötukassa, EURES, EL-i programmid), kui selline töötlemine aset leiab.

5.2. Eritingimustega isikuandmete töötlemine (GDPR artikkel 9)
Administraator ei töötle üldjuhul eriliiki isikuandmeid GDPR art. 9 lg 1 tähenduses. Kui andmesubjekt avaldab vabatahtlikult sellist teavet (nt andmed terviseseisundi või puude kohta):

• toimub töötlemine üksnes selgesõnalise nõusoleku alusel (GDPR art. 9 lg 2 punkt a; IKS § 21),
• andmed on kaitstud kõrgendatud tehniliste ja organisatsiooniliste turvameetmetega (GDPR art. 32),
• nõusoleku andmata jätmine ei too kaasa negatiivseid tagajärgi.

5.3. Isikuandmete töötlemise üldpõhimõtted
Administraator tagab, et kõik isikuandmete töötlemistoimingud viiakse läbi kooskõlas:
– GDPR artiklitega 5 ja 6,
– Isikuandmete kaitse seaduse §-ga 11,
– GDPR artikliga 32 – seoses töötlemise turvalisusega,
– GDPR artikliga 24 – vastutuse ja tõendatavuse põhimõttega.

Administraator ei kasuta automatiseeritud profileerimist ega tee automatiseeritud otsuseid GDPR art. 22 tähenduses.

5.4. Vastavushindamine ja sisemine dokumentatsioon
GDPR-i ja Eesti õiguse nõuetele vastavuse tagamiseks peab administraator järjepidevalt ja ajakohastatult:

• isikuandmete töötlemistoimingute registrit (GDPR art. 30),
• õigustatud huvi kaalutlusotsuseid juhtudel, kui töötlemine põhineb GDPR art. 6 lg 1 punktil f,
• teavet ja dokumentatsiooni infoturbe ning rakendatud turvameetmete kohta,
• andmekaitserikkumiste käsitlemise protseduure (GDPR art. 33–34, IKS § 23).

6. Isikuandmete kogumise allikad

Administraatori poolt töödeldavad isikuandmed pärinevad üksnes õiguspärastest allikatest ning neid kogutakse viisil, mis vastab kehtivatele õigusaktidele, eriti Euroopa Liidu määruse (EL) 2016/679 (GDPR) artiklitele 13 ja 14 ning asjakohastele Isikuandmete kaitse seaduse sätetele.

Juhul kui isikuandmeid saadakse muudest allikatest kui otse andmesubjektilt, täidab administraator teavitamiskohustuse mõistliku aja jooksul, kuid mitte hiljem kui 30 päeva jooksul alates andmete saamise kuupäevast, välja arvatud juhul, kui seadus näeb ette teisiti.

6.1. Otseselt andmesubjektidelt kogutavad andmed
Isikuandmed edastatakse administraatorile vabatahtlikult füüsiliste isikute poolt, eeskätt järgmiste kanalite kaudu:

• veebilehel kättesaadavad kontaktivormid,
• e-kirjavahetus,
• telefonivestlused ja veebikoosolekud,
• administraatori poolt avaldatud värbamisreklaamidele vastamine,
• igapäevane suhtlus koostöö või ärisuhete raames.

Edastatavate andmete maht sõltub kontakti iseloomust ja eesmärgist, milleks isik administraatoriga ühendust võtab.

6.2. Andmed, mis kogutakse värbamisprotsesside käigus
Tööle kandideerijate puhul kogutakse isikuandmeid üksnes:

• otse kandidaadilt vastusena administraatori poolt avaldatud konkreetsele tööpakkumisele,
• kandidaadi enda algatatud suhtluse teel seoses konkreetse ametikohaga.

Administraator ei kogu ega töötle elulookirjeldusi ega muid kandidaadiandmeid, mis saadetakse spontaanselt ajal, mil aktiivseid värbamisprotsesse ei toimu või andmed ei ole seotud konkreetse tööpakkumisega.
Sellised andmed kustutatakse viivituseta ega ole kasutatavad ühegi värbamisprotsessi eesmärgil.

Administraator ei kasuta varjatud allikaid ega kogu andmeid isikute era- või suletud sotsiaalmeediaprofiilidest.

6.3. Kliendilt, lepingupartneritelt ja koostööpartneritelt saadud andmed
Klientide, partnerite ja nende esindajate andmed pärinevad:

• otsestest tööalastest kontaktidest,
• läbirääkimiste, lepingute sõlmimise ja täitmise käigus,
• avalikult kättesaadavatest allikatest, mis on seotud kutse- või ettevõtlustegevusega.

Nende andmete töötlemine toimub üksnes ulatuses, mis on vajalik ärilise koostöö, operatiivse suhtluse ning seadusest tulenevate kohustuste täitmiseks.

6.4. Avalik-õiguslike asutuste ja institutsioonide esindajate andmed
Administraator töötleb avalik-õiguslike asutuste, järelevalveorganite ja teiste institutsioonide esindajate isikuandmeid üksnes ulatuses, mis on vajalik:

• ametliku kirjavahetuse pidamiseks,
• õiguslike kohustuste täitmiseks,
• koostööks pädevate ametiasutustega.

Töödeldavad andmed hõlmavad eeskätt nime, ametlikku e-posti aadressi, ametikohta või rolli ning muud teavet, mis on edastatud ametliku suhtluse käigus.
Õiguslikuks aluseks on eelkõige GDPR art. 6 lg 1 punktid c ja f.

6.5. Tehnilised andmed ja turvamehhanismid
Administraatori veebilehe ja kontaktivormide kasutamisel võidakse automaatselt töödelda järgmisi tehnilisi andmeid:

• IP-aadress,
• ühenduse kuupäev ja kellaaeg,
• tehniline teave kasutatavast brauserist ja operatsioonisüsteemist,
• andmed, mis on vajalikud turvalise ühenduse tagamiseks.

Kontaktvormide kaitsmiseks väärkasutuse, spämmi ja automatiseeritud päringute eest kasutab administraator turvainfrastruktuuri teenusepakkujat (Cloudflare, Inc.).
Selle raames võidakse töödelda kasutaja tehnilisi andmeid, sealhulgas IP-aadressi ja ühenduse tehnilisi tunnuseid.

Töötlemise õiguslik alus:
– GDPR art. 6 lg 1 punkt f – administraatori õigustatud huvi tagada infosüsteemide turvalisus ja kaitse väärkasutuse eest,
– asjakohased kaitsemeetmed ja õiguslikud mehhanismid, mis on ette nähtud andmete edastamisel väljapoole Euroopa Liitu.

6.6. Registri-, raamatupidamis- ja dokumentatsiooniandmed
Konto-, maksundus- ja arhiveerimiseesmärkidel töödeldavad andmed pärinevad:

• otse klientidelt ja lepingupartneritelt,
• lepingudokumentidest ja arveldusmaterjalidest,
• ametlikust kirjavahetusest, mis on seotud majandustegevusega.

Nende andmete töötlemise ulatus ja säilitamisaeg tulenevad otseselt kehtivatest Eesti ja Euroopa Liidu õigusaktidest.

7. Isikuandmete saajad

Hansa Careersi (Handke Holding OÜ) tegevuse raames töödeldavaid isikuandmeid edastatakse üksnes neile saajatele, kes:
– on õigustatud andmeid saama vastavalt kehtivatele õigusaktidele, või
– töötlevad andmeid administraatori ülesandel konkreetsete äri- või õiguslike eesmärkide saavutamiseks.

Iga andmete edastamine toimub kooskõlas määruse (EL) 2016/679 artiklite 28 ning 44–49 nõuetega ja asjakohaste Isikuandmete kaitse seaduse sätetega, järgides andmete minimaalsuse, konfidentsiaalsuse ja eesmärgi piirangu põhimõtteid.

7.1. Potentsiaalsed tööandjad ja värbamiskoostöö partnerid
Kandidaatide andmeid võidakse edastada potentsiaalsetele tööandjatele või värbamiskoostöö partneritele üksnes:

• konkreetse värbamisprotsessi raames,
• pärast kandidaadi eelnevat teavitamist,
• ulatuses, mis on vajalik kutsealaste oskuste ja sobivuse hindamiseks,
• asjakohasel õiguslikul alusel, eelkõige kandidaadi nõusolekul või enne lepingu sõlmimist tehtavate toimingute alusel.

Andmeid ei edastata massiliselt ega kasutata väljaspool selgelt määratletud värbamisprotsessi.

7.2. Tehnilised ja organisatsioonilised teenusepakkujad
Isikuandmeid võidakse usaldada töötlemiseks partneritele, kes toetavad administraatori tegevust, sealhulgas:

• serveri- ja veebimajutusteenuste pakkujad,
• e-posti ja kontaktivormide teenusepakkujad,
• IT-tööriistade ja kommunikatsioonisüsteemide pakkujad,
• veebikoosolekute ja videokommunikatsiooni platvormid,
• turbe- ja väärkasutusevastaste lahenduste pakkujad, sealhulgas vormide kaitsesüsteemid,
• raamatupidamis- ja arvestusbürood,
• õigusbürood ning maksundus- ja ärinõustajad.

Need teenusepakkujad töötlevad andmeid üksnes isikuandmete töötlemise lepingute alusel ning on kohustatud:
– tagama konfidentsiaalsuse,
– rakendama sobivaid tehnilisi ja organisatsioonilisi turvameetmeid,
– töötlema andmeid üksnes administraatori dokumenteeritud juhiste alusel.

7.3. Kandidaadid ja kliendid
Isikuandmeid võidakse edastada kandidaatidele või klientidele üksnes ulatuses, mis on vajalik konkreetse eesmärgi saavutamiseks, sealhulgas:

• kandidaadile töötingimuste, töökoha või tööandja profiili tutvustamiseks,
• kliendile kandidaadi profiili edastamiseks värbamisprotsessi käigus.

Andmete edastamise ulatus on alati piiratud minimaalselt ja sõltub protsessi etapist.

7.4. Avalik-õiguslikud organid ja institutsioonid
Isikuandmeid võidakse edastada pädevatele avalik-õiguslikele asutustele üksnes ulatuses, mis tuleneb seadusest, sealhulgas:

• maksuhaldurile,
• tööturuasutustele ja töötukassale,
• andmekaitse järelevalveasutusele,
• kohtutele, õiguskaitseorganitele ja teistele kontrolliasutustele,
• ELi ja EMP institutsioonidele.

7.5. Veebikohtumiste ja kaugside teenusepakkujad
Veebikoosolekute või kaugside kasutamisel võivad teenusepakkujad töödelda andmeid nagu nimi, e-posti aadress või ühenduse tehnilised andmed.
Töötlemine toimub üksnes suhtluse võimaldamiseks ja kohtumiste läbiviimiseks ning tugineb administraatori õigustatud huvile või tegevusele enne lepingu sõlmimist.

7.6. Tehniliste andmete saajad turvalisuse eesmärgil
Veebilehe, IT-infrastruktuuri ja kontaktivormide turvalisuse tagamiseks võivad tehnilisi kasutajaandmeid (sh IP-aadress või ühenduse metadata) töödelda turvateenuse pakkujad.
Andmete edastamisel väljapoole Euroopa Liitu rakendatakse asjakohaseid õiguslikke kaitsemeetmeid vastavalt GDPR artiklitele 44–49.

7.7. Üldpõhimõtted andmete edastamisel
Administraator:

• ei müü isikuandmeid,
• ei edasta andmeid kolmandatele isikutele ilma õigusliku aluseta,
• ei edasta andmeid reklaami-, turundus- ega profiilianalüüsi eesmärkidel,
• ei edasta andmeid sotsiaalmeediaplatvormidele ega kommertsteenustele turunduseesmärkidel.

Kõik andmete saajad töötlevad neid kooskõlas turvalisuse, konfidentsiaalsuse ja eesmärgipiirangu põhimõtetega ning üksnes ulatuses, mis on vajalik neile pandud ülesande täitmiseks.

8. Isikuandmete edastamine väljapoole Euroopa Majanduspiirkonda (EMP)

Üldjuhul ei edasta vastutav töötleja isikuandmeid väljapoole Euroopa Majanduspiirkonda (EMP) ega rahvusvahelistele organisatsioonidele. Isikuandmete töötlemise põhitegevused viiakse läbi Euroopa Liidu territooriumil, eelkõige Euroopa Liidus asuva infrastruktuuri abil, sealhulgas Eesti Vabariigi territooriumil.

Vastutav töötleja kasutab majutus- ja e-posti teenuseid, mida osutab Zone Media OÜ, tegutsedes kaubamärgi zone.ee all, ning mille andmetöötluse infrastruktuur asub Euroopa Liidu territooriumil.
Veebilehe toimimise ja e-posti teel suhtlemisega seoses töödeldavad isikuandmed töödeldakse üldjuhul Euroopa Majanduspiirkonna (EMP) piires ning neile kohaldub määrusest (EL) 2016/679 (GDPR) tulenev kaitse.

Veebilehe ja kontaktvormide turvalisuse tagamiseks ning väärkasutuse ja automatiseeritud tegevuste ennetamiseks kasutab vastutav töötleja ka ettevõtte Cloudflare, Inc. osutatavaid teenuseid. Sellega seoses võidakse töödelda tehnilisi andmeid, sealhulgas IP-aadressi, võrguühenduse andmeid, teavet brauseri ja seadme kohta ning andmeid, mis on vajalikud päringu turvalisuse hindamiseks. Cloudflare’i infrastruktuuri globaalse iseloomu tõttu võivad need andmed olla edastatud või kättesaadavaks tehtud väljaspool EMP-d, eelkõige Ameerika Ühendriikides.

Isikuandmete edastamine Cloudflare’i teenuste kasutamise raames toimub kooskõlas GDPR V peatükiga, eelkõige Euroopa Komisjoni poolt heaks kiidetud standardsete lepinguklauslite (GDPR artikkel 46) alusel ning – juhul kui see on kohaldatav – Euroopa Liidu ja Ameerika Ühendriikide andmekaitseraamistiku (EU–US Data Privacy Framework) alusel.
Vastutav töötleja rakendab täiendavaid tehnilisi ja korralduslikke meetmeid, sealhulgas andmeedastuse krüpteerimist ning töödeldavate andmete mahu piiramist miinimumini, mis on vajalik teenuse turvalisuse tagamiseks.

Vastutav töötleja kasutab dokumentide elektroonilise allkirjastamise teenuseid, mida osutab SignRequest B.V. Nende teenuste kasutamisega seoses võidakse isikuandmeid edastada väljapoole Euroopa Majanduspiirkonda (EMP), eelkõige kolmandatesse riikidesse, sealhulgas Ameerika Ühendriikidesse.
Sellised edastamised toimuvad kooskõlas GDPR V peatükiga, Euroopa Komisjoni poolt heaks kiidetud standardsete lepinguklauslite (GDPR artikkel 46) alusel, nagu on sätestatud andmetöötluse lisas (Data Processing Addendum), mis moodustab teenuse kasutustingimuste lahutamatu osa.

Vastutav töötleja võimaldab veebipõhiste kohtumiste läbiviimist videokommunikatsiooni vahendite abil, eelkõige teenuse Whereby kaudu. Veebipõhiste kohtumiste raames töödeldavad andmed töödeldakse üldjuhul Euroopa Majanduspiirkonna (EMP) piires.
Tehnilise infrastruktuuri globaalse iseloomu ning kohtumistel osalejate geograafilise asukoha tõttu võib piiratud ja juhuslikel juhtudel toimuda isikuandmete edastamine väljapoole EMP-d. Sellised edastamised toimuvad GDPR-is nõutud asjakohaste kaitsemeetmete rakendamisel, eelkõige standardsete lepinguklauslite või muude seaduslike andmeedastusmehhanismide alusel.

Välja arvatud eespool nimetatud juhtudel, ei teosta vastutav töötleja isikuandmete püsivat ega kavandatud edastamist kolmandatesse riikidesse. Värbamisprotsessid, suhtlus klientide ja äripartneritega, e-posti teel suhtlemine ning igapäevane operatiivtegevus viiakse läbi selliste tööriistade ja teenuste abil, mis töötlevad isikuandmeid üldjuhul Euroopa Liidu territooriumil.

Vastutav töötleja lubab kontaktivõtmist väliste internetipõhiste suhtlusvahendite kaudu üksnes kontakti algatanud isiku initsiatiivil ja üksnes informatiivsetel eesmärkidel. Selliste vahendite serverite võimaliku paiknemise tõttu väljaspool EMP-d ei käsitleta neid isikuandmetega seotud küsimustes soovitatavate ega turvaliste suhtluskanalitena.
Vastutav töötleja soovitab edastada kandideerimisdokumendid, eriliiki isikuandmed ning muu tundliku teabe üksnes ametlike suhtluskanalite kaudu.

Isikuandmete edastamisel väljapoole EMP-d tagab vastutav töötleja, et selline edastamine toimub üksnes ulatuses, mis on vajalik kindlaksmääratud eesmärgi saavutamiseks, pärast edastamisega seotud riskide hindamist ning kooskõlas andmete minimeerimise, konfidentsiaalsuse ja töötlemise turvalisuse põhimõtetega vastavalt GDPR artiklitele 32 ja 44–49.

9. Isikuandmete säilitamise periood

Administraator säilitab isikuandmeid üksnes perioodi jooksul, mis on vajalik nende kogumise eesmärkide täitmiseks, kooskõlas määruse (EL) 2016/679 (GDPR) artikli 5 lõike 1 punkti e ning Isikuandmete kaitse seaduse (IKS) § 17 nõuetega.

Pärast asjaomaste säilitamistähtaegade möödumist kustutatakse andmed jäädavalt, muudetakse anonüümseks või arhiveeritakse viisil, mis ei võimalda isiku tuvastamist, välja arvatud juhul, kui Eesti või Euroopa Liidu õigusaktid nõuavad nende pikemat säilitamist.

Säilitustähtajad määratakse, võttes arvesse:

• töötlemise eesmärki,
• töötlemise õiguslikku alust,
• suhet andmesubjektiga,
• Eesti õiguses sätestatud nõuete aegumistähtaegu.

9.1. Kandidaadiandmed

a) Isikuandmed, mida töödeldakse konkreetse tööpakkumisega seotud värbamisprotsessi raames (art 6 lg 1 p b GDPR), säilitatakse perioodi, mis on vajalik administraatori teenustega seotud võimalike nõuete tuvastamiseks, esitamiseks ja kaitseks.

b) Andmed, mida töödeldakse administraatori algatusel värbamisega seotud kontaktide jaoks (art 6 lg 1 p f GDPR), säilitatakse kuni vastava kontakti lõppemiseni.

c) Andmed, mis on edastatud potentsiaalsele tööandjale konkreetse värbamisprotsessi läbiviimiseks (art 6 lg 1 p a GDPR), säilitatakse kuni nõusoleku tagasivõtmiseni või värbamisprotsessi lõpuni – sõltuvalt sellest, kumb saabub varem.

d) Andmed, mida töödeldakse värbamisteenustega seotud teenuste arveldamiseks klientidega (art 6 lg 1 p f GDPR), säilitatakse kuni nõuete aegumiseni pärast lepingu lõppemist, üldjuhul 3 aastat kalendriaasta lõpu seisuga vastavalt Eesti õigusele.

e) Andmed, mida töödeldakse nõuete esitamiseks, tuvastamiseks või kaitsmiseks (art 6 lg 1 p f GDPR), säilitatakse samuti kuni aegumistähtaegadeni, üldjuhul 3 aastat, välja arvatud juhul, kui seadus sätestab pikema tähtaja.

f) Andmed, mida töödeldakse administraatori tegevusega seotud päringutele vastamiseks (art 6 lg 1 p f GDPR), säilitatakse perioodi jooksul, mis on vajalik vastava asja lahendamiseks.

g) Andmed, mida säilitatakse kandidaadi nõusolekul tulevaste värbamiste jaoks (art 6 lg 1 p a GDPR), säilitatakse kuni 12 kuud alates nõusoleku andmisest või kuni selle tagasivõtmiseni – sõltuvalt sellest, kumb saabub varem.

h) Kandideerimisdokumendid (nt CV-d), mis saadetakse väljaspool konkreetset tööpakkumist või ajal, mil administraator ei vii läbi aktiivset värbamist, ei kuulu töötlemisele ning kustutatakse viivitamata.

9.2. Kliendiandmed

a) Isikuandmed, mida töödeldakse lepingu sõlmimiseks ja täitmiseks (art 6 lg 1 p b GDPR), säilitatakse perioodi jooksul, mis tuleneb Eesti õigusest, eelkõige raamatupidamise ja maksuarvestuse nõuetest – üldjuhul 7 aastat, kui õigusaktid ei näe ette pikemat perioodi.

b) Andmed, mida töödeldakse lepingu sõlmimise, täitmise või arveldamisega seotud kommunikatsiooni jaoks (art 6 lg 1 p f GDPR), säilitatakse koostöö kestel, välja arvatud juhul, kui andmeid on vaja säilitada teisel õiguspärasel eesmärgil.

c) Andmed, mida töödeldakse aruandluse, raamatupidamise ja maksukohustuste täitmiseks (art 6 lg 1 p c GDPR), säilitatakse Eesti õigusega ette nähtud tähtaja jooksul – üldjuhul 7 aastat.

d) Andmed, mida töödeldakse lepingu täitmisest tulenevate nõuete esitamiseks või kaitsmiseks (art 6 lg 1 p f GDPR), säilitatakse kuni nõuete aegumiseni, üldjuhul 3 aastat.

9.3. Muud andmekategooriad

a) Potentsiaalsete klientide ja lepingupartnerite andmeid säilitatakse perioodi jooksul, mis on vajalik kontakti või koostöö eesmärgi täitmiseks, mitte kauem kui 3 aastat alates viimasest kontaktist, välja arvatud juhul, kui vaja on pikemat säilitamist nõuete kaitsmiseks.

b) Tarnijate, teenuseosutajate ja koostööpartnerite andmeid säilitatakse koostöö kestel ning pärast selle lõppemist kooskõlas aegumistähtaegade ning raamatupidamis- ja maksukohustustega.

c) Isikute andmeid, kes võtavad administraatoriga ühendust, säilitatakse perioodi jooksul, mis on vajalik vastamiseks ja asja lõpetamiseks, ning vajaduse korral aegumistähtaegade jooksul, mitte kauem kui 3 aastat.

d) Avaliku sektori asutuste esindajate andmeid säilitatakse perioodi jooksul, mis on vajalik õigusliku kohustuse täitmiseks või asja lahendamiseks, ning arhiveerimise eesmärgil mitte kauem kui 10 aastat.

9.4. Tehnilised andmed ja kontaktivormide turvalisus
Tehnilisi andmeid, mida töödeldakse kontaktivormide turvamiseks (Cloudflare Turnstile), sealhulgas IP-aadressi ja tehnilisi ühenduse andmeid, töödeldakse automaatselt ning lühiajaliselt üksnes riskihindamiseks, väärkasutuse vältimiseks ja teenuse turvalisuse tagamiseks.

Neid andmeid ei säilitata administraatori poolt ega kasutata turunduseks või profiilianalüütikaks. Säilitamisaeg sõltub teenusepakkuja tehnilistest protseduuridest ja võib hõlmata lühiajalisi tehnilisi logisid, mis säilitatakse vaid seni, kuni see on vajalik süsteemi turvalisuse tagamiseks või võimalike intsidentide analüüsiks.

Turvaintsidentide puudumisel neid andmeid pikaajaliselt ei säilitata.

9.5. Lõppsätted
Pärast ülaltoodud perioodide möödumist kustutatakse isikuandmed jäädavalt, muudetakse anonüümseks või arhiveeritakse viisil, mis ei võimalda isiku tuvastamist, vastavalt IKS § 17 lg 4.

Administraator vaatab regulaarselt üle säilitatavad andmed ning nende töötlemise vajalikkuse, tagades, et andmeid ei säilitata kauem, kui on vajalik nende kogumise eesmärkide täitmiseks.

10. Andmete esitamise vabatahtlikkus

10.1. Isikuandmete esitamine on üldjuhul vabatahtlik. Mõnel juhul on teatud andmete esitamine siiski vältimatult vajalik konkreetsete toimingute läbiviimiseks, teenuste osutamiseks, värbamisprotsessi läbiviimiseks või lepingu sõlmimiseks ja täitmiseks administraatoriga. Nõutud andmete esitamata jätmine võib põhjustada võimatuse teatud tegevusi teostada või konkreetset eesmärki saavutada.

10.2. Eelkõige:

• värbamisprotsessis osalemine eeldab kontaktandmete ning kandideerimisdokumentide esitamist;
• päringute esitamine kontaktivormi või e-posti teel eeldab saatja tuvastamiseks vajalike andmete esitamist;
• lepingu sõlmimine, täitmine või arveldamine eeldab selliste andmete esitamist, mis on vajalikud lepinguliste, maksualaste või raamatupidamiskohustuste täitmiseks;
• veebilehel pakutavate funktsioonide kasutamine võib nõuda teatud põhiliste tehniliste andmete töötlemist, mis on vajalikud süsteemide turvalisuse ja nõuetekohase toimimise tagamiseks.

10.3. Administraator teavitab alati, millised andmed on konkreetse eesmärgi täitmiseks hädavajalikud ning milliste esitamine on vabatahtlik. Töödeldavate andmete ulatus piiratakse minimaalselt vajalike andmetega, kooskõlas andmete minimaalsuse põhimõttega GDPR art 5 lg 1 punkt c kohaselt.

10.4. Juhtudel, kui andmete töötlemine põhineb andmesubjekti nõusolekul, on nõusoleku andmine täielikult vabatahtlik. Nõusolekut võib igal ajal tagasi võtta ilma, et see mõjutaks enne tagasivõtmist toimunud töötlemise seaduslikkust, vastavalt GDPR art 7 lg 3.

10.5. Administraator teeb kõik mõistlikult vajalikud toimingud, et tagada isikuandmete töötlemise läbipaistvus ning võimaldada andmesubjektidel tegelikku kontrolli esitatud andmete ulatuse, eesmärgi ja töötlemise aja üle.

11. Andmete säilitamise asukoht ja turvameetmed

11.1. Vastutava töötleja poolt töödeldavad isikuandmed säilitatakse üksnes elektroonilisel kujul, seadmetes ja süsteemides, mis on vastutava töötleja ainuvalduse all, samuti vastutava töötleja äritegevuse käigus kasutatavate väliste teenuseosutajate süsteemides, eelkõige majutus- ja e-posti teenustes ning elektrooniliste dokumentide allkirjastamise vahendites.
Üldjuhul säilitatakse isikuandmeid Euroopa Majanduspiirkonna (EMP) territooriumil; juhul kui isikuandmeid töödeldakse väljaspool EMP-d, toimub see üksnes kooskõlas GDPR V peatükiga, eelkõige Euroopa Komisjoni poolt heaks kiidetud standardsete lepinguklauslite alusel (GDPR artikkel 46).

11.2. Isikuandmete töötlemise ja säilitamise füüsilised ja virtuaalsed asukohad hõlmavad eelkõige:

• vastutava töötleja krüpteeritud sülearvutit, mis on kaitstud parooliga, täisketta krüpteerimise ja mitmeastmelise autentimisega;
• krüpteeritud välist andmekandjat, mida kasutatakse perioodiliste varukoopiate loomiseks ning mida hoitakse turvalises kohas, eraldatuna põhisüsteemist;
• majutus- ja e-posti teenusepakkuja Zone Media OÜ (zone.ee) infrastruktuuri, asukohaga Lõõtsa 5, 11415 Tallinn, Eesti, mille serverid paiknevad Euroopa Liidu territooriumil ning mille rakendatavad turvameetmed vastavad GDPR artikli 32 nõuetele ja Isikuandmete kaitse seaduse asjakohastele sätetele;
• väliste teenuseosutajate süsteeme, mida kasutatakse elektrooniliselt allkirjastatud dokumentide, eelkõige lepingute ja vastutava töötleja tegevusega seotud dokumentide allkirjastamiseks ja säilitamiseks, mis toimivad üldjuhul EMP piires või – juhul kui isikuandmeid töödeldakse väljaspool EMP-d – GDPR artiklis 46 sätestatud mehhanismide, eelkõige standardsete lepinguklauslite alusel;
• veebipõhiste kohtumiste läbiviimiseks kasutatavate suhtlusvahendite süsteeme, kusjuures vastutav töötleja ei salvesta ega säilita selliste kohtumiste heli- ega videosalvestisi.

11.3. Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemisel riskile vastav turvalisuse tase, kooskõlas GDPR artikliga 32 ning Isikuandmete kaitse seaduse sätetega. Need meetmed hõlmavad eelkõige:

• andmeedastuse krüpteerimist (SSL/TLS);
• seadmete ja andmekandjate krüpteerimist;
• juurdepääsu piiramist isikuandmetele üksnes vastutavale töötlejale;
• tugevate ja unikaalsete paroolide ning mitmeastmelise autentimise kasutamist;
• operatsioonisüsteemide, tarkvara ja turvameetmete regulaarset ajakohastamist;
• varukoopiate loomist ja nende turvalist säilitamist;
• tulemüüride ja turvatarkvara kasutamist;
• seadmete automaatset lukustamist ning riistvara füüsilist kaitset volitamata juurdepääsu eest;
• isikliku või ebapiisavalt kaitstud seadmete mittekasutamist isikuandmete töötlemisel;
• koostööd üksnes selliste teenuseosutajatega, kes tagavad GDPR-iga kooskõla;
• andmete töötlemise usaldamisega seotud dokumentatsiooni pidamist ning intsidentide registreerimist;
• isikuandmete kaitse rikkumistele reageerimise menetluste rakendamist vastavalt GDPR artiklitele 33–34;
• rakendatud turvameetmete ja juurdepääsuõiguste regulaarset läbivaatamist vastavalt põhimõtetele „privacy by design” ja „privacy by default” (GDPR artikkel 25).

12. Sinu õigused seoses isikuandmete töötlemisega

Isikutel, kelle isikuandmeid administraator töötleb, on õigused, mis tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 (GDPR) ning Eesti Vabariigi isikuandmete kaitse seadusest (Isikuandmete kaitse seadus). Administraator tagab kõigi andmesubjektide õiguste austamise ja kasutamise kooskõlas kehtivate õigusaktidega.

Eelkõige on Sul õigus saada selget ja läbipaistvat teavet andmete töötlemise kohta, õigus juurdepääsule andmetele, nende parandamisele, töötlemise piiramisele, kustutamisele, andmete ülekandmisele, vastuväite esitamisele andmete töötlemise suhtes ning nõusoleku tagasivõtmisele – ulatuses ja tingimustel, mis on sätestatud GDPR-is.

12.1. Õigus juurdepääsule andmetele ja nende koopiale
Sul on õigus saada kinnitus, kas administraator töötleb Sinu isikuandmeid, ning kui jah – õigus juurdepääsule neile andmetele ja nende koopiale vastavalt GDPR art 15-le. Kui taotlus esitatakse elektrooniliselt, edastatakse teave üldkasutatavas elektroonilises vormingus.

12.2. Õigus andmete parandamisele
Sul on õigus nõuda Sind puudutavate ebaõigete isikuandmete viivitamatut parandamist või puudulike andmete täiendamist vastavalt GDPR art 16-le. Administraator teeb paranduse pärast taotluse põhjendatuse kontrollimist.

12.3. Õigus töötlemise piiramisele

a) kui vaidlustad andmete õigsuse – ajaks, mis on vajalik andmete õigsuse kontrollimiseks;
b) kui andmete töötlemine on ebaseaduslik, kuid Sa ei soovi andmete kustutamist;
c) kui administraator ei vaja andmeid enam nende eesmärgil, kuid need on Sulle vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;
d) kui oled esitanud vastuväite andmete töötlemise suhtes – ajaks, mis on vajalik vastuväite põhjendatuse hindamiseks.

12.4. Õigus andmete kustutamisele
Sul on õigus nõuda isikuandmete kustutamist GDPR art 17-s ette nähtud juhtudel, eelkõige kui andmed ei ole enam vajalikud eesmärkidel, milleks need koguti, kui oled nõusoleku tagasi võtnud või kui andmete töötlemine on toimunud õigusnorme rikkudes.
See õigus ei kohaldu, kui andmete edasine töötlemine on vajalik administraatoril lasuvate õiguslike kohustuste täitmiseks või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks vastavalt GDPR art 17 lg 3-le.

12.5. Õigus andmete ülekantavusele
Sul on õigus saada isikuandmed, mille oled administraatorile esitanud, struktureeritud, üldkasutatavas ja masinloetavas vormingus ning edastada need andmed teisele vastutavale töötlejale, kui töötlemine põhineb nõusolekul või lepingul ning toimub automatiseeritult, vastavalt GDPR art 20-le.

12.6. Õigus esitada vastuväide
Sul on õigus igal ajal esitada vastuväide oma isikuandmete töötlemise suhtes, kui töötlemine toimub administraatori õigustatud huvi alusel (GDPR art 6 lg 1 punkt f).
Pärast vastuväite esitamist lõpetab administraator andmete töötlemise, välja arvatud juhul, kui ta tõendab kaalukate õiguspäraste põhjuste olemasolu, mis kaaluvad üles Sinu huvid, õigused ja vabadused, või kui andmete töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.
Õigus vastuväitele ei kohaldu juhtudel, kui andmeid töödeldakse administraatoril lasuvate õiguslike kohustuste täitmiseks.

12.7. Õigus nõusoleku tagasivõtmiseks
Kui andmete töötlemine toimub nõusoleku alusel, on Sul õigus see nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist toimunud töötlemise seaduslikkust, vastavalt GDPR art 7 lg 3-le.

12.8. Õigus esitada kaebus järelevalveasutusele
Kui leiad, et Sinu isikuandmete töötlemine rikub GDPR-i või Eesti Isikuandmete kaitse seadust, on Sul õigus esitada kaebus pädevale järelevalveasutusele, eelkõige:
Andmekaitse Inspektsioon (AKI) – Eesti isikuandmete kaitse järelevalveasutus.

Kui elad või töötad mõnes teises Euroopa Liidu liikmesriigis, on Sul õigus esitada kaebus ka selle riigi pädevale järelevalveasutusele vastavalt GDPR art 77-le.

12.9. Õigus mitte olla üksnes automatiseeritud otsuste objekt
Sul on õigus mitte olla otsuse suhtes, mis põhineb üksnes automatiseeritud andmetöötlusel, sealhulgas profiilianalüüsil, ja mis tekitab Sinu suhtes õiguslikke tagajärgi või mõjutab Sind muul viisil olulisel määral, vastavalt GDPR art 22-le.
Administraator ei kasuta automatiseeritud otsustamist ega profiilianalüüsi. Kõik kandidaate, kliente ja äripartnereid puudutavad otsused teeb volitatud isik.

12.10. Andmesubjekti õiguste teostamine ja kontakt vastutava töötlejaga
Käesolevas privaatsuspoliitikas sätestatud õiguste teostamiseks võib andmesubjekt võtta vastutava töötlejaga ühendust eelkõige elektrooniliste vahendite kaudu:

e-posti aadress: office@hansacareers.ee

Vastutav töötleja tegutseb täielikult digitaalselt ning soovitab isikuandmete töötlemisega seotud küsimustes kasutada esmase ja kõige turvalisema suhtlusviisina elektroonilist suhtlust. Elektrooniline suhtlus võimaldab taotluste kiiremat menetlemist ning vähendab isikuandmetele volitamata juurdepääsu riski.

Kirjaliku kirjavahetuse võib saata vastutava töötleja registrijärgsele aadressile:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Eesti

Samas ei soovita vastutav töötleja saata posti teel dokumente, mis sisaldavad isikuandmeid, eelkõige kandideerimisdokumente, isikut tõendavate dokumentide koopiaid ega muid tundlikke andmeid. Selliste andmete edastamine posti teel võib olla seotud volitamata avalikustamise riskiga posti töötlemise käigus ning jääb väljapoole vastutava töötleja täielikku kontrolli.

Vastutav töötleja vastab andmesubjekti õiguste teostamisega seotud taotlustele põhjendamatu viivituseta ning igal juhul hiljemalt ühe kuu jooksul alates taotluse kättesaamisest vastavalt GDPR artikli 12 lõikele 3. Eriti keerukatel juhtudel võib seda tähtaega pikendada veel kahe kuu võrra, millest andmesubjekti teavitatakse.

13. Isikuandmete kaitse rikkumised

Isikuandmete kaitse rikkumise – st juhusliku või ebaseadusliku isikuandmete hävitamise, kaotsimineku, muutmise, loata avalikustamise või juurdepääsu – korral võtab administraator viivitamata meetmeid juhtumi tagajärgede piiramiseks ning edaspidiste rikkumiste vältimiseks.

Administraator hindab igal juhul rikkumise iseloomu, ulatust ja võimalikku mõju andmesubjektide õigustele ja vabadustele ning rakendab seejärel asjakohaseid tehnilisi ja korralduslikke meetmeid rikkumise põhjuste kõrvaldamiseks ja tagajärgede vähendamiseks. Kõik andmeturbeintsidendid dokumenteeritakse vastavalt GDPR art 5 lõike 2 põhimõttele (aruandekohustus) ning Isikuandmete kaitse seaduse § 25 lõikele 3.

Kui isikuandmete rikkumine võib põhjustada riski füüsiliste isikute õigustele või vabadustele, teatab administraator juhtunust pädevale järelevalveasutusele — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — hiljemalt 72 tunni jooksul rikkumise avastamisest, vastavalt GDPR art 33-le ja Isikuandmete kaitse seaduse § 25-le, välja arvatud juhul, kui on ebatõenäoline, et rikkumine põhjustab sellist riski.

Juhul kui rikkumine võib põhjustada suurt riski füüsiliste isikute õigustele või vabadustele, teavitab administraator viivitamata puudutatud isikuid rikkumise iseloomust, võimalikest tagajärgedest ning rakendatud või kavandatavatest meetmetest nende tagajärgede vähendamiseks, vastavalt GDPR art 34-le.

Administraatoril on rakendatud siseprotseduur isikuandmete rikkumistele reageerimiseks, mis hõlmab intsidentide tuvastamist, riskianalüüsi, parandusmeetmeid ja teavitamiskohustusi. Protseduuri tõhusust hinnatakse regulaarselt, et tagada vastavus GDPR-ile ja Eesti õigusele ning tagada isikuandmete töötlemisel kõrge turvatase.

14. Automatiseeritud otsustamine ja profiilianalüüs

Administraator ei kasuta automatiseeritud otsustamist ega profiilianalüüsi sellisel kujul, mis tooks kaasa andmesubjekti jaoks õiguslikke tagajärgi või mõjutaks teda oluliselt, nagu sätestatud GDPR art 22-s ning Isikuandmete kaitse seaduse § 23-s.

Kõik kandidaate, kliente ja äripartnereid puudutavad otsused langetatakse inimese poolt, tuginedes esitatud teabele, dokumentidele või kirjavahetusele. Ühtegi otsust ei tehta täielikult automatiseeritult.

Administraator ei kasuta profiilianalüüsi, mis hõlmaks füüsilise isiku isikuomaduste, kvalifikatsioonide, käitumise, eelistuste või tööolukorra automaatset hindamist eesmärgiga teha õiguslikke või muul viisil olulisi otsuseid.

Administraator võib kasutada tehnilisi abivahendeid (nt e-kirjade filtreerimine, sõnumite sortimine või puudulike vormide esialgne klassifitseerimine), kuid need vahendid ei tee iseseisvaid otsuseid ning ei asenda inimese hinnangut.

15. Järelevalveasutus

Kui Sul on kahtlusi selle kohta, kuidas Sinu isikuandmeid töödeldakse, või leiad, et Sinu õigusi, mis tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 (GDPR), on rikutud, on Sul õigus esitada kaebus pädevale järelevalveasutusele, sõltumata elukohast, töökohast või väidetava rikkumise asukohast, vastavalt GDPR artiklile 77 ja Isikuandmete kaitse seaduse § 21-le.

Administraatori tegevuse osas on Eesti Vabariigis pädevaks järelevalveasutuseks:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — tel.: +372 627 4135; e-mail: info@aki.ee; veebileht: https://www.aki.ee.

Kui elad või töötad mõnes teises Euroopa Liidu liikmesriigis, võid esitada kaebuse ka selle riigi pädevale järelevalveasutusele, vastavalt GDPR artiklile 77.

Ajakohane nimekiri EL liikmesriikide andmekaitseasutustest on kättesaadav Euroopa Andmekaitsenõukogu (EDPB) veebilehel: https://edpb.europa.eu.

Administraator soovitab siiski enne järelevalveasutusele kaebuse esitamist võtta temaga otse ühendust isikuandmete töötlemist puudutavates küsimustes, kasutades järgmist e-posti aadressi: office@hansacareers.ee.

Vajaduse korral on võimalik Administratoriga ühendust võtta ka kirjalikult, saates kirjavahetuse tema registrijärgsele aadressile. Juhime viisakalt tähelepanu sellele, et posti teel suhtlemine võib olla isikuandmete jaoks vähem turvaline, mistõttu eelistatud kontaktiviisiks jääb elektrooniline suhtlus.

Administraator teeb kõik endast oleneva, et iga küsimus lahendada ausalt, läbipaistvalt ja GDPR-ile vastavalt, ilma põhjendamatu viivituseta.

16. Kohtupiirkond ja kohalduv õigus

Käesolevale privaatsuspoliitikale kohaldatakse Eesti Vabariigi õigust ning seda tõlgendatakse kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (GDPR) ning Isikuandmete kaitse seaduse sätetega.

Seadusega lubatud ulatuses kuuluvad kõik vaidlused ja nõuded, mis on seotud isikuandmete töötlemise, administraatori veebilehe kasutamise või osutatavate teenustega, Eesti Vabariigi kohtute pädevusse, arvestades administraatori asukoha järgset kohtualluvust.

Käesoleva punkti sätted ei piira ega muuda füüsiliste isikute õigusi, mis tulenevad Euroopa Liidu kohustuslikult kohaldatavatest õigusnormidest, eriti tarbijate kaitset puudutavatest sätetest ning andmesubjektide õigustest nende tavapärases elukohariigis või töökohas Euroopa Liidu või Euroopa Majanduspiirkonna territooriumil.

17. Privaatsuspoliitika uuendused

Administraator võib käesolevat privaatsuspoliitikat perioodiliselt ajakohastada, et tagada selle vastavus kehtivatele õigusaktidele — eriti Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (GDPR) ning Isikuandmete kaitse seadusele — samuti seoses muudatustega tegevuses, kasutatavates tehnoloogiates või isikuandmete töötlemise sisemistes protseduurides.

Alati kehtib administraatori veebilehel avaldatud privaatsuspoliitika versioon, mis on tähistatud viimase uuendamise kuupäevaga. Iga uus versioon asendab varasemad alates selle avaldamise hetkest.

Administraator soovitab privaatsuspoliitikaga regulaarselt tutvuda, et saada ajakohast teavet isikuandmete töötlemise põhimõtete ja isiku õiguste kohta.

Kui muudatused on andmesubjektide seisukohalt olulised — näiteks mõjutavad töötlemise eesmärke või õiguslikke aluseid või muudavad andmete saajate loetelu — teavitab administraator sellest selgelt ja arusaadavalt. Teave võib olla esitatud veebilehel nähtava teate kaudu või, kui võimalik ja administraatoril on isiku kehtiv e-posti aadress, saata e-kirja.

18. Turundustegevus ja kontakt administraatoriga

Administraator teavitab, et veebileht ei kasuta küpsiseid ega muid jälgimistehnoloogiaid ning ei kogu automaatselt isikuandmeid turundus- või analüüsieesmärkidel. Veebilehe kasutamine ei hõlma profiilianalüüsi ega automatiseeritud töötlemist.

Administraatori turundustegevus piirdub üksnes oma värbamisteenuste tutvustamisega — sealhulgas sotsiaalmeedias avaldatavate teadete ja tööpakkumiste kaudu. Administraator ei kasuta veebilehe kasutajate andmeid ega nende käitumist turundusprofiilide loomiseks.

Otsese turunduse raames võib administraator võtta ühendust ettevõtete esindajatega — kasutades näiteks nime, ametikohta või tööalast e-posti aadressi — üksnes oma värbamisteenuste pakkumiseks. Sellise töötlemise õiguslik alus on administraatori õiguspärane huvi ettevõtluse edendamiseks ja oma teenuste tutvustamiseks.

Igal isikul, kellele administraator saadab turunduskommunikatsiooni, on õigus igal ajal esitada vastuväide tema andmete sellisele töötlemisele. Vastuväite saab esitada, saates e-kirja aadressile: office@hansacareers.ee. Pärast vastuväite saamist andmeid enam otseturunduseks ei kasutata.

Administraator võimaldab kasutajatel võtta ise ühendust — nii kontaktvormi kui ka e-posti teel. Sellisel viisil edastatud andmeid, sealhulgas nime, e-posti aadressi ja sõnumi sisu, kasutatakse üksnes vastamiseks, kirjavahetuse pidamiseks või päringute käsitlemiseks, tuginedes administraatori õiguspärasele huvile.

Turundus- ja kontakttegevusega seotud andmeid ei edastata väljapoole Euroopa Majanduspiirkonda (EMÜ) ning nende töötlemine järgib artikli 5 lõikes 1 GDPR sätestatud minimaalsuse, läbipaistvuse ja eesmärgikohasuse põhimõtteid.

19. Küpsised ja sarnased tehnoloogiad

Administraatori veebileht ei kasuta küpsiseid ega muid jälgimistehnoloogiaid, mida tavaliselt kasutatakse turundus-, reklaami- või analüüsieesmärkidel. Administraator ei kogu statistikat kasutajate käitumise kohta, ei kasuta analüüsitööriistu ega salvesta teavet veebilehe kasutamise viisi kohta. Veebilehe kasutamine ei hõlma profiilianalüüsi ega kasutajate jälgimist.

Ainus veebilehel kasutatav väline tehnoloogia on Cloudflare Turnstile, mida kasutatakse üksnes kontaktivormide kaitsmiseks spämmi, automatiseeritud päringute ja kuritarvituste eest. See lahendus ei kasuta turundusküpsiseid, ei jälgi kasutajaid ega analüüsi nende käitumist.

Cloudflare Turnstile’i toimimise käigus võidakse töödelda ainult põhilisi tehnilisi andmeid, näiteks IP-aadressi või brauserisignaale. Töötlemine toimub üksnes teenuse turvalisuse ja vormide tervikluse tagamiseks administraatori õiguspärase huvi alusel.

Kuna veebileht ei kasuta küpsiseid, mis nõuaksid kasutaja nõusolekut, ei ole vaja kuvada küpsiste bännerit ega koguda kasutaja nõusolekut veebilehe kasutamiseks vastavalt ePrivaatsuse direktiivile ja Elektroonilise side seadusele.

Kui administraator rakendab tulevikus küpsiseid või sarnaseid tehnoloogiaid, mis nõuavad kasutaja nõusolekut — näiteks funktsionaalsuse parandamiseks või anonüümse statistika koostamiseks — teavitatakse kasutajaid sellest eelnevalt selgelt ja õigusnormidega kooskõlas. Sellisel juhul kogutakse nõusolek vastavalt ePrivaatsuse, GDPR-i ja Eesti telekommunikatsiooniõiguse nõuetele.

Kasutajad saavad oma küpsiste eelistusi igal ajal hallata brauseri seadetes või võimaliku küpsiste haldamise paneeli kaudu, kui see tulevikus kasutusele võetakse.

20. Serverilogid

Veebilehe kasutamine hõlmab päringute edastamist serverile, kus leht on majutatud. Iga võrgupäring registreeritakse automaatselt nn serverilogides ning see võib sisaldada järgmisi tehnilisi andmeid:

– kasutaja seadme IP-aadress; – päringu kuupäev ja kellaaeg; – teave kasutatava brauseri ja operatsioonisüsteemi kohta; – külastatud alamlehe aadress; – võimalikud tehnilised veateated.

Need andmed on tehnilist laadi ja neid ei kasutata kasutajate otseseks tuvastamiseks ega nende profiilide loomiseks. Neid ei töödelda turundus- ega analüüsieesmärkidel.

Serverilogisid töödeldakse eelkõige järgmistel eesmärkidel: – veebilehe turvalisuse ja stabiilsuse tagamine; – süsteemi või võrgu tehniliste vigade diagnoosimine; – kuritarvituste, sissetungikatsete ja turvaintsidentide tuvastamine.

Serverilogides sisalduvate tehniliste andmete töötlemise õiguslik alus on GDPR artikli 6 lõike 1 punkt f — administraatori õiguspärane huvi tagada infoturbe süsteemide turvalisus vastavalt GDPR artiklile 32 ja Isikuandmete kaitse seaduse § 24-le.

Serveriloge säilitatakse mitte kauem kui 90 päeva, välja arvatud juhtudel, kui nende pikem säilitamine on vajalik turvaintsidendi, kuritarvituse või võimaliku nõuete kaitsega seoses. Pärast selle perioodi lõppu kustutatakse andmed automaatselt või muudetakse anonüümseks.