Privacybeleid

Laatste update: 4 december 2025

1. Algemene informatie en gegevensbeheerder

1.1. Reikwijdte van dit document
Dit document beschrijft de regels voor de verwerking van gegevens van personen die gebruikmaken van de diensten die onder het merk Hansa Careers worden aangeboden door Handke Holding OÜ, een onderneming geregistreerd in de Republiek Estland. Het privacybeleid heeft tot doel op een duidelijke en begrijpelijke wijze uiteen te zetten op welke manier en in welke omvang de gegevens van personen worden verwerkt die in contact treden met de beheerder in het kader van de gevoerde activiteiten.

1.2. Informatie over de verwerkingsverantwoordelijke

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

registratienummer (registrikood): 17387477
EU-btw-nummer: EE102932869

1.3. Aard van de activiteiten
De beheerder verricht diensten op het gebied van arbeidsbemiddeling binnen de Europese Unie en de Europese Economische Ruimte, in het bijzonder door het faciliteren van contact tussen werkgevers en personen die geïnteresseerd zijn in werkgelegenheid.

1.4. Personen waarop dit privacybeleid van toepassing is
Dit privacybeleid is van toepassing op onder meer de volgende personen:

• personen die gebruikmaken van de diensten van de beheerder,
• bezoekers van de website www.hansacareers.ee,
• deelnemers aan wervings- en selectieprocedures,
• personen die contact opnemen met de beheerder voor zakelijke, administratieve of informatieve doeleinden,
• personen die zakelijke correspondentie voeren met de beheerder,
• vertegenwoordigers van publieke of private entiteiten die in formeel contact staan met de beheerder.

1.5. Doeleinden van de verwerking
De in dit beleid beschreven regels hebben betrekking op gegevensverwerking in verband met:

• het beheer en de werking van de website www.hansacareers.ee,
• het verlenen van arbeidsbemiddelingsdiensten,
• de uitvoering van opdrachten van klanten en B2B-samenwerkingen,
• het voeren van lopende zakelijke en administratieve correspondentie,
• het voldoen aan verplichtingen voortvloeiend uit de wetgeving van de Europese Unie en de Republiek Estland.

1.6. Rechtsgrondslag
Dit privacybeleid is opgesteld in overeenstemming met:
– Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (AVG),
– de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus),
– andere algemeen geldende bepalingen van het recht van de Europese Unie en de Republiek Estland.

1.7. Communicatietaal en contactvorm
De belangrijkste voertaal van de Verwerkingsverantwoordelijke is het Engels. Schriftelijke communicatie kan plaatsvinden in elke officiële taal van de Europese Unie of de Europese Economische Ruimte.

De voorkeur geniet en aanbevolen vorm van contact met de Verwerkingsverantwoordelijke is elektronische communicatie, in het bijzonder:
– via het e-mailadres: office@hansacareers.ee,
– via het contactformulier dat beschikbaar is op de website: www.hansacareers.ee,
– telefonisch: +372 5617 1770.

Contact met de Verwerkingsverantwoordelijke kan eveneens plaatsvinden via schriftelijke correspondentie per post naar het adres vermeld in punt 1.2. Met het oog op een efficiënte afhandeling van verzoeken en een passend niveau van bescherming van persoonsgegevens beveelt de Verwerkingsverantwoordelijke, die zijn activiteiten volledig in digitale vorm uitoefent, desalniettemin het gebruik van elektronische communicatiemiddelen aan. Traditionele postcorrespondentie kan, gelet op de aard van de overgedragen informatie, waaronder de mogelijke overdracht van persoonsgegevens, gepaard gaan met een langere verwerkingstijd en een verhoogd risico op gegevensverlies of ongeoorloofde toegang tot deze gegevens.

1.8. Vrijwilligheid van gegevensverstrekking en verantwoordelijkheid van de beheerder
Het verstrekken van persoonsgegevens is vrijwillig, maar in bepaalde gevallen noodzakelijk om gebruik te kunnen maken van de diensten van de beheerder, deel te nemen aan wervingsprocessen of een antwoord op een vraag te ontvangen. Het niet verstrekken van gegevens kan het onmogelijk maken deze doelen te bereiken.

De beheerder is niet verplicht een functionaris voor gegevensbescherming aan te stellen, aangezien de aard en omvang van de verwerkingen niet voldoen aan de criteria van artikel 37, lid 1, AVG.

De beheerder is verantwoordelijk voor:
– de overeenstemming van de gegevensverwerking met de toepasselijke wetgeving,
– het toepassen van passende technische en organisatorische maatregelen om de veiligheid van gegevens te waarborgen,
– het realiseren van de rechten van betrokkenen,
– de samenwerking met de Estse toezichthouder — de Andmekaitse Inspektsioon.

2. Categorie van personen van wie wij gegevens verwerken

In het kader van de activiteiten van Hansa Careers, uitgevoerd door Handke Holding OÜ, worden uitsluitend persoonsgegevens verwerkt die noodzakelijk zijn voor het verrichten van arbeidsbemiddelingsdiensten, het onderhouden van zakelijke relaties en het voeren van operationele en organisatorische communicatie. De verwerking van gegevens vindt plaats in overeenstemming met de beginselen van rechtmatigheid, behoorlijkheid, transparantie en minimale gegevensverwerking zoals beschreven in artikel 5, lid 1, AVG, en is steeds beperkt tot gegevens die relevant en proportioneel zijn voor het doel waarvoor zij worden verwerkt. De beheerder verwerkt persoonsgegevens van de volgende categorieën betrokkenen:

2.1. Kandidaten die deelnemen aan lopende wervingsprocedures
Natuurlijke personen die via Hansa Careers solliciteren in reactie op concrete, op dat moment actieve wervingsprocedures waarvoor vacatures zijn gepubliceerd. De verwerkte gegevens kunnen onder meer bestaan uit informatie in het curriculum vitae, contactgegevens en overige informatie die door de kandidaat wordt verstrekt in verband met de betreffende procedure. Gegevens van kandidaten kunnen worden verkregen:

• rechtstreeks van de kandidaat,
• uit openbaar toegankelijke bronnen, uitsluitend voor zover de kandidaat deze zelf openbaar heeft gemaakt, overeenkomstig artikel 14 AVG.

Deze gegevens worden uitsluitend verwerkt voor de uitvoering van de specifieke wervingsprocedure en uitsluitend verstrekt aan de klant ten behoeve van wie de betreffende procedure wordt uitgevoerd.

2.2. Kandidaten die zich spontaan aanmelden buiten actieve wervingsprocedures
De beheerder verwerkt gegevens van kandidaten uitsluitend in verband met concrete en actieve wervingsprocedures. Wanneer er geen lopende wervingsprocedures zijn of wanneer natuurlijke personen hun gegevens — met name cv’s of berichten — toezenden zonder verband met een specifieke vacature, worden dergelijke gegevens niet aangenomen en niet gebruikt in enige wervingsprocedure. Gegevens die op eigen initiatief worden verzonden, zonder betrekking op een specifieke vacature, worden niet geanalyseerd, niet gearchiveerd en niet doorgegeven, en kunnen onmiddellijk na ontvangst worden verwijderd, tenzij de wetgeving anders bepaalt. De beheerder houdt geen database bij van spontaan aangemelde kandidaten en gebruikt dergelijke aanmeldingen niet in toekomstige wervingsprocedures. Er wordt uitsluitend contact opgenomen met personen die zelf hebben gereageerd op een concrete vacature of die publiekelijk hun interesse in werk hebben kenbaar gemaakt, bijvoorbeeld via eigen berichten op sociale netwerken, en uitsluitend voor zover dit noodzakelijk is om communicatie met betrekking tot de betreffende vacature tot stand te brengen.

2.3. Klanten en hun vertegenwoordigers
Natuurlijke personen en vertegenwoordigers van ondernemingen waarmee de beheerder samenwerkt bij het verlenen van arbeidsbemiddelingsdiensten. De verwerkte gegevens omvatten onder meer naam, contactgegevens, functie en informatie die noodzakelijk is voor de uitvoering van overeenkomsten of zakelijke samenwerkingen.

2.4. Potentiële klanten en zakenpartners
Personen met wie contact is gelegd in verband met een samenwerkingsvoorstel, of van wie gegevens zijn verkregen uit openbaar toegankelijke bronnen, zoals bedrijfswebsites of professionele zakelijke platforms. Deze gegevens worden verwerkt op basis van het gerechtvaardigd belang van de beheerder, bestaande uit het voeren van bedrijfsactiviteiten en het ontwikkelen van zakelijke relaties.

2.5. Contractanten en dienstverleners
Natuurlijke personen die een onderneming drijven, en vertegenwoordigers van entiteiten die voor de beheerder diensten verrichten die noodzakelijk zijn voor de uitvoering van zijn activiteiten, met name technische, boekhoudkundige, juridische of communicatiediensten. Deze gegevens worden verwerkt met het oog op het uitvoeren van overeenkomsten, het onderhouden van lopende communicatie en het voldoen aan wettelijke verplichtingen.

2.6. Overige personen die contact opnemen met de beheerder en vertegenwoordigers van publieke autoriteiten
Personen die vragen indienen via contactformulieren, per e-mail of via andere communicatiemiddelen, alsook vertegenwoordigers van overheidsinstanties met wie de beheerder zakelijke correspondentie voert. Deze gegevens worden uitsluitend verwerkt om correspondentie te voeren, antwoorden te verstrekken of wettelijke verplichtingen na te komen.

Aanvullende informatie
De beheerder:
– verwerft geen gegevens uit niet-openbare bronnen,
– voert geen systematische monitoring van personen uit,
– verwerkt geen gegevens die niet relevant zijn voor de nagestreefde doelen.

3. Reikwijdte van de verwerkte persoonsgegevens

De reikwijdte van de verwerkte persoonsgegevens hangt af van de relatie tussen de beheerder en de betrokkene, evenals van het doel waarvoor de gegevens worden verstrekt. De beheerder verwerkt uitsluitend gegevens die noodzakelijk zijn voor het realiseren van specifieke, rechtmatige doeleinden, met inachtneming van het beginsel van gegevensminimalisatie. Persoonsgegevens worden verwerkt op een wijze die passend, proportioneel en beperkt is tot hetgeen noodzakelijk is, overeenkomstig artikel 5, lid 1, onder c, van de AVG en § 11 van de Isikuandmete kaitse seadus.

3.1. Identificatie- en contactgegevens
De beheerder kan met name de volgende gegevens verwerken:

• voor- en achternaam,
• e-mailadres,
• telefoonnummer,
• overige contactgegevens die vrijwillig zijn verstrekt in correspondentie of via het contactformulier,
• zakelijke gegevens in het kader van professionele contacten (bedrijfsnaam, functie, zakelijk e-mailadres, zakelijk telefoonnummer).

Deze gegevens worden verwerkt om communicatie te voeren, vragen te beantwoorden, samenwerkingen uit te voeren of administratieve verplichtingen te vervullen.

3.2. Gegevens van kandidaten die deelnemen aan wervingsprocedures
Indien er actieve wervingsprocedures worden uitgevoerd, verwerkt de beheerder uitsluitend de gegevens die door kandidaten worden verstrekt naar aanleiding van een specifieke vacature. De gegevens kunnen onder meer bestaan uit:

• informatie in het curriculum vitae (CV), zoals werkervaring, opleiding, kwalificaties, vaardigheden en taalvaardigheden,
• de inhoud van het bericht dat in verband met de sollicitatie is verzonden,
• overige informatie die de kandidaat vrijwillig verstrekt in verband met de betreffende vacature.

De beheerder verkrijgt geen gegevens van kandidaten uit andere bronnen dan het directe contact dat voortvloeit uit een reactie op een vacature, en verwerkt geen gegevens buiten de reikwijdte van de specifieke wervingsprocedure.

3.3. Kandidaten die gegevens verzenden buiten wervingsprocedures
Wanneer er geen actieve wervingsprocedures worden uitgevoerd of wanneer geen vacatures zijn gepubliceerd, worden persoonsgegevens die op eigen initiatief worden toegezonden (met name CV’s die geen verband houden met een concrete vacature) niet aangenomen of gebruikt. Dergelijke gegevens worden verwijderd zonder verdere verwerking, en de beheerder maakt geen bestanden of registers aan van spontaan aangemelde kandidaten. De beheerder accepteert en beoordeelt uitsluitend sollicitaties die zijn ingediend naar aanleiding van concrete, actuele vacatures.

3.4. Gegevens van klanten en zakelijke samenwerkingen
De beheerder verwerkt persoonsgegevens van klanten en hun vertegenwoordigers voor zover dit noodzakelijk is voor het verlenen van arbeidsbemiddelingsdiensten en voor zakelijke samenwerkingen. Deze gegevens kunnen onder meer omvatten:

• naam van de contactpersoon,
• e-mailadres en telefoonnummer,
• functie of rol binnen de onderneming,
• gegevens die zijn opgenomen in overeenkomsten, facturen en boekhoudkundige documenten.

Deze gegevens worden verwerkt met het oog op het uitvoeren van contracten, het onderhouden van werkcontacten en het nakomen van verplichtingen voortvloeiend uit belasting- en administratieve wetgeving.

3.5. Gegevens die verband houden met communicatie en correspondentie
De beheerder verwerkt gegevens die zijn opgenomen in correspondentie die wordt gevoerd via e-mail, contactformulieren of andere communicatiemiddelen. De reikwijdte van de verwerking hangt af van de inhoud van het bericht dat door de afzender is verstrekt, en is beperkt tot de informatie die noodzakelijk is om een antwoord te geven of de betreffende zaak af te handelen.

3.6. Technische en organisatorische gegevens met betrekking tot de website
In verband met het gebruik van de website www.hansacareers.ee kunnen technische gegevens worden verwerkt, zoals:

• IP-adres,
• gegevens over de gebruikte browser en het besturingssysteem,
• datum en tijdstip van het bezoek,
• technische gegevens die worden opgeslagen in serverlogs.

Deze gegevens worden uitsluitend gebruikt voor het waarborgen van de veiligheid van de website, ter bescherming tegen misbruik en voor de correcte werking ervan. In dit kader maakt de beheerder gebruik van de diensten van Cloudflare, Inc., die technische gegevens verwerkt als verwerker namens de beheerder.

3.7. Gegevens met betrekking tot videogesprekken
Voor online vergaderingen of gesprekken kan de beheerder gebruikmaken van de tool Whereby. De verwerking van gegevens is beperkt tot de gegevens die noodzakelijk zijn voor het tot stand brengen van de verbinding, zoals naam of gebruikersnaam, IP-adres en technische verbindingsgegevens. De beheerder neemt geen gesprekken op en bewaart deze niet, tenzij de deelnemers hiervan vooraf op de hoogte worden gesteld en hiermee instemmen.

3.8. Bijzondere categorieën persoonsgegevens
De beheerder verwerkt in beginsel geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 van de AVG. De beheerder verwacht niet dat dergelijke gegevens worden verstrekt en verlangt dit ook niet. Indien dergelijke gegevens vrijwillig worden meegedeeld in correspondentie of documenten, worden zij uitsluitend verwerkt voor zover dit noodzakelijk is voor het doel waarvoor zij zijn verstrekt, of worden zij onverwijld verwijderd.

4. Doeleinden en rechtsgronden voor de verwerking van persoonsgegevens

De beheerder verwerkt persoonsgegevens uitsluitend voor zover dit noodzakelijk is voor het uitvoeren van zijn activiteiten in overeenstemming met de toepasselijke wetgeving, met inachtneming van de beginselen van behoorlijkheid, transparantie en gegevensminimalisatie. De verwerking van gegevens vindt plaats overeenkomstig de artikelen 5 en 6 van Verordening (EU) 2016/679 (AVG) en de bepalingen van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus). Persoonsgegevens worden uitsluitend verwerkt voor duidelijk omschreven en gerechtvaardigde doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met die doeleinden.

4.1. Uitvoering van wervingsprocedures
Persoonsgegevens van kandidaten worden verwerkt met het oog op:

• het ontvangen en beoordelen van sollicitaties die zijn ingediend naar aanleiding van specifieke vacatures,
• het onderhouden van contact met kandidaten gedurende de wervingsprocedure,
• het beoordelen van de overeenstemming tussen het beroepsprofiel van de kandidaat en de vereisten van de betreffende functie,
• het doorgeven van gegevens van kandidaten aan klanten die potentiële werkgevers zijn — uitsluitend binnen de betrokken wervingsprocedure.

Rechtsgrondslag:
art. 6, lid 1, onder a, AVG — toestemming van de kandidaat,
art. 6, lid 1, onder b, AVG — uitvoering van maatregelen die voorafgaan aan het sluiten van een overeenkomst,
art. 9, lid 2, onder a, AVG — uitdrukkelijke toestemming indien een kandidaat vrijwillig bijzondere categorieën persoonsgegevens verstrekt.

4.2. Bewaring van sollicitaties voor toekomstige wervingsprocedures
Gegevens van kandidaten kunnen na afloop van de wervingsprocedure uitsluitend worden bewaard indien de kandidaat hiervoor afzonderlijke en uitdrukkelijke toestemming heeft gegeven. De gegevens worden bewaard gedurende de termijn die in de toestemming is vermeld of totdat de toestemming wordt ingetrokken.

Rechtsgrondslag:
art. 6, lid 1, onder a, AVG.

4.3. Het sluiten en uitvoeren van overeenkomsten
Gegevens van klanten, contractanten en zakelijke partners worden verwerkt met het oog op:

• het sluiten en uitvoeren van overeenkomsten,
• het verrichten van arbeidsbemiddelingsdiensten,
• het onderhouden van commerciële, administratieve en operationele contacten.

Rechtsgrondslag:
art. 6, lid 1, onder b, AVG — uitvoering van een overeenkomst,
art. 6, lid 1, onder c, AVG — nakoming van wettelijke verplichtingen op het gebied van boekhouding en belastingen.

4.4. Onderhouden van zakelijke relaties en B2B-marketing
Contactgegevens van vertegenwoordigers van ondernemingen kunnen worden verwerkt met het oog op:

• het onderhouden van lopende zakelijke communicatie,
• het presenteren van samenwerkingsvoorstellen,
• directe B2B-marketing.

Rechtsgrondslag:
art. 6, lid 1, onder f, AVG — het gerechtvaardigd belang van de beheerder om zijn bedrijfsactiviteiten te voeren en te ontwikkelen.
De betrokkene heeft het recht bezwaar te maken tegen deze verwerking.

4.5. Beantwoording van vragen en voeren van correspondentie
Gegevens van personen die contact opnemen met de beheerder via contactformulieren, e-mail of telefoon, worden verwerkt om vragen te beantwoorden en lopende correspondentie te voeren.

Rechtsgrondslag:
art. 6, lid 1, onder f, AVG — gerechtvaardigd belang van de beheerder.

4.6. Boekhouding, fiscale verplichtingen en archivering
Persoonsgegevens worden verwerkt om te voldoen aan de boekhoudkundige, fiscale en archiveringsverplichtingen die voortvloeien uit de wetgeving van de Republiek Estland.

Rechtsgrondslag:
art. 6, lid 1, onder c, AVG — wettelijke verplichting van de beheerder.

4.7. Waarborgen van de veiligheid van formulieren en IT-systemen (Cloudflare)
De beheerder past technische en organisatorische maatregelen toe om de website en de contactformulieren te beschermen tegen spam, misbruik en pogingen tot geautomatiseerde verzendingen. In dit kader worden de diensten van Cloudflare gebruikt, waaronder beveiligingsmechanismen zoals Turnstile, die technische gegevens van gebruikers kunnen verwerken, zoals:

• IP-adres,
• browser- en systeemgegevens,
• technische informatie die noodzakelijk is voor de beoordeling van misbruikrisico’s.

Deze gegevens worden uitsluitend verwerkt om de veiligheid en integriteit van de IT-systemen te waarborgen.

Rechtsgrondslag:
art. 6, lid 1, onder f, AVG — het gerechtvaardigd belang van de beheerder om de website en gegevens te beschermen.

4.8. Vaststelling, uitoefening en verdediging van rechtsvorderingen
Persoonsgegevens kunnen worden verwerkt voor het vaststellen, uitoefenen of verdedigen van juridische aanspraken.

Rechtsgrondslag:
art. 6, lid 1, onder f, AVG — gerechtvaardigd belang van de beheerder.

4.9. Vervulling van verplichtingen tegenover publieke autoriteiten
Persoonsgegevens kunnen worden verstrekt aan bevoegde publieke autoriteiten, rechtbanken of toezichthouders voor zover dit wettelijk vereist is.

Rechtsgrondslag:
art. 6, lid 1, onder c, AVG — wettelijke verplichting van de beheerder.

5. Rechtsgronden voor de verwerking van persoonsgegevens

De beheerder verwerkt persoonsgegevens uitsluitend indien daarvoor een duidelijke en rechtmatige grondslag bestaat, zoals vastgesteld in:
– Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (AVG),
– de Estse Wet bescherming persoonsgegevens – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

De verwerking van gegevens vindt steeds plaats in overeenstemming met de beginselen zoals vastgelegd in artikel 5 AVG en § 11 IKS, in het bijzonder de beginselen van: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, gegevensminimalisatie, integriteit en vertrouwelijkheid.

5.1. Rechtsgronden voor de verwerking van persoonsgegevens (art. 6 AVG)
De beheerder verwerkt persoonsgegevens op basis van de volgende rechtsgronden:

a) Toestemming van de betrokkene
(art. 6, lid 1, onder a, AVG; § 10, lid 1, IKS)
Dit betreft situaties waarin de betrokkene vrijwillig en ondubbelzinnig toestemming verleent, in het bijzonder voor:

• deelname aan toekomstige wervingsprocedures,
• doorgifte van gegevens aan een potentiële werkgever,
• verwerking van aanvullende, vrijwillig verstrekte gegevens (bijv. een foto of andere vormen van persoonsbeeld).

Toestemming kan te allen tijde worden ingetrokken, zonder afbreuk te doen aan de rechtmatigheid van de verwerking die heeft plaatsgevonden vóór de intrekking (art. 7, lid 3, AVG).

b) Uitvoering van een overeenkomst of het nemen van maatregelen vóór het sluiten daarvan
(art. 6, lid 1, onder b, AVG; § 10, lid 1, punt 2, IKS)

• de uitvoering van wervingsprocedures en arbeidsbemiddelingsdiensten,
• het aangaan en uitvoeren van samenwerkingen met klanten en contractanten,
• het opstellen en uitvoeren van dienstverleningsvoorstellen,
• het voeren van lopende operationele contacten tijdens de samenwerking.

c) Naleving van een wettelijke verplichting die op de beheerder rust
(art. 6, lid 1, onder c, AVG; § 10, lid 1, punt 3, IKS)
Dit omvat gegevensverwerkingen die worden vereist door de Estse en Europese regelgeving, in het bijzonder:

• Raamatupidamise seadus § 12–13 – verplichting tot het voeren en bewaren van boekhoudkundige documentatie gedurende 7 jaar,
• fiscale en rapportageverplichtingen,
• verplichtingen in verband met controles door overheidsinstanties en financiële audits.

d) Gerechtvaardigd belang van de beheerder
(art. 6, lid 1, onder f, AVG; § 11, lid 2, IKS)
Verwerking van gegevens die noodzakelijk is voor de verwezenlijking van gerechtvaardigde doelen van de beheerder, zoals:

• het voeren van lopende communicatie en het behandelen van aanvragen,
• het ontwikkelen van professionele relaties en B2B-samenwerkingen,
• directe marketing in een zakelijke context (overeenkomstig Elektroonilise side seadus § 102),
• het waarborgen van de veiligheid van IT-systemen, contactformulieren en documentstromen,
• het voorkomen van misbruik en het beschermen tegen spam en aanvallen,
• het instellen of verdedigen van juridische vorderingen.

De beheerder beoordeelt telkens of zijn gerechtvaardigde belang niet zwaarder weegt dan de rechten en vrijheden van de betrokkene (art. 6, lid 1, onder f, AVG in samenhang met overweging 47 AVG).

e) Uitoefening van een taak van algemeen belang
(art. 6, lid 1, onder e, AVG; § 10, lid 1, punt 4, IKS)
Dit betreft de verwerking van gegevens in het kader van projecten die worden uitgevoerd of gecontroleerd door publieke instellingen, in het bijzonder arbeidsmarkt- en mobiliteitsprogramma’s (bijv. Eesti Töötukassa, EURES, EU-programma’s), voor zover dergelijke verwerkingen plaatsvinden.

5.2. Verwerking van bijzondere categorieën persoonsgegevens (art. 9 AVG)
De beheerder verwerkt in beginsel geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9, lid 1, AVG. Indien een betrokkene dergelijke gegevens vrijwillig verstrekt (bijvoorbeeld informatie over gezondheid of een handicap):

• vindt verwerking uitsluitend plaats op basis van uitdrukkelijke toestemming (art. 9, lid 2, onder a, AVG; § 21 IKS),
• worden de betreffende gegevens onderworpen aan verhoogde technische en organisatorische beveiligingsmaatregelen (art. 32 AVG),
• heeft het niet verlenen van toestemming geen nadelige gevolgen voor de betrokkene.

5.3. Algemene beginselen van gegevensverwerking
De beheerder waarborgt dat alle verwerkingshandelingen met betrekking tot persoonsgegevens worden uitgevoerd in overeenstemming met:
– de artikelen 5 en 6 AVG,
– § 11 Isikuandmete kaitse seadus,
– artikel 32 AVG – met betrekking tot de beveiliging van de verwerking,
– artikel 24 AVG – het beginsel van verantwoordelijkheid en aantoonbaarheid.

De beheerder voert geen geautomatiseerde profilering uit en neemt geen uitsluitend geautomatiseerde besluiten in de zin van artikel 22 AVG.

5.4. Nalevingsbeoordeling en interne documentatie
Ter waarborging van de naleving van de AVG en de Estse wetgeving houdt en actualiseert de beheerder:

• een register van verwerkingsactiviteiten (art. 30 AVG),
• belangenafwegingen in gevallen van verwerking op grond van art. 6, lid 1, onder f, AVG,
• documentatie met betrekking tot informatiebeveiliging,
• procedures voor het reageren op inbreuken in verband met persoonsgegevens (art. 33–34 AVG, § 23 IKS).

6. Bronnen van herkomst van persoonsgegevens

De door de Beheerder verwerkte persoonsgegevens zijn uitsluitend afkomstig uit legitieme bronnen en worden verzameld in overeenstemming met de toepasselijke wetgeving, in het bijzonder de artikelen 13 en 14 van Verordening (EU) 2016/679 en de relevante bepalingen van de Isikuandmete kaitse seadus.

Wanneer persoonsgegevens uit andere bronnen worden verkregen dan rechtstreeks van de betrokkene, voldoet de Beheerder aan de informatieplicht binnen een redelijke termijn, uiterlijk binnen 30 dagen na verkrijging van de gegevens, tenzij de wet anders bepaalt.

6.1. Gegevens die rechtstreeks van betrokkenen worden verkregen
Persoonsgegevens worden vrijwillig aan de Beheerder verstrekt door natuurlijke personen, met name via:

• contactformulieren op de website,
• e-mailcorrespondentie,
• telefonische gesprekken of online vergaderingen,
• reacties op door de Beheerder geplaatste vacatures,
• lopende communicatie tijdens samenwerking of zakelijke contacten.

De omvang van de verstrekte gegevens hangt af van de aard van het contact en het doel waarvoor de betrokkene contact opneemt met de Beheerder.

6.2. Gegevens die worden verkregen in het kader van wervingsprocedures
Met betrekking tot sollicitanten worden persoonsgegevens uitsluitend verkregen:

• rechtstreeks van kandidaten naar aanleiding van een door de Beheerder gepubliceerde vacature,
• in het kader van communicatie die door de kandidaat wordt geïnitieerd in verband met een specifieke functie.

De Beheerder accepteert en verwerkt geen cv’s of andere gegevens die spontaan worden toegezonden wanneer er geen actieve wervingsprocedures plaatsvinden of wanneer de gegevens geen betrekking hebben op een concrete vacature.
Dergelijke gegevens worden onverwijld verwijderd en niet gebruikt voor enig wervingsdoel.

De Beheerder maakt geen gebruik van niet-openbare bronnen en verwerft geen gegevens uit privé- of afgeschermde socialemedia-accounts.

6.3. Gegevens van klanten, contractanten en zakelijke partners
Persoonsgegevens van klanten, contractanten en hun vertegenwoordigers worden verkregen:

• via directe zakelijke contacten,
• tijdens onderhandelingen, het sluiten en uitvoeren van overeenkomsten,
• uit openbaar beschikbare bronnen die verband houden met beroeps- of bedrijfsactiviteiten.

De verwerking van deze gegevens vindt uitsluitend plaats voor zover dit noodzakelijk is voor zakelijke samenwerking, operationele contacten en wettelijke verplichtingen.

6.4. Gegevens van vertegenwoordigers van publieke autoriteiten en instellingen
De Beheerder verwerkt persoonsgegevens van vertegenwoordigers van overheidsinstanties, publieke instellingen en toezichthoudende organen uitsluitend voor zover deze voortvloeien uit:

• officiële correspondentie,
• het nakomen van wettelijke verplichtingen,
• samenwerking met bevoegde bestuursorganen.

De verwerkte gegevens omvatten met name naam, zakelijk e-mailadres, functie of positie, evenals andere gegevens die worden verstrekt in het kader van officiële communicatie.
De rechtsgrondslag voor deze verwerking is met name artikel 6, lid 1, onder c en onder f, van Verordening (EU) 2016/679.

6.5. Technische gegevens en beveiliging van formulieren
Bij het gebruik van de website van de Beheerder en de contactformulieren kunnen automatisch basis technische gegevens worden verwerkt, zoals:

• IP-adres,
• datum en tijdstip van de verbinding,
• technische informatie over browser en besturingssysteem,
• gegevens die noodzakelijk zijn voor het waarborgen van veilige communicatie.

Ter bescherming van contactformulieren tegen misbruik, spam en geautomatiseerde verzoeken maakt de Beheerder gebruik van beveiligingsdiensten (Cloudflare, Inc.).
Binnen dit mechanisme kunnen technische gebruikersgegevens worden verwerkt, waaronder IP-adres en verbindingsinformatie.

De verwerking in dit kader vindt plaats op basis van:
– art. 6, lid 1, onder f, AVG – het gerechtvaardigd belang van de Beheerder om de systemen te beveiligen en misbruik te voorkomen,
– passende beveiligingsmaatregelen en juridische mechanismen die gelden voor doorgiften van gegevens buiten de Europese Unie.

6.6. Registratie-, boekhoudkundige en documentatiegegevens
Persoonsgegevens die worden verwerkt voor boekhoudkundige, fiscale of archiveringsdoeleinden zijn afkomstig uit:

• rechtstreekse contacten met klanten en contractanten,
• overeenkomsten en financiële documenten,
• officiële correspondentie in het kader van bedrijfsvoering.

De omvang en bewaartermijnen van deze gegevens vloeien rechtstreeks voort uit de toepasselijke Estse en Europese regelgeving.

7. Ontvangers van persoonsgegevens

De door Hansa Careers, opererend onder het merk Handke Holding OÜ, verwerkte persoonsgegevens kunnen uitsluitend worden doorgegeven aan ontvangers die:
– op grond van wettelijke bepalingen gerechtigd zijn deze te ontvangen, of
– gegevens verwerken in opdracht van de Beheerder in verband met de uitvoering van specifieke zakelijke of juridische doeleinden.

Elke doorgifte van gegevens vindt plaats in overeenstemming met de artikelen 28 en 44–49 van Verordening (EU) 2016/679, evenals met de relevante bepalingen van de Isikuandmete kaitse seadus, met inachtneming van de beginselen van gegevensminimalisatie, vertrouwelijkheid en doelbinding.

7.1. Potentiële werkgevers en wervingspartners
Gegevens van kandidaten kunnen uitsluitend worden doorgegeven aan potentiële werkgevers of wervingspartners:

• binnen het kader van een specifieke wervingsprocedure,
• nadat de kandidaat hiervan vooraf op de hoogte is gesteld,
• voor zover noodzakelijk voor de beoordeling van beroepskwalificaties,
• op basis van een passende rechtsgrond, met name toestemming van de kandidaat of precontractuele maatregelen.

Gegevens worden niet massaal doorgegeven en niet gebruikt buiten het duidelijk omschreven wervingsproces.

7.2. Technische en organisatorische dienstverleners die gegevens verwerken in opdracht van de Beheerder
Persoonsgegevens kunnen worden toevertrouwd aan entiteiten die de activiteiten van de Beheerder ondersteunen, in het bijzonder:

• aanbieders van hosting en serverinfrastructuur,
• aanbieders van e-maildiensten en contactformulieren,
• leveranciers van IT-oplossingen en communicatiesystemen,
• leveranciers van tools voor online vergaderingen en videocommunicatie,
• aanbieders van beveiligingsoplossingen en anti-misbruiksystemen, waaronder formulierbeveiliging,
• boekhoud- en administratiek kantoren,
• advocatenkantoren, belastingadviseurs en zakelijke consultants.

Deze entiteiten verwerken gegevens uitsluitend op basis van een verwerkersovereenkomst en zijn verplicht:
– tot vertrouwelijkheid,
– tot het toepassen van passende technische en organisatorische maatregelen,
– tot verwerking uitsluitend op gedocumenteerde instructie van de Beheerder.

7.3. Kandidaten en klanten
Persoonsgegevens kunnen worden verstrekt aan kandidaten of klanten uitsluitend voor zover dit noodzakelijk is voor het bereiken van een specifiek doel, met name:

• het verstrekken van informatie aan een kandidaat over arbeidsvoorwaarden, werkplek of werkgeversprofiel,
• het verstrekken van informatie aan een klant over een kandidaat binnen het kader van een lopende wervingsprocedure.

De omvang van de doorgegeven gegevens wordt steeds tot het strikt noodzakelijke beperkt en hangt af van de fase van de procedure.

7.4. Overheidsinstanties en publieke instellingen
Persoonsgegevens kunnen worden doorgegeven aan bevoegde publieke autoriteiten uitsluitend voor zover dit voortvloeit uit geldende wetgeving, met name:

• belastingautoriteiten,
• arbeidsbureaus en instellingen voor arbeidsmarktbeleid,
• de toezichthouder voor gegevensbescherming,
• rechtbanken, opsporingsdiensten en andere controlerende instanties,
• instellingen van de Europese Unie en de Europese Economische Ruimte.

7.5. Dienstverleners voor online communicatie
Bij online vergaderingen of gesprekken kunnen persoonsgegevens zoals naam, e-mailadres of technische verbindingsgegevens worden verwerkt door aanbieders van communicatiediensten.
Deze verwerking vindt uitsluitend plaats om communicatie mogelijk te maken en vergaderingen te organiseren, en gebeurt op basis van het gerechtvaardigd belang van de Beheerder of precontractuele maatregelen.

7.6. Ontvangers van technische gegevens ten behoeve van beveiliging
Ter waarborging van de veiligheid van de website, IT-infrastructuur en contactformulieren kunnen technische gegevens van gebruikers, zoals IP-adres of verbindingsinformatie, worden verwerkt door aanbieders van netwerkbeveiligingsdiensten.
Bij doorgifte van gegevens buiten de Europese Unie worden passende waarborgen toegepast overeenkomstig de artikelen 44–49 van Verordening (EU) 2016/679.

7.7. Algemene beginselen voor doorgifte van gegevens
De Beheerder:

• verkoopt geen persoonsgegevens,
• stelt geen gegevens ter beschikking aan derden zonder rechtsgrond,
• geeft geen gegevens door voor advertentie-, marketing- of profileringsdoeleinden,
• geeft geen gegevens door aan sociale-media-platforms of commerciële platforms voor marketingdoeleinden.

Elke ontvanger verwerkt de gegevens in overeenstemming met de beginselen van veiligheid, vertrouwelijkheid en doelbinding, en uitsluitend voor zover dit noodzakelijk is voor de uitvoering van de toegewezen taak.

8. Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER)

De Verwerkingsverantwoordelijke draagt persoonsgegevens in beginsel niet over buiten de Europese Economische Ruimte (EER) en evenmin aan internationale organisaties. De belangrijkste verwerkingen van persoonsgegevens vinden plaats binnen het grondgebied van de Europese Unie, met name door gebruik te maken van infrastructuur die binnen de EU is gevestigd, waaronder in de Republiek Estland.

De Verwerkingsverantwoordelijke maakt gebruik van hosting- en e-maildiensten die worden geleverd door Zone Media OÜ, handelend onder de handelsnaam zone.ee, waarvan de gegevensverwerkingsinfrastructuur zich op het grondgebied van de Europese Unie bevindt.
Persoonsgegevens die worden verwerkt in het kader van de werking van de website en de e-mailcommunicatie worden in de regel verwerkt binnen de Europese Economische Ruimte (EER) en genieten de bescherming die voortvloeit uit Verordening (EU) 2016/679 (AVG).

Ter waarborging van de veiligheid van de website, de contactformulieren en ter bescherming tegen misbruik en geautomatiseerde activiteiten maakt de Verwerkingsverantwoordelijke tevens gebruik van diensten die worden geleverd door Cloudflare, Inc. In dit verband kunnen technische gegevens worden verwerkt, zoals het IP-adres, netwerkverbindingsgegevens, informatie over de browser en het apparaat, alsmede gegevens die noodzakelijk zijn voor de beoordeling van de veiligheid van een verzoek. Vanwege het mondiale karakter van de infrastructuur van Cloudflare kunnen deze gegevens buiten de EER worden doorgegeven of daar toegankelijk worden gemaakt, met name aan de Verenigde Staten van Amerika.

De doorgifte van persoonsgegevens in het kader van het gebruik van Cloudflare-diensten vindt plaats overeenkomstig hoofdstuk V van de AVG, in het bijzonder op basis van de door de Europese Commissie goedgekeurde standaardcontractbepalingen (artikel 46 AVG) en – voor zover van toepassing – op basis van de mechanismen waarin het EU–US Data Privacy Framework voorziet.
De Verwerkingsverantwoordelijke past aanvullende technische en organisatorische maatregelen toe, zoals versleuteling van gegevensoverdracht en beperking van de omvang van de verwerkte gegevens tot het minimum dat noodzakelijk is om de veiligheid van de dienst te waarborgen.

De Verwerkingsverantwoordelijke maakt gebruik van elektronische documentondertekeningsdiensten die worden geleverd door SignRequest B.V. In verband met het gebruik van deze diensten kunnen persoonsgegevens buiten de Europese Economische Ruimte (EER) worden doorgegeven, met name aan derde landen, waaronder de Verenigde Staten van Amerika.
Dergelijke doorgiften vinden plaats overeenkomstig hoofdstuk V van de AVG, op basis van de door de Europese Commissie goedgekeurde standaardcontractbepalingen (artikel 46 AVG), zoals opgenomen in de gegevensverwerkingsovereenkomst (Data Processing Addendum) die integraal deel uitmaakt van de gebruiksvoorwaarden van de dienst.

De Verwerkingsverantwoordelijke staat toe dat online vergaderingen worden gehouden met behulp van videocommunicatietools, in het bijzonder Whereby. De gegevens die worden verwerkt in het kader van online vergaderingen worden in beginsel verwerkt binnen de Europese Economische Ruimte (EER).
Vanwege het mondiale karakter van de technische infrastructuur en de geografische locatie van de deelnemers aan de vergaderingen kan in beperkte en incidentele gevallen sprake zijn van doorgifte van persoonsgegevens buiten de EER. Dergelijke doorgiften vinden plaats met toepassing van passende waarborgen zoals vereist door de AVG, met name op basis van standaardcontractbepalingen of andere rechtmatige mechanismen voor doorgifte van gegevens.

Afgezien van de hierboven vermelde gevallen verricht de Verwerkingsverantwoordelijke geen permanente of geplande doorgiften van persoonsgegevens naar derde landen. Wervingsprocessen, communicatie met klanten en zakelijke partners, e-mailcommunicatie en lopende operationele activiteiten worden uitgevoerd met behulp van tools en diensten die persoonsgegevens in de regel verwerken binnen het grondgebied van de Europese Unie.

De Verwerkingsverantwoordelijke staat contact via externe internetcommunicatietools uitsluitend toe op initiatief van de persoon die contact opneemt en uitsluitend voor informatieve doeleinden. Gezien de mogelijke locatie van servers van dergelijke tools buiten de EER worden deze niet beschouwd als aanbevolen of veilige communicatiekanalen voor aangelegenheden die betrekking hebben op persoonsgegevens.
De Verwerkingsverantwoordelijke beveelt aan om sollicitatiedocumenten, bijzondere categorieën van persoonsgegevens en andere gevoelige informatie uitsluitend via officiële communicatiekanalen te verstrekken.

Indien persoonsgegevens buiten de EER worden doorgegeven, waarborgt de Verwerkingsverantwoordelijke dat deze doorgifte uitsluitend plaatsvindt voor zover dit noodzakelijk is voor het bereiken van het vastgestelde doel, na uitvoering van een risicobeoordeling van de doorgifte, en met inachtneming van de beginselen van gegevensminimalisatie, vertrouwelijkheid en beveiliging van de verwerking, overeenkomstig de artikelen 32 en 44–49 van de AVG.

9. Bewaartermijnen van persoonsgegevens

De Beheerder bewaart persoonsgegevens uitsluitend gedurende de periode die noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld, overeenkomstig artikel 5, lid 1, onder e, van Verordening (EU) 2016/679 (AVG) en § 17 van de Isikuandmete kaitse seadus.

Na het verstrijken van de relevante bewaartermijnen worden gegevens permanent verwijderd, geanonimiseerd of gearchiveerd op een wijze die identificatie onmogelijk maakt, tenzij de toepasselijke Estse of Europese wetgeving de Beheerder verplicht deze langer te bewaren.

Bewaartermijnen worden vastgesteld met inachtneming van:

• het doel van de verwerking,
• de rechtsgrond van de verwerking,
• de aard van de relatie met de betrokkene,
• de verjaringstermijnen die voortvloeien uit het Estse recht.

9.1. Gegevens van kandidaten

a) Persoonsgegevens die worden verwerkt voor een wervingsprocedure naar aanleiding van een concrete vacature, op basis van art. 6, lid 1, onder b, AVG, worden bewaard gedurende de termijn die noodzakelijk is voor het vaststellen, uitoefenen of verdedigen van aanspraken voortvloeiend uit de dienstverlening van de Beheerder.

b) Gegevens die worden verwerkt in verband met contact dat door de Beheerder wordt geïnitieerd in het kader van lopende wervingsprocedures, op basis van art. 6, lid 1, onder f, AVG, worden bewaard totdat de communicatie in de betreffende zaak wordt afgerond.

c) Persoonsgegevens die met toestemming van de kandidaat aan potentiële werkgevers worden verstrekt ter uitvoering van een specifieke wervingsprocedure, op basis van art. 6, lid 1, onder a, AVG, worden bewaard tot het moment waarop de toestemming wordt ingetrokken of de procedure wordt voltooid — afhankelijk van welk moment eerder valt.

d) Gegevens die worden verwerkt voor de afrekening van diensten aan klanten in verband met wervingsondersteuning, op basis van art. 6, lid 1, onder f, AVG, worden bewaard tot het verstrijken van de verjaringstermijn na afloop van de overeenkomst, in de regel 3 jaar, eindigend aan het einde van het kalenderjaar, overeenkomstig Ests recht.

e) Gegevens die worden verwerkt om aanspraken te kunnen vaststellen, uitoefenen of verdedigen voortvloeiend uit geleverde diensten, op basis van art. 6, lid 1, onder f, AVG, worden bewaard tot het verstrijken van de verjaringstermijnen, doorgaans 3 jaar na beëindiging van de overeenkomst, tenzij wetgeving een langere termijn bepaalt.

f) Gegevens die worden verwerkt ten behoeve van communicatie over aangelegenheden binnen de activiteiten van de Beheerder, op basis van art. 6, lid 1, onder f, AVG, worden bewaard zolang dit noodzakelijk is voor de afhandeling van de betreffende kwestie.

g) Gegevens die worden bewaard voor toekomstige wervingsprocedures, op basis van art. 6, lid 1, onder a, AVG, worden niet langer bewaard dan 12 maanden vanaf de datum van het verlenen van toestemming of tot intrekking daarvan — afhankelijk van welk moment eerder valt.

h) Sollicitatiedocumenten, met name cv’s, die buiten de context van een concrete vacature of in een periode zonder actieve wervingsprocedures worden toegezonden, worden niet verwerkt en worden onverwijld verwijderd.

9.2. Gegevens van klanten

a) Persoonsgegevens die worden verwerkt ten behoeve van precontractuele handelingen en uitvoering van een overeenkomst, op basis van art. 6, lid 1, onder b, AVG, worden bewaard gedurende de termijn die uit wettelijke bepalingen voortvloeit, in het bijzonder op het gebied van boekhouding en fiscaliteit — doorgaans 7 jaar volgens Ests recht, tenzij wetgeving een langere termijn voorschrijft.

b) Gegevens die worden verwerkt in verband met lopende zakelijke communicatie en uitvoering van overeenkomsten, op basis van art. 6, lid 1, onder f, AVG, worden bewaard gedurende de duur van de samenwerking, tenzij verdere verwerking noodzakelijk is voor een ander rechtmatig doel.

c) Gegevens die worden verwerkt voor rapportage-, boekhoudkundige en fiscale verplichtingen, op basis van art. 6, lid 1, onder c, AVG, worden bewaard gedurende de wettelijk vereiste periode, doorgaans 7 jaar volgens Ests recht.

d) Gegevens die worden verwerkt om aanspraken voortvloeiend uit de overeenkomst vast te stellen, uit te oefenen of te verdedigen, op basis van art. 6, lid 1, onder f, AVG, worden bewaard tot het verstrijken van de verjaringstermijnen, doorgaans 3 jaar, tenzij wetgeving een langere termijn bepaalt.

9.3. Overige categorieën gegevens

a) Gegevens van potentiële klanten en contractanten worden bewaard gedurende de periode die nodig is voor het doel van het contact of de samenwerking, niet langer dan 3 jaar na het laatste contact, tenzij verdere bewaring noodzakelijk is voor de verdediging van aanspraken.

b) Gegevens van leveranciers, uitvoerders en zakelijke partners worden bewaard gedurende de samenwerking en nadien overeenkomstig de verjaringstermijnen en boekhoudkundige of fiscale verplichtingen.

c) Gegevens van personen die contact opnemen met de Beheerder worden bewaard gedurende de periode die nodig is voor het beantwoorden van de vraag en afronding van de zaak, en vervolgens — indien gerechtvaardigd — tot het verstrijken van de verjaringstermijnen, niet langer dan 3 jaar.

d) Gegevens van vertegenwoordigers van publieke organen en instellingen worden bewaard zolang dit noodzakelijk is voor het uitvoeren van wettelijke verplichtingen of de afronding van een officiële procedure, en nadien gedurende de archiveringstermijn die voortvloeit uit wetgeving, niet langer dan 10 jaar.

9.4. Technische gegevens en beveiliging van formulieren
Technische gegevens die worden verwerkt ter beveiliging van contactformulieren (Cloudflare Turnstile), waaronder IP-adressen en technische informatie, worden automatisch en kortdurend verwerkt, uitsluitend om risico’s te beoordelen, misbruik te voorkomen en de veiligheid van de dienstverlening te waarborgen.

Deze gegevens worden niet door de Beheerder opgeslagen en worden niet gebruikt voor marketing- of profileringsdoeleinden. De bewaartermijnen zijn afhankelijk van de veiligheidsprocedures van de dienstverlener en kunnen kortdurende technische logbestanden omvatten die slechts worden bewaard zolang dit noodzakelijk is voor systeembeveiliging of de analyse van eventuele incidenten.

Indien zich geen veiligheidsincidenten voordoen, worden technische gegevens niet langdurig bewaard.

9.5. Slotbepalingen
Na het verstrijken van de hierboven genoemde termijnen worden persoonsgegevens permanent verwijderd, geanonimiseerd of gearchiveerd op een wijze die identificatie uitsluit, overeenkomstig § 17, lid 4, van de Isikuandmete kaitse seadus.

De Beheerder beoordeelt regelmatig de opgeslagen gegevens en de noodzaak van verdere verwerking, en waarborgt dat gegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor zij zijn verzameld.

10. Vrijwillige verstrekking van gegevens

10.1. Het verstrekken van persoonsgegevens is in beginsel vrijwillig. In bepaalde gevallen is het echter noodzakelijk om specifieke gegevens te verstrekken om bepaalde handelingen uit te voeren, diensten te leveren, een wervingsprocedure te doorlopen of een overeenkomst met de Beheerder te sluiten of uit te voeren. Het niet verstrekken van vereiste gegevens kan ertoe leiden dat bepaalde handelingen of doelen niet kunnen worden gerealiseerd.

10.2. In het bijzonder:

• deelname aan een wervingsprocedure vereist het verstrekken van contactgegevens en het indienen van sollicitatiedocumenten;
• het indienen van verzoeken via een contactformulier of per e-mail vereist het verstrekken van gegevens die identificatie van de afzender mogelijk maken;
• het sluiten, uitvoeren of afrekenen van overeenkomsten vereist het verstrekken van gegevens die noodzakelijk zijn voor het nakomen van contractuele, fiscale of boekhoudkundige verplichtingen;
• het gebruik van functionaliteiten van de website kan de verwerking vereisen van basistechnische gegevens die noodzakelijk zijn voor de beveiliging en correcte werking van de systemen.

10.3. De Beheerder geeft steeds duidelijk aan welke gegevens noodzakelijk zijn voor een bepaald doel en welke facultatief zijn. De omvang van de verwerkte gegevens wordt beperkt tot het strikt noodzakelijke, overeenkomstig het beginsel van gegevensminimalisatie zoals bedoeld in artikel 5, lid 1, onder c, AVG.

10.4. In gevallen waarin de verwerking van gegevens berust op toestemming van de betrokkene, is het geven van toestemming volledig vrijwillig. Toestemming kan te allen tijde worden ingetrokken, zonder afbreuk te doen aan de rechtmatigheid van de verwerking die heeft plaatsgevonden vóór de intrekking, overeenkomstig artikel 7, lid 3, AVG.

10.5. De Beheerder spant zich in om transparantie van de gegevensverwerking te waarborgen en om betrokkenen daadwerkelijke controle te bieden over de omvang, het doel en de duur van de verwerking van hun persoonsgegevens.

11. Opslaglocaties van gegevens en beveiligingsmaatregelen

11.1. Persoonsgegevens die door de Verwerkingsverantwoordelijke worden verwerkt, worden uitsluitend in elektronische vorm opgeslagen, op apparaten en in systemen die onder de exclusieve controle van de Verwerkingsverantwoordelijke vallen, alsmede in de systemen van externe dienstverleners die door de Verwerkingsverantwoordelijke in het kader van zijn bedrijfsactiviteiten worden gebruikt, met name hostingdiensten, e-maildiensten en tools voor elektronische ondertekening van documenten.
In beginsel worden deze gegevens opgeslagen binnen het grondgebied van de Europese Economische Ruimte (EER); voor zover persoonsgegevens buiten de EER worden verwerkt, gebeurt dit uitsluitend overeenkomstig hoofdstuk V van de AVG, in het bijzonder op basis van standaardcontractbepalingen (artikel 46 AVG).

11.2. De fysieke en virtuele locaties voor de verwerking en opslag van persoonsgegevens omvatten in het bijzonder:

• een versleutelde laptop die toebehoort aan de Verwerkingsverantwoordelijke, beveiligd met een wachtwoord, volledige schijfversleuteling en meerfactorauthenticatie;
• een versleuteld extern opslagmedium dat wordt gebruikt voor het maken van periodieke back-ups, opgeslagen op een veilige locatie en gescheiden van het primaire systeem;
• de infrastructuur van de hosting- en e-maildienstverlener Zone Media OÜ (zone.ee), gevestigd aan Lõõtsa 5, 11415 Tallinn, Estland, waarvan de servers zich op het grondgebied van de Europese Unie bevinden en waarvan de toegepaste beveiligingsmaatregelen voldoen aan de vereisten van artikel 32 AVG en de relevante bepalingen van de Estse Isikuandmete kaitse seadus;
• de systemen van externe dienstverleners die worden gebruikt voor het ondertekenen en opslaan van elektronisch ondertekende documenten, in het bijzonder contracten en documenten die verband houden met de bedrijfsactiviteiten van de Verwerkingsverantwoordelijke, welke in beginsel binnen de EER functioneren of – indien persoonsgegevens buiten de EER worden verwerkt – op basis van mechanismen overeenkomstig artikel 46 AVG, in het bijzonder standaardcontractbepalingen;
• de systemen van communicatietools die worden gebruikt voor het houden van onlinevergaderingen, waarbij de Verwerkingsverantwoordelijke geen audio- of video-opnamen van via deze tools gehouden vergaderingen vastlegt of bewaart.

11.3. De Verwerkingsverantwoordelijke past passende technische en organisatorische maatregelen toe om een beveiligingsniveau te waarborgen dat is afgestemd op het risico van de verwerking van persoonsgegevens, overeenkomstig artikel 32 AVG en de bepalingen van de Estse Isikuandmete kaitse seadus. Deze maatregelen omvatten in het bijzonder:

• versleuteling van gegevensoverdracht (SSL/TLS);
• versleuteling van apparaten en gegevensdragers;
• beperking van de toegang tot persoonsgegevens uitsluitend tot de Verwerkingsverantwoordelijke;
• gebruik van sterke en unieke wachtwoorden en meerfactorauthenticatie;
• regelmatige updates van besturingssystemen, software en beveiligingsmaatregelen;
• het maken en veilig opslaan van back-ups;
• gebruik van firewalls en beveiligingssoftware;
• automatische vergrendeling van apparaten en fysieke beveiliging van hardware tegen ongeautoriseerde toegang;
• het niet gebruiken van persoonlijke of onvoldoende beveiligde apparaten voor de verwerking van persoonsgegevens;
• samenwerking uitsluitend met dienstverleners die naleving van de AVG waarborgen;
• het bijhouden van documentatie met betrekking tot uitbesteding van gegevensverwerking en het registreren van incidenten;
• toepassing van procedures voor het reageren op inbreuken op de bescherming van persoonsgegevens overeenkomstig de artikelen 33–34 AVG;
• regelmatige beoordeling van toegepaste beveiligingsmaatregelen en toegangsrechten overeenkomstig de beginselen van privacy by design en privacy by default (artikel 25 AVG).

12. Uw rechten met betrekking tot de verwerking van persoonsgegevens

Personen van wie persoonsgegevens door de Beheerder worden verwerkt, beschikken over de rechten die voortvloeien uit Verordening (EU) 2016/679 van het Europees Parlement en de Raad (AVG) en uit de Estse wet Isikuandmete kaitse seadus. De Beheerder waarborgt de uitoefening van alle rechten van betrokkenen en handelt daarbij in overeenstemming met de geldende wettelijke bepalingen.

In het bijzonder heeft u het recht om duidelijke en transparante informatie te ontvangen over de gegevensverwerking, alsmede het recht op inzage, rectificatie, beperking van de verwerking, wissing, overdraagbaarheid van gegevens, het maken van bezwaar tegen de verwerking en het intrekken van toestemming — binnen de reikwijdte en onder de voorwaarden die in de AVG zijn vastgelegd.

12.1. Recht op inzage en het verkrijgen van een kopie van gegevens
U heeft het recht om bevestiging te verkrijgen of de Beheerder uw persoonsgegevens verwerkt, en zo ja — het recht op inzage in die gegevens en op het verkrijgen van een kopie daarvan, overeenkomstig artikel 15 AVG. Indien het verzoek elektronisch wordt ingediend, worden de gegevens verstrekt in een gangbaar elektronisch formaat.

12.2. Recht op rectificatie van gegevens
U heeft het recht om onverwijlde rectificatie te verlangen van onjuiste persoonsgegevens, alsook de aanvulling van onvolledige gegevens, overeenkomstig artikel 16 AVG. De Beheerder zal rectificatie uitvoeren nadat de gegrondheid van het verzoek is geverifieerd.

12.3. Recht op beperking van de verwerking

a) indien u de juistheid van de persoonsgegevens betwist – gedurende de periode die de Beheerder in staat stelt de juistheid van de gegevens te verifiëren; b) indien de verwerking onrechtmatig is, maar u zich verzet tegen het wissen van de gegevens; c) indien de Beheerder de gegevens niet langer nodig heeft voor de verwerkingsdoeleinden, maar u deze nodig heeft voor de vaststelling, uitoefening of verdediging van rechtsvorderingen; d) indien u bezwaar heeft gemaakt tegen de verwerking – gedurende de periode waarin wordt beoordeeld of de gerechtvaardigde gronden van de Beheerder zwaarder wegen dan uw belangen.

12.4. Recht op wissing van gegevens
U heeft het recht te verzoeken om wissing van persoonsgegevens in de gevallen als bedoeld in artikel 17 AVG, in het bijzonder wanneer de gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld, wanneer u uw toestemming heeft ingetrokken of wanneer de verwerking onrechtmatig heeft plaatsgevonden.
Dit recht is niet van toepassing indien verdere verwerking noodzakelijk is om te voldoen aan wettelijke verplichtingen die op de Beheerder rusten, of voor de vaststelling, uitoefening of verdediging van rechtsvorderingen, overeenkomstig artikel 17, lid 3, AVG.

12.5. Recht op gegevensoverdraagbaarheid
U heeft het recht de persoonsgegevens die u aan de Beheerder heeft verstrekt te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, en deze aan een andere verwerkingsverantwoordelijke over te dragen, indien de verwerking is gebaseerd op toestemming of een overeenkomst en op geautomatiseerde wijze plaatsvindt, overeenkomstig artikel 20 AVG.

12.6. Recht van bezwaar
U heeft te allen tijde het recht bezwaar te maken tegen de verwerking van uw persoonsgegevens, indien deze plaatsvindt op basis van het gerechtvaardigd belang van de Beheerder (art. 6, lid 1, onder f, AVG).
Na het indienen van een bezwaar staakt de Beheerder de verwerking, tenzij hij dwingende, gerechtvaardigde gronden voor de verwerking kan aantonen die zwaarder wegen dan uw belangen, rechten en vrijheden, of indien de verwerking noodzakelijk is voor de vaststelling, uitoefening of verdediging van rechtsvorderingen.
Het recht van bezwaar is niet van toepassing wanneer gegevens worden verwerkt ter nakoming van een wettelijke verplichting die op de Beheerder rust.

12.7. Recht op intrekking van toestemming
Wanneer de verwerking van persoonsgegevens is gebaseerd op uw toestemming, heeft u het recht deze toestemming te allen tijde in te trekken. Het intrekken van toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking onverlet, overeenkomstig artikel 7, lid 3, AVG.

12.8. Recht om een klacht in te dienen bij een toezichthoudende autoriteit
Indien u van mening bent dat de verwerking van uw persoonsgegevens in strijd is met de AVG of met de Estse wet Isikuandmete kaitse seadus, heeft u het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, in het bijzonder bij:
Andmekaitse Inspektsioon (AKI) – de Estse gegevensbeschermingsautoriteit.

Indien u woont of werkt in een andere lidstaat van de Europese Unie, kunt u ook een klacht indienen bij de toezichthoudende autoriteit van die lidstaat, overeenkomstig artikel 77 AVG.

12.9. Recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming
U heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit dat rechtsgevolgen voor u heeft of u in aanmerkelijke mate treft, overeenkomstig artikel 22 AVG.
De Beheerder past geen uitsluitend geautomatiseerde besluitvorming of profilering toe. Alle beslissingen met betrekking tot kandidaten, klanten en zakelijke partners worden genomen door bevoegde personen.

12.10. Uitoefening van de rechten van betrokkenen en contact met de Verwerkingsverantwoordelijke
Voor de uitoefening van de in dit Privacybeleid genoemde rechten kan de betrokkene contact opnemen met de Verwerkingsverantwoordelijke, met name langs elektronische weg:

e-mailadres: office@hansacareers.ee

De Verwerkingsverantwoordelijke voert zijn activiteiten volledig digitaal uit en beveelt elektronische communicatie aan als de primaire en meest veilige vorm van contact met betrekking tot de verwerking van persoonsgegevens. Elektronische communicatie maakt een snellere afhandeling van verzoeken mogelijk en vermindert het risico op ongeoorloofde toegang tot persoonsgegevens.

Schriftelijke correspondentie kan worden gericht aan het vestigingsadres van de Verwerkingsverantwoordelijke:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estland

Tegelijkertijd raadt de Verwerkingsverantwoordelijke af om documenten met persoonsgegevens per post te verzenden, met name sollicitatiedocumenten, kopieën van identiteitsdocumenten of gevoelige informatie. Het verzenden van dergelijke gegevens per post kan het risico met zich meebrengen van ongeoorloofde openbaarmaking tijdens de postafhandeling en valt buiten de volledige controle van de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke beantwoordt verzoeken met betrekking tot de uitoefening van de rechten van betrokkenen zonder onnodige vertraging en uiterlijk binnen één maand na ontvangst van het verzoek, overeenkomstig artikel 12, lid 3, van de AVG. In bijzonder complexe gevallen kan deze termijn met nog eens twee maanden worden verlengd, waarvan de betrokkene in kennis wordt gesteld.

13. Inbreuken in verband met persoonsgegevens

In het geval van een inbreuk in verband met persoonsgegevens — verstaan als een per ongeluk of onrechtmatig vernietigen, verliezen, wijzigen, ongeoorloofd openbaar maken of verkrijgen van toegang tot persoonsgegevens — treft de Beheerder onverwijld maatregelen om de gevolgen van het incident te beperken en herhaling te voorkomen.

De Beheerder beoordeelt telkens de aard en omvang van de inbreuk, alsook het potentiële risico voor de rechten en vrijheden van de betrokken personen, en implementeert vervolgens passende technische en organisatorische maatregelen om de oorzaak van de inbreuk weg te nemen en de gevolgen ervan te minimaliseren. Alle incidenten met betrekking tot gegevensbeveiliging worden gedocumenteerd overeenkomstig het beginsel van verantwoordingsplicht zoals neergelegd in artikel 5, lid 2, AVG en § 25, lid 3, van de Isikuandmete kaitse seadus.

Indien de inbreuk een risico kan inhouden voor de rechten of vrijheden van natuurlijke personen, meldt de Beheerder deze inbreuk aan de bevoegde toezichthouder — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — uiterlijk binnen 72 uur nadat de inbreuk is vastgesteld, overeenkomstig artikel 33 AVG en § 25 van de Isikuandmete kaitse seadus, tenzij het onwaarschijnlijk is dat de inbreuk een dergelijk risico met zich brengt.

Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten of vrijheden van natuurlijke personen, informeert de Beheerder de betrokkenen onverwijld over de aard van de inbreuk, de mogelijke gevolgen en de getroffen of geplande maatregelen ter beperking van de negatieve effecten, overeenkomstig artikel 34 AVG.

De Beheerder beschikt over een interne procedure voor het reageren op inbreuken in verband met persoonsgegevens, die onder meer omvat: identificatie van het incident, risicobeoordeling, corrigerende maatregelen en informatieverplichtingen. De doeltreffendheid van deze procedure wordt regelmatig geëvalueerd teneinde te waarborgen dat zij voldoet aan de vereisten van de AVG en het Estse recht, en om een hoog niveau van gegevensbeveiliging te handhaven.

14. Geautomatiseerde besluitvorming en profilering

De Beheerder past geen geautomatiseerde besluitvorming toe, waaronder profilering, die rechtsgevolgen voor de betrokkene zou kunnen hebben of hem op vergelijkbare wijze aanzienlijk zou kunnen treffen, zoals bedoeld in artikel 22 van Verordening (EU) 2016/679 (AVG) en § 23 van de Isikuandmete kaitse seadus.

Alle beslissingen met betrekking tot kandidaten, klanten en zakelijke partners worden genomen door menselijke besluitvormers op basis van een individuele beoordeling van de verstrekte informatie, documenten of correspondentie. Er worden geen beslissingen genomen op een volledig geautomatiseerde wijze.

De Beheerder past geen profilering toe die bestaat uit de automatische beoordeling van persoonlijke kenmerken, kwalificaties, gedrag, voorkeuren of professionele situatie van een natuurlijke persoon met het oog op het nemen van besluiten die rechtsgevolgen teweegbrengen of de betrokkene aanzienlijk beïnvloeden.

In het kader van dagelijkse operationele processen kan de Beheerder ondersteunende technische hulpmiddelen gebruiken (bijvoorbeeld e-mailfilters, ordening van binnenkomende aanvragen of het categoriseren van onvolledige formulieren), maar deze hulpmiddelen nemen geen beslissingen over personen en vervangen niet de menselijke beoordeling.

15. Toezichthoudende autoriteit

Indien je twijfels hebt over de wijze waarop jouw persoonsgegevens worden verwerkt of van mening bent dat jouw rechten op grond van Verordening (EU) 2016/679 (AVG) zijn geschonden, heb je het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, ongeacht jouw woonplaats, werkplaats of de plaats waar de vermeende inbreuk heeft plaatsgevonden, overeenkomstig artikel 77 AVG en § 21 van de Isikuandmete kaitse seadus.

Voor de activiteiten die door de Beheerder worden uitgevoerd, is de volgende toezichthoudende autoriteit in de Republiek Estland bevoegd:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — tel.: +372 627 4135; e-mail: info@aki.ee; website: https://www.aki.ee.

Indien je in een andere lidstaat van de Europese Unie woont of werkt, kun je ook een klacht indienen bij de toezichthouder die bevoegd is voor jouw woon- of werkplaats, overeenkomstig artikel 77 AVG.

Een actuele lijst van gegevensbeschermingsautoriteiten in de EU-landen is beschikbaar op de website van de European Data Protection Board (EDPB): https://edpb.europa.eu.

De Beheerder moedigt je echter aan om vóór het indienen van een klacht eerst rechtstreeks contact op te nemen in aangelegenheden die verband houden met de verwerking van persoonsgegevens, via het volgende e-mailadres: office@hansacareers.ee.

Indien nodig kunt u de Administrator ook schriftelijk contacteren door correspondentie naar het statutaire adres te sturen. Wij wijzen u er beleefd op dat communicatie per post minder veilig kan zijn voor persoonsgegevens, waardoor elektronische contactvormen de voorkeur genieten.

De Beheerder zal zich inspannen om elke kwestie zorgvuldig, transparant en in overeenstemming met de AVG op te helderen, zonder onnodige vertraging.

16. Toepasselijk recht en rechtsbevoegdheid

Dit Privacybeleid valt onder het recht van de Republiek Estland en wordt uitgelegd in overeenstemming met de bepalingen van Verordening (EU) 2016/679 (AVG) en de Estse wet Isikuandmete kaitse seadus.

Voor zover toegestaan door het toepasselijke recht, vallen alle geschillen of vorderingen die verband houden met de verwerking van persoonsgegevens, het gebruik van de website van de Beheerder of de door hem geleverde diensten onder de rechtsbevoegdheid van de rechtbanken van de Republiek Estland, territoriaal bevoegd voor de statutaire zetel van de Beheerder.

De bepalingen van dit punt doen geen afbreuk aan en beperken niet de rechten van natuurlijke personen die voortvloeien uit dwingende bepalingen van het recht van de Europese Unie, met name regels ter bescherming van consumenten en rechten van betrokkenen in de lidstaat waar zij hun gewone verblijfplaats of werkplaats hebben binnen de Europese Unie of de Europese Economische Ruimte.

17. Updates van het Privacybeleid

De Beheerder kan dit Privacybeleid periodiek bijwerken om de naleving van de toepasselijke wetgeving te waarborgen — in het bijzonder Verordening (EU) 2016/679 (AVG) en de Estse wet Isikuandmete kaitse seadus — alsook in verband met wijzigingen in de bedrijfsactiviteiten, gebruikte technologieën of procedures voor de verwerking van persoonsgegevens.

De versie van het Privacybeleid die op de website van de Beheerder wordt gepubliceerd en voorzien is van de datum van de laatste update, is altijd de versie die van kracht is. Elke nieuwe versie vervangt de eerdere versies van het document zodra zij wordt gepubliceerd.

De Beheerder raadt aan het Privacybeleid regelmatig te raadplegen om actuele informatie te verkrijgen over de regels inzake de verwerking van persoonsgegevens en over de rechten die je in dit verband hebt.

Indien wijzigingen worden aangebracht die van wezenlijk belang zijn voor de betrokken personen — met name wijzigingen die van invloed zijn op de doeleinden of rechtsgrondslagen van de verwerking, of die de categorieën ontvangers van gegevens wijzigen — zal de Beheerder hierover op een duidelijke en transparante wijze informeren. Deze informatie kan worden verstrekt via een opvallende melding op de website van de Beheerder of, indien mogelijk en indien de Beheerder beschikt over een actueel e-mailadres van de betrokkene, per e-mail.

18. Marketingactiviteiten en contact met de Beheerder

De Beheerder informeert dat de website geen cookies of andere trackingtechnologieën gebruikt en geen automatische verzameling van persoonsgegevens uitvoert voor marketing- of analytische doeleinden. Het gebruik van de website houdt geen profilering of geautomatiseerde verwerking van gebruikersgegevens in.

De marketingactiviteiten van de Beheerder beperken zich uitsluitend tot het promoten van zijn eigen wervingsdiensten, met name door informatie en vacatures te publiceren op sociale media en door wervingsadvertenties online te plaatsen. De Beheerder gebruikt geen gebruikersgegevens of gedragsinformatie van de website om marketingprofielen op te stellen.

In het kader van direct marketing kan de Beheerder contact opnemen met vertegenwoordigers van ondernemingen in B2B-relaties — bijvoorbeeld op basis van naam, functie of zakelijk e-mailadres — uitsluitend om een aanbod van zijn wervingsdiensten te presenteren. De rechtsgrondslag voor deze verwerking is het gerechtvaardigd belang van de Beheerder dat bestaat uit het voeren van bedrijfsactiviteiten en het promoten van zijn eigen diensten.

Iedere persoon aan wie de Beheerder marketingcommunicatie richt, heeft het recht om te allen tijde bezwaar te maken tegen de verwerking van zijn of haar gegevens voor dit doel. Een bezwaar kan worden ingediend door een bericht te sturen naar: office@hansacareers.ee. Na ontvangst van het bezwaar zullen de gegevens niet langer worden gebruikt voor direct marketing.

De Beheerder biedt gebruikers tevens de mogelijkheid om zelfstandig contact op te nemen — zowel via het contactformulier als via e-mail. Gegevens die op deze wijze worden verstrekt, zoals naam, e-mailadres of de inhoud van het bericht, worden uitsluitend gebruikt om te antwoorden, correspondentie te voeren of een verzoek te behandelen, op basis van het gerechtvaardigd belang van de Beheerder.

De gegevens die in verband met marketing- en contactactiviteiten worden verwerkt, worden niet buiten de Europese Economische Ruimte (EER) doorgegeven, en de verwerking vindt plaats overeenkomstig de beginselen van gegevensminimalisatie, transparantie en doelbinding zoals vastgelegd in artikel 5, lid 1 AVG.

19. Cookies en soortgelijke technologieën

De website van de administrator maakt geen gebruik van cookies of andere traceertechnologieën die doorgaans worden gebruikt voor marketing-, reclame- of analysedoeleinden. De administrator houdt geen statistieken bij over gebruikersgedrag, gebruikt geen analysetools en slaat geen informatie op over hoe de website wordt gebruikt. Het gebruik van de website houdt geen profilering of monitoring van gebruikers in.

De enige externe technologie die op de website wordt gebruikt, is de dienst Cloudflare Turnstile, die uitsluitend wordt ingezet om contactformulieren te beschermen tegen spam, geautomatiseerde inzendingen en misbruik. Deze oplossing gebruikt geen marketingcookies, volgt gebruikers niet en wordt niet gebruikt voor de analyse van hun gedrag.

In het kader van Cloudflare Turnstile kunnen uitsluitend basis technische gegevens worden verwerkt, zoals het IP-adres of browsersignalen. De verwerking vindt uitsluitend plaats om de veiligheid en integriteit van de website te waarborgen, op basis van het gerechtvaardigd belang van de administrator.

Omdat de website geen cookies gebruikt die de toestemming van de gebruiker vereisen, is het niet nodig om een cookiebanner te tonen of enige vorm van toestemming te vragen voor het gebruik van de website, in overeenstemming met de ePrivacy-richtlijn en de Estse wet Elektroonilise side seadus.

Als de administrator in de toekomst cookies of soortgelijke technologieën invoert die toestemming vereisen — bijvoorbeeld om functionaliteit te verbeteren of anonieme statistieken te verzamelen — zullen gebruikers vooraf op een duidelijke en wettelijke manier worden geïnformeerd. Toestemming zal dan worden verkregen in overeenstemming met de ePrivacy-regels, de AVG en de Estse telecommunicatieregelgeving.

Gebruikers zullen te allen tijde hun cookievoorkeuren kunnen beheren via de instellingen van hun browser of via een eventueel toekomstig cookiebeheerpanel, indien een dergelijke oplossing wordt ingevoerd.

20. Serverlogs

Het gebruik van de website houdt in dat verzoeken worden verzonden naar de server waarop de website wordt gehost. Elk netwerkverzoek wordt automatisch geregistreerd in zogeheten serverlogs en kan de volgende technische gegevens bevatten:

– het IP-adres van het apparaat van de gebruiker;
– de datum en het tijdstip van het verzoek;
– informatie over de gebruikte browser en het besturingssysteem;
– het adres van de bezochte pagina;
– eventuele technische foutmeldingen.

Deze gegevens zijn technisch van aard en worden niet gebruikt voor directe identificatie van gebruikers of voor het aanmaken van profielen. Ze worden niet verwerkt voor marketing- of analysedoeleinden.

Serverlogs worden met name verwerkt om:
– de veiligheid en stabiliteit van de website te waarborgen;
– technische fouten in het systeem of netwerk te diagnosticeren;
– misbruik, inbraakpogingen en beveiligingsincidenten te detecteren.

De rechtsgrondslag voor de verwerking van technische gegevens in serverlogs is artikel 6, lid 1, onder f, van de AVG — het gerechtvaardigd belang van de administrator om de veiligheid van informatiesystemen te waarborgen, in overeenstemming met artikel 32 van de AVG en § 24 van de Estse wet Isikuandmete kaitse seadus.

Serverlogs worden maximaal 90 dagen bewaard, tenzij verdere opslag noodzakelijk is vanwege een beveiligingsincident, misbruik of de noodzaak om rechtsvorderingen te kunnen verdedigen. Na afloop van deze periode worden de gegevens automatisch verwijderd of geanonimiseerd.