Personvernerklæring

Sist oppdatert: 4. desember 2025

1. Generell informasjon og behandlingsansvarlig

1.1. Dokumentets omfang
Dette dokumentet beskriver reglene for behandling av personopplysninger for personer som benytter tjenester levert under varemerket Hansa Careers, drevet av Handke Holding OÜ, registrert i Republikken Estland. Personvernerklæringen har som formål å presentere klar og forståelig informasjon om hvordan og i hvilket omfang personopplysninger behandles når enkeltpersoner kommer i kontakt med den behandlingsansvarlige innenfor virksomheten.

1.2. Opplysninger om behandlingsansvarlig

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

registreringsnummer (registrikood): 17387477
EU-mva-nummer: EE102932869

1.3. Virksomhetens karakter
Den behandlingsansvarlige driver virksomhet innen rekruttering og arbeidsformidling i Den europeiske union og Det europeiske økonomiske samarbeidsområdet, særlig i forbindelse med kontakt mellom arbeidsgivere og personer som søker jobb.

1.4. Personer som omfattes av personvernerklæringen
Personvernerklæringen gjelder spesielt for personer som:

• benytter tjenester levert av den behandlingsansvarlige,
• besøker nettstedet www.hansacareers.ee,
• deltar i rekrutteringsprosesser,
• kontakter den behandlingsansvarlige i forretningsmessige, administrative eller informasjonsrelaterte saker,
• fører tjenestekorrespondanse med den behandlingsansvarlige,
• representerer offentlige eller private virksomheter i formelle sammenhenger.

1.5. Formål som behandlingen gjelder
Reglene beskrevet i denne erklæringen gjelder behandling av personopplysninger i forbindelse med:

• drift og administrasjon av nettstedet www.hansacareers.ee,
• levering av rekrutteringstjenester,
• utførelse av oppdrag for kunder og B2B-samarbeid,
• løpende forretningsmessig og administrativ korrespondanse,
• oppfyllelse av juridiske forpliktelser etter EU-retten og estisk lovgivning.

1.6. Rettslig grunnlag
Personvernerklæringen er utarbeidet i samsvar med:
– Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (GDPR),
– Republikken Estlands lov om beskyttelse av personopplysninger (Isikuandmete kaitse seadus),
– øvrig gjeldende lovverk i Den europeiske union og Republikken Estland.

1.7. Kommunikasjonsspråk og kontaktform
Administratorens hovedspråk for virksomheten er engelsk. Skriftlig kommunikasjon kan føres på ethvert offisielt språk i Den europeiske union eller Det europeiske økonomiske samarbeidsområde.

Den foretrukne og anbefalte formen for kontakt med Administratoren er elektronisk kommunikasjon, særlig:
– via e-post: office@hansacareers.ee,
– gjennom kontaktskjema tilgjengelig på nettstedet: www.hansacareers.ee,
– per telefon: +372 5617 1770.

Kontakt med Administratoren kan også skje i form av skriftlig post til adressen angitt i punkt 1.2. For å sikre effektiv saksbehandling og et tilstrekkelig nivå av beskyttelse av personopplysninger, anbefaler Administratoren, som driver virksomheten i et fullt ut digitalt format, likevel bruk av elektroniske kommunikasjonsmidler. Tradisjonell postkorrespondanse, tatt i betraktning arten av den overførte informasjonen, herunder muligheten for overføring av personopplysninger, kan medføre lengre behandlingstid samt økt risiko for tap av data eller uautorisert tilgang til slike data.

1.8. Frivillighet og ansvar
Å oppgi personopplysninger er frivillig, men i enkelte tilfeller nødvendig for å benytte tjenestene, delta i rekrutteringsprosesser eller motta svar på henvendelser. Manglende opplysninger kan hindre gjennomføring av disse formålene.

Den behandlingsansvarlige er ikke forpliktet til å utpeke et personvernombud, da arten og omfanget av behandlingen ikke oppfyller vilkårene i artikkel 37 nr. 1 i GDPR.

Den behandlingsansvarlige er ansvarlig for:
– samsvar mellom behandling av personopplysninger og gjeldende lovverk,
– bruk av hensiktsmessige tekniske og organisatoriske sikkerhetstiltak,
– å ivareta rettighetene til personer som får sine data behandlet,
– samarbeid med den estiske tilsynsmyndigheten — Andmekaitse Inspektsioon.

2. Kategorier av personer hvis data vi behandler

Som en del av virksomheten til Hansa Careers, drevet av Handke Holding OÜ, behandles kun personopplysninger som er nødvendige for å levere rekrutteringstjenester, opprettholde forretningsrelasjoner og sikre effektiv operativ og organisatorisk kommunikasjon. Behandlingen skjer i samsvar med prinsippene om lovlighet, rettferdighet, åpenhet og dataminimering, jf. artikkel 5 nr. 1 i GDPR, og begrenses alltid til det som er nødvendig for formålet med behandlingen. Den behandlingsansvarlige behandler personopplysninger for følgende kategorier av registrerte:

2.1. Kandidater som deltar i rekrutteringsprosesser
Fysiske personer som søker arbeid gjennom Hansa Careers som svar på konkrete og aktive rekrutteringsprosesser for hvilke det er publisert stillingsannonser. De behandlede opplysningene kan omfatte informasjon i CV, kontaktopplysninger og andre data levert av kandidaten i forbindelse med den aktuelle rekrutteringen. Kandidatopplysninger kan innhentes:

• direkte fra kandidaten,
• fra offentlig tilgjengelige kilder, utelukkende i det omfang kandidaten selv har offentliggjort dem, i samsvar med artikkel 14 i GDPR.

Disse opplysningene behandles utelukkende for formålet med den konkrete rekrutteringsprosessen og deles kun med de kundene som rekrutteringen gjennomføres for.

2.2. Kandidater som sender inn opplysninger utenfor aktive rekrutteringsprosesser
Den behandlingsansvarlige behandler kandidatopplysninger utelukkende i forbindelse med konkrete og aktive rekrutteringsprosesser. Dersom det ikke pågår en aktiv rekruttering, eller dersom personer sender inn opplysninger — særlig CV eller meldinger — uten tilknytning til en spesifikk stillingsutlysning, blir slike data verken tatt imot eller brukt i noen rekrutteringsprosess. Opplysninger sendt inn på eget initiativ, uten referanse til en konkret utlysning, analyseres ikke, lagres ikke og videreformidles ikke, og kan slettes umiddelbart etter mottak, med mindre annet følger av lovpålagte krav. Den behandlingsansvarlige fører ikke noe register over kandidater som spontant sender inn sine data, og benytter ikke slike innsendelser i fremtidige rekrutteringsprosesser. Kontakt tas kun med personer som selv har søkt på en konkret stilling eller som offentlig har uttrykt interesse for arbeid, f.eks. gjennom egne innlegg på profesjonelle plattformer, og kun i det omfang det er nødvendig for kommunikasjon knyttet til den aktuelle stillingen.

2.3. Kunder og deres representanter
Fysiske personer og representanter for virksomheter som den behandlingsansvarlige samarbeider med i forbindelse med levering av rekrutteringstjenester. Opplysningene kan omfatte navn, kontaktinformasjon, stillingstittel og data som er nødvendige for gjennomføring av avtaler eller forretningssamarbeid.

2.4. Potensielle kunder og samarbeidspartnere
Personer som er kontaktet i forbindelse med et tilbud om samarbeid, eller hvis opplysninger er hentet fra offentlig tilgjengelige kilder, slik som virksomheters nettsider eller profesjonelle nettverksplattformer. Disse opplysningene behandles på grunnlag av den behandlingsansvarliges berettigede interesse i å drive virksomheten og utvikle forretningsforbindelser.

2.5. Kontraktspartnere og tjenesteleverandører
Fysiske personer som driver egen virksomhet, samt representanter for selskaper som leverer tjenester som er nødvendige for den behandlingsansvarliges drift, særlig tekniske, regnskapsmessige, juridiske eller kommunikasjonstjenester. Opplysningene behandles for å oppfylle avtaler, opprettholde løpende kommunikasjon og oppfylle lovpålagte krav.

2.6. Andre personer som kontakter den behandlingsansvarlige samt representanter for offentlige myndigheter
Personer som sender henvendelser via kontaktskjema, e-post eller andre kommunikasjonskanaler, samt representanter for offentlige organer som den behandlingsansvarlige fører tjenstlig korrespondanse med. Opplysningene behandles utelukkende for å følge opp henvendelser, svare på spørsmål eller oppfylle rettslige forpliktelser.

Tilleggsinformasjon
Den behandlingsansvarlige:
– innhenter ikke personopplysninger fra skjulte eller ikke-offentlige kilder,
– foretar ikke systematisk overvåkning av personer,
– behandler ikke opplysninger som ikke er relevante for formålene som skal oppnås.

3. Omfanget av behandlingen av personopplysninger

Omfanget av personopplysninger som behandles av den behandlingsansvarlige, avhenger av forholdet mellom den behandlingsansvarlige og den registrerte, samt formålet opplysningene gis for. Den behandlingsansvarlige behandler kun opplysninger som er nødvendige for å oppnå klart definerte og lovlige formål, i tråd med prinsippet om dataminimering. Personopplysninger behandles på en måte som er adekvat, relevant og begrenset til det som er nødvendig, jf. artikkel 5 nr. 1 bokstav c i GDPR og § 11 i Isikuandmete kaitse seadus.

3.1. Identifikasjons- og kontaktopplysninger
Den behandlingsansvarlige kan behandle blant annet følgende opplysninger:

• fornavn og etternavn,
• e-postadresse,
• telefonnummer,
• andre kontaktopplysninger som frivillig gis i korrespondanse eller kontaktskjema,
• virksomhetsrelaterte opplysninger ved forretningskontakt (firmanavn, stilling, tjenstlig e-postadresse, telefonnummer).

Disse opplysningene behandles for å føre kommunikasjon, besvare henvendelser, gjennomføre samarbeid eller oppfylle administrative forpliktelser.

3.2. Opplysninger om kandidater som deltar i rekrutteringsprosesser
Ved aktive rekrutteringsprosesser behandler den behandlingsansvarlige kun opplysninger som er sendt inn av kandidater som svar på en konkret stillingsutlysning. Opplysningene kan omfatte:

• informasjon som fremgår av CV, slik som arbeidserfaring, utdanning, kvalifikasjoner, ferdigheter og språkkunnskaper,
• innholdet i meldinger sendt i forbindelse med søknaden,
• andre opplysninger som kandidaten frivillig gir som del av søknaden.

Den behandlingsansvarlige innhenter ikke kandidatopplysninger fra andre kilder enn direkte kontakt i forbindelse med utlysningen, og behandler ikke kandidatopplysninger utenfor rammen av den konkrete rekrutteringsprosessen.

3.3. Kandidater som sender inn opplysninger utenfor aktive rekrutteringsprosesser
Dersom den behandlingsansvarlige ikke har aktive rekrutteringsprosesser eller ikke har publisert stillingsutlysninger, tas ikke personopplysninger sendt på eget initiativ (særlig CV-er uten tilknytning til en konkret stilling) imot eller i bruk. Slike opplysninger slettes uten videre behandling, og den behandlingsansvarlige oppretter ikke registre eller databaser over spontant innsendte søknader. Den behandlingsansvarlige vurderer kun søknader som er sendt som svar på konkrete og gjeldende stillingsutlysninger.

3.4. Opplysninger om kunder og forretningssamarbeid
Den behandlingsansvarlige behandler personopplysninger om kunder og deres representanter i det omfang som er nødvendig for å levere rekrutteringstjenester og gjennomføre forretningssamarbeid. Opplysningene kan omfatte:

• navn på kontaktperson,
• e-postadresse og telefonnummer,
• stilling eller funksjon,
• opplysninger i kontrakter, fakturaer og regnskapsdokumenter.

Disse opplysningene behandles for å oppfylle avtaler, føre løpende forretningskontakt og oppfylle lovpålagte krav innen skatt og regnskap.

3.5. Opplysninger knyttet til kommunikasjon og korrespondanse
Den behandlingsansvarlige behandler opplysninger som fremgår av korrespondanse sendt via e-post, kontaktskjemaer eller andre kommunikasjonskanaler. Omfanget av opplysningene avhenger av innholdet i henvendelsen og begrenses til det som er nødvendig for å besvare eller håndtere saken.

3.6. Tekniske og organisatoriske opplysninger knyttet til nettstedet
Ved bruk av nettstedet www.hansacareers.ee kan følgende tekniske data behandles:

• IP-adresse,
• opplysninger om nettleser og operativsystem,
• dato og klokkeslett for tilkoblingen,
• tekniske data lagret i serverlogger.

Disse opplysningene brukes utelukkende for å sikre nettstedets sikkerhet, beskytte mot misbruk og sikre korrekt funksjon. I denne sammenheng benytter den behandlingsansvarlige tjenester fra Cloudflare, Inc., som behandler tekniske data som databehandler på vegne av den behandlingsansvarlige.

3.7. Opplysninger knyttet til videokommunikasjon
Ved nettmøter eller videosamtaler kan den behandlingsansvarlige bruke tjenesten Whereby. Behandlingen begrenses til data som er nødvendige for å gjennomføre samtalen, slik som navn eller brukernavn, IP-adresse og tekniske tilkoblingsdata. Den behandlingsansvarlige foretar ingen opptak av møter eller samtaler, med mindre deltakerne er forhåndsinformert og uttrykkelig har samtykket.

3.8. Særlige kategorier av personopplysninger
Den behandlingsansvarlige behandler som hovedregel ikke særlige kategorier av personopplysninger, jf. artikkel 9 i GDPR, og ber ikke om innsendelse av slike opplysninger. Dersom slike opplysninger frivillig gis i korrespondanse eller dokumenter, behandles de kun i det omfang som er strengt nødvendig for formålet, eller slettes uten ugrunnet opphold.

4. Formål og rettslige grunnlag for behandling av personopplysninger

Den behandlingsansvarlige behandler personopplysninger kun i den utstrekning det er nødvendig for å drive virksomheten i samsvar med gjeldende lovgivning, på en måte som oppfyller prinsippene om rettferdighet, åpenhet og dataminimering. Behandlingen skjer i samsvar med artikkel 5 og 6 i forordning (EU) 2016/679 (GDPR) samt bestemmelsene i Estlands lov om beskyttelse av personopplysninger (Isikuandmete kaitse seadus). Personopplysninger behandles utelukkende for klart definerte og berettigede formål, og brukes ikke videre på en måte som er uforenlig med disse formålene.

4.1. Gjennomføring av rekrutteringsprosesser
Personopplysninger om kandidater behandles for følgende formål:

• å motta og vurdere søknader sendt som svar på konkrete stillingsutlysninger,
• å etablere kontakt med kandidater i løpet av rekrutteringsprosessen,
• å vurdere kandidatens faglige profil opp mot kravene i den aktuelle stillingen,
• å overføre kandidatopplysninger til kunder som potensielle arbeidsgivere – utelukkende innenfor rammen av den konkrete rekrutteringen.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav a GDPR – kandidatens samtykke,
artikkel 6 nr. 1 bokstav b GDPR – tiltak før inngåelse av avtale,
artikkel 9 nr. 2 bokstav a GDPR – uttrykkelig samtykke dersom kandidaten frivillig gir sensitive personopplysninger.

4.2. Oppbevaring av søknader for fremtidige rekrutteringsprosesser
Kandidatopplysninger kan oppbevares etter avsluttet rekrutteringsprosess kun dersom kandidaten har gitt et særskilt og uttrykkelig samtykke. Opplysningene oppbevares i den perioden som er angitt i samtykket, eller frem til samtykket trekkes tilbake.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav a GDPR.

4.3. Inngåelse og gjennomføring av avtaler
Opplysninger om kunder, samarbeidspartnere og forretningsforbindelser behandles for:

• å inngå og gjennomføre avtaler,
• å levere rekrutteringstjenester,
• å håndtere kommersiell, administrativ og operasjonell kontakt.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav b GDPR – oppfyllelse av avtale,
artikkel 6 nr. 1 bokstav c GDPR – oppfyllelse av rettslige forpliktelser innen skatt og regnskap.

4.4. Opprettholdelse av forretningsrelasjoner og B2B-markedsføring
Kontaktopplysninger til bedriftsrepresentanter kan behandles for:

• å føre løpende forretningsmessig kommunikasjon,
• å presentere samarbeidsforslag,
• å gjennomføre direkte markedsføring i B2B-relasjoner.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav f GDPR – den behandlingsansvarliges berettigede interesse i å drive og utvikle virksomheten.
Den registrerte har rett til å protestere mot slik behandling.

4.5. Besvarelse av henvendelser og gjennomføring av korrespondanse
Opplysninger fra personer som kontakter den behandlingsansvarlige via kontaktskjema, e-post eller telefon behandles for å besvare henvendelser og føre nødvendig korrespondanse.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav f GDPR – berettiget interesse.

4.6. Regnskap, økonomi og arkivering
Personopplysninger behandles for å oppfylle regnskaps-, skatte- og arkiveringsforpliktelser fastsatt i estisk lovgivning.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav c GDPR – rettslig plikt.

4.7. Sikring av kontaktskjemaer og IT-systemer (Cloudflare)
Den behandlingsansvarlige benytter tekniske og organisatoriske tiltak for å beskytte nettstedet og kontaktskjemaene mot spam, misbruk og automatiserte forespørsler. I denne forbindelse brukes tjenester fra Cloudflare, herunder sikkerhetsmekanismer som Turnstile, som kan behandle tekniske brukerdata som:

• IP-adresse,
• nettleser- og systeminformasjon,
• tekniske data som er nødvendige for vurdering av misbruksrisiko.

Opplysningene behandles utelukkende for å sikre systemenes sikkerhet og integritet.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav f GDPR – den behandlingsansvarliges berettigede interesse i å beskytte nettstedet og behandle tekniske data for sikkerhetsformål.

4.8. Etablering, utøvelse og forsvar av rettskrav
Personopplysninger kan behandles for å fastslå, utøve eller forsvare rettskrav.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav f GDPR – berettiget interesse.

4.9. Oppfyllelse av forpliktelser overfor offentlige myndigheter
Personopplysninger kan overføres til kompetente offentlige organer, domstoler eller tilsynsmyndigheter i den utstrekning dette er påkrevd ved lov.

Rettslig grunnlag:
artikkel 6 nr. 1 bokstav c GDPR – rettslig plikt.

5. Rettslige grunnlag for behandling av personopplysninger

Den behandlingsansvarlige behandler personopplysninger kun når det foreligger et klart og lovlig behandlingsgrunnlag som følger av:
– Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (GDPR),
– Republikken Estlands lov om beskyttelse av personopplysninger – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Behandlingen av personopplysninger skjer alltid i samsvar med prinsippene angitt i artikkel 5 GDPR og § 11 IKS, særlig prinsippene om lovlighet, rettferdighet, åpenhet, formålsbegrensning, dataminimering, integritet og konfidensialitet.

5.1. Behandlingsgrunnlag for personopplysninger (artikkel 6 GDPR)
Den behandlingsansvarlige behandler personopplysninger med grunnlag i følgende rettslige hjemler:

a) Samtykke fra den registrerte
(artikkel 6 nr. 1 bokstav a GDPR; § 10 nr. 1 IKS)
Gjelder situasjoner der den registrerte gir et frivillig, spesifikt, informert og utvetydig samtykke, særlig til:

• deltakelse i fremtidige rekrutteringsprosesser,
• overføring av opplysninger til en potensiell arbeidsgiver,
• behandling av tilleggsopplysninger som frivillig gis (for eksempel bilde/portrett).

Samtykke kan når som helst trekkes tilbake uten at dette påvirker lovligheten av behandlingen som er basert på samtykket før det ble trukket tilbake (artikkel 7 nr. 3 GDPR).

b) Oppfyllelse av avtale eller tiltak før avtaleinngåelse
(artikkel 6 nr. 1 bokstav b GDPR; § 10 nr. 1 punkt 2 IKS)

• gjennomføring av rekrutteringsprosesser og rekrutteringstjenester,
• etablering og gjennomføring av samarbeid med kunder og kontraktsparter,
• utarbeidelse og gjennomføring av tjenestetilbud,
• føring av løpende operativ kontakt i løpet av samarbeidet.

c) Oppfyllelse av en rettslig forpliktelse som påhviler den behandlingsansvarlige
(artikkel 6 nr. 1 bokstav c GDPR; § 10 nr. 1 punkt 3 IKS)
Omfatter behandling av opplysninger som kreves etter estisk og EU-rett, særlig:

• Raamatupidamise seadus § 12–13 – plikt til å føre og oppbevare regnskapsdokumentasjon i 7 år,
• skatte- og rapporteringsforpliktelser,
• forpliktelser knyttet til offentlige kontroller og finansielle revisjoner.

d) Den behandlingsansvarliges berettigede interesse
(artikkel 6 nr. 1 bokstav f GDPR; § 11 nr. 2 IKS)
Behandling av personopplysninger som er nødvendig for å ivareta den behandlingsansvarliges berettigede formål, som for eksempel:

• å føre løpende kommunikasjon og håndtere henvendelser,
• å utvikle profesjonelle relasjoner og B2B-samarbeid,
• direktemarkedsføring i forretningsmiljøet (i samsvar med Elektroonilise side seadus § 102),
• å sikre informasjonssystemer, kontaktskjemaer og dokumenter,
• å forebygge misbruk og beskytte mot spam og angrep,
• å etablere, utøve eller forsvare rettskrav.

Den behandlingsansvarlige vurderer i hvert enkelt tilfelle om hans berettigede interesser ikke overstyrer den registrertes rettigheter og friheter (artikkel 6 nr. 1 bokstav f GDPR, jf. fortalepunkt 47).

e) Utførelse av oppgave i allmennhetens interesse
(artikkel 6 nr. 1 bokstav e GDPR; § 10 nr. 1 punkt 4 IKS)
Gjelder behandling av personopplysninger innenfor rammen av prosjekter som gjennomføres eller overvåkes av offentlige institusjoner, særlig arbeidsmarkeds- og mobilitetsprogrammer (for eksempel Eesti Töötukassa, EURES eller EU-programmer), dersom slik behandling skulle finne sted.

5.2. Behandling av særlige kategorier av personopplysninger (artikkel 9 GDPR)
Som hovedregel behandler ikke den behandlingsansvarlige særlige kategorier av personopplysninger som nevnt i artikkel 9 nr. 1 GDPR. Dersom den registrerte frivillig gir slike opplysninger (for eksempel opplysninger om helse eller nedsatt funksjonsevne):

• skal behandlingen kun skje på grunnlag av uttrykkelig samtykke (artikkel 9 nr. 2 bokstav a GDPR; § 21 IKS),
• skal opplysningene omfattes av strengere tekniske og organisatoriske sikkerhetstiltak (artikkel 32 GDPR),
• skal manglende samtykke ikke medføre negative konsekvenser for den registrerte.

5.3. Generelle prinsipper for behandling
Den behandlingsansvarlige sikrer at all behandling av personopplysninger utføres i samsvar med:
– artikkel 5 og 6 GDPR,

– § 11 Isikuandmete kaitse seadus,

– artikkel 32 GDPR – når det gjelder sikkerheten ved behandlingen,

– artikkel 24 GDPR – prinsippet om ansvarlighet.

Den behandlingsansvarlige benytter ikke automatisert profilering eller automatiserte individuelle avgjørelser i betydningen av artikkel 22 GDPR.

5.4. Etterlevelsesvurdering og intern dokumentasjon
For å sikre etterlevelse av GDPR og estisk rett fører og oppdaterer den behandlingsansvarlige følgende:

• protokoll over behandlingsaktiviteter (artikkel 30 GDPR),
• interesseavveininger ved behandling basert på artikkel 6 nr. 1 bokstav f GDPR,
• dokumentasjon knyttet til informasjonssikkerhet,
• prosedyrer for håndtering av brudd på personopplysningssikkerheten (artikkel 33–34 GDPR, § 23 IKS).

6. Kilder til innhenting av personopplysninger

Personopplysninger som behandles av Administrator innhentes utelukkende fra lovlige kilder og på en måte som er i samsvar med gjeldende regelverk, særlig artikkel 13 og 14 i forordning (EU) 2016/679 (GDPR) samt relevante bestemmelser i Isikuandmete kaitse seadus.

Dersom personopplysninger innhentes fra andre kilder enn direkte fra den registrerte, oppfyller Administrator informasjonsplikten innen rimelig tid og senest innen 30 dager fra innhentingen, med mindre annet følger av lov.

6.1. Opplysninger innhentet direkte fra de registrerte
Personopplysninger overføres frivillig til Administrator av enkeltpersoner, særlig gjennom:

• kontaktskjemaer på nettstedet,
• e-postkorrespondanse,
• telefonsamtaler eller nettmøter,
• svar på rekrutteringsannonser publisert av Administrator,
• løpende kommunikasjon i forbindelse med samarbeid eller forretningskontakt.

Omfanget av opplysningene avhenger av kontaktens karakter og formålet den registrerte tar kontakt i forbindelse med.

6.2. Opplysninger innhentet i rekrutteringsprosesser
For arbeidssøkere innhentes personopplysninger utelukkende:

• direkte fra kandidaten som svar på en konkret rekrutteringsannonse publisert av Administrator,
• gjennom kommunikasjon initiert av kandidaten i forbindelse med en bestemt stilling.

Administrator mottar og behandler ikke CV-er eller andre kandidatopplysninger som sendes inn spontant dersom det ikke pågår aktive rekrutteringsprosesser eller opplysningene ikke gjelder en konkret stilling.
Slike opplysninger slettes uten ugrunnet opphold og brukes ikke til noe rekrutteringsformål.

Administrator innhenter ikke opplysninger fra skjulte eller utilgjengelige kilder og henter ikke inn data fra private eller lukkede profiler i sosiale medier.

6.3. Opplysninger om kunder, forretningspartnere og deres representanter
Personopplysninger om kunder, kontraktsparter og deres representanter innhentes:

• gjennom direkte profesjonell kontakt,
• i forbindelse med forhandlinger, inngåelse og gjennomføring av avtaler,
• fra offentlige kilder som er relatert til profesjonell eller kommersiell virksomhet.

Behandling av disse opplysningene skjer kun i den grad det er nødvendig for å gjennomføre forretningssamarbeidet, operativ kontakt og rettslige forpliktelser.

6.4. Opplysninger om representanter for offentlige organer og institusjoner
Administrator behandler personopplysninger om representanter for offentlige myndigheter og institusjoner kun innenfor rammen av:

• offisiell korrespondanse,
• oppfyllelse av rettslige forpliktelser,
• samarbeid med relevante offentlige organer.

Opplysningene omfatter særlig navn, tjeneste-e-postadresse, stilling eller funksjon samt andre opplysninger som fremkommer i offisiell kommunikasjon.
Det rettslige grunnlaget for behandlingen er særlig artikkel 6 nr. 1 bokstav c og f GDPR.

6.5. Tekniske data og sikkerhet i kontaktskjemaer
Ved bruk av Administrators nettsted og kontaktskjemaer kan grunnleggende tekniske opplysninger behandles automatisk, for eksempel:

• IP-adresse,
• dato og klokkeslett for tilkoblingen,
• teknisk informasjon om nettleser og operativsystem,
• opplysninger som er nødvendige for å sikre kommunikasjonens sikkerhet.

For å beskytte kontaktskjemaer mot misbruk, spam og automatiske innsendinger benytter Administrator sikkerhetsinfrastruktur levert av Cloudflare, Inc.
I denne sammenheng kan tekniske opplysninger, inkludert IP-adresse og tilkoblingsrelaterte data, behandles.

Behandlingen skjer på grunnlag av:
– artikkel 6 nr. 1 bokstav f GDPR – Administratorens berettigede interesse i å sikre systemer og beskytte mot misbruk,
– passende sikkerhetstiltak og lovlige mekanismer for eventuelle overføringer av data utenfor EU.

6.6. Register-, regnskaps- og dokumentasjonsdata
Personopplysninger som behandles for regnskaps-, skatte- eller arkivformål stammer fra:

• direkte fra kunder og kontraktsparter,
• avtale- og fakturadokumentasjon,
• offisiell korrespondanse knyttet til forretningsvirksomheten.

Omfanget og lagringstiden for disse opplysningene følger direkte av gjeldende estisk og europeisk lovgivning.

7. Mottakere av personopplysninger

Personopplysninger som behandles av Hansa Careers, drevet under varemerket Handke Holding OÜ, kan kun overføres til mottakere som:
– har rett til å motta dem i henhold til gjeldende lovgivning, eller
– behandler opplysningene på vegne av Administrator i forbindelse med bestemte forretningsmessige eller rettslige formål.

Enhver overføring av data skjer i samsvar med prinsippene fastsatt i artikkel 28 og artikkel 44–49 i forordning (EU) 2016/679 (GDPR) samt i henhold til relevante bestemmelser i Isikuandmete kaitse seadus, med respekt for prinsippene om dataminimering, konfidensialitet og formålsbegrensning.

7.1. Potensielle arbeidsgivere og rekrutteringspartnere
Kandidaters personopplysninger kan overføres til potensielle arbeidsgivere eller rekrutteringspartnere kun:

• som en del av en konkret rekrutteringsprosess,
• etter at kandidaten er informert på forhånd,
• i det omfang som er nødvendig for å vurdere kandidatens kvalifikasjoner,
• på et gyldig rettslig grunnlag, særlig kandidatens samtykke eller tiltak før en eventuell kontrakt.

Opplysningene overføres ikke i bulk og brukes ikke utenfor en klart definert rekrutteringsprosess.

7.2. Tekniske og organisatoriske tjenesteleverandører som behandler data på vegne av Administrator
Personopplysninger kan overlates til enheter som støtter Administrators virksomhet, særlig:

• leverandører av hosting og serverinfrastruktur,
• tilbydere av e-posttjenester og kontaktskjemaer,
• leverandører av IT-verktøy og kommunikasjonsløsninger,
• leverandører av systemer for nettmøter og videokommunikasjon,
• leverandører av sikkerhets- og antimisbruksløsninger, inkludert skjema-beskyttelse,
• regnskaps- og bokføringskontorer,
• juridiske, skattemessige og forretningsmessige rådgivere.

Disse enhetene behandler personopplysninger kun på grunnlag av en databehandleravtale og er forpliktet til å:
– ivareta konfidensialitet,
– anvende egnede tekniske og organisatoriske tiltak,
– behandle personopplysninger utelukkende etter dokumenterte instruksjoner fra Administrator.

7.3. Kandidater og kunder
Personopplysninger kan gjøres tilgjengelige for kandidater eller kunder kun i den grad det er nødvendig for å oppnå et bestemt formål, særlig:

• å informere kandidaten om arbeidsvilkår, arbeidssted eller arbeidsgivers profil,
• å informere kunden om en kandidat som er involvert i en rekrutteringsprosess.

Omfanget av data som deles er alltid begrenset til det som er nødvendig og avhenger av prosessens fase.

7.4. Offentlige organer og institusjoner
Personopplysninger kan overføres til autoriserte offentlige myndigheter kun i det omfang som følger av gjeldende lovgivning, særlig:

• skattemyndigheter,
• arbeidskontorer og institusjoner på arbeidsmarkedet,
• datatilsynsmyndigheten,
• domstoler, påtalemyndigheter og andre kontrollorganer,
• institusjoner innenfor EU og EØS.

7.5. Leverandører av digitale kommunikasjonsplattformer
Ved gjennomføring av nettmøter eller samtaler kan personopplysninger som navn, e-postadresse eller tekniske tilkoblingsdata behandles av tilbydere av digitale kommunikasjonsverktøy.
Behandlingen skjer utelukkende for å muliggjøre kommunikasjon og organisering av møter og er basert på Administrators berettigede interesse eller tiltak før en kontrakt inngås.

7.6. Mottakere av tekniske data for sikkerhetsformål
For å sikre nettstedets og IT-infrastrukturens sikkerhet kan tekniske brukerdata, som IP-adresse eller tilkoblingsinformasjon, behandles av leverandører av nettverks- og sikkerhetstjenester.
Dersom personopplysninger overføres utenfor EU, benyttes de nødvendige rettslige mekanismer som fastsatt i artikkel 44–49 GDPR.

7.7. Generelle prinsipper for overføring av personopplysninger
Administrator:

• selger ikke personopplysninger,
• gjør ikke opplysninger tilgjengelige for tredjeparter uten rettslig grunnlag,
• overfører ikke opplysninger til reklame-, markedsførings- eller profileringsformål,
• overfører ikke data til sosiale medier eller kommersielle plattformer for markedsføringsformål.

Alle mottakere behandler personopplysninger i samsvar med prinsippene om sikkerhet, konfidensialitet og formålsbegrensning, og kun i det omfang som er nødvendig for å utføre det tildelte oppdraget.

8. Overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS)

Behandlingsansvarlig overfører som hovedregel ikke personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS) eller til internasjonale organisasjoner. De grunnleggende behandlingsaktivitetene for personopplysninger gjennomføres innenfor Den europeiske union, særlig ved bruk av infrastruktur lokalisert i EU, herunder i Republikken Estland.

Behandlingsansvarlig benytter hosting- og e-posttjenester levert av Zone Media OÜ, som opererer under handelsnavnet zone.ee, og hvis databehandlingsinfrastruktur er lokalisert innenfor Den europeiske union.
Personopplysninger som behandles i forbindelse med drift av nettstedet og e-postkommunikasjon behandles som hovedregel innenfor Det europeiske økonomiske samarbeidsområdet (EØS) og er underlagt beskyttelsen som følger av forordning (EU) 2016/679 (GDPR).

For å sikre nettstedet, kontaktskjemaene samt beskytte mot misbruk og automatiserte aktiviteter, benytter Behandlingsansvarlig også tjenester levert av Cloudflare, Inc. I denne sammenheng kan tekniske data som IP-adresse, nettverkstilknytningsdata, informasjon om nettleser og enhet samt data som er nødvendige for å vurdere sikkerheten ved en forespørsel bli behandlet. På grunn av den globale karakteren av Cloudflares infrastruktur kan slike data bli overført til eller gjort tilgjengelige utenfor EØS, særlig til Amerikas forente stater.

Overføring av personopplysninger i forbindelse med bruk av Cloudflare-tjenester skjer i samsvar med kapittel V i GDPR, særlig på grunnlag av standard kontraktsklausuler godkjent av Europakommisjonen (artikkel 46 GDPR) og – der dette er relevant – i henhold til mekanismene i EU–US Data Privacy Framework.
Behandlingsansvarlig iverksetter ytterligere tekniske og organisatoriske tiltak, herunder kryptering av dataoverføring og begrensning av omfanget av behandlede opplysninger til det minimum som er nødvendig for å sikre tjenestens sikkerhet.

Behandlingsansvarlig benytter elektroniske dokumentunderskriftstjenester levert av SignRequest B.V. I forbindelse med bruk av disse tjenestene kan personopplysninger bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS), særlig til tredjeland, herunder Amerikas forente stater.
Slike overføringer skjer i samsvar med kapittel V i GDPR, på grunnlag av standard kontraktsklausuler godkjent av Europakommisjonen (artikkel 46 GDPR), slik disse er fastsatt i databehandleravtalen (Data Processing Addendum) som utgjør en integrert del av tjenestens vilkår.

Behandlingsansvarlig tillater gjennomføring av nettbaserte møter ved bruk av videokommunikasjonsverktøy, særlig Whereby. Opplysninger som behandles i forbindelse med nettbaserte møter behandles som hovedregel innenfor Det europeiske økonomiske samarbeidsområdet (EØS).
På grunn av den globale karakteren av den tekniske infrastrukturen samt den geografiske plasseringen av møtedeltakerne, kan det i begrensede og sporadiske tilfeller forekomme overføring av personopplysninger utenfor EØS. Slike overføringer skjer med anvendelse av egnede garantier som kreves etter GDPR, særlig standard kontraktsklausuler eller andre lovlige mekanismer for overføring av personopplysninger.

Utover de ovennevnte tilfellene foretar Behandlingsansvarlig ingen permanente eller planlagte overføringer av personopplysninger til tredjeland. Rekrutteringsprosesser, kommunikasjon med kunder og forretningspartnere, e-postkommunikasjon samt løpende operativ virksomhet gjennomføres ved bruk av verktøy og tjenester som som hovedregel behandler personopplysninger innenfor Den europeiske unions territorium.

Behandlingsansvarlig tillater kontakt via eksterne internettbaserte kommunikasjonstjenester utelukkende på initiativ fra den personen som tar kontakt, og kun til informasjonsformål. På grunn av mulig lokalisering av servere for slike tjenester utenfor EØS, anses disse ikke som anbefalte eller sikre kommunikasjonskanaler for saker som involverer personopplysninger.
Behandlingsansvarlig anbefaler at søknadsdokumenter, særlige kategorier av personopplysninger og annen sensitiv informasjon utelukkende overføres via offisielle kommunikasjonskanaler.

Dersom personopplysninger overføres utenfor EØS, sikrer Behandlingsansvarlig at slik overføring kun skjer i den utstrekning det er nødvendig for å oppnå det fastsatte formålet, etter gjennomføring av en vurdering av risikoen knyttet til overføringen, og i samsvar med prinsippene om dataminimering, konfidensialitet og behandlingssikkerhet, i tråd med artiklene 32 og 44–49 i GDPR.

9. Lagringsperiode for personopplysninger

Administrator oppbevarer personopplysninger kun så lenge det er nødvendig for å oppfylle formålene som opplysningene ble samlet inn for, i samsvar med artikkel 5 nr. 1 bokstav e i forordning (EU) 2016/679 (GDPR) og § 17 i Isikuandmete kaitse seadus.

Når den relevante lagringsperioden er utløpt, blir opplysningene permanent slettet, anonymisert eller arkivert på en måte som gjør identifikasjon av enkeltpersoner umulig, med mindre gjeldende estisk eller EU-rett pålegger Administrator en plikt til fortsatt lagring.

Lagringsperioder fastsettes med hensyn til:

• formålet med behandlingen,
• det rettslige grunnlaget for behandlingen,
• forholdets karakter mellom Administrator og den registrerte,
• foreldelsesfrister fastsatt i estisk lovgivning.

9.1. Opplysninger om kandidater

a) Personopplysninger som behandles for rekruttering til en konkret utlyst stilling, med rettslig grunnlag i artikkel 6 nr. 1 bokstav b GDPR, lagres i perioden som er nødvendig for å fastslå, fremme eller forsvare rettskrav knyttet til Administratorens tjenester.

b) Opplysninger behandlet i forbindelse med kontakt initiert av Administrator for rekrutteringsformål, med rettslig grunnlag i artikkel 6 nr. 1 bokstav f GDPR, lagres frem til dialogen i den aktuelle saken er avsluttet.

c) Opplysninger som overføres til potensielle arbeidsgivere i en konkret rekrutteringsprosess, med rettslig grunnlag i artikkel 6 nr. 1 bokstav a GDPR, lagres frem til kandidaten trekker sitt samtykke eller til avslutning av rekrutteringsprosessen – avhengig av hva som inntreffer først.

d) Opplysninger som behandles i forbindelse med avregning av tjenester levert til kunder i rekrutteringsprosessen, med rettslig grunnlag i artikkel 6 nr. 1 bokstav f GDPR, lagres frem til foreldelsesfristens utløp etter avtalens opphør, som hovedregel i 3 år etter utløpet av kalenderåret, i samsvar med estisk lovgivning.

e) Opplysninger behandlet for å fastslå, fremme eller forsvare rettskrav, med rettslig grunnlag i artikkel 6 nr. 1 bokstav f GDPR, lagres frem til relevante foreldelsesfrister utløper, som hovedregel i 3 år etter utløpet av kalenderåret, med mindre loven fastsetter lengre perioder.

f) Opplysninger behandlet for kontakt knyttet til Administratorens virksomhet, med rettslig grunnlag i artikkel 6 nr. 1 bokstav f GDPR, lagres så lenge det er nødvendig for å håndtere den aktuelle henvendelsen.

g) Opplysninger lagret i Administratorens database for fremtidige rekrutteringsprosesser, med rettslig grunnlag i artikkel 6 nr. 1 bokstav a GDPR, lagres i maksimalt 12 måneder etter at samtykket ble gitt, eller frem til det trekkes tilbake – avhengig av hva som inntreffer først.

h) Søknadsdokumenter, herunder CV-er, som sendes uten referanse til en konkret stillingsutlysning eller i perioder hvor Administrator ikke gjennomfører aktive rekrutteringsprosesser, behandles ikke og slettes uten ugrunnet opphold.

9.2. Opplysninger om kunder

a) Personopplysninger behandlet med grunnlag i artikkel 6 nr. 1 bokstav b GDPR for å inngå og gjennomføre avtaler, lagres i samsvar med lovpålagte krav, særlig innen regnskap og skatt, som hovedregel i 7 år i henhold til estisk rett, med mindre lengre perioder er fastsatt i lov.

b) Opplysninger behandlet for løpende kundekontakt, med rettslig grunnlag i artikkel 6 nr. 1 bokstav f GDPR, lagres så lenge samarbeidet varer, med mindre videre behandling er nødvendig for andre lovlige formål.

c) Opplysninger behandlet for rapporterings-, regnskaps- og skatteformål, med grunnlag i artikkel 6 nr. 1 bokstav c GDPR, lagres i perioder fastsatt i estisk lovgivning, som hovedregel i 7 år.

d) Opplysninger behandlet for å fastslå, fremme eller forsvare rettskrav som følger av avtaleforhold, lagres frem til foreldelsesfristen utløper, som hovedregel i 3 år, med mindre loven fastsetter lengre perioder.

9.3. Andre kategorier av opplysninger

a) Opplysninger om potensielle kunder og forretningspartnere lagres i perioden som er nødvendig for å oppfylle kontakt- eller samarbeidsformålet, og ikke lenger enn 3 år etter siste kontakt, med mindre videre lagring er nødvendig for å forsvare rettskrav.

b) Opplysninger om leverandører, tjenesteytere og forretningspartnere lagres gjennom hele samarbeidsperioden og deretter i samsvar med foreldelsesfrister og lovpålagte regnskaps- og skattekrav.

c) Opplysninger om personer som kontakter Administrator lagres i perioden som er nødvendig for å besvare henvendelsen og avslutte saken, og deretter – dersom det er berettiget – inntil foreldelsesfrister utløper, ikke lenger enn 3 år.

d) Opplysninger om representanter for offentlige organer og institusjoner lagres i perioden som er nødvendig for å oppfylle en rettslig plikt eller avslutte en offentlig sak, og deretter i samsvar med lovbestemte arkiveringsperioder, ikke lenger enn 10 år.

9.4. Tekniske data og sikkerhet for kontaktskjemaer
Tekniske data behandlet som del av sikkerhetsmekanismer for kontaktskjemaer (Cloudflare Turnstile), herunder IP-adresse og tekniske tilkoblingsdata, behandles automatisk og kortvarig utelukkende for risikovurdering, misbruksforebygging og tjenestesikkerhet.

Disse dataene lagres ikke av Administrator og brukes ikke til markedsføring eller profilering. Lagring av tekniske logger følger tjenesteleverandørens sikkerhetsrutiner og kan omfatte kortvarige tekniske loggfiler som oppbevares kun så lenge det er nødvendig for å ivareta system­sikkerhet eller analysere sikkerhetshendelser.

Dersom ingen sikkerhetshendelser oppstår, lagres ikke tekniske data på lang sikt.

9.5. Sluttbestemmelser
Når lagringsperiodene ovenfor er utløpt, blir personopplysninger permanent slettet, anonymisert eller arkivert på en måte som gjør identifikasjon umulig, i samsvar med § 17 nr. 4 i Isikuandmete kaitse seadus.

Administrator gjennomfører regelmessige vurderinger av lagrede data og nødvendigheten av fortsatt behandling, for å sikre at personopplysninger ikke lagres lenger enn nødvendig for formålene de ble samlet inn for.

10. Frivillighet ved å oppgi personopplysninger

10.1. Å oppgi personopplysninger er som hovedregel frivillig. I enkelte tilfeller er det imidlertid nødvendig å oppgi bestemte opplysninger for å kunne gjennomføre visse handlinger, levere tjenester, gjennomføre en rekrutteringsprosess eller inngå og oppfylle en avtale med Administrator. Manglende oppgivelse av påkrevde opplysninger kan gjøre det umulig å gjennomføre bestemte aktiviteter eller oppnå det aktuelle formålet.

10.2. Særlig gjelder følgende:

• deltakelse i en rekrutteringsprosess krever at kandidatene oppgir nødvendige kontaktopplysninger og leverer relevante søknadsdokumenter;
• innsending av henvendelser via kontaktskjema eller e-post krever opplysninger som gjør det mulig å identifisere avsenderen;
• inngåelse, gjennomføring og avregning av avtaler krever behandling av opplysninger som er nødvendige for å oppfylle kontraktsmessige, skattemessige eller regnskapsmessige forpliktelser;
• bruk av nettstedets funksjonalitet kan kreve behandling av grunnleggende tekniske data som er nødvendige for sikkerhet og korrekt drift av systemene.

10.3. Administrator informerer alltid om hvilke opplysninger som er nødvendige for å oppfylle et gitt formål, og hvilke som er valgfrie. Omfanget av behandlingen begrenses til det strengt nødvendige, i tråd med prinsippet om dataminimering etter artikkel 5 nr. 1 bokstav c i GDPR.

10.4. I tilfeller der behandlingen skjer på grunnlag av samtykke fra den registrerte, er samtykket fullstendig frivillig. Samtykket kan trekkes tilbake når som helst, uten at dette påvirker lovligheten av behandling som ble utført før tilbaketrekkingen, jf. artikkel 7 nr. 3 i GDPR.

10.5. Administrator bestreber seg på å sikre full åpenhet i behandlingen av personopplysninger og gi de registrerte reell kontroll over omfang, formål og varighet av behandlingen av opplysningene de har gitt.

11. Lagringssted for data og sikkerhetstiltak

11.1. Personopplysninger som behandles av den behandlingsansvarlige lagres utelukkende i elektronisk form, på enheter og i systemer som er under den behandlingsansvarliges eksklusive kontroll, samt i systemene til eksterne tjenesteleverandører som benyttes av den behandlingsansvarlige som ledd i virksomheten, særlig hostingtjenester, e-posttjenester og verktøy for elektronisk signering av dokumenter.
Som hovedregel lagres slike opplysninger innenfor Det europeiske økonomiske samarbeidsområdet (EØS); dersom personopplysninger behandles utenfor EØS, skjer dette utelukkende i samsvar med kapittel V i GDPR, særlig på grunnlag av standard kontraktsklausuler (artikkel 46 GDPR).

11.2. Fysiske og virtuelle steder for behandling og lagring av personopplysninger omfatter særlig:

• en kryptert bærbar datamaskin som tilhører den behandlingsansvarlige, beskyttet med passord, full disk-kryptering og flerfaktorautentisering;
• et kryptert eksternt lagringsmedium som benyttes til periodiske sikkerhetskopier, lagret på et sikkert sted og adskilt fra hovedsystemet;
• infrastrukturen til leverandøren av hosting- og e-posttjenester Zone Media OÜ (zone.ee), med forretningsadresse Lõõtsa 5, 11415 Tallinn, Estland, hvis servere er lokalisert på Den europeiske unions territorium, og hvor de anvendte sikkerhetstiltakene oppfyller kravene i artikkel 32 i GDPR samt relevante bestemmelser i den estiske Isikuandmete kaitse seadus;
• systemene til eksterne tjenesteleverandører som benyttes til signering og lagring av elektronisk signerte dokumenter, særlig kontrakter og dokumenter knyttet til den behandlingsansvarliges virksomhet, som som hovedregel opererer innenfor EØS eller – dersom personopplysninger behandles utenfor EØS – på grunnlag av mekanismer i samsvar med artikkel 46 GDPR, særlig standard kontraktsklausuler;
• systemene til kommunikasjonsverktøy som benyttes til gjennomføring av nettbaserte møter, hvor den behandlingsansvarlige verken foretar opptak av eller lagrer lyd- eller videoopptak fra møter gjennomført ved bruk av slike verktøy.

11.3. Den behandlingsansvarlige iverksetter egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som står i forhold til risikoen ved behandlingen av personopplysninger, i samsvar med artikkel 32 i GDPR og bestemmelsene i den estiske Isikuandmete kaitse seadus. Slike tiltak omfatter særlig:

• kryptering av dataoverføring (SSL/TLS);
• kryptering av enheter og lagringsmedier;
• begrensning av tilgang til personopplysninger utelukkende til den behandlingsansvarlige;
• bruk av sterke og unike passord samt flerfaktorautentisering;
• regelmessig oppdatering av operativsystemer, programvare og sikkerhetstiltak;
• utførelse og sikker lagring av sikkerhetskopier;
• bruk av brannmurer og sikkerhetsprogramvare;
• automatisk låsing av enheter samt fysisk sikring av maskinvare mot uautorisert tilgang;
• unngåelse av bruk av private eller utilstrekkelig sikrede enheter til behandling av personopplysninger;
• samarbeid utelukkende med tjenesteleverandører som sikrer etterlevelse av GDPR;
• føring av dokumentasjon knyttet til databehandleravtaler og registrering av hendelser;
• anvendelse av prosedyrer for håndtering av brudd på personopplysningssikkerheten i samsvar med artiklene 33–34 i GDPR;
• regelmessig gjennomgang av anvendte sikkerhetstiltak og tilgangsrettigheter i samsvar med prinsippene om privacy by design og privacy by default (artikkel 25 GDPR).

12. Dine rettigheter knyttet til behandling av personopplysninger

Personer hvis personopplysninger behandles av Administrator, har rettigheter som følger av Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR) og den estiske loven Isikuandmete kaitse seadus. Administrator sikrer respekt for alle rettighetene til de registrerte og oppfyller dem i samsvar med gjeldende regelverk.

Du har særlig rett til å få klare og forståelige opplysninger om behandlingen av dine data, rett til innsyn, retting, begrensning av behandling, sletting, dataportabilitet, til å protestere mot behandling samt rett til å trekke tilbake samtykke – innenfor rammene og på vilkårene som følger av GDPR.

12.1. Rett til innsyn i opplysninger og kopi av dem
Du har rett til å få bekreftet om Administrator behandler dine personopplysninger, og dersom det er tilfelle, rett til innsyn i disse opplysningene og til å motta en kopi av dem, jf. artikkel 15 i GDPR. Dersom en begjæring fremsettes elektronisk, vil opplysningene bli gitt i et alminnelig brukt elektronisk format.

12.2. Rett til retting av opplysninger
Du har rett til å kreve at uriktige personopplysninger om deg blir rettet uten ugrunnet opphold, og at ufullstendige opplysninger blir supplert, jf. artikkel 16 i GDPR. Administrator gjennomfører retting etter å ha vurdert og bekreftet grunnlaget for begjæringen.

12.3. Rett til begrensning av behandling

a) du bestrider riktigheten av opplysningene – for en periode som gjør det mulig å kontrollere dem; b) behandlingen er ulovlig, men du motsetter deg sletting av opplysningene; c) Administrator ikke lenger trenger opplysningene til formålene med behandlingen, men de er nødvendige for deg for å fastsette, gjøre gjeldende eller forsvare rettskrav; d) du har protestert mot behandlingen – i påvente av vurderingen av om innsigelsen skal tas til følge.

12.4. Rett til sletting («retten til å bli glemt»)
Du har rett til å kreve sletting av personopplysninger i tilfeller som angitt i artikkel 17 i GDPR, særlig når opplysningene ikke lenger er nødvendige for formålene de ble samlet inn for, når du har trukket tilbake samtykke, eller når behandlingen har vært ulovlig.
Denne retten gjelder ikke dersom videre behandling er nødvendig for at Administrator skal oppfylle rettslige forpliktelser eller for å fastsette, gjøre gjeldende eller forsvare rettskrav, jf. artikkel 17 nr. 3 i GDPR.

12.5. Rett til dataportabilitet
Du har rett til å motta personopplysninger som du selv har gitt til Administrator, i et strukturert, alminnelig brukt og maskinlesbart format, og til å overføre disse opplysningene til en annen behandlingsansvarlig, dersom behandlingen er basert på samtykke eller avtale og skjer automatisk, jf. artikkel 20 i GDPR.

12.6. Rett til å protestere
Du har rett til når som helst å protestere mot behandling av personopplysninger når behandlingen skjer på grunnlag av Administratorens berettigede interesser (artikkel 6 nr. 1 bokstav f i GDPR).
Når du har fremmet en protest, vil Administrator opphøre behandlingen, med mindre Administrator kan påvise tvingende berettigede grunner til behandlingen som går foran dine interesser, rettigheter og friheter, eller behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Retten til å protestere gjelder ikke når behandlingen skjer for å oppfylle rettslige forpliktelser som påhviler Administrator.

12.7. Rett til å trekke tilbake samtykke
Dersom behandlingen skjer på grunnlag av samtykke, har du rett til når som helst å trekke dette tilbake. Tilbaketrekking av samtykke påvirker ikke lovligheten av behandling som er utført på grunnlag av samtykke før det ble trukket tilbake, jf. artikkel 7 nr. 3 i GDPR.

12.8. Rett til å klage til en tilsynsmyndighet
Dersom du mener at behandlingen av dine personopplysninger bryter med GDPR eller den estiske loven Isikuandmete kaitse seadus, har du rett til å klage til en kompetent tilsynsmyndighet, særlig:
Andmekaitse Inspektsioon (AKI) – den estiske tilsynsmyndigheten for personvern.

Dersom du bor eller arbeider i en annen EU-medlemsstat, kan du også klage til tilsynsmyndigheten som er kompetent i denne staten, jf. artikkel 77 i GDPR.

12.9. Rett til ikke å være gjenstand for automatiserte individuelle avgjørelser
Du har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, og som har rettsvirkninger for deg eller på tilsvarende måte i betydelig grad påvirker deg, jf. artikkel 22 i GDPR.
Administrator benytter ikke automatiserte avgjørelser eller profilering. Alle beslutninger som berører kandidater, kunder og forretningspartnere treffes av autoriserte personer.

12.10. Utøvelse av den registrertes rettigheter og kontakt med behandlingsansvarlig
For å utøve rettighetene fastsatt i denne personvernerklæringen kan den registrerte kontakte den behandlingsansvarlige, særlig ved bruk av elektroniske kommunikasjonsmidler:

e-postadresse: office@hansacareers.ee

Den behandlingsansvarlige driver sin virksomhet fullt ut digitalt og anbefaler elektronisk kommunikasjon som den primære og mest sikre formen for kontakt i saker som gjelder behandling av personopplysninger. Elektronisk kommunikasjon muliggjør raskere behandling av henvendelser og reduserer risikoen for uautorisert tilgang til personopplysninger.

Skriftlig korrespondanse kan sendes til den behandlingsansvarliges registrerte forretningsadresse:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estland

Samtidig anbefaler ikke den behandlingsansvarlige å sende dokumenter som inneholder personopplysninger per post, særlig søknadsdokumenter, kopier av identitetsdokumenter eller sensitive opplysninger. Overføring av slike data via post kan innebære risiko for uautorisert utlevering under postbehandlingen og ligger utenfor den behandlingsansvarliges fulle kontroll.

Den behandlingsansvarlige skal besvare forespørsler knyttet til utøvelse av den registrertes rettigheter uten ugrunnet opphold og senest innen én måned etter mottak av forespørselen, i samsvar med artikkel 12 nr. 3 i GDPR. I særlig komplekse tilfeller kan denne fristen forlenges med ytterligere to måneder, noe den registrerte vil bli informert om.

13. Brudd på personvern og datasikkerhet

Ved et brudd på personopplysningssikkerheten – forstått som utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert offentliggjøring eller tilgang til personopplysninger – iverksetter Administrator umiddelbart tiltak for å begrense konsekvensene av hendelsen og forhindre gjentakelse.

Administrator vurderer alltid arten av bruddet, dets omfang og den potensielle risikoen for de registrertes rettigheter og friheter, og gjennomfører deretter nødvendige tekniske og organisatoriske tiltak for å fjerne årsakene til bruddet og redusere dets negative virkninger. Alle hendelser knyttet til datasikkerhet dokumenteres i samsvar med prinsippet om ansvarlighet i artikkel 5 nr. 2 i forordning (EU) 2016/679 (GDPR) og § 25 tredje ledd i Isikuandmete kaitse seadus.

Dersom et brudd på personopplysningssikkerheten sannsynligvis kan medføre risiko for fysiske personers rettigheter eller friheter, rapporterer Administrator forholdet til den kompetente tilsynsmyndigheten — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — senest innen 72 timer etter å ha blitt kjent med bruddet, i samsvar med artikkel 33 i GDPR og § 25 i Isikuandmete kaitse seadus, med mindre det er lite sannsynlig at bruddet vil medføre slik risiko.

Dersom bruddet kan medføre høy risiko for fysiske personers rettigheter eller friheter, informerer Administrator uten ugrunnet opphold de registrerte om arten av bruddet, mulige konsekvenser og tiltak som er gjennomført eller planlagt for å begrense skadevirkningene, jf. artikkel 34 i GDPR.

Administrator har etablert en intern prosedyre for håndtering av brudd på personopplysningssikkerheten, som omfatter identifisering av hendelsen, risikovurdering, korrigerende tiltak og informasjonsplikt. Effektiviteten av denne prosedyren vurderes regelmessig for å sikre etterlevelse av GDPR og estisk lovgivning samt for å opprettholde et høyt sikkerhetsnivå ved behandling av personopplysninger.

14. Automatiserte avgjørelser og profilering

Administrator foretar ikke automatiserte individuelle avgjørelser, inkludert profilering, som kan ha rettsvirkninger for den registrerte eller på tilsvarende måte i betydelig grad påvirke vedkommende, jf. artikkel 22 i forordning (EU) 2016/679 (GDPR) og § 23 i Isikuandmete kaitse seadus.

Alle beslutninger som gjelder kandidater, kunder og forretningspartnere treffes av personer med nødvendig kompetanse, basert på en individuell vurdering av innsendt informasjon, dokumenter eller innhold i korrespondanse. Ingen beslutninger tas utelukkende ved hjelp av automatiserte prosesser.

Administrator benytter ikke profilering som innebærer automatisk vurdering av en fysisk persons egenskaper, kvalifikasjoner, atferd, preferanser eller yrkessituasjon for å treffe beslutninger som har rettsvirkninger eller i betydelig grad påvirker vedkommende.

Som en del av den daglige saksbehandlingen kan Administrator benytte tekniske hjelpemidler (f.eks. filtrering av e-poster, sortering av henvendelser eller klassifisering av ufullstendige skjemaer). Slike verktøy treffer imidlertid aldri selvstendige avgjørelser overfor fysiske personer og erstatter ikke menneskelig vurdering.

15. Tilsynsmyndighet

Dersom du har spørsmål om hvordan dine personopplysninger behandles, eller mener at dine rettigheter etter forordning (EU) 2016/679 (GDPR) er blitt krenket, har du rett til å sende en klage til den kompetente tilsynsmyndigheten, uavhengig av ditt bosted, arbeidssted eller stedet der det påståtte bruddet fant sted, i samsvar med artikkel 77 i GDPR og § 21 i Isikuandmete kaitse seadus.

For virksomheten som drives av Administrator, er følgende tilsynsmyndighet kompetent i Republikken Estland:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — tlf.: +372 627 4135; e-post: info@aki.ee; nettsted: https://www.aki.ee.

Dersom du bor eller arbeider i en annen medlemsstat i EU, kan du også sende en klage til den tilsynsmyndigheten som er kompetent for ditt bosted eller arbeidssted, jf. artikkel 77 i GDPR.

En oppdatert liste over tilsynsmyndigheter i EU-landene finnes på nettstedet til Det europeiske personvernrådet (EDPB): https://edpb.europa.eu.

Administrator oppfordrer imidlertid til at du først tar direkte kontakt i saker som gjelder behandling av personopplysninger, via e-post: office@hansacareers.ee.

Ved behov kan du også kontakte Administrator skriftlig ved å sende korrespondanse til selskapets registrerte adresse. Vi gjør høflig oppmerksom på at postforsendelser kan være mindre sikre for personopplysninger, og derfor er elektronisk kontakt den foretrukne metoden.

Administrator vil gjøre sitt beste for å avklare enhver sak på en grundig, transparent og rettidig måte, i samsvar med GDPR.

16. Jurisdiksjon og gjeldende lov

Denne personvernerklæringen er underlagt lovgivningen i Republikken Estland og tolkes i samsvar med forordning (EU) 2016/679 (GDPR) og Isikuandmete kaitse seadus.

Innenfor rammene av gjeldende lovgivning skal alle tvister eller krav relatert til behandling av personopplysninger, bruk av Administratorens nettsted eller tjenestene som tilbys, være underlagt domstolene i Republikken Estland med lokal kompetanse etter Administrators forretningsadresse.

Bestemmelsene i dette punktet begrenser ikke de rettighetene fysiske personer har etter ufravikelig EU-lovgivning, særlig regler som beskytter forbrukere og registrertes rettigheter i den medlemsstaten der de har sitt vanlige bosted eller arbeidssted innenfor EU eller EØS.

17. Oppdateringer av personvernerklæringen

Administrator kan fra tid til annen oppdatere denne personvernerklæringen for å sikre samsvar med gjeldende lover og forskrifter — særlig Europaparlamentets og Rådets forordning (EU) 2016/679 (GDPR) og den estiske loven Isikuandmete kaitse seadus — samt i forbindelse med endringer i virksomheten, teknologiene som brukes, eller interne prosedyrer for behandling av personopplysninger.

Den versjonen av personvernerklæringen som publiseres på administratorens nettsted, merket med dato for siste oppdatering, er alltid den gjeldende versjonen. Hver ny versjon erstatter tidligere versjoner fra det øyeblikket den publiseres.

Administrator anbefaler at du jevnlig setter deg inn i personvernerklæringen for å holde deg oppdatert om gjeldende regler for behandling av personopplysninger og om dine rettigheter.

Dersom det innføres endringer som er vesentlige for registrerte personer — særlig endringer som påvirker formålene eller det rettslige grunnlaget for behandlingen, eller som endrer kategoriene av mottakere av personopplysninger — vil administrator informere om dette på en klar og tydelig måte. Slik informasjon kan gis gjennom en tydelig melding på nettstedet, eller, dersom mulig og dersom administrator har tilgang til en oppdatert e-postadresse til den registrerte, via e-postmelding.

18. Markedsføringsaktiviteter og kontakt med administrator

Administrator informerer om at nettstedet ikke bruker informasjonskapsler eller andre sporingsmekanismer, og at det ikke foregår automatisk innsamling av personopplysninger for markedsførings- eller analyseformål. Bruk av nettstedet innebærer ikke profilering eller automatisert behandling av brukerdata.

Administratorens markedsføringsaktiviteter er begrenset til promotering av egne rekrutteringstjenester, særlig gjennom publisering av informasjon og stillingsannonser i sosiale medier og på internett. Administrator bruker ikke brukernes data eller deres atferd til å bygge markedsføringsprofiler.

Som en del av direkte markedsføring kan administrator kontakte representanter for selskaper i B2B-relasjoner — for eksempel ved bruk av navn, stilling eller forretningsrelatert e-postadresse — utelukkende for å presentere tilbud om rekrutteringstjenester. Det rettslige grunnlaget for slik behandling er administratorens berettigede interesse i å drive virksomheten og markedsføre egne tjenester.

Enhver person som mottar markedsføringskommunikasjon fra administrator, har rett til når som helst å protestere mot behandling av sine data for dette formålet. En protest kan sendes til: office@hansacareers.ee. Etter mottatt protest vil dataene ikke lenger bli brukt til direkte markedsføring.

Administrator tilbyr også mulighet for direkte kontakt fra brukere — både via kontaktskjemaet og via e-post. Opplysninger som gis på denne måten, inkludert navn, e-postadresse eller innholdet i meldingen, brukes utelukkende for å gi svar, føre korrespondanse eller behandle henvendelsen, basert på administratorens berettigede interesse.

Data som behandles i forbindelse med markedsføring og kommunikasjon, overføres ikke utenfor Det europeiske økonomiske samarbeidsområdet (EØS), og behandlingen skjer i samsvar med prinsippene om dataminimering, åpenhet og formålsbegrensning som angitt i artikkel 5 nr. 1 i GDPR.