Политика конфиденциальности

Последнее обновление: 4 декабря 2025 г.

1. Общая информация и администратор данных

1.1. Объем документа
Настоящий документ определяет правила обработки данных лиц, пользующихся услугами, предоставляемыми под брендом Hansa Careers, управляемым компанией Handke Holding OÜ, зарегистрированной в Республике Эстония. Политика конфиденциальности направлена на предоставление ясной и понятной информации о том, каким образом и в каком объеме обрабатываются данные лиц, вступающих в контакт с администратором в рамках его деятельности.

1.2. Информация об администраторе

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

регистрационный номер (registrikood): 17387477
номер НДС ЕС (VAT-EU): EE102932869

1.3. Характер осуществляемой деятельности
Администратор осуществляет деятельность в области услуг по трудовому посредничеству на территории Европейского Союза и Европейского экономического пространства, в частности в рамках взаимодействия между работодателями и лицами, заинтересованными в трудоустройстве.

1.4. Лица, на которых распространяется Политика конфиденциальности
Политика конфиденциальности применяется в отношении лиц, которые:

• пользуются услугами администратора;
• посещают веб-сайт www.hansacareers.ee;
• участвуют в рекрутинговых процессах;
• контактируют с администратором по деловым, административным или информационным вопросам;
• ведут служебную переписку с администратором;
• представляют государственные или частные организации в рамках официальных контактов.

1.5. Цели, к которым относится обработка
Правила, описанные в настоящей политике, включают обработку данных в связи с:

• ведением и обслуживанием веб-сайта www.hansacareers.ee,
• оказанием услуг по трудовому посредничеству,
• выполнением заказов клиентов и сотрудничеством B2B,
• ведение текущей деловой и административной переписки,
• исполнением обязанностей, вытекающих из законодательства ЕС и Республики Эстония.

1.6. Правовая основа
Политика конфиденциальности разработана в соответствии с:
– Регламентом Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года (GDPR),
– Законом Республики Эстония «Об обработке персональных данных» (Isikuandmete kaitse seadus),
– другими обязательными нормами права ЕС и Республики Эстония.

1.7. Язык коммуникации и форма контакта
Основным языком деятельности Администратора является английский язык. Письменное общение может осуществляться на любом официальном языке Европейского союза или Европейской экономической зоны.

Предпочтительной и рекомендуемой формой взаимодействия с Администратором является электронная коммуникация, в частности:
– по адресу электронной почты: office@hansacareers.ee,
– посредством контактной формы, доступной на интернет-сайте: www.hansacareers.ee,
– по телефону: +372 5617 1770.

Связь с Администратором также может осуществляться в форме почтовой корреспонденции по адресу, указанному в пункте 1.2. В целях обеспечения оперативной обработки обращений и надлежащего уровня защиты персональных данных Администратор, осуществляющий деятельность в полностью цифровом формате, однако рекомендует использовать электронные средства связи. Традиционная бумажная почтовая корреспонденция, с учётом характера передаваемой информации, включая возможность передачи персональных данных, может быть связана с более длительным сроком обработки, а также с повышенным риском утраты данных или доступа к ним со стороны неуполномоченных лиц.

1.8. Добровольность предоставления данных и ответственность администратора
Предоставление данных является добровольным, однако в некоторых случаях необходимо для использования услуг администратора, участия в рекрутинговых процессах или получения ответа на запрос. Непредоставление данных может сделать невозможным достижение указанных целей.

Администратор не обязан назначать уполномоченного по защите данных, поскольку характер и объем обработки не подпадают под требования статьи 37 GDPR.

Администратор отвечает за:
– законность обработки данных;
– применение соответствующих технических и организационных мер защиты;
– реализацию прав субъектов данных;
– сотрудничество с эстонским надзорным органом — Andmekaitse Inspektsioon.

2. Категории субъектов данных

В рамках деятельности Hansa Careers, осуществляемой компанией Handke Holding OÜ, обрабатываются исключительно данные, необходимые для предоставления услуг по трудовому посредничеству, поддержания деловых отношений и ведения текущей операционной и организационной коммуникации. Обработка данных осуществляется в соответствии с принципами законности, добросовестности, прозрачности и минимизации, указанными в ст. 5 п. 1 GDPR, и всегда ограничивается объёмом, адекватным цели, для которой данные обрабатываются. Администратор обрабатывает данные следующих категорий лиц:

2.1. Кандидаты, участвующие в рекрутинговых процессах
Физические лица, претендующие на трудоустройство через Hansa Careers в ответ на конкретные, активные рекрутинговые процессы, для которых опубликованы объявления о работе. Обрабатываемые данные могут включать, в частности, сведения, содержащиеся в резюме, контактные данные и другую информацию, предоставленную кандидатом в связи с конкретной вакансией. Данные кандидатов могут быть получены:

• непосредственно от кандидата,
• из общедоступных источников — исключительно в объёме, в котором кандидат самостоятельно раскрыл их, в соответствии со ст. 14 GDPR.

Эти данные обрабатываются исключительно с целью проведения конкретного рекрутингового процесса и передаются только клиентам, в интересах которых проводится данный набор.

2.2. Кандидаты, обращающиеся вне активных рекрутинговых процессов
Администратор обрабатывает данные кандидатов только в связи с конкретными и активными рекрутинговыми процессами. Если администратор не проводит активных процессов найма или если лица направляют свои данные — в частности резюме или сообщения — без связи с конкретной вакансией, такие данные не принимаются и не используются в каких-либо рекрутинговых целях. Данные, присланные по собственной инициативе, без ответа на конкретное объявление, не анализируются, не архивируются и не передаются далее. Они могут быть незамедлительно удалены после получения, если иное не предусмотрено законодательством. Администратор не ведёт базу данных кандидатов, обращающихся спонтанно, и не использует такие заявки в будущих процессах набора. Контакт осуществляется исключительно с лицами, которые самостоятельно откликнулись на конкретное объявление о вакансии или публично заявили о заинтересованности в трудоустройстве, например, размещая собственные объявления в социальных сетях, и только в объёме, необходимом для установления связи по конкретной вакансии.

2.3. Клиенты и их представители
Физические лица и представители хозяйственных субъектов, с которыми администратор сотрудничает при оказании услуг по трудовому посредничеству. Обрабатываемые данные включают, в частности, имя и фамилию, контактные данные, должность и информацию, необходимую для исполнения договоров или делового сотрудничества.

2.4. Потенциальные клиенты и контрагенты
Лица, с которыми был установлен контакт в связи с предложением сотрудничества, либо чьи данные получены из общедоступных источников, таких как веб-сайты компаний или профессиональные бизнес-платформы. Эти данные обрабатываются на основании законного интереса администратора, заключающегося в ведении хозяйственной деятельности и развитии деловых отношений.

2.5. Контрагенты и поставщики услуг
Физические лица, осуществляющие предпринимательскую деятельность, а также представители субъектов, предоставляющих администратору услуги, необходимые для ведения деятельности, в частности технические, бухгалтерские, юридические или коммуникационные услуги. Эти данные обрабатываются с целью исполнения договоров, ведения текущей коммуникации и выполнения обязанностей, вытекающих из законодательства.

2.6. Иные лица, контактирующие с администратором, а также представители государственных органов
Лица, направляющие запросы через контактные формы, электронную почту или иные каналы коммуникации, а также представители государственных органов и публичных учреждений, с которыми администратор ведёт служебную переписку. Эти данные обрабатываются исключительно с целью ведения переписки, предоставления ответа или выполнения правовых обязанностей.

Дополнительная информация
Администратор:
– не получает данные из негласных источников;
– не осуществляет систематического мониторинга лиц;
– не обрабатывает данные, не имеющие значения для реализуемых целей.

3. Объём обрабатываемых персональных данных

Объём обрабатываемых персональных данных зависит от характера отношений между администратором и субъектом данных, а также от цели, для которой данные передаются. Администратор обрабатывает исключительно данные, необходимые для достижения конкретных, законных целей, соблюдая принцип минимизации данных. Персональные данные обрабатываются адекватно, пропорционально и ограничены тем, что необходимо, в соответствии со ст. 5 п. 1 лит. c GDPR и § 11 Isikuandmete kaitse seadus.

3.1. Идентификационные и контактные данные
Администратор может обрабатывать, в частности, следующие данные:

• имя и фамилия,
• адрес электронной почты,
• номер телефона,
• иные контактные данные, добровольно переданные в содержании переписки или контактной формы,
• данные компании при деловых контактах (название компании, должность, служебный e-mail, служебный номер телефона).

Эти данные обрабатываются с целью ведения коммуникации, предоставления ответа на запрос, осуществления сотрудничества или выполнения административных обязанностей.

3.2. Данные кандидатов, участвующих в рекрутинговых процессах
В случае активных рекрутинговых процессов администратор обрабатывает данные, переданные кандидатами исключительно в ответ на конкретные объявления о работе. Объём данных может включать:

• информацию, содержащуюся в резюме (CV), такую как профессиональный опыт, образование, квалификация, навыки и знание языков,
• содержание сообщения, отправленного в связи с подачей заявки,
• иную информацию, добровольно предоставленную кандидатом в связи с рассматриваемой вакансией.

Администратор не получает данные кандидатов из иных источников, кроме прямого отклика на объявление, и не обрабатывает данные кандидатов вне конкретного рекрутингового процесса.

3.3. Кандидаты, направляющие данные вне рекрутинговых процессов
Если администратор не проводит активных процессов найма или не опубликовал объявлений, персональные данные, направленные по инициативе физических лиц (в частности, резюме, отправленные без связи с конкретной вакансией), не принимаются и не используются. Такие данные удаляются без дальнейшей обработки, и администратор не создаёт базы данных или реестра кандидатов, обращающихся спонтанно. Администратор рассматривает только заявки, поданные в ответ на конкретные, действующие объявления о работе.

3.4. Данные клиентов и делового сотрудничества
Администратор обрабатывает персональные данные клиентов и их представителей в объёме, необходимом для предоставления услуг трудового посредничества и делового сотрудничества. Эти данные могут включать:

• имя и фамилию контактного лица,
• адрес электронной почты и номер телефона,
• должность или функцию,
• данные, содержащиеся в договорах, счетах и бухгалтерских документах.

Эти данные обрабатываются с целью выполнения договоров, ведения рабочей коммуникации и выполнения обязанностей, вытекающих из налогового и бухгалтерского законодательства.

3.5. Данные, связанные с коммуникацией и перепиской
Администратор обрабатывает данные, содержащиеся в переписке, ведущейся посредством электронной почты, контактных форм или других каналов связи. Объём данных зависит от содержания сообщения, переданного отправителем, и ограничен информацией, необходимой для предоставления ответа или обработки запроса.

3.6. Технические и организационные данные, связанные с веб-сайтом
В связи с использованием веб-сайта www.hansacareers.ee могут обрабатываться технические данные, такие как:

• IP-адрес,
• данные о браузере и операционной системе,
• дата и время соединения,
• технические данные, сохраняемые в логах сервера.

Эти данные используются исключительно для обеспечения безопасности сайта, защиты от злоупотреблений и корректного функционирования сервиса. В этом объёме администратор использует услуги Cloudflare, Inc., которая обрабатывает технические данные как оператор по обработке данных от имени администратора.

3.7. Данные, связанные с видеосвязью
В случае онлайн-встреч или видеозвонков администратор может использовать платформу Whereby. Обработка данных ограничивается информацией, необходимой для проведения подключения, такой как имя или никнейм пользователя, IP-адрес и технические данные соединения. Администратор не записывает встречи и не фиксирует их содержание, если только участники предварительно не будут уведомлены и не дадут на это согласие.

3.8. Особые категории данных
Администратор, как правило, не обрабатывает специальные категории данных, указанные в ст. 9 GDPR. Администратор не ожидает и не требует предоставления таких данных. Если такие данные будут переданы добровольно в содержании переписки или документов, они будут обработаны исключительно в объёме, необходимом для достижения цели, для которой были переданы, либо будут незамедлительно удалены.

4. Цели и правовые основания обработки персональных данных

Администратор обрабатывает персональные данные исключительно в объёме, необходимом для ведения деятельности в соответствии с действующим законодательством, соблюдая принципы добросовестности, прозрачности и минимизации данных. Обработка данных осуществляется в соответствии со ст. 5 и 6 Регламента (ЕС) 2016/679 (GDPR) и положениями Закона Республики Эстония о защите персональных данных (Isikuandmete kaitse seadus). Персональные данные обрабатываются исключительно для чётко определённых, обоснованных целей и не используются далее способом, несовместимым с этими целями.

4.1. Проведение рекрутинговых процессов
Персональные данные кандидатов обрабатываются в целях:

• приёма и анализа заявок, поданных в ответ на конкретные объявления о работе,
• контакта с кандидатами в ходе рекрутингового процесса,
• оценки соответствия профессионального профиля кандидата требованиям конкретной вакансии,
• передачи данных кандидатов клиентам — потенциальным работодателям — исключительно в рамках конкретного рекрутингового процесса.

Правовые основания:
ст. 6 п. 1 лит. a GDPR — согласие кандидата,
ст. 6 п. 1 лит. b GDPR — действия, направленные на заключение договора,
ст. 9 п. 2 лит. a GDPR — явное согласие, если кандидат добровольно раскрывает данные специальных категорий.

4.2. Хранение заявок для будущих рекрутингов
Данные кандидатов могут храниться после завершения рекрутингового процесса только при наличии отдельного и явного согласия кандидата. Данные хранятся в течение срока, указанного в согласии, или до момента его отзыва.

Правовое основание:
ст. 6 п. 1 лит. a GDPR.

4.3. Заключение и исполнение договоров
Данные клиентов, контрагентов и бизнес-партнёров обрабатываются в целях:

• заключения и выполнения договоров,
• предоставления услуг трудового посредничества,
• ведения коммерческих, административных и операционных контактов.

Правовые основания:
ст. 6 п. 1 лит. b GDPR — исполнение договора,
ст. 6 п. 1 лит. c GDPR — выполнение юридических обязанностей, вытекающих из налогового и бухгалтерского законодательства.

4.4. Поддержание деловых отношений и B2B-маркетинг
Контактные данные представителей компаний могут обрабатываться в целях:

• ведения текущей деловой коммуникации,
• представления предложений о сотрудничестве,
• осуществления прямого маркетинга в рамках B2B-отношений.

Правовое основание:
ст. 6 п. 1 лит. f GDPR — законный интерес администратора, заключающийся в ведении и развитии хозяйственной деятельности.
Субъект данных имеет право подать возражение против такой обработки.

4.5. Ответы на запросы и ведение переписки
Данные лиц, которые связываются с администратором через контактные формы, электронную почту или по телефону, обрабатываются с целью предоставления ответа и ведения текущей переписки.

Правовое основание:
ст. 6 п. 1 лит. f GDPR — законный интерес администратора.

4.6. Расчёты, бухгалтерия и архивирование
Персональные данные обрабатываются в целях выполнения бухгалтерских, налоговых и архивных обязанностей, предусмотренных законодательством Республики Эстония.

Правовое основание:
ст. 6 п. 1 лит. c GDPR — юридическая обязанность администратора.

4.7. Обеспечение безопасности форм и IT-систем (Cloudflare)
Администратор применяет технические и организационные меры для защиты веб-сайта и контактных форм от спама, злоупотреблений и попыток автоматической отправки данных. В этих целях используются услуги Cloudflare, включая механизмы защиты типа Turnstile, которые могут обрабатывать технические данные пользователей, такие как:

• IP-адрес,
• данные браузера и операционной системы,
• техническая информация, необходимая для оценки риска злоупотреблений.

Эти данные обрабатываются исключительно для обеспечения безопасности и целостности IT-систем.

Правовое основание:
ст. 6 п. 1 лит. f GDPR — законный интерес администратора, заключающийся в защите веб-сайта и данных.

4.8. Выявление, предъявление и защита правовых требований
Персональные данные могут обрабатываться для установления, предъявления или защиты правовых требований.

Правовое основание:
ст. 6 п. 1 лит. f GDPR — законный интерес администратора.

4.9. Выполнение обязанностей перед государственными органами
Персональные данные могут передаваться уполномоченным государственным органам, судам или контрольным инстанциям в объёме, предусмотренном законом.

Правовое основание:
ст. 6 п. 1 лит. c GDPR — юридическая обязанность администратора.

5. Правовые основания обработки персональных данных

Администратор обрабатывает персональные данные только в том случае, если для этого существует явное, законное основание, вытекающее из положений:
– Регламента Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 г. (GDPR),
– Закона Республики Эстония о защите персональных данных – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Обработка данных всегда осуществляется в соответствии с принципами, указанными в ст. 5 GDPR и § 11 IKS, в частности принципами: законности, добросовестности, прозрачности, ограничения цели, минимизации данных, целостности и конфиденциальности.

5.1. Правовые основания обработки персональных danych (ст. 6 GDPR)
Администратор обрабатывает персональные данные на основании следующих правовых оснований:

a) Согласие субъекта данных
(ст. 6 п. 1 лит. a GDPR; § 10 п. 1 IKS)
Относится к ситуациям, когда лицо даёт добровольное и однозначное согласие, в частности на:

• участие в будущих рекрутинговых процессах,
• передачу данных потенциальному работодателю,
• обработку дополнительных данных, предоставленных добровольно (например, изображение/фотография).

Согласие может быть отозвано в любой момент без влияния на законность обработки, осуществлённой до его отзыва (ст. 7 п. 3 GDPR).

b) Исполнение договора или действия до его заключения
(ст. 6 п. 1 лит. b GDPR; § 10 п. 1 п. 2 IKS)

• осуществления рекрутинговых процессов и услуг по трудовому посредничеству,
• установления и реализации сотрудничества с клиентами и контрагентами,
• подготовки и реализации предложений по услугам,
• ведения текущего операционного контакта в ходе сотрудничества.

c) Выполнение юридической обязанности, лежащей на Администраторе
(ст. 6 п. 1 лит. c GDPR; § 10 п. 1 п. 3 IKS)
Охватывает обработку данных, требуемую законодательством Эстонии и ЕС, в частности:

• Raamatupidamise seadus § 12–13 – обязанность ведения и хранения бухгалтерской документации в течение 7 лет,
• налоговые и отчётные обязанности,
• обязанности, связанные с публичными проверками и финансовыми аудитами.

d) Законный интерес Администратора
(ст. 6 п. 1 лит. f GDPR; § 11 п. 2 IKS)
Обработка данных, необходимая для достижения законных целей Администратора, таких как:

• ведение текущей коммуникации и обработка обращений,
• развитие профессиональных отношений и сотрудничества в формате B2B,
• прямой маркетинг в деловой среде (в соответствии с Elektroonilise side seadus § 102),
• обеспечение безопасности информационных систем, контактных форм и документов,
• предотвращение злоупотреблений и защита от спама и атак,
• выявление, предъявление или защита правовых требований.

Администратор каждый раз оценивает, не нарушает ли его интерес права и свободы субъекта данных (ст. 6 п. 1 лит. f GDPR в связи с преамбулой 47 GDPR).

e) Выполнение задачи, осуществляемой в общественных интересах
(ст. 6 п. 1 лит. e GDPR; § 10 п. 1 п. 4 IKS)
Относится к обработке данных в рамках проектов, реализуемых или контролируемых публичными институтами, в частности программами рынка труда и мобильности работников (например, Eesti Töötukassa, EURES, программы ЕС), если такая обработка имеет место.

5.2. Обработка специальных категорий данных (ст. 9 GDPR)
Администратор, как правило, не обрабатывает специальные категории данных, указанные в ст. 9 п. 1 GDPR. Если субъект данных добровольно раскрывает такую информацию (например, данные о здоровье или инвалидности):

• обработка осуществляется исключительно на основании явного согласия (ст. 9 п. 2 лит. a GDPR; § 21 IKS),
• данные защищены усиленными техническими и организационными мерами безопасности (ст. 32 GDPR),
• отсутствие согласия не влечёт негативных последствий.

5.3. Общие принципы обработки данных
Администратор гарантирует, что все операции по обработке персональных данных осуществляются в соответствии с:
– ст. 5 и 6 GDPR,
– § 11 Isikuandmete kaitse seadus,
– ст. 32 GDPR — в части безопасности обработки,
– ст. 24 GDPR — принципом подотчётности.

Администратор не осуществляет автоматизированного профилирования и автоматического принятия решений в смысле ст. 22 GDPR.

5.4. Оценка соответствия и внутренняя документация
В целях обеспечения соответствия GDPR и эстонскому законодательству Администратор ведёт и обновляет:

• реестр операций по обработке данных (ст. 30 GDPR),
• оценки баланса интересов в случаях обработки на основании ст. 6 п. 1 лит. f GDPR,
• документацию, касающуюся безопасности информации,
• процедуры реагирования на нарушения защиты данных (ст. 33–34 GDPR, § 23 IKS).

6. Источники получения персональных данных

Персональные данные, обрабатываемые Администратором, поступают исключительно из законных источников и получаются в соответствии с требованиями законодательства, в частности статей 13 и 14 Регламента (ЕС) 2016/679, а также соответствующих положений закона Isikuandmete kaitse seadus.

В случае получения персональных данных не напрямую от субъекта данных Администратор выполняет информационную обязанность в разумный срок, не позднее чем в течение 30 дней с момента получения данных, если только законодательство не предусматривает иной срок.

6.1. Данные, полученные непосредственно от субъектов данных
Персональные данные передаются Администратору добровольно физическими лицами, в частности через:

• контактные формы, размещённые на сайте,
• электронную почту,
• телефонные разговоры или онлайн-встречи,
• ответы на вакансии, опубликованные Администратором,
• текущую коммуникацию в рамках сотрудничества или деловых контактов.

Объём передаваемых данных зависит от характера контакта и цели, с которой лицо обращается к Администратору.

6.2. Данные, получаемые в рамках рекрутинговых процессов
В отношении кандидатов данные могут быть получены исключительно:

• непосредственно от кандидатов в ответ на конкретное объявление о работе, опубликованное Администратором,
• в рамках коммуникации, инициированной кандидатом в связи с конкретной вакансией.

Администратор не принимает и не обрабатывает резюме и другие данные, присланные спонтанно, если в данный момент не ведутся активные рекрутинговые процессы или данные не относятся к конкретному предложению о работе.
Такие данные удаляются без задержки и не используются для каких-либо рекрутинговых целей.

Администратор не использует скрытые источники данных и не получает данные из частных или закрытых профилей социальных сетей.

6.3. Данные клиентов, контрагентов и бизнес-партнёров
Персональные данные клиентов, контрагентов и их представителей могут быть получены:

• в ходе прямых служебных контактов,
• во время переговоров, заключения и исполнения договоров,
• из общедоступных источников, связанных с профессиональной или предпринимательской деятельностью.

Обработка этих данных осуществляется исключительно в объёме, необходимом для делового сотрудничества, оперативных контактов и выполнения юридических обязанностей.

6.4. Данные представителей государственных органов и учреждений
Администратор обрабатывает персональные данные представителей государственных органов и учреждений только в объёме, вытекающем из:

• ведения служебной переписки,
• исполнения юридических обязанностей,
• сотрудничества с компетентными органами публичной администрации.

Обрабатываемые данные включают в частности имя и фамилию, служебный адрес электронной почты, должность или функцию, а также другие данные, переданные в рамках официальной коммуникации.
Правовым основанием является, в частности, ст. 6 п. 1 лит. c и лит. f Регламента (ЕС) 2016/679.

6.5. Технические данные и безопасность форм
При использовании сайта Администратора и контактных форм автоматически обрабатываются базовые технические данные, такие как:

• IP-адрес,
• дата и время соединения,
• техническая информация о браузере и операционной системе,
• данные, необходимые для обеспечения безопасности связи.

Для защиты контактных форм от злоупотреблений, спама и автоматических отправок Администратор использует услуги поставщика инфраструктуры безопасности (Cloudflare, Inc.).
В рамках этого механизма могут обрабатываться технические данные пользователя, включая IP-адрес и сведения о характере соединения.

Обработка данных в этом объёме осуществляется на основании:
– ст. 6 п. 1 лит. f GDPR — законный интерес Администратора, заключающийся в обеспечении безопасности систем и защите от злоупотреблений,
– с применением соответствующих гарантий и правовых механизмов, предусмотренных для трансферов данных за пределы ЕС.

6.6. Регистрационные, бухгалтерские и документальные данные
Персональные данные, обрабатываемые в целях бухгалтерского учёта, налогообложения или архивирования, поступают:

• непосредственно от клиентов и контрагентов,
• из договорной и расчётной документации,
• из официальной корреспонденции, связанной с осуществлением предпринимательской деятельности.

Объём и срок обработки этих данных определяются непосредственно действующим законодательством Эстонии и Европейского Союза.

7. Получатели персональных данных

Персональные данные, обрабатываемые Hansa Careers, действующей под брендом Handke Holding OÜ, могут передаваться только получателям, которые:
– имеют законное право их получить, или
– обрабатывают данные по поручению Администратора в связи с выполнением определённых бизнес-или юридических целей.

Любая передача данных осуществляется в соответствии со статьями 28 и 44–49 Регламента (ЕС) 2016/679, а также с требованиями закона Isikuandmete kaitse seadus, с соблюдением принципов минимизации, конфиденциальности и ограничения цели обработки.

7.1. Потенциальные работодатели и рекрутинговые партнёры
Персональные данные кандидатов могут передаваться потенциальным работодателям или рекрутинговым партнёрам исключительно:

• в рамках конкретного процесса трудоустройства,
• после предварительного уведомления кандидата,
• в объёме, необходимом для оценки профессиональных квалификаций,
• на основании соответствующего правового основания, в частности согласия кандидата или действий, предпринимаемых перед заключением договора.

Данные не передаются массово и не используются вне чётко определённого рекрутингового процесса.

7.2. Технические и организационные субъекты, обрабатывающие данные по поручению Администратора
Персональные данные могут передаваться субъектам, поддерживающим деятельность Администратора, в частности:

• поставщикам хостинга и серверной инфраструктуры,
• операторам электронной почты и контактных форм,
• поставщикам ИТ-инструментов и коммуникационных систем,
• поставщикам инструментов для онлайн-встреч и видеосвязи,
• поставщикам решений по безопасности и защите от злоупотреблений, включая защиту форм,
• бухгалтерским и учётным компаниям,
• юридическим фирмам, налоговым и бизнес-консультантам.

Эти субъекты обрабатывают данные исключительно на основании договора поручения обработки и обязаны:
– соблюдать конфиденциальность,
– применять надлежащие технические и организационные меры,
– обрабатывать данные только по документированному указанию Администратора.

7.3. Кандидаты и клиенты
Персональные данные могут предоставляться кандидатам или клиентам исключительно в объёме, необходимом для достижения конкретной цели, в частности:

• предоставления кандидату информации о условиях работы, месте занятости или профиле работодателя,
• предоставления клиенту информации о кандидате в рамках ведёмой процедуры трудоустройства.

Объём передаваемых данных всегда ограничивается минимумом и зависит от этапа процесса.

7.4. Государственные органы и учреждения
Персональные данные могут передаваться уполномоченным государственным органам исключительно в объёме, предусмотренном действующим законодательством, в частности:

• налоговым органам,
• службам занятости и органам рынка труда,
• органу по защите данных,
• судам, правоохранительным органам и другим контролирующим учреждениям,
• учреждениям Европейского Союза и Европейского экономического пространства.

7.5. Поставщики услуг онлайн-коммуникации
При проведении онлайн-встреч или разговоров персональные данные — такие как имя, адрес электронной почты или технические данные соединения — могут обрабатываться поставщиками инструментов дистанционной коммуникации.
Такое обработка осуществляется исключительно с целью обеспечения связи и организации встреч и основана на законном интересе Администратора либо на действиях, совершаемых до заключения договора.

7.6. Получатели технических данных в целях безопасности
Для обеспечения безопасности сайта, ИТ-инфраструктуры и контактных форм технические данные пользователей — такие как IP-адрес или информация о соединении — могут обрабатываться поставщиками сетевых защитных решений.
В случае передачи данных за пределы ЕС применяются соответствующие правовые механизмы, предусмотренные статьями 44–49 Регламента (ЕС) 2016/679.

7.7. Общие правила передачи данных
Администратор:

• не продаёт персональные данные,
• не предоставляет данные третьим лицам без правового основания,
• не передаёт данные в рекламных, маркетинговых или профилирующих целях,
• не передаёт данные социальным сетям и коммерческим платформам для маркетинговых целей.

Каждый получатель данных обрабатывает их с соблюдением принципов безопасности, конфиденциальности и ограничения цели, исключительно в объёме, необходимом для выполнения возложенной задачи.

8. Передача персональных данных за пределы Европейской экономической зоны (ЕЭЗ)

Администратор, как правило, не передает персональные данные за пределы Европейской экономической зоны (ЕЭЗ) и не передает их международным организациям. Основные процессы обработки персональных данных осуществляются на территории Европейского союза, в частности с использованием инфраструктуры, расположенной в пределах ЕС, включая территорию Эстонской Республики.

Администратор использует услуги хостинга и электронной почты, предоставляемые компанией Zone Media OÜ, действующей под торговым наименованием zone.ee, инфраструктура обработки данных которой расположена на территории Европейского союза.
Персональные данные, обрабатываемые в рамках функционирования веб-сайта и электронной переписки, как правило, обрабатываются в пределах Европейской экономической зоны (ЕЭЗ) и подпадают под защиту, предусмотренную Регламентом (ЕС) 2016/679 (GDPR).

В целях обеспечения безопасности веб-сайта, контактных форм, а также защиты от злоупотреблений и автоматизированных действий Администратор также использует услуги, предоставляемые компанией Cloudflare, Inc. В этом контексте могут обрабатываться технические данные, такие как IP-адрес, данные сетевого соединения, информация о браузере и устройстве, а также данные, необходимые для оценки безопасности запроса. В связи с глобальным характером инфраструктуры Cloudflare такие данные могут передаваться или становиться доступными за пределами ЕЭЗ, в частности в Соединённых Штатах Америки.

Передача персональных данных в рамках использования сервисов Cloudflare осуществляется в соответствии с главой V GDPR, в частности на основании стандартных договорных положений, утверждённых Европейской комиссией (статья 46 GDPR), а также — при наличии применимости — на основании механизмов, предусмотренных в рамках EU–US Data Privacy Framework.
Администратор применяет дополнительные технические и организационные меры, такие как шифрование передачи данных и ограничение объёма обрабатываемых данных до минимума, необходимого для обеспечения безопасности сервиса.

Администратор использует услуги электронной подписи документов, предоставляемые компанией SignRequest B.V. В связи с использованием данных услуг персональные данные могут передаваться за пределы Европейской экономической зоны (ЕЭЗ), в частности в третьи страны, включая Соединённые Штаты Америки.
Такая передача осуществляется в соответствии с главой V GDPR на основании стандартных договорных положений, утверждённых Европейской комиссией (статья 46 GDPR), как это предусмотрено в соглашении о поручении обработки данных (Data Processing Addendum), являющемся неотъемлемой частью условий использования сервиса.

Администратор допускает проведение онлайн-встреч с использованием инструментов видеосвязи, в частности сервиса Whereby. Данные, обрабатываемые в рамках онлайн-встреч, как правило, обрабатываются в пределах Европейской экономической зоны (ЕЭЗ).
В связи с глобальным характером технической инфраструктуры, а также географическим расположением участников встреч, в ограниченных и эпизодических случаях возможна передача персональных данных за пределы ЕЭЗ. Такая передача осуществляется с применением надлежащих гарантий, предусмотренных GDPR, в частности на основании стандартных договорных положений или иных законных механизмов передачи данных.

За исключением указанных выше случаев Администратор не осуществляет постоянную или плановую передачу персональных данных в третьи страны. Процессы подбора персонала, взаимодействие с клиентами и деловыми партнёрами, электронная переписка, а также текущая операционная деятельность осуществляются с использованием инструментов и сервисов, которые, как правило, обрабатывают персональные данные на территории Европейского союза.

Администратор допускает связь посредством внешних интернет-коммуникационных инструментов исключительно по инициативе лица, осуществляющего контакт, и исключительно в информационных целях. В связи с возможным размещением серверов таких инструментов за пределами ЕЭЗ они не рассматриваются в качестве рекомендуемых или безопасных каналов связи по вопросам, связанным с обработкой персональных данных.
Администратор рекомендует передавать документы, содержащие данные кандидатов, специальные категории персональных данных, а также иную чувствительную информацию исключительно через официальные каналы связи.

В случае передачи персональных данных за пределы ЕЭЗ Администратор обеспечивает, чтобы такая передача осуществлялась исключительно в объёме, необходимом для достижения определённой цели, после проведения оценки рисков, связанных с передачей данных, и с соблюдением принципов минимизации данных, конфиденциальности и безопасности обработки в соответствии со статьями 32 и 44–49 GDPR.

9. Сроки хранения персональных данных

Администратор хранит персональные данные только в течение периода, необходимого для достижения целей, для которых они были собраны, в соответствии со ст. 5 ч. 1 лит. e Регламента (ЕС) 2016/679 (GDPR/RODO) и § 17 закона Isikuandmete kaitse seadus.

По истечении установленных срокów хранения данные безвозвратно удаляются, анонимизируются либо архивируются таким образом, чтобы исключить возможность идентификации лица, если иное не требуется по действующему законодательству Эстонии или Европейского Союза.

Сроки хранения данных определяются с учётом:

• цели обработки,
• правового основания обработки,
• характера отношений с субъектом данных,
• сроков давности требований, предусмотренных эстонским законодательством.

9.1. Данные кандидатов

a) Персональные данные, обрабатываемые в рамках конкретного процесса рекрутмента на основании ст. 6 ч. 1 лит. b GDPR, хранятся в течение периода, необходимого для установления, предъявления или защиты возможных требований, возникающих в связи с услугами Администратора.

b) Данные, обрабатываемые в связи с контактом, инициированным Администратором в целях проведения рекрутмента, на основании ст. 6 ч. 1 лит. f GDPR, хранятся до завершения контакта по соответствующему вопросу.

c) Данные, переданные потенциальным работодателям для проведения конкретного процесса рекрутмента на основании ст. 6 ч. 1 лит. a GDPR, хранятся до момента отзыва согласия либо завершения данного процесса — в зависимости от того, что наступит раньше.

d) Данные, обрабатываемые с целью расчётов за услуги, предоставляемые клиентам в рамках поддержки рекрутмента, на основании ст. 6 ч. 1 лит. f GDPR, хранятся до истечения сроков давности требований, как правило 3 года, по состоянию на конец календарного года, согласно законодательству Эстонии.

e) Данные, обрабатываемые с целью установления, предъявления или защиты требований, на основании ст. 6 ч. 1 лит. f GDPR, хранятся до окончания сроков давности таких требований, как правило 3 года по окончании года, если законодательство не предусматривает более длительный срок.

f) Данные, обрабатываемые с целью контакта по вопросам деятельности Администратора, на основании ст. 6 ч. 1 лит. f GDPR, хранятся в течение времени, необходимого для рассмотрения дела.

g) Данные, хранящиеся в базе Администратора на основании отдельного согласия субъекта данных для будущих рекрутментаций, на основании ст. 6 ч. 1 лит. a GDPR, хранятся не более 12 месяцев с момента предоставления согласия либо до его отзыва — что наступит раньше.

h) Документы заявки, в частности резюме, отправленные вне связи с конкретным объявлением о вакансии или в период отсутствия активных процессов рекрутмента, не подлежат обработке и удаляются без необоснованной задержки.

9.2. Данные клиентов

a) Данные, обрабатываемые для выполнения действий, предшествующих заключению договора, а также для его реализации, на основании ст. 6 ч. 1 лит. b GDPR, хранятся в сроки, требуемые законодательством, в частности налоговыми и бухгалтерскими нормами — как правило, 7 лет по праву Эстонии, если законодательство не предусматривает более длительный срок.

b) Данные, обрабатываемые в целях текущих контактов, связанных с заключением, исполнением или расчётами по договору, на основании ст. 6 ч. 1 лит. f GDPR, хранятся в течение срока сотрудничества, если дальнейшая обработка не требуется для законной цели.

c) Данные, обрабатываемые для выполнения отчётных, бухгалтерских и налоговых обязанностей, на основании ст. 6 ч. 1 лит. c GDPR, хранятся в сроки, предусмотренные законодательством Эстонии, как правило 7 лет.

d) Данные, обрабатываемые в целях предъявления или защиты требований, возникающих из договора, на основании ст. 6 ч. 1 лит. f GDPR, хранятся до истечения сроков давности требований — как правило 3 года, если законодательство не определяет иной срок.

9.3. Прочие категории данных

a) Данные потенциальных клиентов и контрагентов хранятся в течение периода, необходимого для реализации цели контакта или сотрудничества, не более 3 лет с момента последнего контакта, если более длительное хранение не требуется для защиты требований.

b) Данные поставщиков, подрядчиков и бизнес-партнёров хранятся в течение срока сотрудничества и после его окончания — в рамках сроков давности, а также для выполнения бухгалтерских и налоговых обязанностей.

c) Данные лиц, контактирующих с Администратором, хранятся в течение времени, необходимого для ответа и завершения дела, а затем — при необходимости — до истечения сроков давности, но не более 3 лет.

d) Данные представителей органов и учреждений хранятся в течение времени, необходимого для выполнения правовой обязанности или завершения официального дела, а затем — в архивах, не дольше 10 лет, если иное не предусмотрено законом.

9.4. Технические данные и безопасность форм
Технические данные, обрабатываемые при работе защитных механизмов форм (Cloudflare Turnstile), включая IP-адрес и технические сведения, обрабатываются автоматически и кратковременно, исключительно для оценки рисков, предотвращения злоупотреблений и обеспечения безопасности сервиса.

Эти данные не хранятся Администратором и не используются для маркетинга или профилирования. Срок их хранения зависит от политик безопасности поставщика услуг и может включать краткосрочные технические журналы, хранящиеся лишь столько, сколько необходимо для обеспечения безопасности или анализа инцидентов.

При отсутствии инцидентов безопасности технические данные не подлежат длительному хранению.

9.5. Заключительные положения
По истечении сроков хранения персональные данные удаляются, анонимизируются или архивируются таким образом, чтобы исключить идентификацию лица, в соответствии с § 17 ч. 4 Isikuandmete kaitse seadus.

Администратор регулярно проводит обзор хранящихся данных и проверку необходимости дальнейшей обработки, гарантируя, что данные не хранятся дольше, чем требуется для целей, для которых они были собраны.

10. Добровольность предоставления данных

10.1. Предоставление персональных данных, как правило, является добровольным. В отдельных случаях указание определённых данных является необходимым для выполнения конкретных действий, оказания услуг, проведения процесса рекрутмента либо заключения или исполнения договора с Администратором. Непредоставление требуемых данных может привести к невозможности выполнения определённых действий или достижения соответствующей цели.

10.2. В частности:

• участие в рекрутинговом процессе требует предоставления контактных данных и документов, связанных с заявкой;
• отправка запросов через контактную форму или по электронной почте требует указания данных, позволяющих идентифицировать отправителя;
• заключение, исполнение или расчёт по договорам требует предоставления данных, необходимых для выполнения договорных, налоговых или бухгалтерских обязанностей;
• использование функционала сайта может требовать обработки базовых технических данных, необходимых для обеспечения безопасности и корректной работы систем.

10.3. Администратор каждый раз информирует, какие данные являются обязательными для достижения конкретной цели, а какие — факультативными. Объём обрабатываемых данных ограничивается минимально необходимым, в соответствии с принципом минимизации данных, указанным в ст. 5 ч. 1 лит. c GDPR.

10.4. В случаях, когда обработка данных осуществляется на основании согласия субъекта данных, предоставление согласия является полностью добровольным. Согласие может быть отозвано в любой момент, без влияния на законность обработки, осуществлённой до момента его отзыва, в соответствии со ст. 7 ч. 3 GDPR.

10.5. Администратор прилагает усилия для обеспечения прозрачности обработки персональных данных и предоставления субъектам данных реального контроля над объёмом, целью и сроком обработки предоставляемой информации.

11. Место хранения данных и меры безопасности

11.1. Персональные данные, обрабатываемые Оператором, хранятся исключительно в электронной форме, на устройствах и в системах, находящихся под исключительным контролем Оператора, а также в системах внешних поставщиков услуг, используемых Оператором в рамках осуществляемой деятельности, в частности в сервисах хостинга, электронной почты и инструментах для электронной подписи документов.
Как правило, такие данные хранятся на территории Европейской экономической зоны (ЕЭЗ); в случае обработки персональных данных за пределами ЕЭЗ это осуществляется исключительно в соответствии с главой V GDPR, в частности на основании стандартных договорных положений (статья 46 GDPR).

11.2. Физические и виртуальные места обработки и хранения персональных данных включают, в частности:

• зашифрованный ноутбук, принадлежащий Оператору, защищённый паролем, полным шифрованием диска и многофакторной аутентификацией;
• зашифрованный внешний носитель данных, используемый для создания периодических резервных копий, хранящийся в безопасном месте и отделённый от основной системы;
• инфраструктуру поставщика услуг хостинга и электронной почты Zone Media OÜ (zone.ee), с местонахождением по адресу Lõõtsa 5, 11415 Tallinn, Эстония, серверы которого расположены на территории Европейского союза, а применяемые меры безопасности соответствуют требованиям статьи 32 GDPR и соответствующим положениям эстонского закона Isikuandmete kaitse seadus;
• системы внешних поставщиков услуг, используемые для подписания и хранения электронно подписанных документов, в частности договоров и документов, связанных с деятельностью Оператора, которые, как правило, функционируют в пределах ЕЭЗ либо – в случае обработки персональных данных за пределами ЕЭЗ – на основании механизмов, предусмотренных статьёй 46 GDPR, в частности стандартных договорных положений;
• системы коммуникационных инструментов, используемых для проведения онлайн-встреч, при этом Оператор не осуществляет запись и не хранит аудио- или видеозаписи встреч, проводимых с использованием таких инструментов.

11.3. Оператор применяет соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего рискам обработки персональных данных, в соответствии со статьёй 32 GDPR и положениями эстонского закона Isikuandmete kaitse seadus. В частности, такие меры включают:

• шифрование передачи данных (SSL/TLS);
• шифрование устройств и носителей данных;
• ограничение доступа к персональным данным исключительно для Оператора;
• использование надёжных и уникальных паролей, а также многофакторной аутентификации;
• регулярное обновление операционных систем, программного обеспечения и мер безопасности;
• создание и безопасное хранение резервных копий;
• использование межсетевых экранов и защитного программного обеспечения;
• автоматическая блокировка устройств и физическая защита оборудования от несанкционированного доступа;
• неиспользование личных или недостаточно защищённых устройств для обработки персональных данных;
• сотрудничество исключительно с поставщиками услуг, обеспечивающими соответствие требованиям GDPR;
• ведение документации, связанной с передачей обработки данных, и регистрация инцидентов;
• применение процедур реагирования на нарушения защиты персональных данных в соответствии со статьями 33–34 GDPR;
• регулярный пересмотр применяемых мер безопасности и прав доступа в соответствии с принципами privacy by design и privacy by default (статья 25 GDPR).

12. Ваши права, связанные с обработкой персональных данных

Лицам, чьи персональные данные обрабатываются Администратором, предоставляются права, вытекающие из Регламента Европейского парламента и Совета (ЕС) 2016/679 (GDPR/RODO), а также из закона Эстонской Республики «Об обработке персональных данных» (Isikuandmete kaitse seadus). Администратор обеспечивает соблюдение всех прав субъектов данных и реализует их в соответствии с применимыми нормами законодательства.

В частности, вы имеете право на получение ясной и прозрачной информации об обработке данных, право на доступ к данным, их исправление, ограничение обработки, удаление, перенос, подачу возражения против обработки, а также право на отзыв согласия — в объёме и на условиях, предусмотренных GDPR.

12.1. Право на доступ к данным и получение их копии
Вы имеете право получить подтверждение того, обрабатывает ли Администратор ваши персональные данные, а если да — право на доступ к этим данным и получение их копии, в соответствии со ст. 15 GDPR. Если запрос подается в электронной форме, информация будет предоставлена в широко используемом электронном формате.

12.2. Право на исправление данных
Вы имеете право требовать незамедлительного исправления персональных данных, которые являются неточными, или дополнения неполных данных, в соответствии со ст. 16 GDPR. Администратор вносит исправления после проверки обоснованности запроса.

12.3. Право на ограничение обработки

a) вы оспариваете точность данных — на период, необходимый для их проверки; b) обработка осуществляется незаконно, но вы возражаете против удаления данных; c) Администратор больше не нуждается в данных для своих целей, однако они необходимы вам для установления, осуществления или защиты правовых требований; d) вы подали возражение против обработки — на время рассмотрения обоснованности такого возражения.

12.4. Право на удаление данных
Вы имеете право требовать удаления персональных данных в случаях, предусмотренных ст. 17 GDPR, в частности, когда данные больше не являются необходимыми для целей, для которых они были собраны, когда вы отозвали своё согласие или когда обработка происходила с нарушением закона.
Данное право не применяется, если дальнейшая обработка данных необходима для выполнения юридических обязанностей Администратора или для установления, осуществления либо защиты правовых требований, в соответствии со ст. 17 ч. 3 GDPR.

12.5. Право на перенос данных
Вы имеете право получить персональные данные, которые вы предоставили Администратору, в структурированном, широко используемом и машиночитаемом формате, а также передать эти данные другому администратору, если обработка осуществляется на основании согласия или договора и в автоматизированном виде, в соответствии со ст. 20 GDPR.

12.6. Право на возражение
Вы имеете право в любой момент возразить против обработки персональных данных, если она осуществляется на основании законного интереса Администратора (ст. 6 ч. 1 лит. f GDPR).
После подачи возражения Администратор прекратит обработку данных, если только он не докажет наличие веских законных оснований для дальнейшей обработки, имеющих приоритет над вашими интересами, правами и свободами, либо необходимости обработки данных для установления, осуществления или защиты правовых требований.
Право на возражение не применяется, если обработка данных осуществляется для выполнения юридических обязанностей, лежащих на Администраторе.

12.7. Право на отзыв согласия
Если обработка данных осуществляется на основании согласия, вы имеете право в любой момент отозвать это согласие. Отзыв согласия не влияет на законность обработки, осуществлённой до его отзыва, в соответствии со ст. 7 ч. 3 GDPR.

12.8. Право на подачу жалобы в надзорный орган
Если вы считаете, что обработка ваших персональных данных нарушает положения GDPR или эстонского закона Isikuandmete kaitse seadus, вы имеете право подать жалобу в компетентный надзорный орган, в частности в:
Andmekaitse Inspektsioon (AKI) — Инспекцию по защите данных Эстонии.

Если вы проживаете или работаете в другом государстве-члене Европейского Союза, вы также можете подать жалобу в надзорный орган, компетентный в этом государстве, в соответствии со ст. 77 GDPR.

12.9. Право не подпадать под решения, основанные исключительно на автоматизированной обработке
Вы имеете право не подпадать под решение, основанное исключительно на автоматизированной обработке, включая профилирование, которое порождает в отношении вас юридические последствия или иным образом существенно на вас влияет, в соответствии со ст. 22 GDPR.
Администратор не применяет автоматизированное принятие решений и профилирование. Все решения в отношении кандидатов, клиентов и бизнес-партнёров принимаются уполномоченными лицами.

12.10. Осуществление прав субъекта данных и контакт с Оператором
В целях осуществления прав, предусмотренных настоящей Политикой конфиденциальности, субъект данных может связаться с Оператором, в частности, с использованием электронных средств связи:

адрес электронной почты: office@hansacareers.ee

Оператор осуществляет свою деятельность полностью в цифровом формате и рекомендует электронную коммуникацию в качестве основной и наиболее безопасной формы связи по вопросам, связанным с обработкой персональных данных. Электронная коммуникация позволяет быстрее обрабатывать запросы и снижает риск несанкционированного доступа к персональным данным.

Письменная корреспонденция может направляться по юридическому адресу Оператора:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Эстония

В то же время Оператор не рекомендует направлять по почте документы, содержащие персональные данные, в частности документы для подачи заявок, копии документов, удостоверяющих личность, либо иную чувствительную информацию. Передача таких данных по почте может быть связана с риском их несанкционированного раскрытия в процессе почтовой обработки и находится вне полного контроля Оператора.

Оператор предоставляет ответы на запросы, связанные с осуществлением прав субъекта данных, без неоправданной задержки и в любом случае не позднее одного месяца с даты получения запроса, в соответствии с пунктом 3 статьи 12 GDPR. В особо сложных случаях данный срок может быть продлён ещё на два месяца, о чём субъект данных будет уведомлён.

13. Нарушения защиты персональных данных

В случае нарушения защиты персональных данных, понимаемого как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или получение доступа к персональным данным, Администратор незамедлительно принимает меры, направленные на ограничение последствий инцидента и предотвращение его повторного возникновения.

Администратор каждый раз оценивает характер нарушения, его масштаб и потенциальное воздействие на права и свободы субъектов данных, после чего внедряет соответствующие технические и организационные меры для устранения причин нарушения и минимизации его последствий. Все инциденты, связанные с безопасностью данных, документируются в соответствии с принципом подотчётности, предусмотренным ст. 5(2) Регламента (ЕС) 2016/679 (GDPR/RODO), а также § 25(3) закона Isikuandmete kaitse seadus.

Если нарушение защиты персональных данных может привести к риску нарушения прав или свобод физических лиц, Администратор уведомляет об этом компетентный надзорный орган — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — не позднее 72 часов с момента обнаружения нарушения, в соответствии со ст. 33 GDPR и § 25 Isikuandmete kaitse seadus, за исключением случаев, когда маловероятно, что нарушение может вызвать такой риск.

В случаях, когда нарушение может создавать высокий риск для прав или свобод физических лиц, Администратор без ненужной задержки уведомляет субъекты данных о характере нарушения, его возможных последствиях, а также о предпринятых или запланированных мерах по минимизации его негативных эффектов, в соответствии со ст. 34 GDPR.

Администратор внедрил внутреннюю процедуру реагирования на нарушения защиты персональных данных, включающую идентификацию инцидента, оценку риска, меры по его устранению и выполнение обязательств по уведомлению. Эффективность данной процедуры регулярно проверяется, чтобы обеспечить соответствие требованиям GDPR и эстонского законодательства, а также поддерживать высокий уровень безопасности обработки данных.

14. Автоматизированное принятие решений и профилирование

Администратор не осуществляет процессов автоматизированного принятия решений, включая профилирование, которые порождают юридические последствия в отношении субъекта данных или иным образом существенно на него влияют, в понимании ст. 22 Регламента (ЕС) 2016/679 (GDPR) и § 23 закона Isikuandmete kaitse seadus.

Все решения относительно кандидатов, клиентов и бизнес-партнёров принимаются с участием человека, на основе индивидуальной оценки предоставленной информации, документов или содержания переписки. Ни одно решение не принимается полностью автоматически.

Администратор не применяет профилирование, заключающееся в автоматической оценке личных характеристик, квалификаций, поведения, предпочтений или профессиональной ситуации физического лица с целью принятия решений, вызывающих юридические последствия или существенно влияющих на это лицо.

В рамках текущей деятельности Администратор может использовать технические инструменты вспомогательного характера (например, фильтрацию электронных сообщений, сортировку заявок или классификацию неполных форм), однако эти инструменты не принимают решений в отношении физических лиц и не заменяют оценку, выполняемую человеком.

15. Надзорный орган

Если у вас возникают сомнения относительно способа обработки ваших персональных данных или вы считаете, что ваши права, предусмотренные Регламентом (ЕС) 2016/679 (GDPR/RODO), были нарушены, вы имеете право подать жалобу в компетентный надзорный орган, независимо от вашего места проживания, места работы или места предполагаемого нарушения, в соответствии со ст. 77 GDPR и § 21 закона Isikuandmete kaitse seadus.

Для деятельности, осуществляемой Администратором в Республике Эстония, компетентным органом надзора является:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — тел.: +372 627 4135; e-mail: info@aki.ee; веб-сайт: https://www.aki.ee.

Если вы проживаете или работаете в другом государстве-члене Европейского Союза, вы также можете подать жалобу в надзорный орган, компетентный в этом государстве, в соответствии со ст. 77 GDPR.

Актуальный перечень органов по защите данных в странах ЕС доступен на сайте Европейского совета по защите данных (EDPB): https://edpb.europa.eu.

Администратор рекомендует перед подачей жалобы в надзорный орган в первую очередь связаться напрямую по вопросам, касающимся обработки персональных данных, по электронной почте: office@hansacareers.ee.

При необходимости вы можете связаться с Администратором также в письменной форме, направив корреспонденцию по адресу его зарегистрированного офиса. Просим учитывать, что почтовая форма связи может быть менее безопасной для персональных данных, поэтому предпочтительным способом остаётся электронная форма контакта.

Администратор приложит все усилия, чтобы рассмотреть каждое обращение надлежащим, прозрачным и своевременным образом, в полном соответствии с GDPR.

16. Юрисдикция и применимое право

Настоящая Политика конфиденциальности регулируется законодательством Республики Эстония и толкуется в соответствии с положениями Регламента (ЕС) 2016/679 (GDPR) и закона Isikuandmete kaitse seadus.

В пределах, допускаемых действующим законодательством, любые споры или претензии, связанные с обработкой персональных данных, использованием веб-сайта Администратора или предоставляемых им услуг, подлежат юрисдикции судов Республики Эстония, территориально компетентных по месту регистрации Администратора.

Положения настоящего пункта не ограничивают и не исключают прав физических лиц, вытекающих из императивных норм законодательства Европейского Союза, в особенности норм, защищающих права потребителей и права субъектов данных в государстве их обычного проживания или места работы в пределах ЕС или Европейского экономического пространства.

17. Обновления Политики конфиденциальности

Администратор может периодически обновлять настоящую Политику конфиденциальности, чтобы обеспечить её соответствие действующему законодательству — в особенности Регламенту (ЕС) 2016/679 (GDPR/RODO) и закону Isikuandmete kaitse seadus — а также в связи с изменениями, связанными с осуществляемой деятельностью, используемыми технологиями или процедурами обработки персональных данных.

Всегда действует версия Политики, опубликованная на веб-сайте Администратора и обозначенная датой последнего обновления. Каждая новая версия заменяет предыдущую с момента её публикации.

Администратор рекомендует регулярно ознакомиться с Политикой конфиденциальности, чтобы получать актуальную информацию о принципах обработки персональных данных и связанных с этим правах.

В случае внесения изменений, имеющих существенное значение для субъектов данных — в частности, затрагивающих цели или правовые основания обработки или изменяющих перечень получателей данных — Администратор уведомит об этом ясно и прозрачно. Такое уведомление может быть размещено в виде заметного сообщения на веб-сайте Администратора или, если это возможно и Администратор располагает актуальным адресом электронной почты субъекта данных, направлено по электронной почте.

18. Маркетинговая деятельность и контакт с Администратором

Администратор сообщает, что веб-сайт не использует cookies или другие технологии отслеживания и не осуществляет автоматического сбора персональных данных в маркетинговых или аналитических целях. Использование сайта не связано с профилированием или автоматизированной обработкой данных пользователей.

Маркетинговая деятельность Администратора ограничивается исключительно продвижением собственных рекрутинговых услуг, в частности публикацией информации и предложений в социальных сетях и размещением объявлений о вакансиях в Интернете. Администратор не использует данные пользователей сайта или их поведение для создания маркетинговых профилей.

В рамках прямого маркетинга Администратор может связываться с представителями компаний в B2B-отношениях — например, используя имя, фамилию, должность или служебный адрес электронной почты — исключительно для представления своих услуг в сфере рекрутинга. Правовым основанием такой обработки является законный интерес Администратора, связанный с ведением предпринимательской деятельности и продвижением собственных услуг.

Каждое лицо, которому Администратор направляет маркетинговую коммуникацию, имеет право в любой момент подать возражение против обработки его данных в этой цели. Возражение можно подать, отправив сообщение на адрес: office@hansacareers.ee. После получения возражения данные больше не будут использоваться для прямого маркетинга.

Администратор также предоставляет возможность самостоятельного контакта пользователей — как через контактную форму, так и по электронной почте. Данные, переданные в таком порядке, включая имя, фамилию, адрес электронной почты и содержание сообщения, используются исключительно для предоставления ответа, ведения переписки или обработки запроса, на основании законного интереса Администратора.

Данные, обрабатываемые в связи с маркетинговой и контактной деятельностью, не передаются за пределы Европейской экономической зоны (ЕЭЗ), а обработка осуществляется в соответствии с принципами минимизации, прозрачности и ограничения цели, установленными в ст. 5(1) GDPR.

19. Файлы cookies и аналогичные технологии

Веб-сайт Администратора не использует файлы cookies или другие технологии отслеживания, которые обычно применяются в маркетинговых, рекламных или аналитических целях. Администратор не ведёт статистики поведения пользователей, не использует аналитические инструменты и не сохраняет информацию о способе использования сайта. Использование сайта не связано с профилированием или мониторингом пользователей.

Единственной внешней технологией, используемой на сайте, является сервис Cloudflare Turnstile, предназначенный исключительно для защиты контактных форм от спама, автоматических отправок и злоупотреблений. Это решение не использует маркетинговые cookies, не отслеживает пользователей и не применяется для анализа их поведения.

В рамках работы Cloudflare Turnstile могут обрабатываться только базовые технические данные, такие как IP-адрес или сигналы браузера. Обработка осуществляется exclusively для обеспечения безопасности сервиса и целостности форм, на основании законного интереса Администратора.

Поскольку сайт не использует cookies, требующие согласия пользователя, нет необходимости отображать баннер cookies или получать какое-либо согласие на использование сайта, в соответствии с Директивой ePrivacy и эстонским законом Elektroonilise side seadus.

Если в будущем Администратор внедрит файлы cookies или аналогичные технологии, требующие согласия пользователя — например, для улучшения функциональности или проведения анонимной статистики — пользователи будут предварительно уведомлены об этом ясным и законным образом. В таком случае согласия будут собираться в соответствии с ePrivacy, GDPR и эстонским законодательством в области телекоммуникаций.

Пользователи смогут в любой момент управлять своими настройками cookies через параметры браузера или через специальную панель управления cookies, если таковая будет введена в будущем.

20. Логи сервера

Использование веб-сайта связано с передачей запросов на сервер, на котором он размещён. Каждый сетевой запрос автоматически регистрируется в так называемых логах сервера и может включать следующие технические данные:

– IP-адрес устройства пользователя; – дату и время запроса; – сведения об используемом браузере и операционной системе; – адрес посещаемой подстраницы; – возможные технические сообщения об ошибках.

Эти данные имеют технический характер и не используются для прямой идентификации пользователей или создания их профилей. Они не обрабатываются в маркетинговых или аналитических целях.

Логи сервера обрабатываются, в частности, для: – обеспечения безопасности и стабильной работы веб-сайта; – диагностики технических ошибок системы или сети; – выявления злоупотреблений, попыток взлома и инцидентов безопасности.

Правовым основанием для обработки технических данных, содержащихся в логах, является ст. 6(1)(f) GDPR — законный интерес Администратора, заключающийся в обеспечении безопасности информационных систем, в соответствии со ст. 32 GDPR и § 24 закона Isikuandmete kaitse seadus.

Логи сервера хранятся не дольше 90 дней, если только их дальнейшее хранение не требуется в связи с инцидентом безопасности, злоупотреблением или необходимостью защиты от возможных претензий. По истечении этого срока данные автоматически удаляются или анонимизируются.