Privacybeleid

Laatst bijgewerkt: 4 december 2025

1. Algemene informatie en verwerkingsverantwoordelijke

1.1. Reikwijdte van dit document
Dit document beschrijft de regels voor de verwerking van persoonsgegevens van personen die gebruikmaken van diensten die worden aangeboden onder het merk Hansa Careers, geëxploiteerd door Handke Holding OÜ, een vennootschap die is geregistreerd in de Republiek Estland. Het doel van dit privacybeleid is om op duidelijke en transparante wijze toe te lichten hoe en in welke omvang persoonsgegevens worden verwerkt wanneer personen in het kader van de bedrijfsactiviteiten van de verwerkingsverantwoordelijke met deze laatste in contact treden.

1.2. Gegevens van de verwerkingsverantwoordelijke

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn
Estland

registratienummer (registrikood): 17387477
EU-btw-nummer: EE102932869

1.3. Aard van de bedrijfsactiviteiten
De verwerkingsverantwoordelijke is actief op het gebied van arbeidsbemiddeling binnen de Europese Unie en de Europese Economische Ruimte, met name door het faciliteren van communicatie en samenwerking tussen werkgevers en personen die werk zoeken.

1.4. Personen op wie dit privacybeleid van toepassing is
Dit privacybeleid is in het bijzonder van toepassing op personen die:

• gebruikmaken van de door de verwerkingsverantwoordelijke aangeboden diensten,
• de website www.hansacareers.ee bezoeken,
• deelnemen aan wervings- en selectieprocessen,
• contact opnemen met de verwerkingsverantwoordelijke voor zakelijke, administratieve of informatieve doeleinden,
• professionele correspondentie voeren met de verwerkingsverantwoordelijke,
• publieke of private entiteiten vertegenwoordigen in het kader van formele samenwerking.

1.5. Doeleinden van de gegevensverwerking
De in dit beleid vastgestelde regels zijn van toepassing op de verwerking van persoonsgegevens in verband met:

• het exploiteren en onderhouden van de website www.hansacareers.ee,
• het verlenen van arbeidsbemiddelingsdiensten,
• het uitvoeren van opdrachten voor cliënten en B2B-samenwerking,
• het beheren van lopende zakelijke en administratieve correspondentie,
• het nakomen van verplichtingen die voortvloeien uit het toepasselijke recht van de Europese Unie en Estland.

1.6. Rechtsgrondslag
Dit privacybeleid is opgesteld in overeenstemming met:

• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming – AVG/GDPR),
• de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus),
• andere toepasselijke wet- en regelgeving van de Europese Unie en de Republiek Estland.

1.7. Communicatietaal en contactmethoden
De primaire taal van de activiteiten van de verwerkingsverantwoordelijke is Engels. Schriftelijke communicatie kan worden gevoerd in elke officiële taal van de Europese Unie of de Europese Economische Ruimte.

De voorkeur geniet en aanbevolen contactmethode met de verwerkingsverantwoordelijke is elektronische communicatie, met name:

• per e-mail via: office@hansacareers.ee,
• via het contactformulier dat beschikbaar is op de website: www.hansacareers.ee,
• telefonisch via: +372 5617 1770.

Contact met de verwerkingsverantwoordelijke kan tevens plaatsvinden via postcorrespondentie naar het in punt 1.2 vermelde adres. Om een efficiënte afhandeling van verzoeken en een passend niveau van bescherming van persoonsgegevens te waarborgen, beveelt de verwerkingsverantwoordelijke, die volledig in een digitale omgeving opereert, niettemin het gebruik van elektronische communicatie aan. Traditionele postcorrespondentie kan, gelet op de aard van de verzonden informatie — waaronder mogelijk persoonsgegevens — gepaard gaan met langere verwerkingstijden en een verhoogd risico op gegevensverlies of onbevoegde toegang.

1.8. Vrijwilligheid van het verstrekken van gegevens en verantwoordelijkheid van de verwerkingsverantwoordelijke
Het verstrekken van persoonsgegevens is vrijwillig; in bepaalde gevallen is het echter noodzakelijk om gebruik te kunnen maken van de diensten van de verwerkingsverantwoordelijke, deel te nemen aan wervingsprocessen of een reactie op een verzoek te ontvangen. Het niet verstrekken van vereiste gegevens kan het onmogelijk maken deze doeleinden te realiseren.

De verwerkingsverantwoordelijke is niet verplicht een functionaris voor gegevensbescherming aan te stellen, aangezien de aard en omvang van de verwerking niet voldoen aan de criteria van artikel 37, lid 1, van de AVG.

De verwerkingsverantwoordelijke is verantwoordelijk voor:

• het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met het toepasselijke recht,
• het implementeren van passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens,
• het mogelijk maken en naleven van de rechten van betrokkenen,
• samenwerking met de Estse toezichthoudende autoriteit — de Andmekaitse Inspektsioon.

2. Categorieën van personen van wie wij persoonsgegevens verwerken

In het kader van de activiteiten van Hansa Careers, geëxploiteerd door Handke Holding OÜ, worden uitsluitend die persoonsgegevens verwerkt die noodzakelijk zijn voor het verlenen van arbeidsbemiddelingsdiensten, het onderhouden van zakelijke relaties en het waarborgen van lopende operationele en organisatorische communicatie. Alle verwerkingsactiviteiten worden uitgevoerd overeenkomstig de beginselen van rechtmatigheid, behoorlijkheid, transparantie en gegevensminimalisatie zoals vastgelegd in artikel 5, lid 1, van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en zijn steeds beperkt tot hetgeen noodzakelijk en evenredig is voor het doel waarvoor de gegevens worden verwerkt. De verwerkingsverantwoordelijke verwerkt persoonsgegevens met betrekking tot de volgende categorieën van personen:

2.1. Kandidaten die deelnemen aan wervings- en selectieprocessen
Personen die via Hansa Careers solliciteren naar aanleiding van specifieke en op dat moment actieve wervingsprocessen waarvoor vacatures zijn gepubliceerd. De verwerkte gegevens kunnen met name informatie omvatten die is opgenomen in een professioneel curriculum vitae, contactgegevens en andere informatie die door de kandidaat in het kader van het wervingsproces wordt verstrekt. Gegevens van kandidaten kunnen worden verkregen:

• rechtstreeks van de kandidaat,
• uit openbaar toegankelijke bronnen, maar uitsluitend voor zover de kandidaat deze informatie zelf openbaar heeft gemaakt, overeenkomstig artikel 14 van de AVG.

Deze gegevens worden uitsluitend verwerkt ten behoeve van de uitvoering van een concreet wervingsproces en worden uitsluitend gedeeld met cliënten voor wie dat specifieke wervingsproces wordt uitgevoerd.

2.2. Kandidaten die gegevens indienen buiten actieve wervingsprocessen
De verwerkingsverantwoordelijke verwerkt kandidaatgegevens uitsluitend in verband met specifieke en actieve wervingsprocessen. Indien de verwerkingsverantwoordelijke geen lopende wervingsprocessen uitvoert, of indien personen hun gegevens — in het bijzonder professionele cv’s of berichten — indienen zonder verwijzing naar een specifieke vacature, worden deze gegevens niet aanvaard en niet gebruikt in enig wervingsproces. Gegevens die vrijwillig worden verstrekt zonder reactie op een specifieke vacature, worden niet beoordeeld, opgeslagen of doorgegeven en kunnen onmiddellijk na ontvangst worden verwijderd, tenzij anders vereist op grond van toepasselijke wetgeving. De verwerkingsverantwoordelijke houdt geen databank bij van spontane of ongevraagde kandidaatinschrijvingen en gebruikt dergelijke inzendingen niet voor toekomstige wervingsprocessen. Contact wordt uitsluitend opgenomen met personen die expliciet hebben gesolliciteerd op een specifieke vacature of die publiekelijk belangstelling voor werk hebben geuit, bijvoorbeeld via openbaar toegankelijke berichten op sociale media, en uitsluitend voor zover dit noodzakelijk is om communicatie met betrekking tot de betreffende arbeidsmogelijkheid te initiëren.

2.3. Cliënten en hun vertegenwoordigers
Personen en vertegenwoordigers van ondernemingen waarmee de verwerkingsverantwoordelijke samenwerkt bij het verlenen van arbeidsbemiddelingsdiensten. De verwerkte gegevens omvatten met name namen, contactgegevens, professionele functies en informatie die noodzakelijk is voor de uitvoering van overeenkomsten of zakelijke samenwerking.

2.4. Potentiële cliënten en zakelijke partners
Personen met wie contact is gelegd met het oog op het voorstellen van samenwerking, of van wie gegevens zijn verkregen uit openbaar toegankelijke bronnen, zoals bedrijfswebsites of professionele zakelijke platforms. Deze gegevens worden verwerkt op basis van het gerechtvaardigd belang van de verwerkingsverantwoordelijke bij het uitoefenen van zijn bedrijfsactiviteiten en het ontwikkelen van zakelijke relaties.

2.5. Aannemers en dienstverleners
Personen die als eenmanszaak zakelijke activiteiten verrichten, alsmede vertegenwoordigers van entiteiten die diensten leveren aan de verwerkingsverantwoordelijke die noodzakelijk zijn voor de bedrijfsvoering, met name op het gebied van technische, boekhoudkundige, juridische of communicatiediensten. Deze gegevens worden verwerkt ten behoeve van de uitvoering van overeenkomsten, het onderhouden van lopende communicatie en het voldoen aan wettelijke verplichtingen.

2.6. Andere personen die contact opnemen met de verwerkingsverantwoordelijke en vertegenwoordigers van overheidsinstanties
Personen die verzoeken indienen via contactformulieren, e-mail of andere communicatiekanalen, alsmede vertegenwoordigers van overheidsorganen en instellingen waarmee de verwerkingsverantwoordelijke officiële correspondentie voert. Deze gegevens worden uitsluitend verwerkt ten behoeve van de afhandeling van correspondentie, het verstrekken van antwoorden of het nakomen van wettelijke verplichtingen.

2.7. Minderjarigen
De door de verwerkingsverantwoordelijke aangeboden diensten zijn uitsluitend bestemd voor meerderjarigen (personen van 18 jaar of ouder). De verwerkingsverantwoordelijke verzamelt of verwerkt niet bewust persoonsgegevens van minderjarigen. Indien de verwerkingsverantwoordelijke kennis krijgt van het feit dat persoonsgegevens van een persoon jonger dan 18 jaar zijn verzameld, zullen deze gegevens zonder onredelijke vertraging worden verwijderd, tenzij verdere bewaring vereist is op grond van toepasselijke wetgeving.

Aanvullende informatie

De verwerkingsverantwoordelijke:

• verkrijgt geen gegevens uit niet-openbare bronnen,
• verricht geen systematische monitoring van personen,
• verwerkt geen gegevens die niet relevant zijn voor de nagestreefde doeleinden.

3. Reikwijdte van de verwerkte persoonsgegevens

De reikwijdte van de verwerkte persoonsgegevens is afhankelijk van de aard van de relatie tussen de verwerkingsverantwoordelijke en de betrokkene, alsmede van het doel waarvoor de gegevens worden verstrekt. De verwerkingsverantwoordelijke verwerkt uitsluitend die gegevens die noodzakelijk zijn om specifieke, rechtmatige doeleinden te realiseren, met strikte naleving van het beginsel van gegevensminimalisatie. Persoonsgegevens worden verwerkt op een wijze die toereikend, ter zake dienend en beperkt is tot hetgeen noodzakelijk is, overeenkomstig artikel 5, lid 1, onder c), van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en § 11 van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

3.1. Identificatie- en contactgegevens
De verwerkingsverantwoordelijke kan met name de volgende categorieën van gegevens verwerken:

• voor- en achternaam,
• e-mailadres,
• telefoonnummer,
• andere contactgegevens die vrijwillig worden verstrekt in correspondentie of via een contactformulier,
• bedrijfsgerelateerde informatie in het kader van professionele communicatie (bedrijfsnaam, functietitel, zakelijk e-mailadres, zakelijk telefoonnummer).

Deze gegevens worden verwerkt ten behoeve van communicatie, het beantwoorden van verzoeken, het uitvoeren van samenwerking of het nakomen van administratieve verplichtingen.

3.2. Gegevens van kandidaten die deelnemen aan wervingsprocessen
Wanneer actieve wervingsprocessen plaatsvinden, verwerkt de verwerkingsverantwoordelijke gegevens die door kandidaten worden verstrekt uitsluitend naar aanleiding van specifieke wervingsadvertenties. De verwerkte gegevens kunnen omvatten:

• informatie opgenomen in een curriculum vitae (cv), zoals werkervaring, opleiding, kwalificaties, vaardigheden en taalvaardigheden,
• de inhoud van het bericht dat in verband met de sollicitatie is ingediend,
• andere informatie die door de kandidaat vrijwillig is verstrekt met betrekking tot de geadverteerde functie.

De verwerkingsverantwoordelijke verkrijgt kandidaatgegevens niet uit andere bronnen dan rechtstreeks contact naar aanleiding van een vacature en verwerkt geen kandidaatgegevens buiten hetgeen noodzakelijk is voor het specifieke wervingsproces.

3.3. Kandidaten die gegevens indienen buiten wervingsprocessen
Indien de verwerkingsverantwoordelijke geen actieve wervingsprocessen uitvoert of geen vacatures heeft gepubliceerd, worden persoonsgegevens die ongevraagd worden ingediend (in het bijzonder cv’s die worden verzonden zonder verwijzing naar een specifieke vacature) niet aanvaard of gebruikt. Dergelijke gegevens worden zonder verdere verwerking verwijderd en de verwerkingsverantwoordelijke legt geen databanken of registraties aan van spontaan ingediende sollicitaties. De verwerkingsverantwoordelijke aanvaardt en beoordeelt uitsluitend sollicitaties die worden ingediend naar aanleiding van specifieke, actieve wervingsadvertenties.

3.4. Gegevens in het kader van cliënten en zakelijke samenwerking
De verwerkingsverantwoordelijke verwerkt persoonsgegevens van cliënten en hun vertegenwoordigers voor zover dit noodzakelijk is voor het verlenen van arbeidsbemiddelingsdiensten en het uitvoeren van zakelijke samenwerking. Deze gegevens kunnen omvatten:

• naam van de contactpersoon,
• e-mailadres en telefoonnummer,
• functietitel of professionele rol,
• informatie opgenomen in overeenkomsten, facturen en boekhoudkundige documentatie.

Deze gegevens worden verwerkt ten behoeve van de uitvoering van overeenkomsten, het onderhouden van werkgerelateerde communicatie en het voldoen aan fiscale en boekhoudkundige verplichtingen.

3.5. Gegevens opgenomen in communicatie en correspondentie
De verwerkingsverantwoordelijke verwerkt gegevens die zijn opgenomen in correspondentie die wordt gevoerd via e-mail, contactformulieren of andere communicatiekanalen. De reikwijdte van de verwerkte gegevens is afhankelijk van de inhoud van het door de correspondent verzonden bericht en is beperkt tot hetgeen noodzakelijk is om te reageren of de betreffende kwestie af te handelen.

3.6. Technische en operationele gegevens met betrekking tot de website
Bij het gebruik van de website www.hansacareers.ee kunnen technische gegevens worden verwerkt, zoals:

• IP-adres,
• informatie over browser en besturingssysteem,
• datum en tijdstip van de verbinding,
• technische gegevens die zijn opgeslagen in serverlogs.

Deze gegevens worden uitsluitend gebruikt om de beveiliging van de website te waarborgen, misbruik te voorkomen en een correcte werking van de website mogelijk te maken. In dit kader maakt de verwerkingsverantwoordelijke gebruik van diensten van Cloudflare, Inc., dat technische gegevens verwerkt als verwerker namens de verwerkingsverantwoordelijke.

3.7. Gegevens met betrekking tot videocommunicatie
Voor onlinevergaderingen of gesprekken kan de verwerkingsverantwoordelijke gebruikmaken van het platform Whereby. De verwerking is beperkt tot de gegevens die noodzakelijk zijn om een verbinding tot stand te brengen, zoals de naam of gebruikersnaam van de deelnemer, het IP-adres en technische verbindingsgegevens. De verwerkingsverantwoordelijke neemt geen vergaderingen op en slaat de inhoud daarvan niet op, tenzij de deelnemers vooraf worden geïnformeerd en daarvoor hun toestemming hebben verleend.

3.8. Bijzondere categorieën van persoonsgegevens
In beginsel verwerkt de verwerkingsverantwoordelijke geen bijzondere categorieën van persoonsgegevens zoals bedoeld in artikel 9 van de AVG. De verwerkingsverantwoordelijke verzoekt niet om dergelijke gegevens en stelt de verstrekking daarvan niet als vereiste. Indien dergelijke gegevens vrijwillig worden verstrekt in correspondentie of documenten, worden deze uitsluitend verwerkt voor zover dit noodzakelijk is om het doel te verwezenlijken waarvoor zij zijn verstrekt, of worden zij zonder onredelijke vertraging verwijderd.

4. Doeleinden en rechtsgronden voor de verwerking van persoonsgegevens

De verwerkingsverantwoordelijke verwerkt persoonsgegevens uitsluitend voor zover dit noodzakelijk is voor het uitvoeren van zijn activiteiten in overeenstemming met het toepasselijke recht en op een wijze die strookt met de beginselen van behoorlijkheid, transparantie en gegevensminimalisatie. De verwerking van persoonsgegevens vindt plaats overeenkomstig de artikelen 5 en 6 van Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming – AVG/GDPR) en de bepalingen van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus). Persoonsgegevens worden uitsluitend verwerkt voor duidelijk omschreven, rechtmatige doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met deze doeleinden.

4.1. Uitvoering van wervings- en selectieprocessen
Persoonsgegevens van kandidaten worden verwerkt ten behoeve van:

• het ontvangen en beoordelen van sollicitaties die zijn ingediend naar aanleiding van specifieke wervingsadvertenties,
• communicatie met kandidaten gedurende het wervings- en selectieproces,
• het beoordelen van het professionele profiel van de kandidaat in relatie tot de vereisten van een specifieke vacature,
• het doorgeven van kandidaatgegevens aan cliënten die potentiële werkgevers zijn — strikt beperkt tot het kader van het betreffende wervingsproces.

Rechtsgrondslag:
Artikel 6, lid 1, onder a), AVG — toestemming van de kandidaat,
Artikel 6, lid 1, onder b), AVG — het nemen van maatregelen op verzoek van de betrokkene vóór de sluiting van een overeenkomst,
Artikel 9, lid 2, onder a), AVG — uitdrukkelijke toestemming indien de kandidaat vrijwillig bijzondere categorieën van persoonsgegevens verstrekt.

4.2. Bewaring van sollicitaties voor toekomstige wervingsprocessen
Kandidaatgegevens kunnen na afronding van een wervingsproces uitsluitend worden bewaard indien de kandidaat hiervoor afzonderlijke en uitdrukkelijke toestemming heeft verleend. De gegevens worden bewaard gedurende de in de toestemming aangegeven periode of totdat de toestemming wordt ingetrokken.

Rechtsgrondslag:
Artikel 6, lid 1, onder a), AVG.

4.3. Aangaan en uitvoeren van overeenkomsten
Persoonsgegevens van cliënten, aannemers en zakelijke partners worden verwerkt ten behoeve van:

• het aangaan en uitvoeren van overeenkomsten,
• het verlenen van arbeidsbemiddelingsdiensten,
• het afhandelen van commerciële, administratieve en operationele communicatie.

Rechtsgrondslag:
Artikel 6, lid 1, onder b), AVG — uitvoering van een overeenkomst,
Artikel 6, lid 1, onder c), AVG — nakoming van wettelijke verplichtingen die voortvloeien uit fiscale en boekhoudkundige regelgeving.

4.4. Onderhouden van zakelijke relaties en B2B-marketing
Contactgegevens van vertegenwoordigers van ondernemingen kunnen worden verwerkt ten behoeve van:

• het voeren van lopende zakelijke communicatie,
• het presenteren van voorstellen voor samenwerking,
• directe marketing binnen B2B-relaties.

Rechtsgrondslag:
Artikel 6, lid 1, onder f), AVG — het gerechtvaardigd belang van de verwerkingsverantwoordelijke bij het uitoefenen en ontwikkelen van bedrijfsactiviteiten.
De betrokkene heeft het recht bezwaar te maken tegen deze verwerking.

4.5. Beantwoorden van verzoeken en voeren van correspondentie
Persoonsgegevens van personen die contact opnemen met de verwerkingsverantwoordelijke via contactformulieren, e-mail of telefoon worden verwerkt ten behoeve van het verstrekken van antwoorden en het voeren van lopende correspondentie.

Rechtsgrondslag:
Artikel 6, lid 1, onder f), AVG — het gerechtvaardigd belang van de verwerkingsverantwoordelijke.

4.6. Afwikkeling, boekhouding en archivering
Persoonsgegevens worden verwerkt om te voldoen aan boekhoudkundige, fiscale en archiveringsverplichtingen die voortvloeien uit de wetgeving van de Republiek Estland.

Rechtsgrondslag:
Artikel 6, lid 1, onder c), AVG — wettelijke verplichting van de verwerkingsverantwoordelijke.

4.7. Waarborging van de beveiliging van formulieren en IT-systemen (Cloudflare)
De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om de website en contactformulieren te beschermen tegen spam, misbruik en geautomatiseerde inzendingen. Voor dit doel worden diensten van Cloudflare gebruikt, waaronder de Turnstile-beveiligingsmechanismen, die technische gebruikersgegevens kunnen verwerken, zoals:

• IP-adres,
• gegevens over browser en besturingssysteem,
• technische informatie die noodzakelijk is voor risicobeoordeling.

Deze gegevens worden uitsluitend verwerkt om de veiligheid en integriteit van de IT-systemen te waarborgen.

Rechtsgrondslag:
Artikel 6, lid 1, onder f), AVG — het gerechtvaardigd belang van de verwerkingsverantwoordelijke bij de bescherming van de website en de verwerkte gegevens.

4.8. Vaststelling, uitoefening of verdediging van rechtsvorderingen
Persoonsgegevens kunnen worden verwerkt ten behoeve van het vaststellen, uitoefenen of verdedigen van rechtsvorderingen.

Rechtsgrondslag:
Artikel 6, lid 1, onder f), AVG — het gerechtvaardigd belang van de verwerkingsverantwoordelijke.

4.9. Nakoming van verplichtingen jegens overheidsinstanties
Persoonsgegevens kunnen worden verstrekt aan bevoegde overheidsinstanties, rechtbanken of toezichthoudende autoriteiten voor zover dit wettelijk vereist is.

Rechtsgrondslag:
Artikel 6, lid 1, onder c), AVG — wettelijke verplichting van de verwerkingsverantwoordelijke.

5. Rechtsgronden voor de verwerking van persoonsgegevens

De verwerkingsverantwoordelijke verwerkt persoonsgegevens uitsluitend wanneer daarvoor een duidelijke en rechtmatige grondslag bestaat, zoals voorzien in:

• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming – AVG/GDPR),
• de Estse Wet bescherming persoonsgegevens – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Alle verwerkingsactiviteiten worden uitgevoerd overeenkomstig de beginselen vastgelegd in artikel 5 AVG en § 11 IKS, in het bijzonder de beginselen van rechtmatigheid, behoorlijkheid, transparantie, doelbinding, gegevensminimalisatie, integriteit en vertrouwelijkheid.

5.1. Rechtsgronden voor de verwerking van persoonsgegevens (artikel 6 AVG)
De verwerkingsverantwoordelijke verwerkt persoonsgegevens op basis van de volgende rechtsgronden:

a) Toestemming van de betrokkene
(artikel 6, lid 1, onder a), AVG; § 10, lid 1, IKS)
Van toepassing in situaties waarin de betrokkene vrijwillig en ondubbelzinnig toestemming verleent, met name voor:

• deelname aan toekomstige wervingsprocessen,
• doorgifte van gegevens aan een potentiële werkgever,
• verwerking van aanvullende gegevens die vrijwillig worden verstrekt (bijvoorbeeld beeldmateriaal).

Toestemming kan te allen tijde worden ingetrokken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die vóór de intrekking heeft plaatsgevonden (artikel 7, lid 3, AVG).

b) Uitvoering van een overeenkomst of maatregelen voorafgaand aan het sluiten van een overeenkomst
(artikel 6, lid 1, onder b), AVG; § 10, lid 1, punt 2, IKS)

• het uitvoeren van wervingsprocessen en arbeidsbemiddelingsdiensten,
• het aangaan en uitvoeren van samenwerking met cliënten en aannemers,
• het voorbereiden en uitvoeren van dienstverleningsvoorstellen,
• het onderhouden van operationele communicatie gedurende de samenwerking.

c) Naleving van een wettelijke verplichting
(artikel 6, lid 1, onder c), AVG; § 10, lid 1, punt 3, IKS)
Heeft betrekking op verwerkingen die vereist zijn op grond van Ests en Europees recht, in het bijzonder:

• Raamatupidamise seadus §§ 12–13 — verplichting tot het bijhouden en bewaren van boekhoudkundige documenten gedurende 7 jaar,
• fiscale en rapportageverplichtingen,
• verplichtingen in verband met openbare audits en financiële controles.

d) Gerechtvaardigd belang van de verwerkingsverantwoordelijke
(artikel 6, lid 1, onder f), AVG; § 11, lid 2, IKS)
Verwerking die noodzakelijk is voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, zoals:

• het voeren van lopende communicatie en het afhandelen van verzoeken,
• het ontwikkelen van professionele relaties en B2B-samenwerking,
• directe marketing in een zakelijke context (overeenkomstig Elektroonilise side seadus § 102),
• het waarborgen van de beveiliging van IT-systemen, contactformulieren en documentatie,
• het voorkomen van misbruik en bescherming tegen spam en aanvallen,
• het vaststellen, uitoefenen of verdedigen van rechtsvorderingen.

De verwerkingsverantwoordelijke beoordeelt steeds of zijn gerechtvaardigde belangen zwaarder wegen dan de rechten en vrijheden van de betrokkene (artikel 6, lid 1, onder f), AVG, in samenhang met overweging 47 van de AVG).

e) Uitvoering van een taak van algemeen belang
(artikel 6, lid 1, onder e), AVG; § 10, lid 1, punt 4, IKS)
Van toepassing op situaties waarin verwerking plaatsvindt in het kader van, of onder toezicht van, overheidsinstellingen, met name arbeidsmarkt- en mobiliteitsprogramma’s (bijvoorbeeld Eesti Töötukassa, EURES, EU-programma’s), voor zover dergelijke verwerking plaatsvindt.

5.2. Verwerking van bijzondere categorieën van persoonsgegevens (artikel 9 AVG)
In beginsel verwerkt de verwerkingsverantwoordelijke geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, AVG. Indien een betrokkene dergelijke informatie vrijwillig verstrekt (bijvoorbeeld gegevens over gezondheid of handicap):

• vindt verwerking uitsluitend plaats op basis van uitdrukkelijke toestemming (artikel 9, lid 2, onder a), AVG; § 21 IKS),
• zijn dergelijke gegevens onderworpen aan verhoogde technische en organisatorische beveiligingsmaatregelen (artikel 32 AVG),
• heeft het ontbreken van toestemming geen negatieve gevolgen.

5.3. Algemene beginselen van gegevensverwerking
De verwerkingsverantwoordelijke waarborgt dat alle verwerkingen van persoonsgegevens voldoen aan:

• artikelen 5 en 6 AVG,
• § 11 Isikuandmete kaitse seadus,
• artikel 32 AVG — betreffende de beveiliging van de verwerking,
• artikel 24 AVG — het verantwoordingsbeginsel.

De verwerkingsverantwoordelijke verricht geen geautomatiseerde besluitvorming of profilering in de zin van artikel 22 AVG.

5.4. Nalevingstoetsing en interne documentatie
Ter waarborging van naleving van de AVG en het Estse recht houdt de verwerkingsverantwoordelijke de volgende documentatie bij en actualiseert deze:

• een register van verwerkingsactiviteiten (artikel 30 AVG),
• beoordelingen van gerechtvaardigd belang voor verwerkingen op grond van artikel 6, lid 1, onder f), AVG,
• documentatie inzake informatiebeveiliging,
• procedures voor het omgaan met inbreuken op persoonsgegevens (artikelen 33–34 AVG, § 23 IKS).

6. Bronnen van persoonsgegevens

De door de verwerkingsverantwoordelijke verwerkte persoonsgegevens zijn uitsluitend afkomstig uit rechtmatige bronnen en worden verkregen op een wijze die in overeenstemming is met het toepasselijke recht, in het bijzonder de artikelen 13 en 14 van Verordening (EU) 2016/679 en de relevante bepalingen van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Indien persoonsgegevens worden verkregen uit andere bronnen dan rechtstreeks van de betrokkene, voldoet de verwerkingsverantwoordelijke aan de informatieverplichting binnen een redelijke termijn, uiterlijk binnen 30 dagen na de datum van verkrijging, tenzij het recht anders voorschrijft.

6.1. Gegevens die rechtstreeks van betrokkenen worden verkregen
Persoonsgegevens worden door personen vrijwillig aan de verwerkingsverantwoordelijke verstrekt, met name via:

• contactformulieren die beschikbaar zijn op de website,
• e-mailcorrespondentie,
• telefonische gesprekken of onlinevergaderingen,
• reacties op door de verwerkingsverantwoordelijke gepubliceerde wervingsadvertenties,
• lopende communicatie in het kader van samenwerking of zakelijke contacten.

De omvang van de verstrekte gegevens is afhankelijk van de aard van het contact en het doel waarvoor de betrokkene contact opneemt met de verwerkingsverantwoordelijke.

6.2. Gegevens verkregen in het kader van wervingsprocessen
Met betrekking tot sollicitanten worden persoonsgegevens uitsluitend verkregen:

• rechtstreeks van kandidaten die reageren op een specifieke wervingsadvertentie die door de verwerkingsverantwoordelijke is gepubliceerd,
• in het kader van communicatie die door de kandidaat is geïnitieerd met betrekking tot een specifieke functie.

De verwerkingsverantwoordelijke aanvaardt en verwerkt geen cv’s of andere kandidaatgegevens die spontaan worden ingediend indien er geen actieve wervingsprocessen plaatsvinden of indien de gegevens geen betrekking hebben op een specifieke vacature.
Dergelijke gegevens worden zonder onredelijke vertraging verwijderd en worden niet gebruikt voor wervingsdoeleinden.

De verwerkingsverantwoordelijke maakt geen gebruik van niet-openbare gegevensbronnen en verzamelt geen gegevens uit privé- of afgeschermde sociale-mediaprofielen.

6.3. Gegevens van cliënten, aannemers en zakelijke partners
Persoonsgegevens van cliënten, aannemers en hun vertegenwoordigers worden verkregen via:

• rechtstreekse professionele contacten,
• onderhandelingen, het sluiten en uitvoeren van overeenkomsten,
• openbaar toegankelijke bronnen die verband houden met professionele of zakelijke activiteiten.

Deze gegevens worden uitsluitend verwerkt voor zover dit noodzakelijk is voor het uitvoeren van zakelijke samenwerking, operationele communicatie en het nakomen van wettelijke verplichtingen.

6.4. Gegevens van vertegenwoordigers van overheidsinstanties en instellingen
De verwerkingsverantwoordelijke verwerkt persoonsgegevens van vertegenwoordigers van overheidsdiensten, publieke instellingen en toezichthoudende autoriteiten strikt binnen de reikwijdte die voortvloeit uit:

• het voeren van officiële correspondentie,
• het nakomen van wettelijke verplichtingen,
• samenwerking met bevoegde autoriteiten van het openbaar bestuur.

De omvang van de verwerkte gegevens omvat doorgaans de naam van de betrokkene, het officiële e-mailadres, de functie of rol, en andere gegevens die in het kader van formele communicatie worden verstrekt.
De rechtsgrondslagen voor deze verwerking zijn met name artikel 6, lid 1, onder c), en artikel 6, lid 1, onder f), van Verordening (EU) 2016/679.

6.5. Technische gegevens en beveiliging van formulieren
Bij het gebruik van de website en contactformulieren van de verwerkingsverantwoordelijke kunnen automatisch basis-technische gegevens worden verwerkt, zoals:

• IP-adres,
• datum en tijdstip van de verbinding,
• technische informatie over browser en besturingssysteem,
• gegevens die noodzakelijk zijn om veilige communicatie te waarborgen.

Ter bescherming van contactformulieren tegen misbruik, spam en geautomatiseerde inzendingen maakt de verwerkingsverantwoordelijke gebruik van de diensten van een beveiligingsinfrastructuurprovider (Cloudflare, Inc.).

In het kader van dit mechanisme kunnen technische gebruikersgegevens — waaronder het IP-adres en verbindingsgerelateerde informatie — worden verwerkt.

De verwerking van gegevens in dit kader vindt plaats op basis van:

• artikel 6, lid 1, onder f), AVG — het gerechtvaardigd belang van de verwerkingsverantwoordelijke bij het waarborgen van systeembeveiliging en bescherming tegen misbruik,
• passende waarborgen en rechtsmechanismen die van toepassing zijn op doorgiften van gegevens buiten de Europese Unie.

6.6. Registratie-, boekhoud- en documentatiegegevens
Persoonsgegevens die worden verwerkt voor boekhoudkundige, fiscale of archiveringsdoeleinden zijn afkomstig van:

• cliënten en aannemers rechtstreeks,
• contractuele en factureringsdocumentatie,
• officiële correspondentie in verband met bedrijfsactiviteiten.

De reikwijdte en bewaartermijn van dergelijke gegevens worden rechtstreeks bepaald door de toepasselijke wettelijke vereisten van Estland en de Europese Unie.

7. Ontvangers van persoonsgegevens

Persoonsgegevens die door Hansa Careers, handelend onder de merknaam Handke Holding OÜ, worden verwerkt, kunnen uitsluitend worden verstrekt aan ontvangers die:

• op grond van het toepasselijke recht gerechtigd zijn om de gegevens te ontvangen, of
• de gegevens namens de verwerkingsverantwoordelijke verwerken in verband met de uitvoering van specifieke zakelijke of wettelijke doeleinden.

Alle verstrekking van gegevens vindt plaats overeenkomstig de artikelen 28 en 44–49 van Verordening (EU) 2016/679, alsmede de relevante bepalingen van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus), met volledige eerbiediging van de beginselen van gegevensminimalisatie, vertrouwelijkheid en doelbinding.

7.1. Potentiële werkgevers en wervingspartners
Persoonsgegevens van kandidaten kunnen uitsluitend worden gedeeld met potentiële werkgevers of wervingspartners:

• in het kader van een specifiek wervingsproces,
• na voorafgaande informatie aan de kandidaat,
• voor zover noodzakelijk om professionele kwalificaties te beoordelen,
• op basis van een passende rechtsgrond, in het bijzonder de toestemming van de kandidaat of maatregelen voorafgaand aan het sluiten van een overeenkomst.

Gegevens worden niet in bulk verstrekt en worden niet gebruikt buiten het duidelijk afgebakende wervingsproces.

7.2. Technische en organisatorische entiteiten die gegevens namens de verwerkingsverantwoordelijke verwerken
Persoonsgegevens kunnen worden toevertrouwd aan entiteiten die de activiteiten van de verwerkingsverantwoordelijke ondersteunen, met name:

• hosting- en serverinfrastructuurproviders,
• dienstverleners voor e-mail en contactformulieren,
• aanbieders van IT-tools en communicatiesystemen,
• aanbieders van onlinevergader- en videocommunicatietools,
• aanbieders van beveiligingsoplossingen en systemen ter voorkoming van misbruik, waaronder tools voor formulierbeveiliging,
• boekhoudkundige en administratieve dienstverleners,
• advocatenkantoren, belastingadviseurs en bedrijfsadviseurs.

Deze entiteiten verwerken persoonsgegevens uitsluitend op basis van een verwerkersovereenkomst en zijn verplicht om:

• vertrouwelijkheid te waarborgen,
• passende technische en organisatorische maatregelen toe te passen,
• gegevens uitsluitend te verwerken op gedocumenteerde instructies van de verwerkingsverantwoordelijke.

7.3. Kandidaten en cliënten
Persoonsgegevens kunnen aan kandidaten of cliënten uitsluitend worden verstrekt voor zover dit noodzakelijk is om een specifiek doel te realiseren, met name:

• het verstrekken aan kandidaten van informatie over arbeidsvoorwaarden, werklocatie of het profiel van de werkgever,
• het verstrekken aan cliënten van informatie over een kandidaat in het kader van een lopend wervingsproces.

De omvang van de verstrekte gegevens is steeds beperkt tot het strikt noodzakelijke en is afhankelijk van de fase van het proces.

7.4. Overheidsinstanties en publieke instellingen
Persoonsgegevens kunnen worden verstrekt aan bevoegde overheidsinstanties uitsluitend voor zover dit wettelijk is vereist, met name aan:

• belastingautoriteiten,
• arbeidsbureaus en arbeidsmarktinstellingen,
• de toezichthoudende autoriteit voor gegevensbescherming,
• rechtbanken, opsporingsinstanties en andere toezichthoudende organen,
• instellingen van de Europese Unie en de Europese Economische Ruimte.

7.5. Aanbieders van onlinecommunicatiediensten
Voor onlinevergaderingen of communicatie op afstand kunnen persoonsgegevens, zoals naam, e-mailadres of technische verbindingsgegevens, worden verwerkt door aanbieders van communicatietools op afstand.
Deze verwerking vindt uitsluitend plaats om communicatie mogelijk te maken en vergaderingen te organiseren, en is gebaseerd op het gerechtvaardigd belang van de verwerkingsverantwoordelijke of op maatregelen voorafgaand aan het sluiten van een overeenkomst.

7.6. Ontvangers van technische gegevens voor beveiligingsdoeleinden
Ter waarborging van de veiligheid van de website, de IT-infrastructuur en contactformulieren kunnen technische gebruikersgegevens — zoals het IP-adres of verbindingsinformatie — worden verwerkt door aanbieders van netwerkbeveiligingsdiensten.
Indien gegevens buiten de Europese Unie worden doorgegeven, worden passende wettelijke waarborgen toegepast overeenkomstig de artikelen 44–49 AVG.

7.7. Algemene beginselen inzake gegevensverstrekking
De verwerkingsverantwoordelijke:

• verkoopt geen persoonsgegevens,
• verstrekt geen gegevens aan derden zonder rechtsgrond,
• gebruikt of verstrekt geen gegevens voor reclame-, marketing- of profileringsdoeleinden,
• verstrekt geen gegevens aan sociale-mediaplatforms of commerciële portals voor marketingdoeleinden.

Elke ontvanger van gegevens verwerkt persoonsgegevens overeenkomstig de beginselen van beveiliging, vertrouwelijkheid en doelbinding, en uitsluitend voor zover dit noodzakelijk is om de toegewezen taak uit te voeren.

7.8. Ingesloten kaartdienst (OpenStreetMap)
De website bevat een ingesloten interactieve kaart die wordt geleverd door OpenStreetMap en die uitsluitend wordt gebruikt om het geregistreerde adres van de verwerkingsverantwoordelijke weer te geven en het contact met de verwerkingsverantwoordelijke te vergemakkelijken.

De kaart wordt weergegeven in de vorm van een iframe en wordt rechtstreeks geladen vanaf de servers van OpenStreetMap. De verwerkingsverantwoordelijke ontvangt geen persoonsgegevens van OpenStreetMap en heeft geen toegang tot persoonsgegevens die door deze dienst worden verwerkt.

De OpenStreetMap Foundation is gevestigd in het Verenigd Koninkrijk, een derde land waarvoor de Europese Commissie een besluit heeft genomen waarin een passend niveau van gegevensbescherming wordt bevestigd overeenkomstig artikel 45 van Verordening (EU) 2016/679 (AVG).

Afhankelijk van het apparaat van de gebruiker, de browserconfiguratie en de netwerkinstellingen kan OpenStreetMap technische gegevens verwerken, zoals het IP-adres, overeenkomstig zijn eigen privacybeleid.

De ingesloten kaart wordt uitsluitend gebruikt voor informatieve en contactdoeleinden en wordt niet ingezet voor tracking, analyse, profilering of marketingactiviteiten.

8. Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER)

In beginsel draagt de verwerkingsverantwoordelijke geen persoonsgegevens over buiten de Europese Economische Ruimte (EER) en ook niet aan internationale organisaties. De kernactiviteiten op het gebied van gegevensverwerking worden uitgevoerd binnen het grondgebied van de Europese Unie, in het bijzonder met gebruikmaking van infrastructuur die zich binnen de EU bevindt, waaronder in de Republiek Estland.

De verwerkingsverantwoordelijke maakt gebruik van hosting- en e-maildiensten die worden geleverd door Zone Media OÜ, handelend onder de handelsnaam zone.ee, waarvan de gegevensverwerkingsinfrastructuur zich binnen het grondgebied van de Europese Unie bevindt.
Persoonsgegevens die worden verwerkt in verband met het functioneren van de website en e-mailcommunicatie worden in de regel binnen de Europese Economische Ruimte (EER) verwerkt en genieten de bescherming die wordt geboden door Verordening (EU) 2016/679 (AVG/GDPR).

Ter waarborging van de veiligheid van de website en contactformulieren, alsmede ter bescherming tegen misbruik en geautomatiseerde activiteiten, maakt de verwerkingsverantwoordelijke tevens gebruik van diensten die worden geleverd door Cloudflare, Inc. In dit kader kunnen technische gegevens — zoals het IP-adres, netwerk- en verbindingsgegevens, browser- en apparaatinformatie, en andere gegevens die noodzakelijk zijn voor veiligheidsbeoordelingen — worden verwerkt. Vanwege het wereldwijde karakter van de infrastructuur van Cloudflare kunnen dergelijke gegevens worden doorgegeven of toegankelijk worden gemaakt buiten de EER, met name aan de Verenigde Staten.

Doorgiften van gegevens die plaatsvinden in het kader van het gebruik van Cloudflare-diensten worden uitgevoerd overeenkomstig Hoofdstuk V van de AVG, met name op basis van de door de Europese Commissie vastgestelde Standaardcontractbepalingen (artikel 46 AVG) en — waar van toepassing — mechanismen die zijn voorzien in het EU–VS Data Privacy Framework.
De verwerkingsverantwoordelijke past aanvullende technische en organisatorische waarborgen toe, zoals versleutelde gegevensoverdracht en het beperken van de omvang van de verwerkte informatie tot hetgeen strikt noodzakelijk is om de veiligheid en integriteit van de dienst te waarborgen.

Afgezien van de hierboven beschreven situaties verricht de verwerkingsverantwoordelijke geen regelmatige of geplande doorgiften van persoonsgegevens naar derde landen. Wervingsprocessen, communicatie met cliënten en aannemers, e-mailcorrespondentie en dagelijkse bedrijfsactiviteiten worden uitgevoerd met behulp van tools en diensten die gegevens binnen de Europese Unie verwerken.

De verwerkingsverantwoordelijke staat contact via externe berichtendiensten uitsluitend toe op initiatief van de persoon die contact opneemt en strikt voor informatieve doeleinden. Aangezien de servers van dergelijke diensten zich buiten de EER kunnen bevinden, worden zij niet beschouwd als een aanbevolen of veilig communicatiekanaal voor berichten die persoonsgegevens bevatten.
De verwerkingsverantwoordelijke raadt met klem aan om sollicitatiedocumenten, bijzondere categorieën van persoonsgegevens en andere gevoelige informatie uitsluitend via officiële communicatiekanalen te verstrekken.

In alle gevallen waarin persoonsgegevens buiten de EER worden doorgegeven, waarborgt de verwerkingsverantwoordelijke dat een dergelijke doorgifte uitsluitend plaatsvindt voor zover dit noodzakelijk is om een specifiek doel te bereiken, na het uitvoeren van een beoordeling van de risico’s van de doorgifte, en in overeenstemming met de beginselen van gegevensminimalisatie, vertrouwelijkheid en verwerkingsbeveiliging, conform de artikelen 32 en 44–49 AVG.

9. Bewaartermijnen van persoonsgegevens

De verwerkingsverantwoordelijke bewaart persoonsgegevens uitsluitend gedurende de periode die noodzakelijk is om de doeleinden te verwezenlijken waarvoor de gegevens zijn verzameld, overeenkomstig artikel 5, lid 1, onder e), van Verordening (EU) 2016/679 (AVG/GDPR) en § 17 van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Na afloop van de toepasselijke bewaartermijnen worden de gegevens definitief verwijderd, geanonimiseerd of op zodanige wijze gearchiveerd dat identificatie van de betrokkene niet langer mogelijk is, tenzij het toepasselijke Estse of Europese recht verdere bewaring vereist.

De bewaartermijnen worden vastgesteld met inachtneming van:

• het doel van de verwerking,
• de rechtsgrond voor de verwerking,
• de aard van de relatie met de betrokkene,
• de verjaringstermijnen voor rechtsvorderingen naar Ests recht.

9.1. Gegevens van kandidaten

a) Persoonsgegevens die worden verwerkt in het kader van een wervingsproces naar aanleiding van een specifieke vacature, op basis van artikel 6, lid 1, onder b), AVG, worden bewaard gedurende de periode die noodzakelijk is om rechtsvorderingen vast te stellen, uit te oefenen of te verdedigen die voortvloeien uit de diensten van de verwerkingsverantwoordelijke.

b) Gegevens die worden verwerkt in verband met contact dat door de verwerkingsverantwoordelijke is geïnitieerd voor wervingsdoeleinden, op basis van artikel 6, lid 1, onder f), AVG, worden bewaard totdat de communicatie met betrekking tot de specifieke aangelegenheid is afgerond.

c) Persoonsgegevens die met potentiële werkgevers worden gedeeld ten behoeve van een specifiek wervingsproces, op basis van artikel 6, lid 1, onder a), AVG, worden bewaard tot het moment waarop de toestemming wordt ingetrokken of het wervingsproces wordt afgerond, afhankelijk van wat het eerst plaatsvindt.

d) Gegevens die worden verwerkt ten behoeve van facturering en het verlenen van diensten aan cliënten ter ondersteuning van wervingsactiviteiten, op basis van artikel 6, lid 1, onder f), AVG, worden bewaard tot het verstrijken van vorderingen na beëindiging van de overeenkomst — doorgaans gedurende 3 jaar, te rekenen vanaf het einde van het kalenderjaar, overeenkomstig het Estse recht.

e) Gegevens die worden verwerkt ten behoeve van het vaststellen, uitoefenen of verdedigen van rechtsvorderingen die voortvloeien uit de verleende diensten, op basis van artikel 6, lid 1, onder f), AVG, worden bewaard tot het verstrijken van dergelijke vorderingen na beëindiging van de overeenkomst — doorgaans 3 jaar, tenzij de wet een langere termijn voorschrijft.

f) Gegevens die worden verwerkt ten behoeve van communicatie met betrekking tot de activiteiten van de verwerkingsverantwoordelijke, op basis van artikel 6, lid 1, onder f), AVG, worden bewaard gedurende de periode die noodzakelijk is om de specifieke aangelegenheid af te handelen.

g) Gegevens die in de databank van de verwerkingsverantwoordelijke worden bewaard voor toekomstige wervingsprocessen, op basis van artikel 6, lid 1, onder a), AVG, worden niet langer dan 12 maanden bewaard vanaf de datum waarop toestemming is verleend, of tot het moment waarop de toestemming wordt ingetrokken — afhankelijk van wat het eerst plaatsvindt.

h) Sollicitatiedocumenten, met name cv’s, die worden ingediend zonder reactie op een specifieke vacature of tijdens perioden waarin geen actieve wervingsprocessen plaatsvinden, worden niet verwerkt en zonder onredelijke vertraging verwijderd.

9.2. Gegevens van cliënten

a) Persoonsgegevens die worden verwerkt met het oog op het nemen van stappen voorafgaand aan het sluiten van een overeenkomst of voor de uitvoering van een overeenkomst, op basis van artikel 6, lid 1, onder b), AVG, worden bewaard gedurende de wettelijk vereiste periode, met name met betrekking tot boekhoudkundige en fiscale verplichtingen — doorgaans 7 jaar naar Ests recht, tenzij een langere termijn van toepassing is.

b) Gegevens die worden verwerkt voor lopende communicatie in verband met het sluiten, uitvoeren of afwikkelen van een overeenkomst, op basis van artikel 6, lid 1, onder f), AVG, worden bewaard gedurende de looptijd van de samenwerking, tenzij verdere verwerking noodzakelijk is om een ander rechtmatig doel te bereiken.

c) Gegevens die worden verwerkt voor rapportage-, boekhoud- en belastingdoeleinden, op basis van artikel 6, lid 1, onder c), AVG, worden bewaard gedurende de termijn die door het Estse recht wordt voorgeschreven — doorgaans 7 jaar.

d) Gegevens die worden verwerkt ter vaststelling, uitoefening of verdediging van rechtsvorderingen die voortvloeien uit de uitvoering van de overeenkomst, op basis van artikel 6, lid 1, onder f), AVG, worden bewaard tot het verstrijken van de vorderingen — doorgaans 3 jaar, tenzij de wet een langere termijn bepaalt.

9.3. Overige categorieën van gegevens

a) Gegevens van potentiële cliënten en aannemers worden bewaard gedurende de periode die noodzakelijk is om het doel van het contact of de samenwerking te verwezenlijken, maar niet langer dan 3 jaar vanaf de datum van het laatste contact, tenzij verdere bewaring noodzakelijk is ter verdediging van rechtsvorderingen.

b) Gegevens van leveranciers, dienstverleners en zakelijke partners worden bewaard gedurende de looptijd van de samenwerking en daarna overeenkomstig de verjaringstermijnen voor vorderingen en de boekhoudkundige en fiscale verplichtingen.

c) Gegevens van personen die contact opnemen met de verwerkingsverantwoordelijke worden bewaard gedurende de periode die noodzakelijk is om te reageren en de zaak af te sluiten, en vervolgens — indien gerechtvaardigd — tot het verstrijken van vorderingen, maar niet langer dan 3 jaar.

d) Gegevens van vertegenwoordigers van overheidsinstanties en instellingen worden bewaard gedurende de periode die noodzakelijk is om een wettelijke verplichting na te komen of een administratieve aangelegenheid af te ronden, en daarna gedurende de wettelijke archiveringstermijn, met een maximum van 10 jaar.

9.4. Technische gegevens en beveiliging van formulieren
Technische gegevens die worden verwerkt in het kader van de beveiliging van contactformulieren (Cloudflare Turnstile), waaronder het IP-adres en technische informatie, worden automatisch en kortstondig verwerkt uitsluitend voor risicobeoordeling, het voorkomen van misbruik en het waarborgen van de veiligheid van de diensten.

Deze gegevens worden niet door de verwerkingsverantwoordelijke bewaard en niet gebruikt voor marketing- of profileringsdoeleinden. De bewaartermijn is afhankelijk van de instellingen en beveiligingsprocedures van de dienstverlener en kan kortstondige technische logbestanden omvatten die uitsluitend worden bewaard voor de periode die noodzakelijk is om de systeembeveiliging te waarborgen of mogelijke incidenten te analyseren.

Indien zich geen beveiligingsincidenten voordoen, worden dergelijke technische gegevens niet langdurig opgeslagen.

9.5. Slotbepalingen
Na het verstrijken van de hierboven vermelde bewaartermijnen worden persoonsgegevens definitief verwijderd, geanonimiseerd of op zodanige wijze gearchiveerd dat identificatie van de betrokkene niet langer mogelijk is, overeenkomstig § 17, lid 4, van de Estse Wet bescherming persoonsgegevens.

De verwerkingsverantwoordelijke beoordeelt regelmatig de opgeslagen gegevens en de noodzaak van verdere verwerking daarvan, en waarborgt dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld.

10. Vrijwillige verstrekking van persoonsgegevens

10.1. In beginsel is het verstrekken van persoonsgegevens vrijwillig. In bepaalde gevallen is het verstrekken van specifieke gegevens echter noodzakelijk om bepaalde handelingen te verrichten, diensten te verlenen, een wervingsproces te doorlopen, of een overeenkomst met de verwerkingsverantwoordelijke aan te gaan of uit te voeren. Het niet verstrekken van de vereiste gegevens kan tot gevolg hebben dat bepaalde activiteiten niet kunnen worden uitgevoerd of een specifiek doel niet kan worden bereikt.

10.2. In het bijzonder:

• deelname aan een wervingsproces vereist het verstrekken van contactgegevens en het indienen van sollicitatiedocumenten;
• het indienen van vragen via een contactformulier of per e-mail vereist het verstrekken van gegevens waarmee de afzender kan worden geïdentificeerd;
• het aangaan, uitvoeren of afwikkelen van een overeenkomst vereist het verstrekken van gegevens die noodzakelijk zijn om contractuele, fiscale of boekhoudkundige verplichtingen na te komen;
• het gebruik van bepaalde functionaliteiten van de website kan de verwerking vereisen van basale technische gegevens die noodzakelijk zijn voor de beveiliging en de correcte werking van de systemen.

10.3. De verwerkingsverantwoordelijke informeert betrokkenen steeds welke gegevens noodzakelijk zijn voor het specifieke doel en welke gegevens optioneel zijn. De omvang van de verwerkte gegevens is beperkt tot hetgeen noodzakelijk is, overeenkomstig het beginsel van gegevensminimalisatie zoals vastgelegd in artikel 5, lid 1, onder c), AVG.

10.4. In gevallen waarin gegevens worden verwerkt op basis van toestemming, is het verlenen van toestemming volledig vrijwillig. Toestemming kan te allen tijde worden ingetrokken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die vóór de intrekking heeft plaatsgevonden, overeenkomstig artikel 7, lid 3, AVG.

10.5. De verwerkingsverantwoordelijke treft maatregelen om de transparantie van de verwerking van persoonsgegevens te waarborgen en om betrokkenen daadwerkelijke controle te bieden over de omvang, het doel en de duur van de verwerking van de door hen verstrekte informatie.

11. Locaties voor gegevensopslag en beveiligingsmaatregelen

11.1. Persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt, worden uitsluitend in elektronische vorm opgeslagen, op apparaten en systemen die onder de uitsluitende controle van de verwerkingsverantwoordelijke vallen, of bij externe dienstverleners die binnen de Europese Economische Ruimte (EER) opereren en die naleving waarborgen van Verordening (EU) 2016/679 (AVG) en de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

11.2. Fysieke en virtuele locaties voor de verwerking en opslag van gegevens omvatten in het bijzonder:

• een door de verwerkingsverantwoordelijke gebruikte en eigendom zijnde versleutelde laptop, beveiligd met een wachtwoord, volledige schijfversleuteling en meervoudige authenticatie;
• een versleuteld extern opslagmedium dat wordt gebruikt voor periodieke back-ups, bewaard op een veilige locatie en fysiek gescheiden van het primaire systeem;
• de infrastructuur van de hosting- en e-maildienstverlener Zone Media OÜ (zone.ee), gevestigd aan Lõõtsa 5, 11415 Tallinn, Estland, met servers die zich binnen het grondgebied van de Europese Unie bevinden en met beveiligingsmaatregelen die zijn afgestemd op artikel 32 AVG en de relevante bepalingen van de Isikuandmete kaitse seadus;
• servers en systemen die de activiteiten van de verwerkingsverantwoordelijke ondersteunen, waaronder diensten met betrekking tot elektronische documentondertekening en administratieve processen, hoofdzakelijk gevestigd binnen de EER en geëxploiteerd in overeenstemming met gedocumenteerde AVG-naleving; in uitzonderlijke gevallen waarin gegevens buiten de EER worden verwerkt, vindt een dergelijke verwerking uitsluitend plaats op basis van mechanismen die zijn toegestaan krachtens artikel 46 AVG, in het bijzonder de Standaardcontractbepalingen.

De verwerkingsverantwoordelijke houdt geen papieren documentatie bij — alle persoonsgegevens worden uitsluitend in digitale vorm verwerkt.

11.3. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, overeenkomstig artikel 32 AVG en de Estse Wet bescherming persoonsgegevens. Deze maatregelen omvatten in het bijzonder:

• versleutelde gegevensoverdracht (SSL/TLS);
• versleuteling van apparaten en opslagmedia;
• beperkte toegang tot gegevens, uitsluitend voor de verwerkingsverantwoordelijke;
• gebruik van sterke, unieke wachtwoorden en meervoudige authenticatie;
• regelmatige updates van besturingssystemen, software en beveiligingstools;
• het maken en veilig opslaan van back-ups;
• gebruik van firewalls en beveiligingssoftware;
• automatische vergrendeling van apparaten en fysieke bescherming tegen onbevoegde toegang;
• geen gebruik van privé- of onbeveiligde apparaten voor gegevensverwerking;
• samenwerking uitsluitend met dienstverleners die AVG-naleving waarborgen;
• het bijhouden van documentatie met betrekking tot verwerkersovereenkomsten en incidentregistratie;
• implementatie van procedures voor het reageren op inbreuken op persoonsgegevens, overeenkomstig de artikelen 33–34 AVG;
• regelmatige evaluaties van beveiligingsmaatregelen en toegangsrechten, in lijn met de beginselen van privacy by design en privacy by default (artikel 25 AVG).

12. Uw rechten met betrekking tot de verwerking van persoonsgegevens

Personen van wie de persoonsgegevens door de verwerkingsverantwoordelijke worden verwerkt, hebben recht op de rechten die zijn vastgelegd in Verordening (EU) 2016/679 (AVG) en de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus). De verwerkingsverantwoordelijke waarborgt de volledige eerbiediging van alle rechten van betrokkenen en faciliteert de uitoefening daarvan overeenkomstig het toepasselijke recht.

In het bijzonder heeft u recht op duidelijke en transparante informatie over de verwerking van uw gegevens, evenals het recht op inzage, rectificatie, beperking van de verwerking, wissing, overdraagbaarheid, bezwaar en intrekking van toestemming — voor zover en onder de voorwaarden zoals vastgelegd in de AVG.

12.1. Recht op inzage en op het verkrijgen van kopieën
U heeft het recht om bevestiging te verkrijgen of de verwerkingsverantwoordelijke uw persoonsgegevens verwerkt en, indien dat het geval is, het recht op inzage in die gegevens en het ontvangen van een kopie daarvan, overeenkomstig artikel 15 AVG. Indien het verzoek elektronisch wordt ingediend, wordt de informatie verstrekt in een gangbaar elektronisch formaat.

12.2. Recht op rectificatie
U heeft het recht om onverwijld rectificatie te verzoeken van onjuiste persoonsgegevens of aanvulling van onvolledige gegevens, overeenkomstig artikel 16 AVG. De verwerkingsverantwoordelijke voert correcties uit na verificatie van de rechtmatigheid van het verzoek.

12.3. Recht op beperking van de verwerking

a) wanneer u de juistheid van de gegevens betwist — gedurende een periode die de verwerkingsverantwoordelijke in staat stelt deze te verifiëren;
b) wanneer de verwerking onrechtmatig is en u zich verzet tegen het wissen van de gegevens;
c) wanneer de verwerkingsverantwoordelijke de gegevens niet langer nodig heeft voor zijn doeleinden, maar u deze nodig heeft voor het instellen, uitoefenen of onderbouwen van een rechtsvordering;
d) wanneer u bezwaar heeft gemaakt tegen de verwerking — in afwachting van de beoordeling of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan uw belangen.

12.4. Recht op gegevenswissing
U heeft het recht om wissing van persoonsgegevens te verzoeken in de gevallen zoals bedoeld in artikel 17 AVG, met name wanneer de gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld, wanneer u uw toestemming intrekt of wanneer de verwerking onrechtmatig was.
Dit recht is niet van toepassing indien verdere verwerking noodzakelijk is om te voldoen aan wettelijke verplichtingen van de verwerkingsverantwoordelijke of voor het instellen, uitoefenen of verdedigen van rechtsvorderingen, overeenkomstig artikel 17, lid 3, AVG.

12.5. Recht op overdraagbaarheid van gegevens
U heeft het recht om de persoonsgegevens die u aan de verwerkingsverantwoordelijke heeft verstrekt te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat en om deze over te dragen aan een andere verwerkingsverantwoordelijke, wanneer de verwerking is gebaseerd op toestemming of een overeenkomst en via geautomatiseerde procedés plaatsvindt, overeenkomstig artikel 20 AVG.

12.6. Recht van bezwaar
U heeft het recht om te allen tijde bezwaar te maken tegen de verwerking van uw persoonsgegevens wanneer deze is gebaseerd op het gerechtvaardigd belang van de verwerkingsverantwoordelijke (artikel 6, lid 1, onder f), AVG).
Na ontvangst van een bezwaar staakt de verwerkingsverantwoordelijke de verwerking, tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aantoont die zwaarder wegen dan uw belangen, rechten en vrijheden, of tenzij de verwerking noodzakelijk is voor het instellen, uitoefenen of verdedigen van rechtsvorderingen.
Dit recht is niet van toepassing wanneer de verwerking noodzakelijk is om te voldoen aan wettelijke verplichtingen die op de verwerkingsverantwoordelijke rusten.

12.7. Recht om toestemming in te trekken
Wanneer de verwerking is gebaseerd op toestemming, heeft u het recht deze te allen tijde in te trekken. De intrekking van toestemming laat de rechtmatigheid van de verwerking die vóór de intrekking heeft plaatsgevonden onverlet, overeenkomstig artikel 7, lid 3, AVG.

12.8. Recht om een klacht in te dienen bij een toezichthoudende autoriteit
Indien u van mening bent dat de verwerking van uw persoonsgegevens in strijd is met de AVG of de Estse Wet bescherming persoonsgegevens, heeft u het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, in het bijzonder:
Andmekaitse Inspektsioon (AKI) – de Estse Autoriteit Persoonsgegevens.

Indien u woont of werkt in een andere EU-lidstaat, kunt u tevens een klacht indienen bij de bevoegde toezichthoudende autoriteit van die lidstaat, overeenkomstig artikel 77 AVG.

12.9. Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming
U heeft het recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, waaronder profilering, dat rechtsgevolgen voor u heeft of u anderszins in aanmerkelijke mate treft, overeenkomstig artikel 22 AVG.
De verwerkingsverantwoordelijke verricht geen geautomatiseerde besluitvorming of profilering. Alle beslissingen met betrekking tot kandidaten, cliënten en zakenpartners worden genomen door bevoegde personen.

12.10. Uitoefening van uw rechten en contact met de verwerkingsverantwoordelijke
Om de in dit privacybeleid genoemde rechten uit te oefenen, kunt u contact opnemen met de verwerkingsverantwoordelijke, met name langs elektronische weg:

E-mail: office@hansacareers.ee

De verwerkingsverantwoordelijke werkt volledig digitaal en beveelt elektronische communicatie aan als de primaire en veiligste methode voor aangelegenheden die betrekking hebben op de verwerking van persoonsgegevens. Elektronische communicatie zorgt voor een snellere afhandeling van verzoeken en vermindert het risico van ongeoorloofde toegang tot gegevens.

Schriftelijke correspondentie kan worden gericht aan het statutaire adres van de verwerkingsverantwoordelijke:
Handke Holding OÜ, Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Estland

De verwerkingsverantwoordelijke raadt het echter af om documenten met persoonsgegevens — met name sollicitatiedocumenten, kopieën van identiteitsbewijzen of gevoelige informatie — per post te verzenden. Dergelijke correspondentie kan risico’s van ongeoorloofde openbaarmaking tijdens de postafhandeling met zich meebrengen en valt buiten de volledige controle van de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke reageert op verzoeken met betrekking tot de uitoefening van rechten zonder onredelijke vertraging en uiterlijk binnen één maand na ontvangst, overeenkomstig artikel 12, lid 3, AVG. In bijzonder complexe gevallen kan deze termijn met nog eens twee maanden worden verlengd, waarbij de betrokkene hierover wordt geïnformeerd.

13. Inbreuken op persoonsgegevens

In het geval van een inbreuk op persoonsgegevens — verstaan als de onopzettelijke of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens — onderneemt de verwerkingsverantwoordelijke onverwijld maatregelen om de gevolgen van het incident te beperken en herhaling te voorkomen.

De verwerkingsverantwoordelijke beoordeelt elk incident afzonderlijk, waarbij de aard en omvang van de inbreuk en de mogelijke risico’s voor de rechten en vrijheden van de betrokken personen worden geëvalueerd. Vervolgens worden passende technische en organisatorische maatregelen getroffen om de oorzaak van de inbreuk weg te nemen en de impact ervan te beperken. Alle beveiligingsincidenten worden gedocumenteerd overeenkomstig het verantwoordingsbeginsel zoals vastgelegd in artikel 5, lid 2, van Verordening (EU) 2016/679 (AVG) en § 25, lid 3, van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Indien een inbreuk op persoonsgegevens waarschijnlijk een risico inhoudt voor de rechten of vrijheden van natuurlijke personen, meldt de verwerkingsverantwoordelijke de inbreuk aan de bevoegde toezichthoudende autoriteit — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — uiterlijk binnen 72 uur nadat hij er kennis van heeft genomen, overeenkomstig artikel 33 AVG en § 25 van de Estse Wet bescherming persoonsgegevens, tenzij het onwaarschijnlijk is dat de inbreuk een dergelijk risico met zich meebrengt.

Wanneer een inbreuk op persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten of vrijheden van natuurlijke personen, stelt de verwerkingsverantwoordelijke de betrokken personen zonder onredelijke vertraging in kennis van de aard van de inbreuk, de mogelijke gevolgen ervan en de getroffen of voorgestelde maatregelen om de nadelige effecten te beperken, overeenkomstig artikel 34 AVG.

De verwerkingsverantwoordelijke beschikt over een interne procedure voor het afhandelen van inbreuken op persoonsgegevens, die onder meer de identificatie van incidenten, risicobeoordeling, corrigerende maatregelen en meldingsverplichtingen omvat. De doeltreffendheid van deze procedure wordt regelmatig geëvalueerd om naleving van de AVG en het Estse recht te waarborgen en een hoog beveiligingsniveau bij de verwerking van persoonsgegevens te handhaven.

14. Geautomatiseerde besluitvorming en profilering

De verwerkingsverantwoordelijke maakt geen gebruik van geautomatiseerde besluitvormingsprocessen, waaronder profilering, die rechtsgevolgen voor een persoon hebben of deze op vergelijkbare wijze aanzienlijk treffen, in de zin van artikel 22 van Verordening (EU) 2016/679 (AVG) en § 23 van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Alle beslissingen met betrekking tot kandidaten, cliënten en zakenpartners worden genomen door een mens, op basis van een individuele beoordeling van de verstrekte informatie, documenten of correspondentie. Er worden geen beslissingen genomen die uitsluitend berusten op geautomatiseerde verwerking.

De verwerkingsverantwoordelijke past geen profilering toe waarbij sprake is van een geautomatiseerde beoordeling van persoonlijke kenmerken, kwalificaties, gedrag, voorkeuren of professionele situatie met het oog op het nemen van beslissingen die rechtsgevolgen hebben of de betrokkene aanzienlijk treffen.

In het kader van routinematige administratieve processen kan de verwerkingsverantwoordelijke gebruikmaken van technische hulpmiddelen voor ondersteunende doeleinden (bijvoorbeeld e-mailfiltering, het ordenen van inzendingen of het classificeren van onvolledige formulieren). Deze hulpmiddelen nemen echter geen zelfstandige beslissingen over personen en vervangen geen menselijke beoordeling.

15. Toezichthoudende autoriteit

Indien u zorgen heeft over de wijze waarop uw persoonsgegevens worden verwerkt, of indien u van mening bent dat uw rechten op grond van Verordening (EU) 2016/679 (AVG) zijn geschonden, heeft u het recht een klacht in te dienen bij een bevoegde toezichthoudende autoriteit, ongeacht uw woonplaats, werkplek of de plaats waar de vermeende inbreuk heeft plaatsgevonden, overeenkomstig artikel 77 AVG en § 21 van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Voor de door de verwerkingsverantwoordelijke uitgevoerde activiteiten is de bevoegde toezichthoudende autoriteit in de Republiek Estland:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland — tel.: +372 627 4135; e-mail: info@aki.ee; website: https://www.aki.ee.

Indien u woont of werkt in een andere lidstaat van de Europese Unie, kunt u ook een klacht indienen bij de toezichthoudende autoriteit die bevoegd is voor uw woon- of werkplaats, overeenkomstig artikel 77 AVG.

Een actuele lijst van toezichthoudende autoriteiten voor gegevensbescherming in EU-lidstaten is beschikbaar op de website van de European Data Protection Board (EDPB): https://edpb.europa.eu.

De verwerkingsverantwoordelijke moedigt u er niettemin aan om vooraf rechtstreeks contact met hen op te nemen over aangelegenheden met betrekking tot de verwerking van persoonsgegevens, bij voorkeur per e-mail via: office@hansacareers.ee.

Indien nodig kunt u ook schriftelijk contact opnemen met de verwerkingsverantwoordelijke door correspondentie te richten aan het statutaire adres van de onderneming. Houd er rekening mee dat traditionele postcommunicatie minder veilig kan zijn voor persoonsgegevens; daarom blijft elektronische communicatie de aanbevolen methode.

De verwerkingsverantwoordelijke zal alles in het werk stellen om elke zaak transparant, zorgvuldig en volledig in overeenstemming met de AVG af te handelen, zonder onredelijke vertraging.

16. Rechtsmacht en toepasselijk recht

Dit privacybeleid wordt beheerst door het recht van de Republiek Estland en wordt uitgelegd in overeenstemming met Verordening (EU) 2016/679 (AVG) en de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Voor zover toegestaan door het toepasselijke recht, vallen alle geschillen of vorderingen die verband houden met de verwerking van persoonsgegevens, het gebruik van de website van de verwerkingsverantwoordelijke of de door de verwerkingsverantwoordelijke verleende diensten onder de bevoegdheid van de gerechten van de Republiek Estland die bevoegd zijn voor de statutaire zetel van de verwerkingsverantwoordelijke.

De bepalingen van deze sectie doen geen afbreuk aan en beperken niet de rechten van betrokkenen die voortvloeien uit dwingende bepalingen van het recht van de Europese Unie, in het bijzonder de regels inzake consumentenbescherming en de rechten van betrokkenen binnen de Europese Unie of de Europese Economische Ruimte, waaronder rechten die verband houden met hun gewone verblijfplaats of plaats van tewerkstelling.

17. Wijzigingen van het privacybeleid

De verwerkingsverantwoordelijke kan dit privacybeleid periodiek bijwerken om de naleving van de toepasselijke wet- en regelgeving te waarborgen — in het bijzonder Verordening (EU) 2016/679 (AVG) en de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus) — alsmede in verband met wijzigingen in de omvang van zijn bedrijfsactiviteiten, de toegepaste technologieën of de procedures voor de verwerking van persoonsgegevens.

De versie van het privacybeleid die op de website van de verwerkingsverantwoordelijke is gepubliceerd en die is voorzien van de datum van de meest recente update, is steeds van toepassing. Elke nieuwe versie vervangt alle eerdere versies van dit document met ingang van de datum van publicatie.

De verwerkingsverantwoordelijke raadt betrokkenen aan het privacybeleid regelmatig te raadplegen om op de hoogte te blijven van de actuele regels inzake de verwerking van persoonsgegevens en de rechten die hun ter beschikking staan.

Indien wijzigingen worden doorgevoerd die vanuit het perspectief van betrokkenen van wezenlijk belang zijn — in het bijzonder wijzigingen die betrekking hebben op de doeleinden of rechtsgrondslagen van de verwerking, of aanpassingen van de categorieën van ontvangers van gegevens — zal de verwerkingsverantwoordelijke de betrokkenen hierover op duidelijke en transparante wijze informeren. Deze informatie kan worden verstrekt via een duidelijk zichtbare kennisgeving op de website van de verwerkingsverantwoordelijke of, waar dit haalbaar is en waar de verwerkingsverantwoordelijke beschikt over een actueel e-mailadres van de betrokkene, per e-mail.

18. Marketingactiviteiten en contact met de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke informeert dat de website geen cookies of andere trackingtechnologieën gebruikt en geen geautomatiseerde verzameling van persoonsgegevens uitvoert voor marketing- of analysedoeleinden. Het gebruik van de website houdt geen profilering of geautomatiseerde verwerking van persoonsgegevens van gebruikers in, in welke vorm dan ook.

Marketingactiviteiten die door de verwerkingsverantwoordelijke worden uitgevoerd, zijn uitsluitend beperkt tot de promotie van zijn eigen rekruteringsdiensten, in het bijzonder door het publiceren van informatie en vacatures op sociale-mediaplatforms en door het plaatsen van online wervingsadvertenties. De verwerkingsverantwoordelijke gebruikt geen gegevens van websitegebruikers of hun gedrag om marketingprofielen aan te maken.

In het kader van directe marketingactiviteiten kan de verwerkingsverantwoordelijke vertegenwoordigers van ondernemingen in B2B-relaties benaderen — bijvoorbeeld door gebruik te maken van hun voornaam, achternaam, functie of zakelijk e-mailadres — uitsluitend met het doel zijn rekruteringsdiensten onder de aandacht te brengen. De rechtsgrondslag voor deze verwerking is het gerechtvaardigd belang van de verwerkingsverantwoordelijke, bestaande uit het uitoefenen van zijn bedrijfsactiviteiten en het promoten van zijn eigen diensten.

Iedere persoon tot wie de verwerkingsverantwoordelijke marketingcommunicatie richt, heeft het recht om te allen tijde bezwaar te maken tegen de verwerking van zijn of haar persoonsgegevens voor dit doel. Een bezwaar kan worden ingediend door een e-mail te sturen naar: office@hansacareers.ee. Na ontvangst van een dergelijk bezwaar zullen de gegevens niet langer worden gebruikt voor direct-marketingdoeleinden.

De verwerkingsverantwoordelijke stelt gebruikers tevens in staat om zelf contact op te nemen — hetzij via het contactformulier, hetzij per e-mail. Gegevens die op deze wijze worden verstrekt, waaronder voornaam, achternaam, e-mailadres of de inhoud van het bericht, worden uitsluitend gebruikt met het oog op het beantwoorden van vragen, het voeren van correspondentie of het afhandelen van de aanvraag, op basis van het gerechtvaardigd belang van de verwerkingsverantwoordelijke.

Persoonsgegevens die worden verwerkt in verband met marketing- en contactactiviteiten worden niet doorgegeven buiten de Europese Economische Ruimte (EER), en de verwerking zelf vindt plaats in overeenstemming met de beginselen van gegevensminimalisatie, transparantie en doelbinding zoals vastgelegd in artikel 5, lid 1, van de AVG.

19. Cookies en vergelijkbare technologieën

De website van de verwerkingsverantwoordelijke maakt geen gebruik van cookies of andere trackingtechnologieën die doorgaans worden ingezet voor marketing-, advertentie- of analysedoeleinden. De verwerkingsverantwoordelijke verzamelt geen statistieken over het gedrag van gebruikers, maakt geen gebruik van analysetools en slaat geen informatie op over de wijze waarop gebruikers de website navigeren. Het gebruik van de website gaat niet gepaard met profilering of monitoring van gebruikers.

De enige externe technologie die op de website wordt gebruikt, is Cloudflare Turnstile, die uitsluitend wordt ingezet ter bescherming van de contactformulieren tegen spam, geautomatiseerde inzendingen en misbruik. Deze oplossing maakt geen gebruik van marketingcookies, volgt gebruikers niet en wordt niet gebruikt om gebruikersgedrag te analyseren.

In het kader van de werking van Cloudflare Turnstile kunnen uitsluitend basis-technische gegevens — zoals het IP-adres van de gebruiker of browsergerelateerde signalen — worden verwerkt. Deze verwerking vindt uitsluitend plaats met het doel de veiligheid van de dienst en de integriteit van de formulieren te waarborgen, op basis van het gerechtvaardigd belang van de verwerkingsverantwoordelijke.

Aangezien de website geen cookies gebruikt waarvoor toestemming van de gebruiker vereist is, bestaat er geen verplichting om een cookiebanner weer te geven of toestemming te verkrijgen voor het gebruik van de website, overeenkomstig de ePrivacy-richtlijn en de Estse Wet elektronische communicatie (Elektroonilise side seadus).

Indien de verwerkingsverantwoordelijke in de toekomst cookies of vergelijkbare technologieën zou implementeren waarvoor toestemming van de gebruiker vereist is — bijvoorbeeld ter verbetering van functionaliteit of voor het verzamelen van geanonimiseerde statistieken — zullen gebruikers hierover duidelijk en vooraf worden geïnformeerd, op een wijze die in overeenstemming is met de toepasselijke wetgeving. In dat geval zal toestemming worden verkregen overeenkomstig de ePrivacy-regels, de AVG en de Estse telecommunicatiewetgeving.

Gebruikers zullen te allen tijde in staat zijn hun cookievoorkeuren te beheren via de instellingen van hun browser of via een cookiemanagementpaneel, indien een dergelijk paneel in de toekomst wordt geïmplementeerd.

20. Serverlogs

Het gebruik van de website houdt in dat verzoeken worden verzonden naar de server waarop deze wordt gehost. Elke netwerkverzoek wordt automatisch vastgelegd in zogenoemde serverlogs en kan de volgende technische gegevens bevatten:

• het IP-adres van het apparaat van de gebruiker;
• de datum en het tijdstip van het verzoek;
• informatie over de gebruikte browser en het besturingssysteem;
• het adres van de bezochte subpagina;
• eventuele technische foutmeldingen.

Deze gegevens zijn van technische aard en worden niet gebruikt om gebruikers rechtstreeks te identificeren of om gebruikersprofielen aan te maken. Zij worden niet verwerkt voor marketing- of analysedoeleinden.

Serverlogs worden in het bijzonder verwerkt met het oog op:

• het waarborgen van de veiligheid en stabiliteit van de website;
• het diagnosticeren van technische systeem- of netwerkfouten;
• het opsporen van misbruik, inbraakpogingen en beveiligingsincidenten.

De rechtsgrondslag voor de verwerking van de technische gegevens in serverlogs is artikel 6, lid 1, onder f), AVG — het gerechtvaardigd belang van de verwerkingsverantwoordelijke bij het waarborgen van de veiligheid van IT-systemen, in overeenstemming met artikel 32 AVG en § 24 van de Estse Wet bescherming persoonsgegevens (Isikuandmete kaitse seadus).

Serverlogs worden niet langer dan 90 dagen bewaard, tenzij verdere bewaring noodzakelijk is wegens een beveiligingsincident, misbruik of de noodzaak om zich te verdedigen tegen juridische aanspraken. Na deze periode worden de gegevens automatisch verwijderd of geanonimiseerd.