Политика конфиденциальности

Дата последнего обновления: 4 декабря 2025 г.

1. Общая информация и администратор персональных данных

1.1. Область применения настоящего документа
Настоящий документ определяет правила обработки персональных данных лиц, пользующихся услугами, предоставляемыми под брендом Hansa Careers, оператором которых является компания Handke Holding OÜ, зарегистрированная в Республике Эстония. Целью данной Политики конфиденциальности является чёткое и прозрачное разъяснение того, каким образом и в каком объёме осуществляется обработка персональных данных при взаимодействии физических лиц с Администратором в рамках его предпринимательской деятельности.

1.2. Информация об Администраторе персональных данных

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Таллинн
Эстония

регистрационный номер (registrikood): 17387477
VAT EU: EE102932869

1.3. Характер предпринимательской деятельности
Администратор осуществляет деятельность в сфере услуг посредничества в трудоустройстве на территории Европейского союза и Европейской экономической зоны, в частности обеспечивая коммуникацию и сотрудничество между работодателями и лицами, ищущими работу.

1.4. Лица, на которых распространяется настоящая Политика конфиденциальности
Настоящая Политика конфиденциальности применяется, в частности, к лицам, которые:

• пользуются услугами, предоставляемыми Администратором,
• посещают веб-сайт www.hansacareers.ee,
• участвуют в процессах подбора персонала,
• обращаются к Администратору по деловым, административным или информационным вопросам,
• осуществляют профессиональную переписку с Администратором,
• представляют публичные или частные организации в рамках формального сотрудничества.

1.5. Цели обработки персональных данных
Правила, изложенные в настоящей Политике, применяются к обработке персональных данных в связи с:

• функционированием и обслуживанием веб-сайта www.hansacareers.ee,
• предоставлением услуг посредничества в трудоустройстве,
• выполнением клиентских заданий и B2B-сотрудничеством,
• ведением текущей деловой и административной переписки,
• исполнением обязанностей, вытекающих из применимого законодательства Европейского союза и Эстонской Республики.

1.6. Правовые основания
Настоящая Политика конфиденциальности подготовлена в соответствии с:

• Регламентом (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. (GDPR),
• Законом Эстонии о защите персональных данных (Isikuandmete kaitse seadus),
• иными применимыми нормативными актами Европейского союза и Республики Эстония.

1.7. Язык общения и способы связи
Основным языком деятельности Администратора персональных данных является английский язык. Письменная переписка может вестись на любом официальном языке Европейского союза или Европейской экономической зоны.

Предпочтительным и рекомендуемым способом связи с Администратором является электронная коммуникация, в частности:

• по электронной почте: office@hansacareers.ee,
• через контактную форму, доступную на веб-сайте: www.hansacareers.ee,
• по телефону: +372 5617 1770.

Связь с Администратором также может осуществляться посредством почтовой корреспонденции по адресу, указанному в пункте 1.2. Однако в целях обеспечения эффективного рассмотрения запросов и надлежащего уровня защиты персональных данных Администратор, осуществляющий деятельность полностью в цифровой среде, рекомендует использование электронных средств связи. Традиционная почтовая переписка, ввиду характера передаваемой информации, включая возможную передачу персональных данных, может быть связана с более длительными сроками обработки, а также с повышенным риском утраты данных или несанкционированного доступа.

1.8. Добровольность предоставления данных и ответственность Администратора
Предоставление персональных данных является добровольным; однако в отдельных случаях оно необходимо для получения доступа к услугам Администратора, участия в процессах подбора персонала или получения ответа на запрос. Непредоставление требуемых данных может сделать достижение указанных целей невозможным.

Администратор не обязан назначать уполномоченное лицо по защите данных (Data Protection Officer), поскольку характер и объём обработки не соответствуют критериям, установленным пунктом 1 статьи 37 GDPR.

Администратор несёт ответственность за:

• обеспечение обработки персональных данных в соответствии с применимым законодательством,
• внедрение соответствующих технических и организационных мер по защите персональных данных,
• обеспечение и реализацию прав субъектов персональных данных,
• сотрудничество с надзорным органом Эстонии — Andmekaitse Inspektsioon.

2. Категории лиц, персональные данные которых обрабатываются

В рамках деятельности бренда Hansa Careers, управляемого компанией Handke Holding OÜ, обрабатываются исключительно те персональные данные, которые необходимы для предоставления услуг посредничества в трудоустройстве, поддержания деловых отношений, а также обеспечения текущей операционной и организационной коммуникации. Все операции по обработке данных осуществляются в соответствии с принципами законности, добросовестности, прозрачности и минимизации данных, определёнными в пункте 1 статьи 5 GDPR, и всегда ограничиваются объёмом, необходимым и соразмерным целям обработки. Администратор обрабатывает персональные данные следующих категорий лиц:

2.1. Кандидаты, участвующие в процессах подбора персонала
Лица, подающие заявки на трудоустройство через Hansa Careers в ответ на конкретные, актуальные процессы подбора персонала, в рамках которых были опубликованы объявления о вакансиях. Обрабатываемые данные могут включать, в частности, сведения, содержащиеся в профессиональном резюме, контактные данные, а также любую иную информацию, предоставленную кандидатом в связи с процессом подбора персонала. Персональные данные кандидатов могут быть получены:

• непосредственно от кандидата,
• из общедоступных источников — исключительно в том объёме, в котором кандидат самостоятельно сделал такую информацию общедоступной, в соответствии со статьёй 14 GDPR.

Указанные данные обрабатываются исключительно с целью проведения конкретного процесса подбора персонала и передаются только тем клиентам, для которых данный процесс подбора осуществляется.

2.2. Кандидаты, предоставляющие данные вне активных процессов подбора персонала
Администратор обрабатывает данные кандидатов исключительно в рамках конкретных и активных процессов подбора персонала. В случае отсутствия текущих процессов подбора персонала либо если лица направляют свои данные — в частности профессиональные резюме или сообщения — без указания конкретного объявления о вакансии, такие данные не принимаются и не используются в рамках каких-либо процессов подбора персонала. Данные, предоставленные на добровольной основе без отклика на конкретное объявление о вакансии, не подлежат рассмотрению, хранению или передаче и могут быть удалены немедленно после получения, если иное не требуется применимым законодательством. Администратор не ведёт базу данных спонтанных или непрошенных кандидатских заявок и не использует такие материалы в будущих процессах подбора персонала. Контакт осуществляется исключительно с лицами, которые прямо откликнулись на конкретную вакансию либо публично выразили интерес к трудоустройству — например, посредством общедоступных публикаций в социальных сетях — и только в объёме, необходимом для инициирования коммуникации по соответствующему предложению работы.

2.3. Клиенты и их представители
Физические лица и представители коммерческих организаций, с которыми Администратор сотрудничает в рамках предоставления услуг посредничества в трудоустройстве. Обрабатываемые данные включают, в частности, имена, контактные данные, профессиональные должности, а также информацию, необходимую для исполнения договоров или осуществления делового сотрудничества.

2.4. Потенциальные клиенты и деловые партнёры
Лица, с которыми был установлен контакт с целью предложения сотрудничества, либо чьи данные были получены из общедоступных источников, таких как веб-сайты компаний или профессиональные деловые платформы. Обработка таких данных осуществляется на основании законного интереса Администратора в ведении предпринимательской деятельности и развитии деловых отношений.

2.5. Подрядчики и поставщики услуг
Физические лица, осуществляющие предпринимательскую деятельность в качестве индивидуальных предпринимателей, а также представители организаций, предоставляющих Администратору услуги, необходимые для функционирования бизнеса, в частности технические, бухгалтерские, юридические или коммуникационные услуги. Данные обрабатываются с целью исполнения договоров, поддержания текущей коммуникации и выполнения установленных законом обязательств.

2.6. Иные лица, обращающиеся к Администратору, и представители органов публичной власти
Лица, направляющие запросы через контактные формы, электронную почту или иные каналы связи, а также представители государственных органов и учреждений, с которыми Администратор ведёт официальную переписку. Такие данные обрабатываются исключительно с целью рассмотрения обращений, предоставления ответов либо исполнения правовых обязанностей.

2.7. Несовершеннолетние
Услуги, предоставляемые Администратором, предназначены исключительно для совершеннолетних лиц (достигших 18-летнего возраста). Администратор осознанно не собирает и не обрабатывает персональные данные несовершеннолетних. В случае если Администратору станет известно, что были собраны персональные данные лица младше 18 лет, такие данные будут удалены без необоснованной задержки, если иное хранение не требуется применимым законодательством.

Дополнительная информация

Администратор:

• не получает данные из непубличных источников,
• не осуществляет систематического мониторинга физических лиц,
• не обрабатывает данные, не относящиеся к заявленным целям обработки.

3. Объём обрабатываемых персональных данных

Объём обрабатываемых персональных данных зависит от характера взаимоотношений между Администратором и субъектом данных, а также от целей, для которых персональные данные предоставляются. Администратор обрабатывает исключительно те данные, которые необходимы для достижения конкретных, законных целей, строго соблюдая принцип минимизации данных. Обработка персональных данных осуществляется в объёме, который является достаточным, релевантным и ограниченным необходимым, в соответствии с пунктом 1(c) статьи 5 GDPR и § 11 Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

3.1. Идентификационные и контактные данные
Администратор может обрабатывать, в частности, следующие категории данных:

• имя и фамилия,
• адрес электронной почты,
• номер телефона,
• иные контактные данные, добровольно предоставленные в переписке или через контактную форму,
• информация, связанная с профессиональной деятельностью, в рамках делового общения (наименование компании, должность, служебный адрес электронной почты, служебный номер телефона).

Указанные данные обрабатываются с целью осуществления коммуникации, предоставления ответов на запросы, выполнения сотрудничества или исполнения административных обязанностей.

3.2. Данные кандидатов, участвующих в процессах подбора персонала
В рамках активных процессов подбора персонала Администратор обрабатывает данные, предоставленные кандидатами исключительно в ответ на конкретные объявления о вакансиях. Обрабатываемые данные могут включать:

• информацию, содержащуюся в резюме (CV), такую как профессиональный опыт, образование, квалификация, навыки и знание языков,
• содержание сообщения, направленного в связи с подачей заявки,
• иную информацию, добровольно предоставленную кандидатом в связи с заявленной вакансией.

Администратор не получает данные кандидатов из источников, отличных от прямого отклика на объявление о вакансии, и не обрабатывает данные кандидатов в объёме, превышающем необходимый для конкретного процесса подбора персонала.

3.3. Кандидаты, предоставляющие данные вне процессов подбора персонала
В случае если Администратор не осуществляет активные процессы подбора персонала или не публиковал объявления о вакансиях, персональные данные, предоставленные без запроса (в частности резюме, направленные без указания конкретной вакансии), не принимаются и не используются. Такие данные удаляются без дальнейшей обработки, и Администратор не создаёт базы данных или реестры спонтанно направленных заявок. Администратор принимает и рассматривает исключительно заявки, поданные в ответ на конкретные, актуальные объявления о вакансиях.

3.4. Данные клиентов и делового сотрудничества
Администратор обрабатывает персональные данные клиентов и их представителей в объёме, необходимом для предоставления услуг посредничества в трудоустройстве и ведения делового сотрудничества. Такие данные могут включать:

• имя контактного лица,
• адрес электронной почты и номер телефона,
• должность или профессиональную роль,
• информацию, содержащуюся в договорах, счетах-фактурах и бухгалтерской документации.

Указанные данные обрабатываются с целью исполнения договоров, поддержания рабочей коммуникации и соблюдения налоговых и бухгалтерских обязательств.

3.5. Данные, содержащиеся в коммуникации и переписке
Администратор обрабатывает данные, содержащиеся в переписке, осуществляемой по электронной почте, через контактные формы или иные каналы связи. Объём обрабатываемых данных зависит от содержания направленного сообщения и ограничивается тем, что необходимо для предоставления ответа или рассмотрения соответствующего вопроса.

3.6. Технические и операционные данные, связанные с использованием веб-сайта
При использовании веб-сайта www.hansacareers.ee могут обрабатываться технические данные, такие как:

• IP-адрес,
• информация о браузере и операционной системе,
• дата и время подключения,
• технические данные, хранящиеся в серверных журналах (логах).

Указанные данные используются исключительно для обеспечения безопасности веб-сайта, защиты от неправомерного использования и обеспечения его корректного функционирования. В этой связи Администратор использует услуги компании Cloudflare, Inc., которая обрабатывает технические данные в качестве процессора по поручению Администратора.

3.7. Данные, связанные с видеосвязью
Для проведения онлайн-встреч или видеозвонков Администратор может использовать платформу Whereby. Обработка данных ограничивается сведениями, необходимыми для установления соединения, такими как имя или имя пользователя участника, IP-адрес и технические данные соединения. Администратор не осуществляет запись встреч и не сохраняет их содержание, если участники не были заранее проинформированы и не предоставили своё согласие.

3.8. Специальные категории персональных данных
Как правило, Администратор не обрабатывает специальные категории персональных данных, определённые в статье 9 GDPR. Администратор не запрашивает такие данные и не требует их предоставления. В случае если такие данные предоставляются добровольно в переписке или документах, они обрабатываются исключительно в объёме, необходимом для достижения цели, для которой они были предоставлены, либо удаляются без необоснованной задержки.

4. Цели и правовые основания обработки персональных данных

Администратор обрабатывает персональные данные исключительно в объёме, необходимом для осуществления своей деятельности в соответствии с применимым законодательством, а также в соответствии с принципами добросовестности, прозрачности и минимизации данных. Обработка персональных данных осуществляется в соответствии со статьями 5 и 6 Регламента (ЕС) 2016/679 (GDPR) и положениями Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus). Персональные данные обрабатываются исключительно для чётко определённых и законных целей и не используются далее каким-либо образом, несовместимым с указанными целями.

4.1. Проведение процессов подбора персонала
Персональные данные кандидатов обрабатываются в целях:

• получения и рассмотрения заявок, поданных в ответ на конкретные объявления о вакансиях,
• осуществления коммуникации с кандидатами на протяжении процесса подбора персонала,
• оценки профессионального профиля кандидата в отношении требований конкретного предложения работы,
• передачи данных кандидатов клиентам — потенциальным работодателям — строго в рамках конкретного процесса подбора персонала.

Правовое основание:
статья 6(1)(a) GDPR — согласие кандидата,
статья 6(1)(b) GDPR — действия, предпринятые по запросу субъекта данных до заключения договора,
статья 9(2)(a) GDPR — явное согласие, если кандидат добровольно раскрывает специальные категории персональных данных.

4.2. Хранение заявок для будущих процессов подбора персонала
Персональные данные кандидатов могут храниться после завершения процесса подбора персонала исключительно при условии предоставления кандидатом отдельного и явного согласия. Данные хранятся в течение срока, указанного в согласии, либо до момента его отзыва.

Правовое основание:
статья 6(1)(a) GDPR.

4.3. Заключение и исполнение договоров
Персональные данные клиентов, подрядчиков и деловых партнёров обрабатываются в целях:

• заключения и исполнения договоров,
• предоставления услуг посредничества в трудоустройстве,
• осуществления коммерческой, административной и операционной коммуникации.

Правовое основание:
статья 6(1)(b) GDPR — исполнение договора,
статья 6(1)(c) GDPR — выполнение правовых обязательств, вытекающих из налогового и бухгалтерского законодательства.

4.4. Поддержание деловых отношений и B2B-маркетинг
Контактные данные представителей компаний могут обрабатываться в целях:

• ведения текущей деловой коммуникации,
• представления предложений о сотрудничестве,
• осуществления прямого маркетинга в рамках B2B-взаимоотношений.

Правовое основание:
статья 6(1)(f) GDPR — законный интерес Администратора в ведении и развитии предпринимательской деятельности.
Субъект данных имеет право возразить против такой обработки.

4.5. Рассмотрение запросов и ведение переписки
Персональные данные лиц, обращающихся к Администратору через контактные формы, электронную почту или по телефону, обрабатываются с целью предоставления ответов и ведения текущей переписки.

Правовое основание:
статья 6(1)(f) GDPR — законный интерес Администратора.

4.6. Расчёты, бухгалтерский учёт и архивирование
Персональные данные обрабатываются с целью выполнения бухгалтерских, налоговых и архивных обязательств, вытекающих из законодательства Эстонской Республики.

Правовое основание:
статья 6(1)(c) GDPR — выполнение правового обязательства Администратора.

4.7. Обеспечение безопасности форм и ИТ-систем (Cloudflare)
Администратор внедряет технические и организационные меры для защиты веб-сайта и контактных форм от спама, злоупотреблений и автоматизированных отправок. В этих целях используются сервисы Cloudflare, включая механизмы безопасности Turnstile, которые могут обрабатывать такие технические данные пользователя, как:

• IP-адрес,
• данные о браузере и операционной системе,
• техническую информацию, необходимую для оценки рисков.

Указанные данные обрабатываются исключительно с целью обеспечения безопасности и целостности ИТ-систем.

Правовое основание:
статья 6(1)(f) GDPR — законный интерес Администратора в защите веб-сайта и обрабатываемых данных.

4.8. Установление, осуществление или защита правовых требований
Персональные данные могут обрабатываться с целью установления, осуществления либо защиты правовых требований.

Правовое основание:
статья 6(1)(f) GDPR — законный интерес Администратора.

4.9. Исполнение обязательств перед органами публичной власти
Персональные данные могут передаваться уполномоченным органам государственной власти, судам или надзорным органам в объёме, требуемом законодательством.

Правовое основание:
статья 6(1)(c) GDPR — выполнение правового обязательства Администратора.

5. Правовые основания обработки персональных данных

Администратор осуществляет обработку персональных данных исключительно при наличии чёткого и законного правового основания, предусмотренного:

• Регламентом (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. (GDPR),
• Законом Эстонии о защите персональных данных — Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Все операции по обработке персональных данных осуществляются в соответствии с принципами, установленными статьёй 5 GDPR и § 11 IKS, в частности принципами законности, добросовестности, прозрачности, ограничения цели, минимизации данных, целостности и конфиденциальности.

5.1. Правовые основания обработки персональных данных (статья 6 GDPR)
Администратор обрабатывает персональные данные на следующих правовых основаниях:

a) Согласие субъекта персональных данных
(статья 6(1)(a) GDPR; § 10(1) IKS)
Применяется в ситуациях, когда лицо добровольно и недвусмысленно предоставляет согласие, в частности для:

• участия в будущих процессах подбора персонала,
• передачи персональных данных потенциальному работодателю,
• обработки дополнительных данных, добровольно предоставленных субъектом данных (например, изображения или фотографии).

Согласие может быть отозвано в любое время без ущерба для законности обработки, осуществлённой до момента его отзыва (статья 7(3) GDPR).

b) Исполнение договора или действия, предпринятые до его заключения
(статья 6(1)(b) GDPR; § 10(1)(2) IKS)

• проведение процессов подбора персонала и предоставление услуг посредничества в трудоустройстве,
• установление и исполнение сотрудничества с клиентами и подрядчиками,
• подготовка и реализация предложений об оказании услуг,
• поддержание операционной коммуникации на протяжении всего периода сотрудничества.

c) Исполнение правового обязательства
(статья 6(1)(c) GDPR; § 10(1)(3) IKS)
Охватывает обработку, требуемую законодательством Эстонской Республики и Европейского союза, в частности:

• Raamatupidamise seadus §§ 12–13 — обязанность ведения и хранения бухгалтерских документов в течение 7 лет,
• налоговые и отчётные обязательства,
• обязательства, связанные с государственными аудитами и финансовыми проверками.

d) Законный интерес Администратора
(статья 6(1)(f) GDPR; § 11(2) IKS)
Обработка, необходимая для реализации законных интересов Администратора, в частности таких как:

• ведение текущей коммуникации и обработка запросов,
• развитие профессиональных отношений и B2B-сотрудничества,
• прямой маркетинг в деловом контексте (в соответствии с Elektroonilise side seadus § 102),
• обеспечение безопасности ИТ-систем, контактных форм и документации,
• предотвращение злоупотреблений, а также защита от спама и атак,
• установление, осуществление или защита правовых требований.

Администратор всегда оценивает, не преобладают ли его законные интересы над правами и свободами субъекта данных (статья 6(1)(f) GDPR во взаимосвязи с соображением 47 GDPR).

e) Выполнение задачи, осуществляемой в общественных интересах
(статья 6(1)(e) GDPR; § 10(1)(4) IKS)
Применяется в случаях обработки данных, осуществляемой в рамках или под надзором публичных учреждений, в частности в контексте программ рынка труда и мобильности (например, Eesti Töötukassa, EURES, программы ЕС), если такая обработка имеет место.

5.2. Обработка специальных категорий персональных данных (статья 9 GDPR)
Как правило, Администратор не обрабатывает специальные категории персональных данных, указанные в пункте 1 статьи 9 GDPR. В случае если субъект данных добровольно раскрывает такую информацию (например, данные о состоянии здоровья или инвалидности):

• обработка осуществляется исключительно на основании явного согласия (статья 9(2)(a) GDPR; § 21 IKS),
• такие данные подлежат усиленным техническим и организационным мерам защиты (статья 32 GDPR),
• отсутствие согласия не влечёт каких-либо негативных последствий.

5.3. Общие принципы обработки данных
Администратор обеспечивает, что все операции по обработке персональных данных соответствуют:

• статьям 5 и 6 GDPR,
• § 11 Isikuandmete kaitse seadus,
• статье 32 GDPR — в части безопасности обработки,
• статье 24 GDPR — принцип подотчётности.

Администратор не осуществляет автоматизированное принятие решений и профилирование в смысле статьи 22 GDPR.

5.4. Оценка соблюдения требований и внутренняя документация
В целях обеспечения соответствия GDPR и законодательству Эстонской Республики Администратор ведёт и актуализирует:

• реестр операций по обработке данных (статья 30 GDPR),
• оценки законного интереса для обработки на основании статьи 6(1)(f) GDPR,
• документацию по информационной безопасности,
• процедуры реагирования на нарушения защиты персональных данных (статьи 33–34 GDPR, § 23 IKS).

6. Источники получения персональных данных

Персональные данные, обрабатываемые Администратором, поступают исключительно из законных источников и получаются способом, соответствующим применимому законодательству, в частности статьям 13 и 14 Регламента (ЕС) 2016/679, а также соответствующим положениям Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

В случае если персональные данные получаются не непосредственно от субъекта данных, Администратор исполняет информационную обязанность в разумный срок, но не позднее 30 дней с даты их получения, если иное не предусмотрено законом.

6.1. Данные, получаемые непосредственно от субъектов данных
Персональные данные добровольно предоставляются Администратору физическими лицами, в частности посредством:

• контактных форм, доступных на веб-сайте,
• электронной переписки,
• телефонных разговоров или онлайн-встреч,
• откликов на объявления о вакансиях, опубликованные Администратором,
• текущей коммуникации в рамках сотрудничества или деловых контактов.

Объём предоставляемых данных зависит от характера контакта и целей, с которыми лицо обращается к Администратору.

6.2. Данные, получаемые в рамках процессов подбора персонала
В отношении кандидатов на вакансии персональные данные получаются исключительно:

• непосредственно от кандидатов, откликающихся на конкретное объявление о вакансии, опубликованное Администратором,
• в рамках коммуникации, инициированной кандидатом в контексте конкретной должности.

Администратор не принимает и не обрабатывает резюме или иные данные кандидатов, направленные спонтанно, если в данный момент не ведутся активные процессы подбора персонала либо если такие данные не относятся к конкретному предложению работы.
Такие данные удаляются без необоснованной задержки и не используются для каких-либо целей подбора персонала.

Администратор не использует непубличные источники данных и не собирает персональные данные из закрытых или ограниченных профилей в социальных сетях.

6.3. Данные клиентов, подрядчиков и деловых партнёров
Персональные данные клиентов, подрядчиков и их представителей получаются посредством:

• непосредственных профессиональных контактов,
• переговоров, заключения и исполнения договоров,
• общедоступных источников, связанных с профессиональной или предпринимательской деятельностью.

Указанные данные обрабатываются исключительно в объёме, необходимом для осуществления делового сотрудничества, операционной коммуникации и исполнения правовых обязательств.

6.4. Данные представителей органов публичной власти и учреждений
Администратор обрабатывает персональные данные представителей государственных органов, публичных учреждений и надзорных органов строго в пределах, вытекающих из:

• ведения официальной переписки,
• исполнения правовых обязательств,
• сотрудничества с соответствующими органами публичной администрации.

Объём обрабатываемых данных, как правило, включает имя лица, официальный адрес электронной почты, должность или выполняемую функцию, а также иные данные, предоставленные в рамках формальной коммуникации.
Правовыми основаниями такой обработки, в частности, являются статья 6(1)(c) и статья 6(1)(f) Регламента (ЕС) 2016/679.

6.5. Технические данные и безопасность форм
При использовании веб-сайта Администратора и контактных форм автоматически могут обрабатываться базовые технические данные, такие как:

• IP-адрес,
• дата и время подключения,
• техническая информация о браузере и операционной системе,
• данные, необходимые для обеспечения безопасной коммуникации.

Для защиты контактных форм от злоупотреблений, спама и автоматизированных отправок Администратор использует услуги поставщика инфраструктуры безопасности (Cloudflare, Inc.).

В рамках данного механизма могут обрабатываться технические данные пользователя — включая IP-адрес и информацию, связанную с соединением.

Обработка данных в этом контексте осуществляется на основании:

• статьи 6(1)(f) GDPR — законного интереса Администратора в обеспечении безопасности систем и защите от злоупотреблений,
• соответствующих гарантий и правовых механизмов, применимых к передаче данных за пределы Европейского союза.

6.6. Реестровые, бухгалтерские и документационные данные
Персональные данные, обрабатываемые для целей бухгалтерского учёта, налогообложения или архивирования, поступают из:

• непосредственно от клиентов и подрядчиков,
• договорной и расчётной документации,
• официальной переписки, связанной с хозяйственной деятельностью.

Объём и сроки хранения таких данных определяются непосредственно применимыми требованиями законодательства Эстонской Республики и Европейского союза.

7. Получатели персональных данных

Персональные данные, обрабатываемые в рамках бренда Hansa Careers, принадлежащего Handke Holding OÜ, могут передаваться исключительно получателям, которые:

• имеют законное право на получение таких данных в соответствии с применимым законодательством, либо
• обрабатывают персональные данные по поручению Администратора в связи с выполнением конкретных деловых или правовых целей.

Все случаи передачи персональных данных осуществляются в соответствии со статьями 28 и 44–49 Регламента (ЕС) 2016/679, а также соответствующими положениями Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus), с полным соблюдением принципов минимизации данных, конфиденциальности и ограничения цели обработки.

7.1. Потенциальные работодатели и партнёры по подбору персонала
Персональные данные кандидатов могут передаваться потенциальным работодателям или партнёрам по подбору персонала исключительно:

• в рамках конкретного процесса подбора персонала,
• после предварительного информирования кандидата,
• в объёме, необходимом для оценки профессиональной квалификации,
• на основании соответствующего правового основания, в частности согласия кандидата либо действий, предпринятых до заключения договора.

Данные не передаются в массовом порядке и не используются вне чётко определённого процесса подбора персонала.

7.2. Технические и организационные субъекты, обрабатывающие данные по поручению Администратора
Персональные данные могут передаваться субъектам, поддерживающим деятельность Администратора, в частности:

• поставщикам хостинга и серверной инфраструктуры,
• поставщикам услуг электронной почты и контактных форм,
• поставщикам ИТ-инструментов и коммуникационных систем,
• поставщикам платформ для онлайн-встреч и видеосвязи,
• поставщикам решений в области безопасности и систем защиты от злоупотреблений, включая инструменты защиты форм,
• поставщикам бухгалтерских и учётных услуг,
• юридическим фирмам, налоговым консультантам и бизнес-консультантам.

Указанные субъекты обрабатывают персональные данные исключительно на основании договора поручения обработки данных и обязаны:

• соблюдать конфиденциальность,
• применять надлежащие технические и организационные меры защиты,
• обрабатывать данные исключительно в соответствии с документированными инструкциями Администратора.

7.3. Кандидаты и клиенты
Персональные данные могут передаваться кандидатам или клиентам исключительно в объёме, необходимом для достижения конкретной цели, в частности:

• предоставление кандидатам информации об условиях труда, месте работы или профиле работодателя,
• предоставление клиентам информации о кандидате в рамках текущего процесса подбора персонала.

Объём передаваемых данных всегда ограничивается необходимым минимумом и зависит от стадии процесса.

7.4. Государственные органы и учреждения
Персональные данные могут передаваться уполномоченным государственным органам исключительно в объёме, требуемом законом, в частности:

• налоговым органам,
• службам занятости и институтам рынка труда,
• надзорному органу по защите персональных данных,
• судам, правоохранительным органам и иным надзорным учреждениям,
• учреждениям Европейского союза и Европейской экономической зоны.

7.5. Поставщики услуг онлайн-коммуникации
Для проведения онлайн-встреч или дистанционной коммуникации персональные данные, такие как имя, адрес электронной почты или технические данные соединения, могут обрабатываться поставщиками инструментов удалённой коммуникации.
Такая обработка осуществляется исключительно с целью обеспечения коммуникации и организации встреч и основывается на законном интересе Администратора либо на действиях, предпринятых до заключения договора.

7.6. Получатели технических данных в целях безопасности
Для обеспечения безопасности веб-сайта, ИТ-инфраструктуры и контактных форм технические данные пользователей — такие как IP-адрес или информация о соединении — могут обрабатываться поставщиками сетевых и защитных сервисов.
В случае передачи данных за пределы Европейского союза применяются соответствующие правовые гарантии, предусмотренные статьями 44–49 GDPR.

7.7. Общие принципы передачи персональных данных
Администратор:

• не продаёт персональные данные,
• не передаёт данные третьим лицам без правового основания,
• не передаёт данные для рекламных, маркетинговых или профилирующих целей,
• не предоставляет данные социальным сетям или коммерческим платформам для маркетинговых целей.

Каждый получатель персональных данных обрабатывает их в соответствии с принципами безопасности, конфиденциальности и ограничения цели обработки и исключительно в объёме, необходимом для выполнения порученной задачи.

7.8. Встроенный картографический сервис (OpenStreetMap)
На веб-сайте используется встроенная интерактивная карта, предоставляемая сервисом OpenStreetMap, исключительно с целью отображения зарегистрированного адреса Администратора и облегчения контакта с Администратором.

Карта отображается в виде iframe и загружается непосредственно с серверов OpenStreetMap. Администратор не получает никаких персональных данных от OpenStreetMap и не имеет доступа к персональным данным, обрабатываемым данным сервисом.

Фонд OpenStreetMap (OpenStreetMap Foundation) зарегистрирован в Соединённом Королевстве, которое является третьей страной, в отношении которой Европейская комиссия приняла решение о наличии надлежащего уровня защиты данных в соответствии со статьёй 45 Регламента (ЕС) 2016/679 (GDPR).

В зависимости от устройства пользователя, конфигурации браузера и сетевых настроек OpenStreetMap может обрабатывать технические данные, такие как IP-адрес, в соответствии с собственной политикой конфиденциальности.

Встроенная карта используется исключительно в информационных и контактных целях и не применяется для отслеживания, аналитики, профилирования или маркетинговой деятельности.

8. Передача персональных данных за пределы Европейской экономической зоны (ЕЭЗ)

Как правило, Администратор не передаёт персональные данные за пределы Европейской экономической зоны (ЕЭЗ) и не передаёт их международным организациям. Основные операции по обработке персональных данных осуществляются на территории Европейского союза, в частности с использованием инфраструктуры, расположенной в ЕС, включая Республику Эстония.

Администратор использует услуги хостинга и электронной почты, предоставляемые компанией Zone Media OÜ, осуществляющей деятельность под торговым наименованием zone.ee, чья инфраструктура обработки данных расположена на территории Европейского союза.
Персональные данные, обрабатываемые в связи с функционированием веб-сайта и электронной перепиской, как правило, обрабатываются в пределах Европейской экономической зоны (ЕЭЗ) и пользуются защитой, предусмотренной Регламентом (ЕС) 2016/679 (GDPR).

В целях обеспечения безопасности веб-сайта, контактных форм, а также защиты от злоупотреблений и автоматизированной активности Администратор также использует услуги, предоставляемые компанией Cloudflare, Inc. В рамках этого могут обрабатываться технические данные, такие как IP-адрес, данные сетевого соединения, информация о браузере и устройстве, а также иные данные, необходимые для оценки уровня безопасности. В связи с глобальным характером инфраструктуры Cloudflare такие данные могут передаваться или становиться доступными за пределами ЕЭЗ, в частности в Соединённые Штаты Америки.

Передача данных, осуществляемая в рамках использования сервисов Cloudflare, производится в соответствии с Главой V GDPR, в частности на основании Стандартных договорных положений, утверждённых Европейской комиссией (статья 46 GDPR), а также — при применимости — механизмов, предусмотренных Рамочной программой ЕС–США по защите данных (EU–US Data Privacy Framework).
Администратор применяет дополнительные технические и организационные меры защиты, такие как шифрование передаваемых данных и ограничение объёма обрабатываемой информации исключительно тем, что строго необходимо для обеспечения безопасности и целостности сервиса.

За исключением вышеописанных случаев Администратор не осуществляет регулярную или плановую передачу персональных данных в третьи страны. Процессы подбора персонала, коммуникация с клиентами и подрядчиками, электронная переписка и повседневная операционная деятельность осуществляются с использованием инструментов и сервисов, обрабатывающих данные на территории Европейского союза.

Администратор допускает контакт через внешние мессенджеры исключительно по инициативе лица, обращающегося к Администратору, и строго в информационных целях. Поскольку серверы таких сервисов могут располагаться за пределами ЕЭЗ, они не рассматриваются как рекомендуемый или безопасный канал для передачи персональных данных.
Администратор настоятельно рекомендует направлять документы для трудоустройства, данные специальных категорий и иную чувствительную информацию исключительно через официальные каналы коммуникации.

В любом случае передачи персональных данных за пределы ЕЭЗ Администратор обеспечивает, чтобы такая передача осуществлялась исключительно в объёме, необходимом для достижения конкретной цели, после проведения оценки рисков передачи данных и в соответствии с принципами минимизации данных, конфиденциальности и безопасности обработки, в соответствии со статьями 32 и 44–49 GDPR.

9. Сроки хранения персональных данных

Администратор хранит персональные данные исключительно в течение периода, необходимого для достижения целей, для которых такие данные были собраны, в соответствии со статьёй 5(1)(e) Регламента (ЕС) 2016/679 (GDPR) и § 17 Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

По истечении соответствующих сроков хранения персональные данные подлежат безвозвратному удалению, анонимизации или архивированию таким образом, который исключает идентификацию личности, если иное не требуется законодательством Эстонской Республики или Европейского союза.

Сроки хранения определяются с учётом:

• цели обработки данных,
• правового основания обработки,
• характера взаимоотношений с субъектом данных,
• сроков исковой давности, предусмотренных законодательством Эстонии.

9.1. Данные кандидатов

a) Персональные данные, обрабатываемые в рамках процесса подбора персонала в ответ на конкретное объявление о вакансии на основании статьи 6(1)(b) GDPR, хранятся в течение периода, необходимого для установления, реализации или защиты правовых требований, возникающих в связи с услугами Администратора.

b) Данные, обрабатываемые в связи с контактом, инициированным Администратором в целях подбора персонала на основании статьи 6(1)(f) GDPR, хранятся до завершения коммуникации по конкретному вопросу.

c) Персональные данные, переданные потенциальным работодателям в целях проведения конкретного процесса подбора персонала на основании статьи 6(1)(a) GDPR, хранятся до момента отзыва согласия либо до завершения процесса подбора персонала — в зависимости от того, какое событие наступит раньше.

d) Данные, обрабатываемые в целях выставления счетов и предоставления услуг клиентам в рамках поддержки процессов подбора персонала на основании статьи 6(1)(f) GDPR, хранятся до истечения сроков исковой давности по требованиям, возникающим после завершения договора — как правило, в течение 3 лет, исчисляемых с конца календарного года, в соответствии с законодательством Эстонии.

e) Данные, обрабатываемые в целях установления, реализации или защиты правовых требований, возникающих в связи с оказанными услугами, на основании статьи 6(1)(f) GDPR, хранятся до истечения сроков таких требований после прекращения договора — как правило, 3 года, если законодательством не предусмотрен более длительный срок.

f) Данные, обрабатываемые в целях коммуникации, связанной с деятельностью Администратора, на основании статьи 6(1)(f) GDPR, хранятся в течение периода, необходимого для рассмотрения и урегулирования конкретного вопроса.

g) Данные, хранящиеся в базе Администратора для целей будущих процессов подбора персонала на основании статьи 6(1)(a) GDPR, хранятся не более 12 месяцев с даты предоставления согласия либо до момента его отзыва — в зависимости от того, какое событие наступит раньше.

h) Документы для трудоустройства, в частности резюме, направленные вне отклика на конкретное объявление о вакансии или в периоды, когда активные процессы подбора персонала не осуществляются, не обрабатываются и удаляются без необоснованной задержки.

9.2. Данные клиентов

a) Персональные данные, обрабатываемые в целях принятия мер до заключения договора или исполнения договора на основании статьи 6(1)(b) GDPR, хранятся в течение срока, установленного законодательством, в частности в части бухгалтерских и налоговых обязательств — как правило, 7 лет в соответствии с законодательством Эстонии, если не применяется более длительный срок.

b) Данные, обрабатываемые в целях текущей коммуникации, связанной с заключением, исполнением или расчётами по договору, на основании статьи 6(1)(f) GDPR, хранятся в течение периода сотрудничества, если дальнейшая обработка не требуется для достижения иной законной цели.

c) Данные, обрабатываемые в целях отчётности, бухгалтерского учёта и налогообложения на основании статьи 6(1)(c) GDPR, хранятся в течение срока, предусмотренного законодательством Эстонии — как правило, 7 лет.

d) Данные, обрабатываемые в целях установления, реализации или защиты правовых требований, возникающих в связи с исполнением договора, на основании статьи 6(1)(f) GDPR, хранятся до истечения сроков исковой давности — как правило, 3 года, если законодательством не предусмотрен более длительный срок.

9.3. Иные категории данных

a) Данные потенциальных клиентов и подрядчиков хранятся в течение периода, необходимого для достижения цели контакта или сотрудничества, но не более 3 лет с даты последней коммуникации, если дальнейшее хранение не требуется для защиты правовых требований.

b) Данные поставщиков, провайдеров услуг и деловых партнёров хранятся в течение периода сотрудничества, а затем — в соответствии со сроками исковой давности и бухгалтерскими/налоговыми обязательствами.

c) Данные лиц, обращающихся к Администратору, хранятся в течение периода, необходимого для предоставления ответа и завершения вопроса, а затем — при наличии оснований — до истечения сроков исковой давности, но не более 3 лет.

d) Данные представителей государственных органов и учреждений хранятся в течение периода, необходимого для исполнения правового обязательства или завершения административного дела, а затем — в течение установленного законом срока архивирования, не превышающего 10 лет.

9.4. Технические данные и безопасность форм
Технические данные, обрабатываемые в рамках защиты контактных форм (Cloudflare Turnstile), включая IP-адрес и техническую информацию, обрабатываются автоматически и на краткосрочной основе исключительно для оценки рисков, предотвращения злоупотреблений и обеспечения безопасности сервисов.

Указанные данные не хранятся Администратором и не используются в маркетинговых или профилирующих целях. Сроки хранения зависят от настроек и процедур безопасности поставщика услуг и могут включать краткосрочные технические журналы, хранимые только в течение времени, необходимого для обеспечения безопасности системы или анализа возможных инцидентов.

При отсутствии инцидентов безопасности такие технические данные не хранятся на долгосрочной основе.

9.5. Заключительные положения
По истечении вышеуказанных сроков хранения персональные данные безвозвратно удаляются, анонимизируются или архивируются таким образом, который исключает идентификацию личности, в соответствии с § 17(4) Закона Эстонии о защите персональных данных.

Администратор регулярно проводит пересмотр хранимых данных и необходимости их дальнейшей обработки, обеспечивая, чтобы персональные данные не хранились дольше, чем это требуется для целей, для которых они были собраны.

10. Добровольность предоставления персональных данных

10.1. Как правило, предоставление персональных данных является добровольным. Однако в отдельных случаях предоставление определённых данных является необходимым для выполнения конкретных действий, оказания услуг, проведения процесса подбора персонала либо заключения или исполнения договора с Администратором. Непредоставление требуемых данных может привести к невозможности осуществления отдельных действий или достижения конкретной цели.

10.2. В частности:

• участие в процессе подбора персонала требует предоставления контактных данных и подачи документов для трудоустройства;
• направление запросов через контактную форму или по электронной почте требует предоставления данных, позволяющих идентифицировать отправителя;
• заключение, исполнение или расчёты по договору требуют предоставления данных, необходимых для выполнения договорных, налоговых или бухгалтерских обязательств;
• использование отдельных функциональных возможностей веб-сайта может требовать обработки базовых технических данных, необходимых для обеспечения безопасности и корректной работы систем.

10.3. Администратор всегда информирует физических лиц о том, какие данные являются обязательными для достижения конкретной цели, а какие предоставляются по усмотрению. Объём обрабатываемых данных ограничивается исключительно тем, что необходимо, в соответствии с принципом минимизации данных, установленным статьёй 5(1)(c) GDPR.

10.4. В случаях, когда обработка данных осуществляется на основании согласия, предоставление такого согласия является полностью добровольным. Согласие может быть отозвано в любое время без ущерба для законности обработки, осуществлённой до момента отзыва, в соответствии со статьёй 7(3) GDPR.

10.5. Администратор принимает меры для обеспечения прозрачности обработки персональных данных и предоставляет физическим лицам реальный контроль над объёмом, целями и сроками обработки предоставляемой ими информации.

11. Места хранения данных и меры безопасности

11.1. Персональные данные, обрабатываемые Администратором, хранятся исключительно в электронной форме на устройствах и в системах, находящихся под единоличным контролем Администратора, либо у внешних поставщиков услуг, осуществляющих деятельность в пределах Европейской экономической зоны (ЕЭЗ) и обеспечивающих соблюдение Регламента (ЕС) 2016/679 (GDPR) и Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

11.2. Физические и виртуальные места обработки и хранения данных включают, в частности:

• зашифрованный ноутбук, принадлежащий Администратору, защищённый паролем, полным шифрованием диска и многофакторной аутентификацией;
• зашифрованное внешнее устройство хранения данных, используемое для периодического резервного копирования, хранящееся в безопасном месте и физически отделённое от основной системы;
• инфраструктуру поставщика услуг хостинга и электронной почты Zone Media OÜ (zone.ee), расположенную по адресу: Lõõtsa 5, 11415 Таллинн, Эстония, с серверами, находящимися на территории Европейского союза, и мерами безопасности, соответствующими статье 32 GDPR и применимым положениям Isikuandmete kaitse seadus;
• серверы и системы, поддерживающие деятельность Администратора, включая сервисы, связанные с электронным подписанием документов и административными процессами, расположенные преимущественно в пределах ЕЭЗ и эксплуатируемые в соответствии с документированными требованиями GDPR; в исключительных случаях, когда обработка данных осуществляется за пределами ЕЭЗ, такая обработка происходит исключительно на основании механизмов, предусмотренных статьёй 46 GDPR, в частности Стандартных договорных положений.

Администратор не ведёт бумажный документооборот — все персональные данные обрабатываются исключительно в цифровой форме.

11.3. Администратор внедряет надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего рискам, связанным с обработкой персональных данных, в соответствии со статьёй 32 GDPR и Законом Эстонии о защите персональных данных. В частности, применяются следующие меры:

• шифрование передачи данных (SSL/TLS);
• шифрование устройств и носителей информации;
• ограничение доступа к данным исключительно Администратору;
• использование надёжных, уникальных паролей и многофакторной аутентификации;
• регулярное обновление операционных систем, программного обеспечения и средств безопасности;
• создание и безопасное хранение резервных копий;
• использование межсетевых экранов и защитного программного обеспечения;
• автоматическая блокировка устройств и физическая защита от несанкционированного доступа;
• неиспользование частных или незащищённых устройств для обработки данных;
• сотрудничество исключительно с поставщиками услуг, обеспечивающими соответствие требованиям GDPR;
• ведение документации, связанной с договорами на обработку данных и регистрацией инцидентов;
• внедрение процедур реагирования на нарушения защиты персональных данных в соответствии со статьями 33–34 GDPR;
• регулярный пересмотр мер безопасности и уровней доступа в соответствии с принципами «защита данных по умолчанию» и «защита данных при проектировании» (статья 25 GDPR).

12. Права, связанные с обработкой персональных данных

Лица, чьи персональные данные обрабатываются Администратором, имеют права, предусмотренные Регламентом (ЕС) 2016/679 (GDPR) и Законом Эстонии о защите персональных данных (Isikuandmete kaitse seadus). Администратор обеспечивает полное соблюдение прав субъектов данных и содействует их реализации в соответствии с применимым законодательством.

В частности, вы имеете право на получение ясной и прозрачной информации об обработке ваших данных, а также права на доступ, исправление, ограничение обработки, удаление, переносимость данных, возражение против обработки и отзыв согласия — в пределах и на условиях, установленных GDPR.

12.1. Право на доступ к данным и получение их копий
Вы имеете право получить подтверждение того, обрабатывает ли Администратор ваши персональные данные, и, в случае такой обработки, право на доступ к этим данным и получение их копии в соответствии со статьёй 15 GDPR. Если запрос подаётся в электронной форме, информация предоставляется в общепринятом электронном формате.

12.2. Право на исправление
Вы имеете право потребовать незамедлительного исправления неточных персональных данных или дополнения неполных данных в соответствии со статьёй 16 GDPR. Администратор вносит исправления после проверки обоснованности запроса.

12.3. Право на ограничение обработки

a) если вы оспариваете точность данных — на период, необходимый Администратору для их проверки;
b) если обработка является незаконной, и вы возражаете против удаления данных;
c) если Администратору больше не нужны данные для целей обработки, но они необходимы вам для установления, осуществления или защиты правовых требований;
d) если вы возразили против обработки — на период проверки того, преобладают ли законные основания Администратора над вашими интересами.

12.4. Право на удаление данных
Вы имеете право потребовать удаления персональных данных в случаях, предусмотренных статьёй 17 GDPR, в частности, когда данные больше не необходимы для целей, для которых они были собраны, когда вы отзываете своё согласие или когда обработка была незаконной.
Данное право не применяется, если дальнейшая обработка необходима для выполнения Администратором правовых обязательств либо для установления, осуществления или защиты правовых требований в соответствии со статьёй 17(3) GDPR.

12.5. Право на переносимость данных
Вы имеете право получить персональные данные, которые вы предоставили Администратору, в структурированном, общепринятом и машиночитаемом формате, а также передать их другому администратору, если обработка осуществляется на основании согласия или договора и осуществляется автоматизированными средствами, в соответствии со статьёй 20 GDPR.

12.6. Право на возражение
Вы имеете право в любое время возразить против обработки ваших персональных данных, если такая обработка основана на законном интересе Администратора (статья 6(1)(f) GDPR).
После получения возражения Администратор прекращает обработку данных, если не докажет наличие веских законных оснований, преобладающих над вашими интересами, правами и свободами, либо если обработка необходима для установления, осуществления или защиты правовых требований.
Данное право не применяется, если обработка данных осуществляется для выполнения правовых обязанностей, возложенных на Администратора.

12.7. Право на отзыв согласия
В случаях, когда обработка основана на согласии, вы имеете право отозвать его в любое время. Отзыв согласия не влияет на законность обработки, осуществлённой до момента его отзыва, в соответствии со статьёй 7(3) GDPR.

12.8. Право на подачу жалобы в надзорный орган
Если вы считаете, что обработка ваших персональных данных нарушает GDPR или Закон Эстонии о защите персональных данных, вы имеете право подать жалобу в компетентный надзорный орган, в частности:
Andmekaitse Inspektsioon (AKI) — Инспекция по защите данных Эстонии.

Если вы проживаете или работаете в другом государстве-члене ЕС, вы также вправе подать жалобу в надзорный орган, компетентный для соответствующего государства-члена, в соответствии со статьёй 77 GDPR.

12.9. Право не быть объектом автоматизированного принятия решений
Вы имеете право не быть объектом решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое влечёт за собой юридические последствия или иным образом существенно затрагивает вас, в соответствии со статьёй 22 GDPR.
Администратор не осуществляет автоматизированное принятие решений и не применяет профилирование. Все решения, касающиеся кандидатов, клиентов и деловых партнёров, принимаются уполномоченными лицами.

12.10. Реализация прав и контакт с Администратором
Для реализации прав, указанных в настоящей Политике конфиденциальности, вы можете связаться с Администратором, в частности, с использованием электронных средств связи:

Email: office@hansacareers.ee

Администратор осуществляет деятельность полностью в цифровом формате и рекомендует электронную коммуникацию как основной и наиболее безопасный способ вопросов, связанных с обработкой персональных данных. Электронная связь обеспечивает более быстрое рассмотрение запросов и снижает риск несанкционированного доступа к данным.

Письменную корреспонденцию можно направлять по зарегистрированному адресу Администратора:
Handke Holding OÜ, Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Estonia

При этом Администратор не рекомендует направлять по почте документы, содержащие персональные данные — в частности, заявочные документы, копии удостоверений личности или конфиденциальную информацию. Такая корреспонденция может нести риски несанкционированного раскрытия данных в процессе почтовой обработки и остаётся вне полного контроля Администратора.

Администратор отвечает на запросы, касающиеся реализации прав, без необоснованной задержки и не позднее одного месяца с момента получения запроса в соответствии со статьёй 12(3) GDPR. В особо сложных случаях данный срок может быть продлён ещё на два месяца, о чём субъект данных будет надлежащим образом уведомлён.

13. Нарушения безопасности персональных данных

В случае нарушения безопасности персональных данных — под которым понимается случайное или незаконное уничтожение, утрата, изменение, несанкционированное раскрытие или доступ к персональным данным — Администратор незамедлительно принимает меры, направленные на минимизацию последствий инцидента и предотвращение его повторения.

Администратор оценивает каждый инцидент индивидуально, анализируя характер и масштаб нарушения, а также потенциальные риски для прав и свобод затронутых лиц. После этого внедряются соответствующие технические и организационные меры для устранения причины нарушения и снижения его последствий. Все инциденты, связанные с безопасностью данных, документируются в соответствии с принципом подотчётности, установленным в статье 5(2) Регламента (ЕС) 2016/679 (GDPR) и § 25(3) Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

Если нарушение безопасности персональных данных может повлечь риск для прав или свобод физических лиц, Администратор сообщает о таком нарушении в компетентный надзорный орган — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — не позднее 72 часов с момента обнаружения нарушения, в соответствии со статьёй 33 GDPR и § 25 Закона Эстонии о защите персональных данных, за исключением случаев, когда нарушение с высокой вероятностью не приводит к такому риску.

Если нарушение безопасности персональных данных может повлечь высокий риск для прав или свобод физических лиц, Администратор без необоснованной задержки информирует затронутых лиц о характере нарушения, его возможных последствиях и мерах, принятых или планируемых для снижения негативных последствий, в соответствии со статьёй 34 GDPR.

Администратор поддерживает внутреннюю процедуру реагирования на нарушения безопасности персональных данных, включающую выявление инцидента, оценку рисков, корректирующие меры и обязательства по уведомлению. Эффективность данной процедуры регулярно пересматривается для обеспечения соответствия требованиям GDPR и законодательства Эстонии, а также для поддержания высокого уровня безопасности обработки персональных данных.

14. Автоматизированное принятие решений и профилирование

Администратор не осуществляет автоматизированное принятие решений, включая профилирование, которое влечёт за собой юридические последствия для физического лица или иным образом существенно затрагивает его, в понимании статьи 22 Регламента (ЕС) 2016/679 (GDPR) и § 23 Закона Эстонии о защите персональных данных.

Все решения, касающиеся кандидатов, клиентов и деловых партнёров, принимаются человеком на основании индивидуальной оценки предоставленной информации, документов или корреспонденции. Ни одно решение не принимается исключительно автоматизированными средствами.

Администратор не использует профилирование, предполагающее автоматизированную оценку личных характеристик, квалификаций, поведения, предпочтений или профессионального положения в целях принятия решений, которые влекут юридические последствия или иным образом существенно затрагивают физическое лицо.

В рамках повседневных административных процессов Администратор может использовать технические инструменты вспомогательного характера (например, фильтрацию электронной почты, организацию поступающих сообщений или классификацию неполных форм). Однако такие инструменты не принимают самостоятельных решений в отношении физических лиц и не заменяют человеческую оценку.

15. Надзорный орган

Если у вас имеются сомнения относительно порядка обработки ваших персональных данных или если вы считаете, что ваши права, предусмотренные Регламентом (ЕС) 2016/679 (GDPR), были нарушены, вы имеете право подать жалобу в компетентный надзорный орган независимо от места вашего проживания, места работы или места предполагаемого нарушения, в соответствии со статьёй 77 GDPR и § 21 Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

Для деятельности, осуществляемой Администратором, компетентным надзорным органом в Республике Эстония является:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — тел.: +372 627 4135; электронная почта: info@aki.ee; веб-сайт: https://www.aki.ee.

Если вы проживаете или работаете в другом государстве-члене Европейского союза, вы также вправе подать жалобу в надзорный орган, компетентный по месту вашего проживания или месту работы, в соответствии со статьёй 77 GDPR.

Актуальный перечень органов по защите персональных данных в государствах-членах ЕС доступен на веб-сайте Европейского совета по защите данных (EDPB): https://edpb.europa.eu.

Вместе с тем Администратор рекомендует предварительно связаться с ним напрямую по всем вопросам, связанным с обработкой персональных данных, предпочтительно по электронной почте: office@hansacareers.ee.

При необходимости вы также можете связаться с Администратором в письменной форме, направив корреспонденцию по зарегистрированному адресу компании. Обращаем внимание, что традиционная почтовая переписка может быть менее безопасной с точки зрения защиты персональных данных, в связи с чем электронная связь остаётся предпочтительным способом.

Администратор прилагает все разумные усилия для рассмотрения каждого обращения прозрачно, добросовестно и в полном соответствии с требованиями GDPR, без необоснованной задержки.

16. Юрисдикция и применимое право

Настоящая Политика конфиденциальности регулируется законодательством Республики Эстония и подлежит толкованию в соответствии с Регламентом (ЕС) 2016/679 (GDPR) и Законом Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

В пределах, допускаемых применимым законодательством, все споры или требования, связанные с обработкой персональных данных, использованием веб-сайта Администратора или предоставляемыми им услугами, подлежат рассмотрению судами Республики Эстония, компетентными по месту зарегистрированного офиса Администратора.

Положения настоящего раздела не затрагивают и не ограничивают права физических лиц, вытекающие из императивных норм права Европейского союза, в частности норм о защите прав потребителей и прав субъектов данных в Европейском союзе или Европейской экономической зоне, включая права, связанные с их обычным местом проживания или местом работы.

17. Обновления Политики конфиденциальности

Администратор вправе периодически вносить изменения в настоящую Политику конфиденциальности в целях обеспечения её соответствия применимым нормативным правовым актам — в частности Регламенту (ЕС) 2016/679 (GDPR) и Закону Эстонии о защите персональных данных (Isikuandmete kaitse seadus) — а также в связи с изменениями в объёме осуществляемой деятельности, применяемых технологиях или процедурах обработки персональных данных.

Действующей всегда является версия Политики конфиденциальности, опубликованная на веб-сайте Администратора и содержащая дату её последнего обновления. Каждая новая версия заменяет собой все предыдущие версии документа с даты её публикации.

Администратор рекомендует субъектам данных регулярно знакомиться с положениями Политики конфиденциальности с целью получения актуальной информации о правилах обработки персональных данных и доступных им правах.

В случае внесения изменений, имеющих существенное значение для субъектов данных — в частности изменений, затрагивающих цели или правовые основания обработки, а также изменения категорий получателей данных — Администратор уведомляет субъектов данных в ясной и прозрачной форме. Такое уведомление может быть размещено в виде заметного сообщения на веб-сайте Администратора либо, при наличии актуального адреса электронной почты субъекта данных, направлено по электронной почте.

18. Маркетинговая деятельность и контакт с Администратором

Администратор сообщает, что веб-сайт не использует файлы cookie или иные технологии отслеживания и не осуществляет автоматизированный сбор персональных данных в маркетинговых или аналитических целях. Использование веб-сайта не предполагает профилирование или автоматизированную обработку персональных данных пользователей в какой-либо форме.

Маркетинговая деятельность, осуществляемая Администратором, ограничивается исключительно продвижением собственных услуг в сфере подбора персонала, в частности путём публикации информации и вакансий в социальных сетях, а также размещения рекрутинговых объявлений в сети Интернет. Администратор не использует данные пользователей сайта или их поведение для создания маркетинговых профилей.

В рамках прямых маркетинговых мероприятий Администратор может обращаться к представителям компаний в рамках отношений B2B — например, используя имя, фамилию, должность или служебный адрес электронной почты — исключительно с целью представления собственных услуг по подбору персонала. Правовым основанием такой обработки является законный интерес Администратора, заключающийся в осуществлении предпринимательской деятельности и продвижении собственных услуг.

Любое лицо, которому Администратор направляет маркетинговые сообщения, вправе в любое время возразить против обработки его персональных данных для указанных целей. Возражение может быть направлено по электронной почте: office@hansacareers.ee. С момента получения такого возражения персональные данные больше не используются для целей прямого маркетинга.

Администратор также предоставляет пользователям возможность самостоятельно инициировать контакт — через контактную форму или по электронной почте. Данные, предоставленные таким образом, включая имя, фамилию, адрес электронной почты и содержание сообщения, используются исключительно для предоставления ответа, ведения переписки или обработки запроса на основании законного интереса Администратора.

Персональные данные, обрабатываемые в связи с маркетинговой деятельностью и контактами с Администратором, не передаются за пределы Европейской экономической зоны (ЕЭЗ), а сама обработка осуществляется в соответствии с принципами минимизации данных, прозрачности и ограничения цели, предусмотренными статьёй 5(1) GDPR.

19. Файлы cookie и аналогичные технологии

Веб-сайт Администратора не использует файлы cookie или иные технологии отслеживания, обычно применяемые в маркетинговых, рекламных или аналитических целях. Администратор не собирает статистику о поведении пользователей, не использует аналитические инструменты и не хранит информацию о способе навигации пользователей по веб-сайту. Использование веб-сайта не предполагает профилирование или мониторинг пользователей.

Единственной внешней технологией, используемой на веб-сайте, является Cloudflare Turnstile, которая применяется исключительно для защиты контактных форм от спама, автоматических отправок и злоупотреблений. Данное решение не использует маркетинговые файлы cookie, не отслеживает пользователей и не применяется для анализа пользовательского поведения.

В рамках функционирования Cloudflare Turnstile может обрабатываться исключительно базовая техническая информация — такая как IP-адрес пользователя или сигналы браузера. Такая обработка осуществляется исключительно в целях обеспечения безопасности сервиса и целостности форм на основании законного интереса Администратора.

Поскольку веб-сайт не использует файлы cookie, требующие получения согласия пользователя, отсутствует необходимость в отображении cookie-баннера или получении какого-либо согласия на использование веб-сайта, в соответствии с Директивой ePrivacy и Законом Эстонии об электронных коммуникациях (Elektroonilise side seadus).

В случае если в будущем Администратор внедрит файлы cookie или аналогичные технологии, требующие согласия пользователя — например, для улучшения функциональности или сбора анонимной статистики — пользователи будут заранее и в ясной форме проинформированы об этом в соответствии с применимым законодательством. В таком случае согласие будет получено в соответствии с правилами ePrivacy, GDPR и законодательством Эстонии в области телекоммуникаций.

Пользователи смогут управлять своими настройками файлов cookie в любое время через настройки браузера или через панель управления cookie, если такая панель будет реализована в будущем.

20. Журналы сервера

Использование веб-сайта предполагает направление запросов к серверу, на котором он размещён. Каждый сетевой запрос автоматически фиксируется в так называемых серверных журналах и может включать следующие технические данные:

• IP-адрес устройства пользователя;
• дату и время запроса;
• информацию о браузере и операционной системе;
• адрес посещённой подстраницы;
• сообщения о технических ошибках.

Данные серверных журналов носят исключительно технический характер и не используются для прямой идентификации пользователей или создания пользовательских профилей. Они не обрабатываются в маркетинговых или аналитических целях.

Серверные журналы обрабатываются, в частности, в целях:

• обеспечения безопасности и стабильности веб-сайта;
• диагностики технических ошибок системы или сети;
• выявления злоупотреблений, попыток вторжений и инцидентов безопасности.

Правовым основанием обработки технических данных, содержащихся в серверных журналах, является статья 6(1)(f) GDPR — законный интерес Администратора в обеспечении безопасности информационных систем, в соответствии со статьёй 32 GDPR и § 24 Закона Эстонии о защите персональных данных (Isikuandmete kaitse seadus).

Серверные журналы хранятся не более 90 дней, если дальнейшее хранение не требуется в связи с инцидентом безопасности, злоупотреблением или необходимостью защиты от правовых требований. По истечении этого срока данные автоматически удаляются или обезличиваются.