РОДО в рекрутинге - что нужно помнить?

  1. Что такое личные данные?
  2. Кто несет ответственность за сбор и обработку персональных данных?
  3. Набор персонала в соответствии с RODO: решения, принятые в элевато
  4. РОДО при найме: согласие на обработку данных в процессе найма
  5. РОДО в рекрутинге: защита данных
  6. РОДО при наборе персонала: новые права кандидатов, вытекающие из ВВПР
  7. Набор персонала в соответствии с RODO: часто задаваемые вопросы
  8. Администратор персональных данных
  9. Информационная оговорка
  10. Получение согласия
  11. Время обработки персональных данных
  12. Содержание согласия на обработку данных
  13. Согласие на участие в будущих наборах
  14. Социальные сети
  15. другой
  16. Вебинар РОДО по подбору персонала

Регламент (ЕС) 2016/679 Европейского парламента и Совета, а именно новый Общий регламент о защите данных (EURP), действующий в Европейском союзе, регулирует обработку персональных данных, касающихся лиц в ЕС, отдельными лицами, компаниями или организациями . Это регулирование вступило в силу в ЕС 25 мая 2018 года. Узнайте, что изменило HRM при найме сотрудников - каковы основные предположения, на что следует обратить внимание, как обрабатывать данные кандидатов безопасно и законно, каков набор в соответствии с RODO .

Что такое личные данные?

Личные данные - это вся информация об идентифицированном или идентифицируемом живом человеке . Индивидуальная информация, которая в сочетании друг с другом может привести к идентификации личности человека, также является личной информацией.

RODO обеспечивает защиту персональных данных независимо от типа технологии, используемой для обработки данных - в ИТ-системе, в системе видеонаблюдения или в бумажном виде .

Соблюдение положений RODO при приеме на работу означает, прежде всего, необходимость защиты персональных данных претендентов.

Кто несет ответственность за сбор и обработку персональных данных?

Администратор персональных данных.

Орган по обработке / обработке данных, организационная единица, субъект или лицо, управляющее бизнесом, которое определяет цели и средства обработки персональных данных физическим или юридическим лицом, государственным органом, субъектом или другим субъектом, который обрабатывает персональные данные от имени владельца администратора «Обработка персональных данных только при обязательстве администратора по анализу рисков, связанных с соблюдением процедур конфиденциальности данных и мер безопасности, за финансовые санкции субпроцессора - администратор штрафов поддерживает контроль прав администратора

Набор персонала в соответствии с RODO: решения, принятые в элевато

Кадровые отделы будут обязаны адаптировать информационные пункты к новым требованиям, а также доказать соответствие информационным обязательствам кандидатов. Это одно из ключевых изменений, внесенных RODO в набор персонала по сравнению с предыдущим Законом о защите персональных данных.

Система элевато позволяет

  1. Гибко управляйте информационными предложениями.
  2. Назначьте пункты для проектов.
  3. Запишите пункты, отображаемые для кандидатов (кроме того, они регистрируют дату выполнения информационного обязательства и IP-адрес кандидата).

Кроме того, доступен отчет, показывающий все зарегистрированные пункты. Есть возможность фильтровать данные и экспортировать в Excel.

РОДО при найме: согласие на обработку данных в процессе найма

В соответствии с положениями RODO, отделы кадров должны будут получить от кандидатов согласие на обработку персональных данных для проведения процесса найма. При подборе персонала RODO уделяет особое внимание:

  1. Согласие должно быть добровольным, и кандидат может отозвать его в любое время.
  2. Согласие должно быть представлено таким образом, чтобы оно четко отличало его от информации .
  3. Цель сбора согласия должна быть четко определена и понятна для кандидата.

Подбор персонала в соответствии с RODO означает необходимость сохранять согласие кандидатов и обеспечивать их истечение срока действия, чему помогает использование системы подбора персонала.

Система элевато позволяет

  1. Добавление любого количества согласий и присвоение их проектам.
  2. Управление согласием (требуется согласие / необязательно, определяемый срок действия согласия, согласие на один проект найма / для будущего найма).
  3. Отображение и регистрация согласия кандидатов на один или все рекрутинговые проекты.
  4. Присвоение согласований кандидатам рекрутерами.
  5. Обратите внимание на источник данных (кандидат / Другое - словарь, управляемый администратором).
  6. В зависимости от цели получения данных для выбранных согласий может быть определен срок действия.

В зависимости от цели получения данных для выбранных согласий может быть определен срок действия

РОДО в рекрутинге: защита данных

Согласно RODO, работодатель должен будет внедрить решения, обеспечивающие безопасность обрабатываемых персональных данных . Это касается не только клиентов, деловых партнеров и сотрудников, но и кандидатов. Среди технических и организационных мер, ВВПР упоминает, среди прочего:

  1. Псевдонимы и шифрование персональных данных.
  2. Способность постоянно обеспечивать конфиденциальность, целостность, доступность и отказоустойчивость систем и сервисов обработки.
  3. Возможность быстрого восстановления доступности личных данных и доступа к ним в случае физического или технического происшествия.
  4. Регулярное тестирование, измерение и оценка эффективности технических и организационных мер по обеспечению безопасности обработки.

Учитывая вышеупомянутые требования, хорошим решением является использование готовой системы ATS, доступной в облаке. Поставщики услуг SaaS предоставляют вышеуказанные стандарты безопасности и внедряют множество решений, чтобы помочь удовлетворить требования по набору персонала в соответствии с RODO.

Система элевато позволяет

  1. Удаление данных кандидата после окончания обработки данных - необратимый процесс, удаление всех данных и документов кандидата.
  2. Анонимизация данных кандидата после окончания обработки данных - необратимый процесс, анонимизация всех данных кандидата и удаление его документов.
  3. Архивирование данных кандидата после окончания цели обработки данных - маркировка флага и сохранение данных и документов кандидата в целях архивирования, например, до истечения срока подачи претензий и т. Д.

РОДО при наборе персонала: новые права кандидатов, вытекающие из ВВПР

Согласно RODO, кандидаты, которые обращаются к данному работодателю, должны иметь возможность управлять своими данными и получать постоянное и легкое согласие на протяжении всей обработки данных.

РОДО определяет следующие права кандидата :

Администратор персональных данных. Процессор / Процессор

Право на исправление данных. Возможность изменения данных администратором по запросу кандидата. Право удалять данные («быть забытым»). Возможность удалять / анонимизировать / архивировать данные администратором по запросу кандидата в зависимости от решения администратора. обработка возможности архивирования данных и маркировка с пометкой / меткой информации об ограничении администратором по просьбе кандидата Право не подвергаться, в частности, автоматизированной системе принятия решений, Профилирование Право на получение копии данных Возможность экспорта данных в машиночитаемый формат Право на передачу данных в настоящее время не распространяется на набор персонала из-за отсутствия технических возможностей, отсутствия единого формата / интеграции с другими администраторами

Помните, что набор персонала в соответствии с RODO означает как требование проинформировать кандидатов о вышеупомянутых правах, так и обеспечить их осуществимость.

Система элевато позволяет

  1. Предоставление кандидату доступа к специальной панели, в которой он может управлять своими согласиями. Это означает, что кандидаты легко смогут обновить или отозвать предыдущие согласия.

Это означает, что кандидаты легко смогут обновить или отозвать предыдущие согласия

  1. Благодаря разработанной панели кандидаты могут:
  • Запросите удаление ваших личных данных из базы данных CV. В зависимости от решения администратор сможет удалять, анонимизировать или архивировать данные кандидата.
  • Запросить ограничения на обработку своих персональных данных.
  • Запросите копию ваших личных данных.
  1. Обширные отчеты позволяют быстро просматривать все согласия, данные кандидатами, а также отфильтровывать кандидатов, которые, например, проходят срок действия согласия.

Обширные отчеты позволяют быстро просматривать все согласия, данные кандидатами, а также отфильтровывать кандидатов, которые, например, проходят срок действия согласия

Набор персонала в соответствии с RODO: часто задаваемые вопросы

Ниже мы представляем ответы на наиболее часто задаваемые вопросы, касающиеся RODO при подборе персонала. Обратите внимание, что elevato как поставщик системы набора персонала поддерживает вас каждый день в процессе набора персонала и обеспечения безопасности данных, однако на многие из этих вопросов должен ответить ваш администратор информационной безопасности или руководитель по защите данных. Стоит проконсультироваться по этим вопросам с консультативными агентствами или юридическими фирмами. Регламент RODO является довольно общим, и выполнение конкретных требований зависит от бизнес-контекста вашей организации, о котором вы знаете больше всего. Мы надеемся, что ответы, приведенные ниже, развеют многие сомнения и дадут более полное представление о том, какой набор персонала соответствует требованиям RODO.

Администратор персональных данных

  • Рекрутинговая компания, которая осуществляет подбор персонала по запросу клиента, является администратором или обрабатывающей организацией?

Как субъект, собирающий личные данные кандидатов, вы являетесь их администратором. Вы делаете это от имени своих клиентов, которые - как внешние лица - также являются отдельными администраторами персональных данных. Поэтому важно включить в раздел информации в форме заявки информацию о том, что данные кандидата могут быть переданы другим администраторам. Согласно существующим интерпретациям, RODO не требует указывать конкретные компании, которым будут передаваться данные.

  • Кто будет администратором данных, если две компании используют базу данных кандидатов?

Администратор данных - это всегда компания, в которой мы ищем кандидата на конкретную должность. Поэтому мы всегда должны выбирать правильную информационную оговорку для выбранного набора. Мы можем использовать данные кандидата при приеме на работу в будущем, если кандидат согласен на раздельное добровольное согласие. В пункте о согласии / информации мы должны сообщить кандидату, что его или ее данные могут быть переданы другому контроллеру данных, например, второй компании в группе капитала.

  • В случае организационных изменений - слияния компаний - следует ли менять уже обработанных кандидатов по этому факту (изменение имени администратора или его зарегистрированного офиса)?

По нашему мнению, это рекомендуется, и мы рекомендуем такие действия. Однако адвокат, проводящий слияние компаний, должен в конечном итоге прокомментировать этот вопрос.

Информационная оговорка

  • Содержит ли пункт информацию о том, что данные также передаются в штаб-квартиру компании в другой стране ЕС?

Да, эта информация должна быть включена в пункт, из-за информационного обязательства, наложенного RODO на администратора личных данных кандидатов. Как правило, центральный офис является внешним субъектом, а значит - отдельным администратором персональных данных. Для компаний, работающих в рамках одной группы капитала, в RODO предусмотрена возможность, заключающаяся в возможности совместного управления безопасностью данных. В этой ситуации компании в группе могут быть соадминистраторами.

  • Всегда ли необходимо включать информационную оговорку относительно администрирования данных?

Да, вы также должны помнить, что предложение должно быть видно кандидату до завершения процесса подачи заявки. Стоит упомянуть так называемые скрытые наборы, то есть те, в которых кандидат не знает, к какой компании он обращается. В свете вышеупомянутых положений, набор персонала в соответствии с RODO исключает эту возможность.

Получение согласия

  • Нужно ли собирать отдельное согласие, если у нас есть стандартная оговорка о согласии на обработку персональных данных в резюме?

Да, это необходимо, потому что, согласно RODO, должно быть выражено согласие для конкретного контроллера персональных данных и в течение определенного периода времени. Общее согласие, содержащееся до сих пор в документах, не соответствует этим требованиям. Система подбора персонала (ATS), которая регистрирует согласия и даты их истечения, определенно помогает доказать, что одобрения всех кандидатов получены. Важно отметить, что система также гарантирует, что мы не обрабатываем данные кандидатов, согласие которых истекло.

  • Можно ли построить базы кандидатов в соответствии с регламентом РОДО при приеме на работу?

Да, создание базы данных кандидатов возможно, но должны быть соблюдены более строгие условия. Набор в соответствии с RODO требует, чтобы кандидат был проинформирован о том, кто будет администратором его личных данных. Кандидат также должен дать сознательное согласие. Кроме того, он должен иметь возможность уйти в отставку с предоставленных согласия в любое время. Если у вас есть законные интересы в качестве администратора в сборе и хранении таких данных, то - с согласия кандидатов - вы можете создавать и передавать такие данные своим клиентам. Важно установить разумное время для хранения таких данных и информировать потенциальных кандидатов об этом.

  • Нужно ли просить кандидатов, данные которых мы получили до вступления в силу GDPR, обновить свое согласие на соблюдение GDPR? Соответствует ли обработка этих данных правилам?

После вступления в силу РОДО обработка данных кандидатов перестала быть законной, хотя мы встречались с различными толкованиями. Руководитель по защите данных должен высказаться по этому вопросу. В связи с расширением информационного обязательства в RODO кандидатам необходимо предоставить новое информационное предложение и попросить обновить их согласие. В случае потенциального контроля мы должны доказать законность обработки данных. Не имея зарегистрированных согласий в соответствии с RODO, это будет очень сложно.

Время обработки персональных данных

  • Необходимо ли указывать количество лет, в течение которых данные обрабатываются, в согласии на обработку? Как долго вы можете хранить данные о работе?

В RODO не указывается точное время, в течение которого мы можем обрабатывать данные кандидатов. Как правило, мы должны минимизировать это время. В зависимости от цели обработки данных (набор на определенную должность, постоянный набор по поручению клиентов и т. Д.) Администратор должен определить соответствующую процедуру для работы с данными. Хотя обработка происходит на основе согласия, выраженного кандидатом, и может длиться до тех пор, пока он не будет отозван, рекомендуется установить время обработки и сообщить кандидату в разделе информации - запись может быть, например:

«Ваши личные данные будут обрабатываться в течение всего текущего процесса набора персонала, после чего они будут безвозвратно удалены.
В случае дополнительного согласия ваши персональные данные будут обрабатываться также для целей будущего найма, вплоть до отзыва согласия, но не дольше, чем на 3 года ».

Если кандидат соглашается участвовать только в текущем наборе, его данные должны быть удалены сразу же после процесса набора. Если кандидат дает отдельное добровольное согласие на участие в будущем наборе персонала, это время должно быть установлено администратором персональных данных, например, в зависимости от того, ожидаем ли мы набора на эту же должность в будущем.

Содержание согласия на обработку данных

  • Можно ли требовать выбор обоих согласий (для текущих и будущих проектов), что будет условием для подачи заявки?

Правила RODO, касающиеся минимизации обработки данных, а также различных целей обработки данных (набор на определенную должность в сравнении с участием в будущих наборах) указывают в этой ситуации, что они должны быть двумя отдельными согласиями. Если согласие на текущий проект, очевидно, необходимо для процесса найма, согласие на будущий набор является дополнительным и не может быть обязательным.

Согласие на участие в будущих наборах

  • Кандидат может согласиться на набор на 3-месячный испытательный срок, и он не должен согласиться на обработку данных в течение 2 лет или около того?

При наборе кандидатов на конкретную должность мы рекомендуем объединить два согласия, например:

- согласие на текущий процесс найма (требуется для юридической обработки данных кандидатов) - до завершения процесса найма

- согласие на будущий набор (необязательно) - ограниченное время, например, на 2 года

В такой ситуации кандидат может отметить только первое согласие (для текущего набора), необходимое для того, чтобы кандидат отправил нам свои данные. Обратите внимание, что кандидат может отозвать свое согласие в любое время. Важно отметить, что вы должны сообщить кандидату в информационном разделе об этом факте, а также о том, как он может это сделать.

  • Может ли согласие на будущий набор быть обязательным?

Платформа элевато позволяет это. При наборе на определенную должность мы должны добавить два согласия - обязательное для текущего набора и необязательное для будущего набора. Иная ситуация, когда мы создаем общую форму, с помощью которой кандидаты оставляют свои данные и резюме. Затем мы можем добавить один обязательный пункт с согласия для будущего набора.

  • Когда нам нужно получить согласие кандидата на участие в последующих наборах?

Если мы хотим использовать данные кандидата в других проектах по подбору персонала, после завершения набора, в котором кандидат подал заявку, и не был нанят. Набор персонала в соответствии с RODO требует удаления персональных данных после прекращения обработки (в этом случае завершение проекта). Поэтому мы можем оставлять данные только в том случае, если у нас есть зарегистрированное согласие на другой процесс найма (другая должность) или согласие на дальнейший набор персонала.

Социальные сети

  • Если вы публикуете предложение о работе в Facebook, следует ли удалять записи людей, которые выражают свою заинтересованность, прямо на нашем посту?

По нашему мнению, в этом нет необходимости. Люди, проявляющие интерес непосредственно к сообщению, делают это сознательно и добровольно и в соответствии с правилами самого Facebook и, таким образом, соглашаются на прямой контакт.

другой

  • Где я могу найти актуальную информацию о RODO?

Ответственным органом в Польше является Управление по защите личных данных: https://uodo.gov.pl/ , Мы рекомендуем вам следовать интерпретациям и рекомендациям Президента UODO и, конечно же, применять рекомендуемые решения.

Вебинар РОДО по подбору персонала

Если вы хотите узнать больше о RODO в подборе персонала, смотреть бесплатный вебинар , в котором мы обсуждаем наиболее важные факты о ВВП и показываем, как выглядит набор сотрудников в соответствии с RODO благодаря элевато.

Вам нравится эта статья? Поделитесь этим!

Что такое личные данные?
Кто несет ответственность за сбор и обработку персональных данных?
Что такое личные данные?
Кто несет ответственность за сбор и обработку персональных данных?
Кто будет администратором данных, если две компании используют базу данных кандидатов?
В случае организационных изменений - слияния компаний - следует ли менять уже обработанных кандидатов по этому факту (изменение имени администратора или его зарегистрированного офиса)?
Всегда ли необходимо включать информационную оговорку относительно администрирования данных?
Можно ли построить базы кандидатов в соответствии с регламентом РОДО при приеме на работу?
Нужно ли просить кандидатов, данные которых мы получили до вступления в силу GDPR, обновить свое согласие на соблюдение GDPR?
Соответствует ли обработка этих данных правилам?

Новости