Informacje o RODO
-
Co to jest RODO i co znaczy dla Ciebie?
- Ogólne rozporządzenie o ochronie danych osobowych (GDPR, RODO) zastąpiło wcześniejsze przepisy dotyczące ochrony danych osobowych w Unii Europejskiej (EU) w dniu 25 maja 2018 roku. RODO jest istotną zmianą, postanowiliśmy zatem opisać kluczowe zmiany, które mogą dotyczyć klientów i użytkowników narzędzi SHL.
- Kary pieniężne: Organ nadzorczy (odpowiedzialny za egzekwowanie RODO) może nałożyć karę do 4% globalnego obrotu lub 20 mln EUR (w zależności, która z tych kwot będzie wyższa) za naruszenia RODO.
- Rozliczalność: RODO wprowadza nową zasadę rozliczalności, która zakłada, że firma musi być w stanie wykazać, że przetwarza dane osobowe zgodnie z przepisami RODO.
- Prawa indywidualne (prawa osoby, której dane dotyczą): oprócz zachowania praw istniejących we wcześniejszej legislacji (prawo do dostępu do danych, prawo do poprawiania danych, prawo do sprzeciwu wobec przetwarzania danych oraz prawo do ograniczenia przetwarzania danych) RODO wprowadza dwa nowe prawa: prawo do usunięcia danych (prawo do bycia zapomnianym) oraz prawo do przenoszenia danych.
- Model zarządzania: połączony z zasadą rozliczalności jest wymóg nałożony na administratorów danych osobowych i podmiotów przetwarzających (procesorów), by wprowadzić odpowiednie środki organizacyjne i techniczne by być w stanie wykazać, że każdy przypadek przetwarzania danych osobowych jest zgodny z RODO
- Ogólne rozporządzenie o ochronie danych osobowych (GDPR, RODO) zastąpiło wcześniejsze przepisy dotyczące ochrony danych osobowych w Unii Europejskiej (EU) w dniu 25 maja 2018 roku. RODO jest istotną zmianą, postanowiliśmy zatem opisać kluczowe zmiany, które mogą dotyczyć klientów i użytkowników narzędzi SHL.
-
Kogo dotyczy RODO?
- RODO dotyczy każdego przedsiębiorcy, który swoją siedzibę ma w Europie, lub oferuje produkty lub usługi znajdującym się w UE osobom lub monitoruje zachowania osób, o ile zachowanie to ma miejsce w UE.
- RODO dotyczy jedynie ochrony danych osobowych. Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Definicja danych osobowych jest bardzo szeroka, zawiera w sobie m.in. imię kandydata, jego dane kontaktowe czy wyniki testów.
- RODO wprowadza rozróżnienie między administratorami danych osobowych a podmiotami przetwarzającymi (procesorami) danych osobowych. Administrator danych decyduje jak i dlaczego dane będą przetwarzane, natomiast podmiot przetwarzający (procesor) danych osobowych przetwarza te dane w imieniu administratora danych. Rolą SHL we współpracy z klientami jest bycie procesorem danych osobowych.
-
Jakie kroki podjęliśmy w związku z RODO?
- Projekt „Aktualizacja RODO”
- Implementacja zasad i procedur: jako część przystosowywania naszych procesów do RODO przeprowadziliśmy rewizję i aktualizację naszych istniejących zasad i procedur. Wprowadziliśmy również nowe zasady, tak by spełniać wszelkie wymagania RODO. Wszyscy pracownicy zostali przeszkoleni z nowych zasad by zapewnić spełnienie przepisów RODO oraz by móc zapewnić to, że nasi klienci również te przepisy spełniają.
- Zasada ochrony danych w fazie projektowania (Privacy by design) i zasada domyślnej ochrony danych (Privacy by default): Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową. Privacy by default oznacza natomiast, że administrator będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
- Zaktualizowany obowiązek informacyjny: zaktualizowaliśmy treści obowiązku informacyjnego prezentowanego kandydatom przed przystąpieniem do testu, tak by spełniał wymogi RODO.
- Analiza praw indywidualnych (praw osoby, której dane dotyczą): zgodnie z informacjami zawartymi na stronie pierwszej, osoba, której dane przetwarzamy ma sporo praw zgodnie z zapisami RODO, które nasi klienci (jako administratorzy danych) muszą zapewnić. Poniżej przedstawiamy sposoby, w których nasze systemy i procesy mogą wspomóc naszych klientów w zapewnieniu tych praw.
Prawo do informacji Nasza platforma do testów online uwzględnia obowiązek informacyjny, który każdy kandydat musi przeczytać przed przejściem do wykonania testu. Ta informacja przekazuje kandydatowi wszelkie dane dot. informacji które zbieramy i które przetwarzamy. Jako, że testy online są zwykle jednym z kilku etapów procesu rekrutacyjnego (i testowanie online zwykle nie jest pierwszym etapem, podczas którego dane są zbierane przez naszych klientów) może się zdarzyć, że obowiązek informacyjny będzie musiał zostać spełniony wcześniej niż na platformie testowej. Nasi klienci korzystają zwykle ze swojej strony Internetowej, z systemu do zbierania aplikacji czy z systemu ATS by zbierać CV kandydatów. Każdy z tych systemów, w punktach gromadzenia danych powinien zawierać obowiązek informacyjny.
Sugerujemy naszym klientom konsultację z prawnikiem, tak by byli w stanie zapewnić kandydatom prawo do informacji (spełnić obowiązek informacyjny względem kandydatów).
Prawo do:
dostępu do danych
sprostowania danych
usuwania danych
ograniczenia
przetwarzania danychKażda prośba kandydata o dostęp, poprawienie, usunięcie czy ograniczenie przetwarzania danych osobowych powinna być kierowana bezpośrednio do naszego klienta, który jest administratorem danych osobowych. Zdarza się, że SHL otrzymuje prośby bezpośrednio od kandydatów, by np. skasować jego dane albo by dać kandydatowi dostęp do jego wyników. W odpowiedzi prosimy takiego kandydata by przesłał taką prośbę bezpośrednio do klienta Jeśli taką prośbę otrzymamy bezpośrednio od naszego klienta to mamy już istniejące procesy by spełnić takie prośby.
Klienci często zadają pytanie „jak długo przechowujecie dane?”. Jako procesor danych osobowych, przechowujemy dane zgodnie z umowami podpisanymi z naszymi klientami – tzn., że usuwamy dane na prośbę klienta. Aktualnie opracowujemy sposób w naszej platformie, który pozwoliłby na większe zautomatyzowanie tego procesu.
Prawo do przenoszenia danych Każda prośba kandydata o dostęp, poprawienie, usunięcie czy ograniczenie przetwarzania danych osobowych powinna być kierowana bezpośrednio do naszego klienta, który jest administratorem danych osobowych. Zdarza się, że SHL otrzymuje prośby bezpośrednio od kandydatów, by np. skasować jego dane albo by dać kandydatowi dostęp do jego wyników. W odpowiedzi prosimy takiego kandydata by przesłał taką prośbę bezpośrednio do klienta Jeśli taką prośbę otrzymamy bezpośrednio od naszego klienta to mamy już istniejące procesy by spełnić takie prośby.
Klienci często zadają pytanie „jak długo przechowujecie dane?”. Jako procesor danych osobowych, przechowujemy dane zgodnie z umowami podpisanymi z naszymi klientami – tzn., że usuwamy dane na prośbę klienta. Aktualnie opracowujemy sposób w naszej platformie, który pozwoliłby na większe zautomatyzowanie tego procesu.
Prawo do sprzeciwu Kandydat może mieć prawo do sprzeciwu wobec przetwarzania swoich danych osobowych, jeśli podstawą przetwarzania jest uzasadniony interes administratora danych. Może on zdecydować czy chce podejść do testu online czy nie. Jeśli kandydat sprzeciwia się przetwarzaniu jego danych może nie wykonać zadanego testu online i my, jako SHL, nie będziemy dalej przetwarzać jego danych. Prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem Nasi klienci często używają naszych usług by uzyskać wsparcie w podjęciu decyzji czy to rekrutacyjnych czy związanych z awansem. RODO zapewnia kandydatom prawo, by nie podlegali decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, o ile nie zachodzą wyraźnie przewidziane wyjątki. Nasi klienci mogą chcieć unikać podejmowania decyzji w sposób całkowicie zautomatyzowany. Sugerujemy wykorzystywanie danych z naszych narzędzi jako wsparcie w rozmowie rekrutacyjnej, by na podstawie tych danych podjąć decyzję o zaproponowaniu pracy. Jeśli nasi klienci chcą używać wyników testów jako część zautomatyzowanego procesu podejmowania decyzji, powinni oni: - Dla kandydatów: należy odebrać zgodę kandydata na podleganie decyzji podjętej w sposób zautomatyzowany w momencie, gdy kandydat po raz pierwszy podaje swoje dane.
- Dla aktualnych pracowników: należy wprowadzić obowiązek wykonywania narzędzi psychometrycznych jako element procesu awansowego w umowie pracownika / regulaminie firmy
Klienci powinni poinformować nas, w jaki sposób będą wykorzystywać narzędzia w procesie podejmowania decyzji, byśmy mogli zapewnić poinformowanie kandydatów o możliwości podlegania decyzji podjętej w sposób zautomatyzowany w obowiązku informacyjnym.
- Monitorowanie zgodności z RODO: Będziemy kontynuować regularne przeglądy i audyty w zakresie bezpieczeństwa danych podczas świadczonych usług, jak i zgodności stosowanych przez nas polityk i procedur z RODO.
- Szkolenia: Nasi pracownicy będą nadal globalnie szkoleni z zakresu ochrony danych osobowych. Zaprosiliśmy również do współpracy zewnętrzną firmę prawniczą, która przeszkoli pracowników SHL z zapisów wynikających z RODO.
- Rejestrowanie czynności przetwarzania: zgodnie z wytycznymi RODO, jako procesor danych osobowych dla naszych klientów, będziemy prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
- Transfery międzynarodowe: Aby dokonać międzynarodowego transferu danych polegamy na Privacy Shield (transfery do USA) oraz na klauzulach standardowych (transfery poza EOG). Privacy Shield jest programem certyfikacyjnym, do którego przystąpić mogą organizacje, które są w stanie potwierdzić, że spełniają wymagania dot. ochrony danych osobowych. Program Privacy Shield uznawany jest przez Komisję Europejską za program zapewniający adekwatny poziom bezpieczeństwa. Klauzule standardowe to klauzule przyjmowane przez Komisję Europejska jako zapewniające odpowiedni poziom bezpieczeństwa. Monitorujemy zmiany jakie mogą pojawić się w Privacy Shield oraz w klauzulach standardowych w związku z RODO by zapewnić że nasze umowy i certyfikacja Privacy Shield spełniają wszelkie nowe wymagania.
- Bezpieczeństwo danych: Rozumiemy jak bardzo bezpieczeństwo danych jest ważne dla naszych klientów. Chcemy, by nasi klienci byli pewni, że dane, które dla nich przetwarzamy są z nami bezpieczne. Nasze zaangażowanie w sprawy bezpieczeństwa demonstrujemy biorąc udział w różnych programach certyfikacyjnych. Np. opracowaliśmy i wdrożyliśmy system zarządzania bezpieczeństwem danych informatycznych, dzięki któremu uzyskaliśmy certyfikat ISO 27001. Posiadamy również certyfikat ISO 22301 związany z naszym zarządzaniem ciągłości działalności oraz ISO 20000 za profesjonalne utrzymywanie, wspieranie i zarządzanie naszymi usługami IT.
- Projekt „Aktualizacja RODO”