Przetwarzanie danych osobowych przez Staffly
Podstawowe informacje
Wprowadzenie. Czym jest Staffly?
Staffly do narzędzie służące do oceny predyspozycji kandydata do pracy na dane stanowisko. W tym celu wykorzystuje algorytmy sprawdzające dopasowanie odpowiedzi kandydata do określonych cech (zdefiniowanych przez rekrutera).
Staffly nie zbiera ani nie przetwarza danych, które mogą być uznane za dane szczególnej kategorii, zgodnie z art. 9 RODO. Weryfikowane cechy osobowości mają ścisły związek z odpowiedziami kandydata w określonym kontekście stanowiska, na jakie aplikuje.
Oznacza to, że kandydat aplikujący na kilka stanowisk może zostać oceniony w różny sposób udzielając tych samych odpowiedzi w poszczególnych testach.
Jego odpowiedzi mają znaczenie tylko w kontekście danej rekrutacji.
Czy Staffly umożliwia profilowanie?
Staffly nie umożliwia zautomatyzowanego podejmowania decyzji, w tym profilowania niosącego za sobą skutek prawny lub w podobny sposób oddziaływującego na osobę, której dane dotyczą. Odpowiedzi kandydata weryfikowane są przez algorytmy, które sprawdzają dopasowanie do określonego stanowiska i pozwalają na procentowe określenie jego dopasowania. Nie jest to jednak ocena cech osobowości kandydata (jak ma to miejsce np. przy testach kwalifikacyjnych do Policji, czy kierowcy zawodowego), a jego dopasowania do stanowiska.
Czy Staffly jest Administratorem danych kandydatów do pracy?
Nie. Staffly to narzędzie, które oddajemy w ręce organizacji, które prowadzą rekrutacje. Cele i środki przetwarzania danych osobowych są w takim wypadku określane przez organizację, a Staffly występuje w roli procesora przetwarzanych danych osobowych.
Dlaczego korzystanie ze Staffly jest całkowicie legalne w świetle RODO?
Pomimo braku przetwarzania danych szczególnej kategorii w Staffly wdrożono szereg zabezpieczeń, które gwarantują, że dane osobowe są bezpieczne i przetwarzane w sposób legalny.
Zapewnienie realizacji zasad wskazanych w art. 5 RODO zostało zapewnione poprzez:
-
Zgodność z prawem, rzetelność i przejrzystość
Zasady przetwarzania danych przez Staffly zostały zdefiniowane i opisane w dokumencie Polityki prywatności, z którą zapoznać musi się kandydat wypełniający test. Wprowadzono odpowiednie klauzule informacyjne w miejscach pozyskiwania danych osobowych.
Wyznaczyliśmy Inspektora Ochrony Danych, którym jest Maciej Chwaliński. W razie pytań zapraszamy do kontaktu: iodo@staffly.pl.
Wypełnienie testu przez Staffly jest całkowicie dobrowolne. Jeśli organizacja prowadząca rekrutację uzna, że mimo wszystko chciałby pozyskać zgodę kandydata na udział w teście istnieje możliwość włączenia treści zgody do wiadomości e-mail z linkiem do testu. -
Ograniczenie celu przetwarzania
Dane osobowe pozyskane przez Staffly przetwarzane są tylko i wyłącznie w celu zdefiniowanym w umowie na korzystanie z naszej aplikacji i umowie powierzenia przetwarzania danych osobowych. Nie przetwarzamy danych w innych celach. -
Minimalizacja danych
Zbieramy tylko tyle danych, ile jest nam faktycznie niezbędnych. Dane jakie zbieramy od kandydata to:- imię (obowiązkowe)
- numer telefonu (w celu przesłania przypomnienia SMS o teście – obowiązkowe)
- adres e-mail (w celu przesłania informacji o teście – obowiązkowe)
-
- swoją płeć,
- wiek,
- miejsce, do jakiego aplikuje (np. miasto czy zakład pracy).
-
Prawidłowość danych, integralność, poufność i dostępność danych
Staffly stosuje szereg środków gwarantujących zachowanie podstawowych cech bezpieczeństwa danych. Są to między innymi:- System redundantnych kopii zapasowych,
- Szczegółowa kontrola dostępu do stosowanych systemów (dedykowany użytkownik dla każdego systemu, możliwość jego identyfikacji, zapis wykonywanych czynności),
- Stosowanie szyfrowania TLS dla danych przesyłanych, a także innych środków kryptograficznej ochrony danych,
- Stosowanie metod logowania wielowarstwowego (tokeny JWT, 2FA),
- API silnika rekomendacji dostępne tylko w wewnętrznej sieci AKS,
- Restrykcyjna kontrola kont uprzywilejowanych, automatyczne wygaszanie sesji użytkownika (administratora) po 5 minutach nieaktywności,
- Ścisła kontrola nad dostępem do API Parnetra (na podstawie clientId i clientSecret oraz wygenerowania API-KEY,
- Certyfikat SSL dla warstwy web.
-
Ograniczenie czasowe przechowywania danych osobowych
Staffly nie występuje w roli administratora danych osobowych kandydatów. Jest nim podmiot prowadzący rekrutację i to on ustala okres przechowywania danych. Staffly umożliwia jednak określenie terminów usunięcia danych. Dla danych, wobec których do Staffly występuje jako administrator określono i przyjęto odpowiednie terminy retencji. -
Rozliczalność
Wszelkie działania podejmowane w systemie Staffly są rozliczalne dzięki logom systemowym i kontroli dostępów użytkowników. Staffly prowadzi dokumentację ochrony danych osobowych, która obejmuje między innymi:- Politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi,
- Upoważnienia do przetwarzania danych osobowych, wraz z ewidencją,
- Ewidencję podmiotów, którym powierzane są dane osobowe, wraz z ocenami (tam, gdzie to konieczne) i umowami powierzenia przetwarzania,
- Ewidencje incydentów i naruszeń bezpieczeństwa danych osobowych, wraz z procedurą gwarantującą odpowiednie postępowanie ze zdarzeniami tego rodzaj,
- Ewidencję obszaru, systemów i urządzeń służących do przetwarzania danych osobowych,
- Analizę ryzyka, wraz z oceną skutków dla przetwarzania danych osobowych dla wymagających tego operacji, wraz z planami postępowania z ryzykiem.
-
Dane kontaktowe IOD
Gdyby powyższe informacje okazały się niewystarczające zapraszamy do kontaktu z naszym Inspektorem ochrony danych lub z przedstawicielem Staffly.