Podstawowe informacje #
Wprowadzenie. Czym jest Staffly? #
Staffly do narzędzie służące do oceny predyspozycji kandydata do pracy na dane stanowisko. W tym celu wykorzystuje algorytmy sprawdzające dopasowanie odpowiedzi kandydata do określonych cech (zdefiniowanych przez rekrutera).
Staffly nie zbiera ani nie przetwarza danych, które mogą być uznane za dane szczególnej kategorii, zgodnie z art. 9 RODO. Weryfikowane cechy osobowości mają ścisły związek z odpowiedziami kandydata w określonym kontekście stanowiska, na jakie aplikuje.
Oznacza to, że kandydat aplikujący na kilka stanowisk może zostać oceniony w różny sposób udzielając tych samych odpowiedzi w poszczególnych testach.
Jego odpowiedzi mają znaczenie tylko w kontekście danej rekrutacji.
Czy Staffly umożliwia profilowanie? #
Staffly nie umożliwia zautomatyzowanego podejmowania decyzji, w tym profilowania niosącego za sobą skutek prawny lub w podobny sposób oddziaływującego na osobę, której dane dotyczą. Odpowiedzi kandydata weryfikowane są przez algorytmy, które sprawdzają dopasowanie do określonego stanowiska i pozwalają na procentowe określenie jego dopasowania. Nie jest to jednak ocena cech osobowości kandydata (jak ma to miejsce np. przy testach kwalifikacyjnych do Policji, czy kierowcy zawodowego), a jego dopasowania do stanowiska.
Czy Staffly jest Administratorem danych kandydatów do pracy? #
Nie. Staffly to narzędzie, które oddajemy w ręce organizacji, które prowadzą rekrutacje. Cele i środki przetwarzania danych osobowych są w takim wypadku określane przez organizację, a Staffly występuje w roli procesora przetwarzanych danych osobowych.
Dlaczego korzystanie ze Staffly jest całkowicie legalne w świetle RODO? #
Pomimo braku przetwarzania danych szczególnej kategorii w Staffly wdrożono szereg zabezpieczeń, które gwarantują, że dane osobowe są bezpieczne i przetwarzane w sposób legalny.
Zapewnienie realizacji zasad wskazanych w art. 5 RODO zostało zapewnione poprzez:
1) Zgodność z prawem, rzetelność i przejrzystość #
Zasady przetwarzania danych przez Staffly zostały zdefiniowane i opisane w dokumencie Polityki prywatności, z którą zapoznać musi się kandydat wypełniający test. Wprowadzono odpowiednie klauzule informacyjne w miejscach pozyskiwania danych osobowych.
Wyznaczyliśmy Inspektora Ochrony Danych, którym jest Maciej Chwaliński. W razie pytań zapraszamy do kontaktu: iodo@staffly.pl.
Wypełnienie testu przez Staffly jest całkowicie dobrowolne. Jeśli organizacja prowadząca rekrutację uzna, że mimo wszystko chciałby pozyskać zgodę kandydata na udział w teście istnieje możliwość włączenia treści zgody do wiadomości e-mail z linkiem do testu.
2) Ograniczenie celu przetwarzania #
Dane osobowe pozyskane przez Staffly przetwarzane są tylko i wyłącznie w celu zdefiniowanym w umowie na korzystanie z naszej aplikacji i umowie powierzenia przetwarzania danych osobowych. Nie przetwarzamy danych w innych celach.
3) Minimalizacja danych #
Zbieramy tylko tyle danych, ile jest nam faktycznie niezbędnych. Dane jakie zbieramy od kandydata to:
- Imię (obowiązkowe)
- numer telefonu (w celu przesłania przypomnienia SMS o teście – obowiązkowe)
- adres e-mail (w celu przesłania informacji o teście – obowiązkowe)
Kandydat może również podać dobrowolnie:
- swoją płeć,
- wiek,
- miejsce, do jakiego aplikuje (np. miasto czy zakład pracy).
4) Prawidłowość danych, integralność, poufność i dostępność danych #
Staffly stosuje szereg środków gwarantujących zachowanie podstawowych cech bezpieczeństwa danych. Są to między innymi:
- System redundantnych kopii zapasowych,
- Szczegółowa kontrola dostępu do stosowanych systemów (dedykowany użytkownik dla każdego systemu, możliwość jego identyfikacji, zapis wykonywanych czynności),
- Stosowanie szyfrowania TLS dla danych przesyłanych, a także innych środków kryptograficznej ochrony danych,
- Stosowanie metod logowania wielowarstwowego (tokeny JWT, 2FA),
- API silnika rekomendacji dostępne tylko w wewnętrznej sieci AKS,
- Restrykcyjna kontrola kont uprzywilejowanych, automatyczne wygaszanie sesji użytkownika (administratora) po 5 minutach nieaktywności,
- Ścisła kontrola nad dostępem do API Parnetra (na podstawie clientId i clientSecret oraz wygenerowania API-KEY,
- Certyfikat SSL dla warstwy web.
5) Ograniczenie czasowe przechowywania danych osobowych #
Staffly nie występuje w roli administratora danych osobowych kandydatów. Jest nim podmiot prowadzący rekrutację i to on ustala okres przechowywania danych. Staffly umożliwia jednak określenie terminów usunięcia danych. Dla danych, wobec których do Staffly występuje jako administrator określono i przyjęto odpowiednie terminy retencji.
6) Rozliczalność #
Wszelkie działania podejmowane w systemie Staffly są rozliczalne dzięki logom systemowym i kontroli dostępów użytkowników. Staffly prowadzi dokumentację ochrony danych osobowych, która obejmuje między innymi:
- Politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi,
- Upoważnienia do przetwarzania danych osobowych, wraz z ewidencją,
- Ewidencję podmiotów, którym powierzane są dane osobowe, wraz z ocenami (tam, gdzie to konieczne) i umowami powierzenia przetwarzania,
- Ewidencje incydentów i naruszeń bezpieczeństwa danych osobowych, wraz z procedurą gwarantującą odpowiednie postępowanie ze zdarzeniami tego rodzaj,
- Ewidencję obszaru, systemów i urządzeń służących do przetwarzania danych osobowych,
Analizę ryzyka, wraz z oceną skutków dla przetwarzania danych osobowych dla wymagających tego operacji, wraz z planami postępowania z ryzykiem.
7) Dane kontaktowe IOD #
Gdyby powyższe informacje okazały się niewystarczające zapraszamy do kontaktu z naszym Inspektorem ochrony danych lub z przedstawicielem Staffly.