Prezentacja na temat RODO w działaniach rekrutacyjnych, same konkretny bez prawniczych czy marketingowych opisów. Zapraszamy na kolejne webinary na temat RODO w rekrutacji - https://rodo.traffit.com

1. RODO / GDPR
w kontekście bazy kandydatów i rekrutacji

2. RODO = KARY

3. GDPR = General Data Protection Right

4. (R)EWOLUCJA

5. UODO
Kandydaci
Podmioty
przetwarzające
Wyspecjalizowane
kancelarie
TY
= administrator

6. NIE
Anna Sykut
biuro@traffit.com
213.192.95.26
TAK
DANE OSOBOWE
anna.sykut@traffit.com

7. NAJWAŻNIEJSZE PYTANIA
Co z dotychczasową
bazą kandydatów?
W jaki sposób muszę poinformować
kandydata o jego prawach?
Jak długo mogę przetwarzać
dane kandydatów?
Co robić, kiedy zgoda
się kończy?

8. CO Z DOTYCHCZASOWĄ BAZĄ KANDYDATÓW?
TWOJA BAZA
Gdzie znajduje się moja baza?
Kto ma dostęp do mojej bazy?
Jak wyszczególnić kandydatów bez zgód?

9. AKTUALIZACJA ZGODY
TELEFON
MAIL
FORMULARZ

10. Dokumenty
bez klauzul
dokumenty z
klauzulami
Zbieram
aktualne zgody
BAZA CV-EK
Jeśli brak
- usuwam po 25.05.2018
Przesyłam obowiązek
informacyjny
Mam zgodę na X miesięcy
od dnia 25.05.2018

11. JAK DŁUGO MOGĘ PRZETWARZAĆ DANE KANDYDATÓW?
OGRANICZONE CELEM DO KONKRETNEJ DATY
Zgoda w ramach danej
rekrutacji
Zgoda w ramach
przyszłych rekrutacji
Zgoda na przekazywanie
danych podmiotom trzecim
Zgoda marketingowa
Zgoda na profilowanie

12. W JAKI SPOSÓB MUSZĘ POINFORMOWAĆ
KANDYDATA O JEGO PRAWACH CO DO
UDZIELONYCH ZGÓD?

13. ZASADY DOTYCZĄCE KLAUZUL
ODRĘBNA ŚWIADOMA ZROZUMIAŁA DOBROWOLNA KONKRETNA
ZGODA

14. OBOWIĄZEK INFORMACYJNY
Jak długo będą
przetwarzane dane?
Kto będzie
przetwarzał dane?
Jak wycofać zgodę na
przetwarzanie?

15. PRZYKŁAD ZE STRONY WWW.RANDSTAD.PL

16. ZASADA MINIMALIZACJI DANYCH
Możesz przetwarzać tylko te dane, które są niezbędne
do osiągnięcia celu przetwarzania danych.

17. CO ZROBIĆ, KIEDY ZGODA SIĘ KOŃCZY?
...
Dane muszą zostać usunięte po
upływie określonego czasu.
Można uzyskać od kandydata
przedłużenie / aktualizacją zgody
ZGODA W RAMACH
KONKRETNEJ
REKRUTACJI
Dane muszą zostać usunięte,
kiedy rekrutacja się kończy
POZOSTAŁE ZGODY

18. PRAWO DO BYCIA ZAPOMNIANYM
Usunięcie
danych przez
administratora
Poinformowanie innych
administratorów, którym dane
upublicznił, że kandydat żąda
również od nich usunięcia:
- Wszelkich łącz
- Kopii danych

19. GDZIE TRZYMASZ DANE KANDYDATÓW?
MAIL TELEFON
GOOGLE DRIVE /
DROPBOX
KOMPUTER
DRUK KALENDARZ ATS

20. PSEUDONIMIZACJA ≠ ANONIMIZACJA

21. KTO JEST KIM?
...
ADMINISTRATOR
PODMIOT
PRZETWARZAJĄCY
TY
FIRMA
KSIĘGOWA
DOSTAWCA POCZTY
ELEKTRONICZNEJ
ATS

22. MINIMALIZACJA RYZYKA
KSIĘGOWOŚĆKANDYDAT
SYSTEMY
ZEWNĘTRZNE
PRACOWNICYKLIENT

23. TY
(administrator)
KANDYDAT
FIRMA ZEWNĘTRZNA
np. dostawca poczty
elektronicznej
]
KLIENT
dla którego
rekrutujesz
PRACOWNICYZGODA
Umowa powierzenia danych osobowych
Upoważnienie do
przetwarzania
danych osobowych

24. Co musi się znaleźć w umowie powierzenia?
1) Przetwarzanie danych na udokumentowanie polecenie administratora
2) Zapewnienie do zachowania tajemnicy
3) Podjęcia środków bezpieczeństwa wymaganych przez RODO
4) Podpowierzenie przetwarzania danych dopuszczalne wyłącznie za zgodą
administratora
5) Pomaganie administratorowi w odpowiadaniu na żądania osoby której dane
dotyczą (w zakresie jej praw określonych w RODO)
6) Usunięcie / zwrot danych administratorowi po zakończeniu przetwarzania
7) Udostępnianie administratorowi lub upoważnionemu audytorowi wszelkich
informacji

25. ZGODA
=
podstawa prawna przetwarzania
danych
To Administrator danych powinien móc wykazać, że dysponuje
odpowiednią podstawą przetwarzania danych
(obowiązek prawny wynikający z zasady rozliczalności)

27. PRAWO DO PRZENOSZENIA DANYCH
INNY
ADMINISTRATOR
ADMINISTRATOR
(TY)
KANDYDAT

28. PRZYKŁADY ZABEZPIECZEŃ WSKAZYWANE W RODO
1) Pseudonimizacja (szyfrowanie) danych
2) Backupy
3) Własny serwer, gdzie trzymane są dane
(gwarancja poufności i dostępności danych)

29. Zagubienie pendrive’a
Włamanie na pocztę e-
mail rekrutera
Uzyskanie dostępu do Google
Drive przez osobę nieuprawnioną
INCYDENT BEZPIECZEŃSTWA
Zgubienie teczki z danymi
kandydatów

30. Postaraj się, aby dane
kandydatów nie były
rozproszone
Przeanalizuj, kto i
do jakich danych
ma dostęp
Zabezpiecz
swój biznes
„od wewnątrz”
Poucz swoich
pracowników i przygotuj
dla nich upoważnienia
Pseudonimizuj dane,
jeśli tylko możesz
Zrób przegląd zgód
jakie posiadasz i
zaktualizuj je
Przygotuj nowe,
odrębne klauzule
Czy będziesz w stanie udowodnić że
zrobiłeś wszystko co w Twojej mocy żeby
zapewnić bezpieczeństwo danych?
Zrób analizę
ryzyka
Zweryfikuj formularze
rekrutacyjne
Sprawdź, czy masz
umowę powierzenia z
dostawcami
PODSUMOWANIE

31. PRZYDATNE LINKI
Informator Ministerstwa Cyfryzacji:
https://www.gov.pl/documents/31305/436699/RODO.pdf/9b7e519b-0d5c-1ef8-4caf-02f8d247aa1d
Przewodnik Ministerstwa Przedsiębiorczości i Technologii:
https://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf
Projekt Ustawy o ochronie danych osobowych:
https://www.gov.pl/documents/31305/0/projekt_ustawy_o_ochronie_danych_osobowych_28.03.2017.pdf/
87757e91-129f-89a5-b442-0e17f9d05245
Treść umowy przetwarzania dla poczty Google:
https://gsuite.google.com/terms/dpa_terms.html
Infografika ze strony Devskiller.com:
https://devskiller.com/wp-content/uploads/2018/03/Infographic-GDPR-compliance-get-ready-by-
Devskiller.jpg

32. ANY QUESTIONS?
ANNA@TRAFFIT.COM