Нужно ли при приеме на работу согласие на обработку персональных данных: ? “” ? (, ) ? ( , 2013 .) |
Как составить согласие на обработку персональных данных и не попасть под штрафы
К необходимости выполнять определенные обязанности по работе с персональными данными отделы кадров и службы, заведующие персоналом, уже привыкли. Есть скачанные шаблоны документов, отработанные регламенты. В результате для многих становится большой неожиданностью, когда по итогам проверки Роскомнадзора организация получает штрафы и предписание привести все в соответствие с законом.
Иногда сотрудники, ответственные за работу с персональными данными, даже не понимают, что не так, и что надо исправлять – ведь шаблоны документов все скачивают из интернета, показывают юристам, получают одобрение. Однако это как раз та сфера, в которой очень много привычных, но абсолютно неправильных документов и процедур. Многие и не задумываются, что все это просто не соответствует тому, что написано в законе.
Чтобы избежать штрафов со стороны Роскомнадзора, придется пересматривать прежние правила и принимать новые документы, разбираясь с первоисточником — Федеральным законом от 27.
В первую очередь это касается согласия на обработку персональных данных. Все давно привыкли, что это обязательный документ, а потому не забывают при приеме на работу выдать новому сотруднику лист бумаги, на котором сплошным текстом набран огромный перечень персональных данных и случаев, куда, как, кому они будут передаваться. Иногда в конце есть еще и приписка «а также иные данные в иных случаях». Почему этот привычный документ в последнее время становится причиной штрафных санкций со стороны Роскомнадзора?
В пункте 4 ст. 9 152-ФЗ дано описание того, как должен выглядеть этот документ – согласие на обработку персональных данных. Обратите внимание на подпункт 4 – он требует, чтобы была указана цель обработки данных, которые оператор (в данном случае – работодатель) собирает. Если вы пишите цель «прием на работу и оформление трудовых отношений», а потом в перечне даете такие персональные данные, как семейное положение, регистрация, наличие и количество детей, а то еще и данные про родственников, то это прямое нарушение, за что вы и получите штраф.
Трудовой кодекс Российской Федерации (далее – ТК РФ) в ст. 86 говорит о том, что «при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами».
Сам ТК РФ дает ограниченный перечень необходимых данных для устройства на работу – он вытекает из документов, которые приведены в ст. 65 ТК РФ. Там идет речь о паспорте, но исключительно как о документе, удостоверяющем личность, а это только первый разворот. Для выяснения отношения к воинской обязанности можно еще глянуть на стр. 13, а вот на остальные страницы кадровик вообще не имеет права смотреть, не то что собирать и обрабатывать. Закон не позволяет.
Да, при этом адрес прописки нужен, например, для передачи бухгалтерских отчетов в ФНС, но это же будет уже другая цель – не оформление трудовых отношений, а «внесение в бухгалтерские системы». Кстати, если вы получили согласие на обработку таких данных, как фамилия, имя и отчество для оформления трудового договора, то это не значит, что вы можете их использовать для той же бухгалтерии или для размещения на корпоративном сайте.
Так можно разобрать текст всего привычного согласия на обработку персональных данных и найти массу нарушений. Как же быть, как правильно составить это согласие?
Прежде всего, надо понять, что одним документом на весь период работы сотрудника вы не обойдетесь. Не пытайтесь в него впихнуть все и сразу – это только приведет к нарушениям. Сделайте правильно основное согласие, а потом будете брать уже узкоцелевые, когда это будет нужно.
Далее, учитывая требования закона, будет удобнее оформить согласие в виде такой таблицы.
Проверьте, чтобы каждой цели соответствовали только те персональные данные, которые разрешены законом. Сами цели тоже не могут выходить за рамки законодательно установленных. Например, кроме ограниченного ряда организаций, работодатель не вправе проводить какие-либо проверки сотрудника, а потому указывать такую цель и требовать под нее данные нельзя. При этом если вы, например, берете человека на должность, по которой предусмотрены зарубежные командировки, можно сразу включить пункт, связанный с этим – это не будет нарушением.
Закончить документ можно вот такой отсылкой.
Соответственно, если в период работы сотрудника понадобится взять у него какие-то еще персональные данные, передать его данные третьей стороне или уже имеющиеся данные использовать с другой целью – просто оформите это отдельным документом.
Конечно, такая работа может показаться более сложной, но это только на первый взгляд. После того как вы разработаете новые формы документов и начнете по ним работать, этот порядок станет таким же привычным, как и ранее существовавший, зато он точно убережет вас от серьезных штрафов.
Что делать, если сотрудник / соискатель / клиент отказывается от предоставления согласия на обработку ПД? – PDMaster.ru
Видимо автор вопроса подразумевает отказ клиента от обработки ПД в интернет-магазине.
Согласно Закону о ПД, обработка ПД возможна только с письменного согласия носителя ПД. В том случае, если на странице интернет-магазина не установлено окно с предложением — согласием на обработку ПД, то оператор нарушает действие Закона о ПД.
Если же на сайте есть указанное окно, то при отказе проставить «галочку» или не согласиться с обработкой ПД, заказ просто не будет оформлен и отправлен клиенту. Так как дистанционный способ продажи возможен при получении данных клиента (ФИО, адрес, эл.почта), которые попадают под действие Закона о ПД, при отсутствии идентифицировать покупателя, не будет возможности отправить товар.
Или же рассмотрим пример при возврате денежных средств за товар в соответствии с Законом о защите прав потребителей. Покупателю предложено для возврата денег из кассы предоставить согласие на обработку ПД. В данном случае, согласие необходимо, так как могут обрабатываться данные — ФИО, документ, удостоверяющий личность, телефон, электронная почта, те персональные данные, которые отвечают целям их обработки (ч. 4 ст. 5 Закона № 152-ФЗ).
Поэтому в случае возврата денежных средств по заявлению необходимо заручиться согласием на обработку ПД. В противном случае продавец будет нести ответственность согласно КоАП.
Указанная позиция подтверждена выводами постановления Верховного Суда РФ от 15.06.2015 № 25-АД15-3. В магазине потребителю, изъявившему желание вернуть товар продавцу, при наличии чека было предложено заполнить в обязательном порядке заявление, в котором требуется указать персональные данные гражданина для возврата денежных средств. Однако, по мнению покупателя, в соответствии с частью 5 ст. 5 Закона № 152-ФЗ истребование персональных данных является избыточным.
Рассмотрев соответствующие нормативные акты, ВС РФ заключил, что возврат денег покупателю из кассы организации на основании письменного заявления покупателя с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства, истребование указанных персональных данных избыточным не является.
Как видим, ситуаций много и каждая должна рассматриваться отдельно. Так как юридически отношения оператор — носитель персональных данных могут регулироваться не только Законом о ПД № 152-ФЗ, но и иными законами, нормативными актами. Поэтому для получения ответа, рекомендуем указывать конкретную ситуацию с описанием проблемы.
Если у Вас еще нет разработанной формы согласия на обработку персональных данных или же Вы ходите привести документы в соответствие с 152-ФЗ рекомендуем Вам обратиться к консультанту в форму ниже.
Нужно ли перезаключать соглашения на обработку персональных данных с работниками при смене ими паспорта или прописки? //
Рассмотрев вопрос, мы пришли к следующему выводу:
Получать новое согласие работника при изменении его персональных данных не нужно при условии, что срок действия первоначального не истек или оно не было отозвано работником. Тот факт, что в самом согласии указаны прежние персональные данные, не отменяет и не изменяет действие данного согласия и не делает его недействительным.
Обоснование вывода:
1. Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее — Закон N 152-ФЗ) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
При обработке персональных данных оператор должен руководствоваться принципами, сформулированными в ст. 5 Закона N 152-ФЗ. Так, надлежит учитывать, что обработке подлежат только персональные данные, которые отвечают целям их обработки (п. 4 ч. 1 ст. 5 Закона N 152-ФЗ). Обрабатываемые персональные данные не могут быть избыточными по отношению к заявленным целям их обработки (п. 5 ч. 1 ст. 5 Закона N 152-ФЗ). При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность (п. 6 ст. 5 Закона N 152-ФЗ). Заключая трудовой договор лицо, поступающее на работу, предъявляет работодателю документы, указанные в части первой ст. 65 ТК РФ. В этих документах содержатся персональные данные лица, ищущего работу. Если предстоящая обработка персональных данных не подпадает под исключения, предусмотренные п.п. 2-11 ч. 1 ст. 6, п.п. 2-10 ч. 2 ст. 10 Закона N 152-ФЗ, то работодателью необходимо получить согласие гражданина на обработку его персональных данных (п.
Согласие на обработку персональных дается субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ч. 1 ст. 9 Закона N 152-ФЗ). Исключительно в письменной форме согласие требуется, в частности, на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Требования к содержанию такого согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ. Если согласие на обработку персональных данных составляется в форме электронного документа, то оно должно быть подписано электронной подписью.
При иных обстоятельствах, по смыслу приведенных норм, согласие на обработку персональных данных может быть дано в любой форме: например, путем включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию письменного согласия (смотрите разъяснения Роскомнадзора от 14. 12.2012). Отметим, что ни Трудовой кодекс РФ, ни Закон N 152-ФЗ не устанавливают обязанности оператора при изменении персональных данных работника требовать от него новое согласие на обработку персональных данных, если срок действия первоначального не истек или согласие не было отозвано работником (ч. 2 ст. 9 Закона N 152-ФЗ). Тот факт, что в самом согласии указаны прежние персональные данные (п. 1 ч. 4 ст. 9 Закона N 152-ФЗ), не отменяет и не изменяет действие данного согласия и не делает его недействительным. Полагаем, что оно продолжает действовать — вне зависимости от изменения “внутреннего содержания” персональных данных, указанных в перечне, поскольку данные обстоятельства никак не порочат волеизъявление субъекта персональных данных. На наш взгляд, достаточно внести изменения в учетные документы, содержащие персональные данные работника (трудовую книжку, личную карточку работника*(1) и др.)*(2). Так, например, в одном из дел суд счел доверенность на представительство интересов истца действительной, несмотря на то, что фамилия представителя была изменена. Представленные документы, подтверждающие факт изменения фамилии: свидетельство о заключении брака и копия паспорта на новую фамилию позволили суду идентифицировать личность представителя, подписавшего исковое заявление (постановление ФАС Западно-Сибирского округа от 06.04.2011 N Ф04-1475/11 по делу N А45-15480/2010). Очевидно, что такой же подход должен быть использован и в рассматриваемом случае.
2. Равным образом не предусматривает действующее законодательство обязанности работника (субъекта персональных данных) предоставлять работодателю (оператору) сведения об изменении своих персональных данных, наделяя его только правом требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 89 ТК РФ, ч. 1 ст. 14 Закона N 152-ФЗ). В то же время такая обязанность установлена, например, пенсионным законодательством. Так, в ст. 14 Федерального закона от 01.04.1996 N 27-ФЗ “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования” (далее — Закон N 27-ФЗ) указано, что работники (застрахованные лица) обязаны предоставлять сведения работодателю и заполнять необходимые документы в случае изменения сведений, содержащихся в его индивидуальном лицевом счете. Работник (застрахованное лицо) обязан предъявить работодателю (страхователю) документы, подтверждающие сведения о новом адресе, и заполнить соответствующие формы (абз. второй и четвертый п. 2 ст. 9, п. 2 ст. 6 Закона N 27-ФЗ). К сожалению, Закон N 27-ФЗ не устанавливает сроков представления таких документов. Однако ничто не препятствует работодателю в целях обеспечения соблюдения законов конкретизировать данную обязанность в локальном нормативном акте и определить способы и сроки сообщения работниками об изменении тех сведений, которые необходимы работодателю для соблюдения правовых предписаний. При этом работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (пп. 8 ст. 86 ТК РФ).
Кроме того, условие об обязанности работника в определенные сроки сообщать работодателю об изменении своих персональных данных может быть включено в трудовой договор. По мнению специалистов Роструда, это не нарушает действующих норм законодательства (смотрите: Информационный портал Роструда “Онлайнинспекция.РФ”, март 2018 г.). Неисполнение требований локального нормативного акта, условий трудового договора в данном случае может расцениваться как нарушение дисциплины труда (смотрите, например, решение Первомайского районного суда г. Мурманска Мурманской области от 01.07.2016 по делу N 2-6858/2016).
Помимо этого, подобные меры позволят работодателю избежать претензии к нему со стороны работников или контролирующих органов при возникновении тех или иных негативных последствий использования неактуальных сведений при заполнении документов в целях предоставления их в различные государственные органы (смотрите, например, решение Сургутского городского суда Ханты-Мансийского автономного округа — Югры от 18. 04.2017 по делу N 12-305/2017, решение Тагилстроевского районного суда г. Нижнего Тагила Свердловской области от 08.12.2014 по делу N 2-2474/2014).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Виноградова Марина
Информационное правовое обеспечение ГАРАНТ
http://www.garant.ru
Многоканальный телефон: (347) 292-44-44
────────────────────────────────────────────────────────────────────────
*(1) Унифицированная форма N Т-2 (утверждена постановлением Госкомстата РФ от 05.01.2004 N 1).
*(2) Изменение анкетных данных: как отразить документально (И. Гущина, “Кадровик. Кадровое делопроизводство”, N 5, май 2010 г.).
Обработка персональных данных, ГБОУ Школа № 2073, Москва
Развитие различных информационных технологий привело к тому, что личная информация о человеке становится все более доступной. Различные сообщества, многочисленные социальные сети могут содержать целое «досье» на взрослого и ребенка. Каждый взрослый сам для себя решает, какую именно информацию можно выложить в информационные сети «Интернет». Дети часто создают свои аккаунты и там делятся личной информацией.
При поступлении в школу каждый родитель получает соглашение, где дает свое письменное согласие на обработку персональных данных. У многих возникает вопросы и опасения, относительно распространения персональных данных семьи или ребенка. Нередко родители хотят узнать, каким образом, в каких случаях личная информация о ребенке может быть распространена.
Для начала необходимо определиться, что такое персональные данные?
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Федеральный Закон от 27.07.2006 № 152-ФЗ«О персональных данных»).
Что значит, дать согласие на обработку персональных данных?
«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных» (Федеральный Закон «О персональных данных» от 27. 07.2006 № 152-ФЗ).
Обработка указанных специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
Каждая школа разрабатывает локальный акт, который конкретизирует сведения, относящиеся к персональным данным, кто имеет доступ к персональным данным обучающегося, права и обязанности работников, получивших доступ к персональным данным ученика и т. д.
Например, к персональным данным ученика относятся:
сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле учащегося; информация, содержащаяся в личном деле учащегося, лишенного родительского попечения; информация, содержащаяся в классном журнале; информация, содержащаяся в Карточке здоровья учащегося; информация о состоянии здоровья; документ о месте проживания; фотографии; иные сведения, необходимые для определения отношений обучения и воспитания.
Иные персональные данные учащегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством:
- документы о составе семьи;
- документы о состоянии здоровья;
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота, ребенок из многодетной семьи и т. п.).
Персональные данные учащегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.
Право доступа к персональным данным обучающегося могут иметь:
- работники департамента (управления) образования (при наличии соответствующих полномочий, установленных приказом департамента (управления) образования;
- директор образовательного учреждения;
- секретарь образовательного учреждения;
- заместители директора по УВР;
- социальный педагог;
- педагоги дополнительного образования
- врач/медработник.
- учителя-предметники;
- классный руководитель.
Не имеет права получать информацию об учащемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.
Работники, имеющие доступ к персональным данным учащегося, обязаны:
1. Не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется.
2. Использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя).
3. Обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации.
4. Ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись.
5. Соблюдать требование конфиденциальности персональных данных учащегося.
6. Исключать или исправлять по письменному требованию одного из родителей (законного представителя) обучающегося его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства.
7. Ограничивать персональные данные учащегося при передаче уполномоченным работникам правоохранительных органов или работникам департамента (управления) образования только той информацией, которая необходима для выполнения указанными лицами их функций.
8. Запрашивать информацию о состоянии здоровья учащегося только у родителей (законных представителей).
9. Обеспечить учащемуся или одному из его родителей (законному представителю) свободный доступ к персональным данным обучающегося, включая право на получение копий любой записи, содержащей его персональные данные.
10. Предоставить по требованию одного из родителей (законного представителя) учащегося полную информацию о его персональных данных и обработке этих данных.
Данные должны храниться в недоступных местах всеобщего пользования (например, в сейфе) на бумажных носителях и (или) на электронных носителях с ограниченным доступом.
Существуют Приказы Министерства образования, которые также содержат некоторые вопросы, касающиеся личных данных обучающегося.
- Приказ Министерства образования и науки РФ от 22 января 2014 г. № 32 «Об утверждении Порядка приема граждан на обучение по образовательным программам начального общего, основного общего и среднего общего образования».
- Приказ Министерства образования и науки РФ от 12 марта 2014 г. N 177 «Об утверждении Порядка и условий осуществления перевода обучающихся из одной организации, осуществляющей образовательную деятельность по образовательным программам начального общего, основного общего и среднего общего образования, в другие организации, осуществляющие образовательную деятельность по образовательным программам соответствующих уровня и направленности».
Личные/персональные данные ребенка содержатся в основном в личном деле ребенка. На каждого ребенка, зачисленного в организацию, осуществляющую образовательную деятельность, заводится личное дело, в котором хранятся все сданные документы. Таким образом, на начальном этапе обучения ребенка в общеобразовательной организации его личное дело будет состоять из следующих данных: фамилия, имя, отчество, дата и место рождения ребенка, адрес места жительства родителей, контактные телефоны.
В процессе обучения личное дело будет пополняться документами о состоянии здоровья ребенка, данными о результатах промежуточной и итоговой аттестаций, какими-либо персональными данными, документами, подтверждающими достижения в учебе, спорте, иных видах деятельности, а также иными документами.
Личное дело обучающегося подлежит выдаче ему или его законным представителям в случае перевода в другую организацию, осуществляющую образовательную.
Если родители отказываются подписывать согласие на обработку персональных данных, то в этом случае школа действует в рамках законодательства и предполагается, что минимум персональных данных для обработки родитель предоставить обязан.
Страхи родителей, связанные с обработкой персональных данных ребенка и семьи чаще всего необоснованны. Ребенок все равно будет находиться школьной базе, и школа будет получать на него финансирование. Но учета его участия в школьной жизни может не быть. Обработка персональных данных нередко подразумевает ведения учета успеваемости в электронном журнале, передача данных ребенка для участия в олимпиадах и конкурсах.
Нарушением закона о защите персональных данных может стать рассылка персональных данных по общедоступным сетям, поскольку такие виды обработки данных не предусмотрены законодательством, в данном случае требуется желание субъектов данных, подкрепленное письменным согласием.
Документы школы, регламентирующие обработку и защиту персональных данных
Вы действительно хотите удалить папку?
Как законно получить согласие на обработку персональных данных при приеме на работу
Обществу с ограниченной ответственностью «Кадровое агентство “ОСНОВА+» (ОГРН 1101690061098), расположенному по адресу: 420111, Республика Татарстан, город Казань, Вахитовский р-н, улица Право-Булачная, дом 13, офис 12. (далее – «Общество») Обрабатывать следующие мои персональные данные: фамилия, имя, отчество; пол; дата и место рождения; паспортные данные, в том числе, сведения об адресе регистрации; идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; место фактического проживания; семейное положение и количество детей; сведения о полученном образовании; сведения о форме занятости и среднем размере месячного дохода и расхода; номера контактных телефонов; адрес электронной почты; сведения о наименовании работодателя, адресе места работы и должности; трудовом стаже; а также иные данные, предоставляемые мной Обществу в процессе заполнения анкеты на сайте Общества. В случае предоставления мною Обществу персональных данных третьих лиц, я заявляю и гарантирую, что мною получено согласие этих лиц на передачу их персональных данных Обществу и обработку этих персональных данных Обществом. Мое согласие распространяется на обработку моих персональных данных Обществом в следующих целях:- рассмотрение Обществом моих заявок, при котором производится оценка моей профессиональной квалификации и трудоспособности;
- осуществление и выполнение функций, полномочий и обязанностей Общества, возложенных на него законодательством Российской Федерации, а также прав и законных интересов Общества;
- оказание мне Обществом консультаций в целях содействия в трудоустройстве, а также с целью осуществления Обществом деятельности, связанной с управлением человеческими ресурсами;
Обработка персональных данных и правовая информация
Правовая основа для обработки данных
Правовая основа для каждого отдельного случая по обработке персональных данных указана выше в соответствующих разделах. При обработке персональной информации в наших законных интересах, мы должны учитывать и сбалансировать любые потенциальные последствия для субъекта данных (как положительные, так и отрицательные), а также права субъекта данных в соответствии с законами о защите данных. Наши законные деловые интересы не могут автоматически преобладать над интересами субъектов данных – мы обрабатываем персональные данные для деятельности, в которой наши интересы преобладают путем воздействия на субъект данных (за исключеwwwweнием случаев получения согласия владельца данных, или, когда раскрытие информации требуется или разрешено законом).
Когда и как мы предоставляем персональные данные и пункты обработки данных
Мы предоставляем персональные данные другими лицам, если это разрешено по закону. При этом мы устанавливаем договорные механизмы и механизмы обеспечения безопасности для защиты данных и соблюдения наших стандартов защиты данных, конфиденциальности и безопасности.
Мы являемся частью глобальной сети фирм и совместно с другими профессиональными поставщиками услуг, мы пользуемся услугами третьих сторон, расположенных в других странах в целях оказания содействия в управлении нашим бизнесом. В результате персональные данные могут передаваться за пределы стран, находимся где мы и наши клиенты.
В отношении персональных данных, регулируемых законодательством ЕС, необходимо учесть, что: процесс трансграничной передачи данных может включать страны, не входящие в Европейский Союз («ЕС»), и страны, которые не имеют законов, обеспечивающих определенную защиту персональных данных. Мы предприняли шаги для обеспечения надлежащей защиты всех персональных данных, и чтобы любая передача персональных данных за пределами ЕС осуществлялась на законных основаниях. При передаче персональных данных за пределы ЕС в страну, не определенную Европейской комиссией, для обеспечения надлежащего уровня защиты персональных данных, передача будет осуществляться по соглашению, которое охватывает требования ЕС о передаче персональных данных за пределы ЕС, например, стандартные договорные положения, утвержденные Европейской комиссией. С данными положениями можно ознакомиться здесь.
Хранящиеся у нас персональные данные могут быть переданы:
- Другие фирмы-члены PwC. Для получения подробной информации о наших фирмах, пожалуйста, пройдите по ссылке. Мы можем передавать персональные данные другим фирмам-членам PwC, в случаях, когда это необходимо для административных целей и оказания профессиональных услуг нашим клиентам (например, при оказании консультационных услуг фирм-членов PwC на разных территориях). Пользователи PwC могут просматривать и использовать персональные данные деловых контактов в целях получения дополнительной информации об интересующем контакте, клиенте или деловой возможности (см. раздел «Деловые контакты» настоящего Заявления о конфиденциальности для получения дополнительной информации о нашей обработке такого типа данных).
- Сторонние организации, предоставляющие нам приложения/функциональные возможности, обработку данных или ИТ-услуги
- Мы используем услуги третьих сторон для оказания поддержки в предоставлении наших услуг, а также для обеспечения, контроля и управления нашими внутренними ИТ-системами. Например, поставщики информационных технологий, поставщики услуг по облачному программному обеспечению, управлению идентичностью, хостинг и управление вебсайтом, анализ данных, резервное копирование данных, службы безопасности и хранения. Серверы, питающие и поддерживающие облачную инфраструктуру, находятся в защищенных центрах обработки данных по всему миру, и персональные данные могут храниться в любом из них.
- Сторонние организации, которые помогают нам в предоставлении товаров, услуг или информации.
- Аудиторы и другие профессиональные консультанты.
- Правоохранительные органы или другие правительственные и регулирующие учреждения или другие третьи стороны в соответствии с применимым законодательством или правилами.
- Периодически мы получаем запросы от третьих лиц, обладающих полномочиями для получения персональных данных, например, в целях проверки соблюдения нами действующего законодательства и нормативных актов, расследования предполагаемого преступления, установки, осуществления или защиты законных прав. Мы принимаем запросы на обработку персональных данных только в соответствии с применимым законодательством или правилами.
Внесение изменений в данное Заявление о конфиденциальности
Мы признаем, что прозрачность является постоянной ответственностью, поэтому данное Заявление о конфиденциальности находится в процессе регулярного пересмотра.
Последние изменения в Заявление о конфиденциальности были внесены 2017.
Контроллер обработки данных и контактная информация
Контроллером обработки данных является ТОО Прайсуотерхаус Такс энд Эдвайзори или фирма-член PwC, указанная по данной ссылке, которая является договаривающейся стороной для целей оказания или получения услуг, или организацией, с которой вы вступили в контакт.
Если у Вас есть какие-либо вопросы в отношении данного Заявления о конфиденциальности, или в отношении методов и причин обработки персональных данных, свяжитесь с нами по адресу:
Бизнес-центр “AFD”, здание «А», 4 этаж, пр. Аль-Фараби, 34, Алматы, Казахстан, A25D5F6
Email: [email protected]
Телефон: +7 (727) 330 32 00
Права лиц и их осуществление
Лица обладают определенными правами на свои персональные данные, и контроллеры обработки данных отвечают за осуществление этих прав. В случаях, когда мы решаем, как и почему обрабатываются персональные данные, мы являемся контроллером данных и ниже включаем дополнительную информацию о правах лиц и способах их осуществления.
Доступ к персональным данным
Вы имеете право доступа к персональным данным, хранящимся у нас, как у контроллера обработки данных. Данное право может быть осуществлено путем отправки по электронной почте нам по адресу [email protected].
Внесение изменений в персональные данные
В целях внесения изменений в персональные данные, представленные нам, Вы можете отправить нам по электронной почте [email protected] или, при необходимости, связаться с нами через соответствующую страницу регистрации на вебсайте, или внести изменения в персональные данные, содержащиеся в соответствующих приложениях, в которых Вы зарегистрированы.
Мы внесем изменения (в соответствующих случаях) в Ваши персональные данные, на основе внесенных Вами поправок, по возможности после того, как нам станет известно о том, что любые, обработанные нами данные, не актуальны.
Отзыв согласия
Когда мы обрабатываем персональные данные на основе согласия, отдельные лица имеют право отозвать данное ими согласие в любое время. В обычной практике мы не обрабатываем персональные данные на основе согласия (поскольку мы полагаемся на другую юридическую основу). Чтобы отозвать согласие на обработку ваших персональных данных, пожалуйста, напишите нам [email protected] или, чтобы отказаться от получения рассылки от маркетингового отдела PwC, нажмите на ссылку для отмены подписки в соответствующем электронном письме, полученном от нас.
Право на ограничение или возражение против нашей обработки персональных данных
Вы имеете право ограничить или выразить возражение против обработки Ваших персональных данных в любое время, на разумных основаниях, касающихся Вашей конкретной ситуации, за исключением случаев, когда обработка требуется по закону.
В данном случае мы прекращаем обработку или ограничиваем обработку персональных данных, за исключением случаев, когда мы не сможем продемонстрировать убедительных законных оснований для обработки или установления, осуществления или защиты юридических требований.
Прочие права субъекта данных
Настоящее Заявление о прозрачности предназначено для предоставления информации о типах персональных данных, которые мы собираем о Вас, и методах их использования. Помимо прав доступа, внесения изменений и ограничений или возражений на обработку, упомянутых выше, лица могут иметь другие права в отношении персональных данных, хранящихся у нас, например, право на стирание/удаление и право на переносимость данных.
Если Вы хотите воспользоваться любым из этих прав, отправьте нам письмо по электронной почте
Претензии
Мы надеемся, что Вам не понадобится воспользоваться данным пунктом, но если Вы пожелаете предъявить претензии в отношении нашего использования персональных данных, отправьте электронное письмо с текстом претензии на kz_privacy@pwc. com. Мы рассмотрим и ответим на любые претензии и жалобы, которые мы получим.
Вы также имеете право подать жалобу. Для получения дополнительной информации о Ваших правах и о том, обратитесь к [email protected].
Руководство по соблюдению GDPR для набора персонала
Начиная с мая 2018 года, организации, собирающие личные данные жителей ЕС, должны соответствовать Общему регламенту защиты данных (GDPR). GDPR – это новый закон, направленный на укрепление прав людей на неприкосновенность частной жизни и защиту их личных данных.
GDPR возлагает бремя обеспечения соответствия на всю вашу организацию, особенно на такие функции, как набор персонала, которые в значительной степени зависят от сбора личных данных кандидатов.Что должны делать работодатели, чтобы обеспечить соблюдение GDPR, когда они находят кандидатов в Интернете или собирают данные о кандидатах в своих кадровых резервах?
Чтобы помочь вам на пути к соблюдению GDPR, мы подготовили это руководство по подбору персонала:
Обратите внимание: хотя Workable консультировалась со специалистами в области права как при создании этого руководства, так и при обновлении наших собственных функций продукта, Workable не является юридической фирмой. Вся информация в этом руководстве носит общий характер. Он не предназначен для использования в качестве юридической консультации или стремления быть полным и исчерпывающим изложением закона, а также не предназначен для удовлетворения ваших конкретных требований.Организации должны получить независимую юридическую консультацию относительно собственных положений о защите данных.
Кто должен соблюдать GDPR и каковы штрафы за несоблюдение?
GDPR применяется к компаниям, обрабатывающим данные резидентов ЕС. Это касается организаций ЕС и компаний, не входящих в ЕС, которые предлагают товары или услуги резидентам ЕС или следят за их поведением. Все эти организации должны соответствовать требованиям, когда закон вступит в силу 25 мая 2018 года. В противном случае они рискуют быть оштрафованными на сумму до 4% от их годового глобального оборота (дохода) или 20 миллионов евро, в зависимости от того, что больше.Компании также могут пострадать в результате штрафов или выговоров, нанесших ущерб своей репутации.
Британские организации должны соблюдать GDPR до завершения Brexit, а, возможно, и после него.
Каковы основные условия GDPR и как они связаны с набором персонала?
В отношении функции приема на работу GDPR ссылается на:
- Кандидаты или «субъекты данных». Кандидаты являются субъектами данных, потому что их можно идентифицировать по личным данным, которые они предоставляют компаниям.Например, их резюме могут включать их имена, физические адреса или номера телефонов. GDPR существует для защиты таких данных. Члены кадровых команд также считаются субъектами данных в соответствии с GDPR, но их собственные данные не будут обрабатываться в той же степени, что и данные кандидатов.
- Работодатели или «контролеры данных». Работодатели или рекрутеры, которые выступают в качестве основных представителей своей компании перед кандидатами, определяют цель сбора личных данных кандидатов.Это делает их контролерами данных, которые несут полную ответственность за защиту данных кандидатов и их законное использование.
- Системы отслеживания кандидатов (ATS) и другое программное обеспечение / услуги по найму или «обработчики данных». Ваш ATS является процессором данных, поскольку он обрабатывает данные кандидатов от имени вашей компании в соответствии с инструкциями вашей компании. У процессоров данных часто есть «подпроцессоры» (например, Workable использует облачную платформу для развертывания своей системы).
Наши специалисты по найму ответят на все ваши вопросы о GDPR и Workable GDPR Feature Pack.Запросите бесплатную демонстрацию, чтобы узнать, как универсальное программное обеспечение для набора персонала Workable может обеспечить безопасность данных кандидатов и повысить эффективность процесса найма.
Как GDPR влияет на набор персонала?
Вот несколько ключевых директив GDPR, которые влияют на повседневную работу рекрутеров и кадровых команд:
- Для обработки данных кандидата необходим законный интерес. GDPR обязывает вас собирать данные только для «определенных, явных и законных целей.«Это означает, например, что вы можете получить данные о кандидатах, если вы собираете только информацию, связанную с должностями, и намереваетесь связаться с выбранными кандидатами в течение 30 дней.
- Для обработки конфиденциальных данных необходимо согласие кандидата. GDPR требует, чтобы вы запрашивали согласие, когда вы хотите обрабатывать такие данные, как информация об инвалидности, культурная, генетическая или биометрическая информация или информация, собранная для опроса EEO или проверки биографических данных. В этих случаях вы должны запросить согласие в ясной и понятной форме и дать кандидатам четкие инструкции о том, как отозвать свое согласие, если они того пожелают.
- Вы должны быть прозрачными при обработке данных кандидатов. Компании должны иметь четкую политику конфиденциальности, и рекрутеры обязаны сделать ее доступной для кандидатов. Вы также должны указать, где вы храните данные кандидата (например, ваш ATS), и заявить, что вы будете использовать эти данные только для целей найма.
- Вы должны взять на себя ответственность за соблюдение требований (подотчетность). Ваша компания должна иметь возможность продемонстрировать соответствие GDPR.Например, согласно GDPR, ваша компания несет ответственность за то, с кем она ведет бизнес (например, за поставщика ATS или поставщиков услуг). Если ваши подрядчики не соблюдают закон, ваша компания также несет ответственность.
Кроме того, вы обязаны соблюдать, когда кандидаты реализуют свои права в соответствии с GDPR:
- Кандидаты имеют «право на забвение». Кандидаты имеют право попросить вас удалить и прекратить обработку их персональных данных. Вы должны найти все места, где храните их информацию (например,грамм. таблицы) и удалите его в течение одного месяца после получения запроса кандидата.
- Кандидаты имеют право получить доступ к своим данным и попросить вас исправить их . Кандидаты имеют право спросить, какими из их данных вы владеете. Они также могут попросить вас исправить любые неточности (исправить). Вы должны удовлетворить оба запроса в течение одного месяца и предоставить кандидатам бесплатную электронную копию их личных данных.
Что должны делать работодатели, чтобы соблюдать GDPR?
Сопоставьте свои рекрутинговые данные
Одна из первых вещей, которые ваша компания должна сделать для подготовки к GDPR, – это провести аудит данных в масштабах всей компании.Этот процесс покажет, какие данные собирает ваша организация, как, почему и откуда.
Что касается данных о приеме на работу, вы должны четко понимать, где и как вы находите и храните имена кандидатов и контактные данные, а также другую идентифицирующую информацию. Вот несколько вопросов, на которые вы сможете ответить после завершения аудита данных:
- Каковы наши источники кандидатов и как мы собираем личные данные? Примером может быть сбор данных о кандидатах через формы заявок, связанные с вашими объявлениями о вакансиях.
- Какие данные мы собираем и сколько их фактически используем? Пример: кандидаты должны указать свой адрес электронной почты, домашний адрес и номер телефона. Вы должны быть уверены, что вся эта информация необходима для вашего найма (законный интерес), в противном случае вам не следует ее собирать.
- Как мы используем личные данные в нашей деятельности? Примером может служить использование данных кандидата для отбора кандидатов и оценки их пригодности для прохождения собеседования.
- Где мы храним данные и у кого есть к ним доступ? Примером может служить хранение данных о кандидатах в электронных таблицах или ATS и совместное использование их с командами по найму.
- Как в нашей компании передаются данные по процессам / функциям / отделам? Примером может служить передача информации о кандидате от источников к менеджерам по найму для найма членов команды, чтобы они могли связаться с этими кандидатами.
- Каковы наши процессы обмена, передачи, изменения и удаления данных? Опять же, если вы используете электронные таблицы для отслеживания данных кандидатов, какой процесс у вас есть для исправления неточностей или обмена документами?
Создать политику конфиденциальности для набора
Ваша компания должна иметь прозрачную политику конфиденциальности, объясняющую, как она собирает, обрабатывает и защищает данные, и инструкции для субъектов данных о том, как попросить вашу компанию удалить и исправить их данные.В дополнение к этой политике конфиденциальности вашей компании может быть полезно иметь уведомление о конфиденциальности при приеме на работу. Это примечание будет адресовано кандидатам напрямую и должно включать всю информацию, требуемую статьями 13 и 14 GDPR, а также изложение действий вашей компании по обеспечению защиты данных:
- Название и контактные данные вашей организации . Если вы назначили сотрудника по защите данных (DPO), укажите также его контактные данные.
- Заявление о том, что любые запрошенные данные будут использоваться только для целей найма .Вам также необходимо объяснить свой законный интерес.
- Типы информации о кандидате, хранящиеся в файлах вашей компании . Это могут быть контактные данные, социальный и профессиональный профиль, образование и опыт работы.
- Кто поделится данными с . Например, если вы консультант по подбору персонала, вы можете поделиться этими данными со своими клиентами.
- Где можно найти данные кандидата . Важно упомянуть, что вы используете свои источники на законных основаниях.
- Где основана обработка и где вы храните данные . Это особенно важно, если вы передаете данные за пределы ЕС.
- Как долго ваша организация намеревается хранить данные каждого кандидата . Если это невозможно, объясните, по каким критериям вы определяете этот период.
- Права кандидатов . К ним относятся право на забвение, исправление или доступ к данным, ограничение обработки, отзыв согласия, получение информации об обработке своих данных.
- Инструкции о том, как кандидаты могут принять меры при обработке своих персональных данных . Сообщите им, как получить доступ к их данным, или попросите вас удалить, исправить или ограничить обработку их данных.
- Как вы защищаете данные кандидата . Вы можете подвести итог или дать ссылку на общую политику конфиденциальности вашей компании, которая должна включать все способы защиты данных вашей компанией (например, шифрование, конфиденциальность по дизайну).
Поиск кандидатов онлайн с осторожностью
Поиск поставщиков – важная функция для организаций, которые хотят найти отличных людей.Однако для поиска и хранения личных данных кандидатов необходимо полностью соблюдать GDPR.
Во-первых, имейте в виду, что вам нужен законный интерес к источникам кандидатов и обработке их личных данных. Убедитесь, что вы:
- Собственно намерены связаться с этими кандидатами . Простое создание базы данных талантов путем добавления данных о кандидатах на случай, если они вам понадобятся в будущем, не является законным в соответствии с GDPR.
- Запланируйте как можно скорее связаться с кандидатами .Вы можете хранить данные кандидата только в течение ограниченного времени (максимум месяц), не сообщая ему об этом. Свяжитесь с этими кандидатами как можно скорее и удалите их данные, если они попросят вас об этом. Если вы передумали о кандидате и решите не связываться с ним, вы должны немедленно удалить его данные.
- Собирайте только те данные, которые вам нужны . Возможно, вы захотите обработать данные кандидатов, касающиеся образования, опыта работы или навыков, а также контактные данные. Эти типы данных имеют смысл для вашего процесса найма.Однако вы не должны обрабатывать нерелевантные данные (например, культурную информацию) в целях набора персонала. Если вам необходимо обработать эти данные, обязательно объясните это, когда вы связываетесь с кандидатами и запрашиваете их согласие.
- Получить данные законным путем . Сбор данных из социальных профилей является законным в соответствии с GDPR, если эти профили общедоступны и если вы можете обоснованно предположить, что кандидаты ожидают, что с ними свяжутся. Например, вы можете предположить, что общедоступный профиль LinkedIn указывает на разумное ожидание контакта.Только после этого можно приступать к обработке данных кандидата.
Создайте шаблон текста, который вы можете добавить в свои электронные письма с источниками. Если у вас действует политика найма на работу, вы можете указать название своей организации и контактные данные, сказать, что вы намерены хранить данные только для целей найма, и ссылку на свою политику конфиденциальности найма, чтобы передать остальную необходимую информацию.
Если у вас еще нет уведомления о конфиденциальности при приеме на работу, вам необходимо указать в своем электронном письме всю информацию, требуемую статьей 14 GDPR (см. Выше).Вот образец текста электронного письма с заполнителями:
Acme, Inc. [адрес, номер телефона, электронная почта) собрала и сохранила ваше резюме и контактные данные.
Мы обрабатываем эти данные только в целях набора персонала. Мы нашли эти данные в [Linkedin], когда пытались заполнить открытую вакансию в нашей компании. Мы храним эти данные в нашей системе отслеживания кандидатов [в которой хранятся данные в США и полностью соответствуют законам ЕС о защите данных], и мы не будем передавать их никому.
Мы хотели бы сохранить эти данные до тех пор, пока наша открытая роль не будет заполнена. [Мы не можем оценить точный период времени, но мы будем рассматривать этот период, когда кандидат принимает наше предложение о работе на должность, на которую мы рассматриваем вас.] Когда этот период истечет, мы либо удалим ваши данные, либо сообщим вам что мы сохраним его в нашей базе данных для будущих ролей.
Вот ссылка на нашу политику конфиденциальности. В этой политике вы найдете информацию о том, как мы соблюдаем GDPR (закон о защите данных.Вы можете узнать, как отправить нам запрос на предоставление вам доступа к вашим данным, которые мы собрали, попросить нас удалить ваши данные, исправить любые неточности или ограничить нашу обработку ваших данных.
У вас есть право подать жалобу на то, как мы обрабатываем ваши данные, в [надзорный орган] или вы можете связаться с нашим [DPO] по [контактные данные] для получения дополнительной информации или проблем.
Убедитесь, что процесс вашего заявления о приеме на работу соответствует GDPR
Когда кандидаты заполняют ваши анкеты о приеме на работу, они предоставляют вам свои личные данные.Поскольку заявления о приеме на работу соответствуют фактическим вакансиям, у вас есть законный интерес в обработке этих данных, и вам не нужно запрашивать явное согласие. Но для полного соответствия GDPR убедитесь, что вы:
- Запрашивайте только те личные данные, которые вам нужны . Рабочая группа 29 (сборник органов по защите данных) заявляет, что данные, которые вы собираете от кандидатов, должны быть «необходимыми и иметь отношение к выполнению работы, на которую подается заявка».
- Будь прозрачным .В своих объявлениях о вакансиях сообщите кандидатам, что вы собираетесь использовать их данные только для целей найма и сколько времени вам может понадобиться хранить эти данные. Если вы планируете собирать дополнительную информацию о кандидатах (например, просматривая их профили в социальных сетях) в рамках процесса отбора, вам необходимо указать это прямо и объяснить, как и почему.
- Ссылка на вашу политику конфиденциальности . Политика конфиденциальности вашей компании должна быть легко доступна. Он должен включать инструкции для кандидатов о том, как они могут попросить вас удалить, исправить или прекратить разглашать их личные данные.В своем объявлении о вакансии сообщите кандидатам, что они могут найти эту информацию в вашей политике конфиденциальности.
Обновите шаблоны писем с отказом
Иногда у вас есть несколько отличных претендентов на роль. Если вы не можете нанять всех из них, вы можете оставить тех, кого вы не нанимали, для будущих должностей. Чтобы оставаться в соответствии с GDPR, вам необходимо убедиться, что вы не будете хранить эти данные в течение более длительного периода, чем тот, который вы первоначально упомянули кандидатам. Если, например, вы сказали кандидатам в своем электронном письме с источниками, что вы будете хранить их данные в течение года после того, как они подадут заявку, вам не нужно отправлять им еще одно электронное письмо, пока не пройдет этот год.И наоборот, если вы сказали кандидатам, что будете хранить их данные до тех пор, пока не заполните эту конкретную должность, вам нужно будет снова сообщить им, что вы хотите сохранить данные, которые вы собрали.
Сделайте это с помощью электронного письма с отказом. Добавить несколько предложений к:
- Объясните, почему вы хотите сохранить данные кандидата.
- Укажите, как долго вы планируете хранить их данные.
- Снова сделайте ссылку на ваше уведомление о конфиденциальности при приеме на работу.
- Сообщите кандидатам, что они могут попросить вас удалить их данные в любое время.
Если они просят вас удалить их данные, вы должны подчиниться.
Будьте готовы сообщать кандидатам об обработке данных всякий раз, когда вы получаете их данные
Часто вы обнаруживаете, что владеете личными данными кандидата не только с помощью приложений о приеме на работу или поиска в Интернете, но и другими способами. Кандидаты могут предоставить вам свои резюме на ярмарке вакансий или на мероприятии по установлению контактов. Или они могут попросить вас связаться с ними и сообщить о вакансиях. Все эти сценарии являются законными в соответствии с GDPR, но вы должны продемонстрировать свою прозрачность.
Вы можете сделать это, подготовив стандартные формы, которые содержат всю информацию, требуемую GDPR, и просят кандидатов подписаться. Или вы можете позже отправить им электронное письмо с уведомлением о конфиденциальности при приеме на работу и остальной необходимой информацией.
Обзор существующих кадровых ресурсов
GDPR распространяется на личные данные, которые ваша компания собирала в прошлом. Это означает, что вы должны просмотреть свои базы данных талантов, электронные таблицы и другие файлы, в которых вы храните данные кандидатов, до того, как закон вступит в силу в мае.
Это хорошая возможность убедиться, что ваша база данных о талантах обновлена и актуальна. Определите, какие кандидаты могут быть подходящими кандидатами на будущие открытые должности в вашей компании, а какие нет:
- Если вы определили, что кандидат вряд ли будет подходить для будущих ролей или больше не актуален, или вы получили его информацию слишком давно, то вы должны удалить его данные.
Если вы храните данные кандидатов в своем ATS, было бы легко удалить данные тех, кто был дисквалифицирован.Просмотрите все профили кандидатов, чтобы узнать, есть ли среди них перспективные кандидаты или с которыми вы хотели бы связаться в будущем. Остальное можно удалить массово.
- Если вы хотите сохранить кандидата в своей цепочке талантов, обратитесь к нему, чтобы сообщить, что вы обрабатываете его данные .
Для кандидатов, которых вы хотите сохранить в своей базе данных, подготовьте электронное письмо, чтобы предоставить им необходимую информацию. Это электронное письмо должно быть похоже на электронное письмо, которое вы отправляете выбранным кандидатам, поскольку оно должно включать всю информацию о том, какие данные вы храните и где.Эти электронные письма также должны содержать ссылки на вашу политику конфиденциальности. В вашем ATS могут быть функции массовой рассылки, которые значительно упростят отправку этого электронного письма.
Убедитесь, что ваши поставщики программного обеспечения соответствуют требованиям
Обработчики данных имеют полный доступ к данным ваших кандидатов. Вот почему GDPR ожидает, что вы будете уверены, что ваши партнеры защищают эти данные так же, как и вы.
Ваш самый важный поставщик при приеме на работу – это ваш провайдер ATS. Ваш ATS – это место, где вы будете хранить почти все данные кандидатов, отправлять электронные письма и удалять или изменять информацию.Если ваш ATS соответствует GDPR, он станет отличным союзником в обеспечении соответствия и вашей компании.
Если вы не используете ATS, подумайте о приобретении одного из них до того, как GDPR вступит в силу. Таблицы, которые являются наиболее распространенной альтернативой поставщикам программного обеспечения, могут подвергнуть вас риску, связанному с соблюдением GDPR, поскольку они не обеспечивают надлежащего аудита, контроля доступа и контроля версий. Одним из ключевых преимуществ электронных таблиц является также один из их ключевых недостатков, поскольку их можно легко копировать, изменять и распространять без ведома владельца.И это громоздкий метод стирания и исправления данных.
В качестве первого шага назначьте встречу со своим поставщиком ATS или несколькими, если вы планируете приобрести ATS. Спросите:
- Применяется ли GDPR к ним как к обработчикам. Если они не являются компанией из ЕС, они должны либо участвовать в программе Privacy Shield (для компаний США), либо быть готовы подписать эффективные соглашения об обработке данных, которые обязывают их соблюдать рекомендации GDPR.
- Как они планируют обеспечить соответствие GDPR .Они также должны быть в состоянии сообщить вам, где они хранят свои данные и как они обеспечивают их защиту.
- Используют ли они соответствующих поставщиков. У них должны быть соглашения об обработке данных с этими субподрядчиками.
- Есть ли у них четкая политика конфиденциальности . Изучите их политики конфиденциальности, чтобы убедиться, что они соответствуют GDPR и могут надлежащим образом защитить данные кандидатов.
Будьте готовы удовлетворить запросы кандидатов
Большая часть соблюдения GDPR – это возможность помочь кандидатам реализовать свои права в соответствии с этим законом.Для этого вы должны предоставить инструкции и процессы по адресу:
- Разрешить кандидатам доступ к своим личным данным по запросу .
- Определите формат электронной копии своих данных, которую вы должны предоставить кандидатам.
- Установите процесс для извлечения и отправки этой копии.
- Удалить личные данные кандидатов или ограничить обработку по их запросу .
- Найдите все места, где вы храните данные (вы должны были сделать это во время аудита данных), и установите процесс удаления данных из всех этих мест.
- Исправить данные кандидата .
- Убедитесь, что у вас есть процессы для управления различными версиями данных кандидатов. Например, вам не следует исправлять одни и те же данные кандидатов в одной электронной таблице, а не в другой. Наличие ATS может избавить вас от этой проблемы.
- Разрешить кандидатам отозвать согласие (в случае, если вы решили использовать согласие в качестве правовой основы для обработки) .
- Сравните этот процесс с процессом предоставления согласия.GDPR требует, чтобы процессы предоставления и отзыва согласия были одинаково легкими и простыми.
Убедитесь, что вы четко изложили эти процессы на своем веб-сайте и / или в ваших условиях.
Связанный:
Оценщик готовности к GDPR
Контрольный список GDPR: требования к рекрутерам и персоналу
Обработка личных данных при приеме на работу
Обработка личных данных при приеме на работу
Ниже представлена информация о том, как мы обрабатываем личные данные кандидатов во время приема на работу.Это применимо независимо от того, подаете ли вы заявление по собственному желанию или претендуете на конкретную должность, ученичество или стажировку.
Целью сбора личных данных о вас в процессе приема на работу является оценка того, являетесь ли вы подходящим кандидатом на вакансию в Fynbo Foods A / S. Это также относится к незапрошенным заявкам, которые оцениваются отдельно.
Когда вы подаете заявку на вакансию, стажировку или стажировку у нас, мы получаем и обрабатываем ряд ваших личных данных.Это означает, что мы являемся контролерами персональных данных, которые мы обрабатываем о вас.
В связи с процессом приема на работу мы обрабатываем общие персональные данные о вас, но мы также можем обрабатывать специальные персональные данные, ваш номер CPR (датский личный идентификатор) или информацию о преступлениях, однако мы рекомендуем вам предоставлять только общие персональные данные. данные (не конфиденциальные) в связи с вашим приложением. Ниже вы можете узнать больше о данных о вас, которые мы обрабатываем, когда вы подаете заявку на вакансию, стажировку или стажировку у нас.
Если у вас есть какие-либо вопросы относительно нашей обработки персональных данных, вы можете связаться с нами:
Fynbo Foods A / S
Sigenvej 9, DK-9760 Vraa
CVR-no. 26612608
Контактное лицо: Юрисконсульт и менеджер по персоналу Мария Букдал Рукджер
Электронная почта: [email protected]
Тел .: 0045 98996800
Когда мы получим ваше заявление
Когда мы получим ваше заявление, вы получите подтверждение о получении как как можно скорее.
В процессе приема на работу регистрируются именно личные данные, которые появляются в вашем заявлении, резюме и других прилагаемых документах. Обычно это будет следующее: имя, адрес, дата рождения, пол, номер телефона, адрес электронной почты, семейное положение, дети, образование / обучение, история карьеры, профессиональные и личные навыки, информация о водительских правах (свидетельство о грузовике) и рекомендации. /Рекомендации. Вы регистрируете все свои данные в нашей онлайн-системе приема на работу, предоставляемой HR-ON ApS, которая, таким образом, становится процессором данных.Если вы – несмотря на нашу рекомендацию выше – решите зарегистрировать конфиденциальные личные данные, например данные о вашем здоровье, мы их обработаем.
Мы применяем GDPR ст. 6 (1) (b) в качестве правовой основы в отношении личных данных, которые вы отправили нам с целью трудоустройства. В случае конфиденциальных данных мы обычно применяем GDPR, ст. 9 (2) (a), (b) или (c) и Ст. 6 (1) (a) или (f) в качестве правовой основы. Правовая основа оценивается индивидуально от случая к случаю.
Мы оцениваем заявку
Мы специально оцениваем квалификацию каждого кандидата в отношении заявленной должности.После того, как мы прочитали заявки, мы отбираем кандидатов на собеседование. Кандидаты, которые не были вызваны на собеседование, будут уведомлены как можно скорее – самое позднее, когда будет принят на работу другой кандидат.
Если вы отправили или подали незапрошенное заявление, мы оценим ваше заявление, чтобы выяснить, есть ли у нас вакантная должность, ученичество или стажировка, соответствующие вашему профилю и навыкам. В таком случае мы позвоним вам на собеседование. Однако, если это не так, мы сохраним ваши данные в течение 6 месяцев на случай, если появится соответствующая позиция.В любое время вы можете удалить свои данные, используя ссылку в электронном письме, которое вы получили в качестве подтверждения получения. В качестве альтернативы вы всегда можете связаться с нами по адресу [email protected]. До истечения 6 месяцев мы запросим ваше согласие на сохранение данных в течение более длительного периода.
Когда мы выбрали вас для собеседования при приеме на работу
В связи с собеседованием мы получаем дополнительную информацию о вас, которую мы отмечаем для целей продолжения процесса приема на работу.Кроме того, мы можем, например, вести с вами переписку по электронной почте (информация об условиях найма и т. Д.), И такие данные также обрабатываются и используются в процессе найма.
Мы применяем GDPR ст. 6 (1) (b) в качестве правовой основы в отношении личных данных, которые вы предоставили себе при приеме на работу. Что касается переписки относительно условий найма и т. Д., Мы применяем правило законного интереса в соответствии со ст. 6 (1) (f) в качестве правовой основы.
Данные из социальных сетей
При приеме на работу, ученичестве или стажировке с акцентом на клиентов и совместные отношения для нас может быть актуальным поиск в социальных сетях e.грамм. LinkedIn, Facebook и Instagram. Также может выполняться поиск в Google.
Мы применяем правило законных интересов в соответствии со ст. 6 (1) (f) в качестве правовой основы для сбора данных о кандидатах из социальных сетей. Мы делаем это, чтобы иметь возможность оценить, есть ли у вас профиль, совместимый с компанией и подходящий для конкретной работы.
Данные личностного теста
Компания проводит личностный тест при приеме на работу на определенные должности.Мы всегда оцениваем, актуально ли это для рассматриваемой должности. Цель теста – оценить ваши навыки и квалификацию как потенциального сотрудника, а также насколько ваш профиль совместим с компанией и подходит для конкретной должности.
Мы используем ваше согласие в соответствии со статьей 6 (1) (a) GDPR в качестве правовой основы для обработки этих данных, поэтому перед проведением теста вас попросят дать свое согласие.
Вы можете отозвать свое согласие в любое время.Вы можете сделать это, связавшись с нами, используя контактную информацию, указанную выше. Если вы отзовете свое согласие, этот отзыв вступит в силу только с этого момента. Таким образом, это не повлияет на законность нашей обработки данных до того момента, когда вы отзовете свое согласие.
Данные от предыдущего работодателя
Для определенных вакансий необходимо собрать рекомендации от предыдущих работодателей. Если мы соберем рекомендации от одного или нескольких ваших предыдущих работодателей, мы зарегистрируем полученные данные.
Мы используем ваше согласие в соответствии со статьей 6 (1) (a) GDPR в качестве правовой основы для обработки этих данных, и поэтому вас попросят дать свое согласие, прежде чем мы свяжемся с одним или несколькими из ваших предыдущих работодателей.
Вы можете отозвать свое согласие в любое время. Вы можете сделать это, связавшись с нами, используя контактную информацию, указанную выше. Если вы отзовете свое согласие, этот отзыв вступит в силу только с этого момента. Таким образом, это не повлияет на законность нашей обработки данных до того момента, когда вы отзовете свое согласие.
Разрешение на проживание и работу
Условием трудоустройства является наличие действующего разрешения на проживание и работы в Дании. Для этого мы просим копию вашего паспорта в связи с приемом на работу.
Если из-за вашего гражданства вам необходимо иметь карту пребывания в ЕС или вид на жительство и разрешение на работу, чтобы работать в Дании на законных основаниях, мы также соберем копии таких документов.
Мы применяем статью 6 (1) (c) GDPR в качестве правовой основы при получении копии вашего паспорта и любых разрешений на проживание и работу, поскольку мы обязаны это делать в соответствии с разделом 59 (5) Датских иностранцев. Действовать.
Хранение и удаление
Если ваша заявка будет отклонена, мы удалим зарегистрированные нами данные о вас в течение 6 месяцев, но мы удалим результаты вашего личностного теста (выполненного в рамках нашего процесса приема на работу) после того, как мы отклонили вашу заявку. Если мы хотим хранить вашу заявку в течение более длительного периода, мы запросим ваше согласие через нашу онлайн-систему приема на работу. Если вы назначены, мы сохраним данные, которые использовались в процессе набора, в папке вашего персонала.
В случае отклонения незапрошенной заявки мы сохраним ваши данные в течение 6 месяцев на случай, если появится соответствующая позиция. В любое время вы можете удалить свои данные, используя ссылку в электронном письме, которое вы получили в качестве подтверждения получения. В качестве альтернативы вы всегда можете связаться с нами по адресу [email protected]. До истечения 6 месяцев мы запросим ваше согласие на сохранение данных в течение более длительного периода.
Другие получатели, которые могут обрабатывать ваши данные
В связи с процессом приема на работу могут быть другие получатели, которые получат ваши личные данные.Это могут быть государственные органы или поставщики, которые поставляют системы и помогают выполнять административные функции, например кадровое агентство, провайдер личностных тестов или государственные органы в связи с созданием гибких рабочих мест, профессиональным обучением и т. д.
Ваши права
В соответствии с законодательством GDPR и датским Законом о защите данных у вас есть ряд прав. Пожалуйста, свяжитесь с нами, если вы хотите воспользоваться своими правами (см. Контактную информацию выше).
Право на оценку : Вы имеете право оценивать персональные данные о вас, которые мы обрабатываем.
Право на исправление : Вы имеете право на исправление неверных данных о вас.
Право на удаление : В исключительных случаях вы имеете право на удаление данных о вас до нашего общего процесса удаления.
Право на ограничение : В некоторых случаях вы имеете право на ограничение обработки ваших данных. Если у вас есть право на ограничение обработки, мы можем в будущем выполнять обработку данных – помимо хранения – только с вашего согласия, либо для предъявления, утверждения или защиты судебного иска, либо для защиты человека или широкий общественный интерес.
Право на возражение : В некоторых случаях вы имеете право возражать против нашей законной обработки ваших личных данных.
Право на передачу данных : В определенных случаях вы имеете право получать свои персональные данные в структурированном, широко используемом и машиночитаемом формате, а также на беспрепятственную передачу этих персональных данных от одного контроллера данных другому.
Отзыв согласия : Если вы дали нам согласие на обработку персональных данных, вы имеете право отозвать свое согласие в любое время.После отзыва мы прекратим обработку персональных данных, на которые распространяется согласие, если у нас нет другой правовой основы для обработки данных.
Вы можете узнать больше о своих правах в руководящих принципах Датского агентства по защите данных о правах зарегистрированных на www.datatilsynet.dk.
Жалоба в Датское агентство по защите данных
Вы можете подать жалобу в Датское агентство по защите данных по поводу обработки нами ваших личных данных. Вы найдете контактную информацию Датского агентства по защите данных на его веб-сайте www.datatilsynet.dk.
Вопрос
Если у вас есть вопросы, не стесняйтесь обращаться к нам – контактные данные указаны выше.
Версия 5, декабрь 2020 г.
Обработка персональных данных при приеме на работу
Целью сбора личной информации о вас в процессе приема на работу является оценка того, являетесь ли вы подходящим кандидатом на вакантную должность в Fiberline Building Profiles A / S.
Когда вы подаете заявку на вакансию у нас, мы получаем и обрабатываем различные личные данные о вас.Это означает, что мы являемся администраторами данных для обрабатываемой нами личной информации о вас.
Наши контактные данные:
Fiberline Building ProfilesA / S
Strevelinsvej 38-40
7000 Fredericia
Дания
Телефон: +45 70137713
В связи с процедурой приема на работу мы обрабатываем обычную личную информацию о вас, но мы также можем обрабатывать особую личную информацию, ваш номер записи актов гражданского состояния или информацию об уголовных преступлениях.В этом тексте вы можете узнать больше о том, какую информацию о вас мы обрабатываем, когда вы подаете заявку на работу у нас.
Когда мы получим вашу заявкуВ процессе найма будет записана личная информация, указанная в вашем заявлении, резюме и других документах.
Обычно это следующая информация: имя, адрес, дата рождения, пол, номер телефона, адрес электронной почты, семейное положение, образование, история карьеры, сведения о водительских правах и рекомендации / справки.
Мы используем статью 6, п. 1 (b) Положения о защите данных в качестве нашей законной основы, поскольку вы сами предоставили нам личную информацию с целью трудоустройства.
Мы записываем предоставленную информацию в нашу HR-систему Innomate.
Оцениваем заявкуМы специально оцениваем квалификацию каждого кандидата в отношении заявленной вакансии. После ознакомления с заявками мы отбираем кандидатов на собеседование.Кандидаты, не вызванные на собеседование, получают соответствующее уведомление.
Когда мы выбрали вас для собеседованияВ связи с собеседованиями мы получаем дополнительную информацию о вас, которую мы записываем для использования в дальнейшем процессе приема на работу.
Мы используем статью 6, п. 1 (b) Положения о защите данных в качестве нашей законной основы, поскольку вы сами предоставили нам личную информацию с целью трудоустройства.
Информация из социальных сетейВо время приема на работу, где задействованы специализированные компетенции, мы ищем в LinkedIn.
Мы используем статью 6, п. 1 (f) Положения о защите данных в качестве нашей законной основы для получения информации о кандидатах из социальных сетей. Мы получаем эту информацию, чтобы иметь возможность оценить, соответствует ли ваш профиль компании и конкретной должности.
Данные испытанийПри найме на работу Fiberline использует инструменты тестирования. Мы всегда оцениваем, актуально ли это для рассматриваемой должности. Цель теста – оценить ваши навыки и квалификацию как потенциального сотрудника и оценить, соответствует ли ваш профиль компании и конкретной должности.
Мы используем ваше согласие в соответствии со статьей 6, п. 1 (а) Положения о защите данных в качестве нашей законной основы для обработки этой информации, и поэтому вам будет предложено дать свое согласие до проведения теста. Вы можете отозвать свое согласие в любое время, используя контактную информацию, указанную выше. Если вы отзовете свое согласие, оно вступит в силу только с этого момента. Следовательно, это не влияет на законность нашей обработки информации до того момента, когда вы отзовете свое согласие.
Информация от предыдущего работодателяFiberline получает рекомендации от предыдущих работодателей. Когда мы получаем рекомендации от одного или нескольких ваших предыдущих работодателей, мы записываем полученную информацию.
Мы используем ваше согласие в соответствии со статьей 6, п. 1 (а) Положения о защите данных в качестве нашей законной основы для обработки этой информации, и поэтому вас попросят дать свое согласие, прежде чем мы свяжемся с одним или несколькими вашими предыдущими работодателями.Вы можете отозвать свое согласие в любое время, используя контактную информацию, указанную выше. Если вы отзовете свое согласие, оно вступит в силу только с этого момента. Следовательно, это не влияет на законность нашей обработки информации до того момента, когда вы отзовете свое согласие.
Хранение и удалениеЕсли ваше заявление о приеме на работу будет отклонено, мы удалим записанную о вас информацию в течение шести месяцев.
Если мы наймем вас, мы сохраним информацию, которая была частью процесса найма.
Другие получатели, которые могут обрабатывать вашу информацию
В связи с процессом приема на работу ваша личная информация будет получена другими сторонами. Это могут быть государственные органы или поставщики, которые поставляют системы и помогают с административными функциями, например:
Государственные органы в связи с созданием гибких рабочих мест и аналогичных схем
Обработчики данных подлежат соглашению об обработке данных с Fiberline Building Profiles
Ваши права
Согласно законодательству, содержащемуся в Положении о защите данных и Законе об обработке персональных данных, у вас есть количество прав.
Если вы хотите воспользоваться своими правами, свяжитесь с нами.
Право доступа к информации, статья 15У вас есть право на доступ к личной информации, которую мы обрабатываем, и другой другой информации.
Право на исправление, статья 16Вы имеете право на исправление неверной личной информации.
Право на стирание, статья 17В особых случаях вы имеете право на удаление личной информации до даты нашего обычного общего удаления.
Право на ограничение обработки, статья 18В некоторых случаях вы имеете право на ограничение обработки вашей личной информации. В таких случаях мы можем в будущем обрабатывать информацию – за исключением хранения – только с вашего согласия или с целью определения, обеспечения соблюдения или защиты судебных исков, либо для защиты человека или важных социальных интересов.
Право на переносимость данных, статья 20В некоторых случаях вы имеете право на получение вашей личной информации в структурированном, широко используемом и машиночитаемом формате и на беспрепятственную передачу такой информации от одного администратора данных другому.
Право на возражение, статья 21В некоторых случаях вы имеете право возражать против нашей законной обработки вашей личной информации.
Вы можете узнать больше о своих правах в руководящих принципах Датского агентства по защите данных о правах зарегистрированных лиц, ср. www.datatilsynet.dk.
Жалобы в Датское агентство по защите данныхУ вас есть возможность пожаловаться на обработку нами ваших личных данных, связавшись с Датским агентством по защите данных, см.www.datatilsynet.dk.
Согласие против законного интереса в найме
Если вы обсуждали GDPR практически со всеми, кто работает в сфере найма в последнее время, вероятно, это вопрос о том, когда использовать согласие и законный интерес в качестве правовой основы для сбора, хранения и обработки данные появятся.
И хотя здесь нет правильного или неправильного варианта, есть более подходящие основания, которые можно использовать в разных обстоятельствах. Поэтому рекомендуется потратить некоторое время, чтобы лучше понять, как на самом деле выглядит согласие и законный интерес в контексте найма, чтобы вы могли сделать более осознанный выбор для своего бизнеса.
Итак, первым делом …
Что такое согласие и законный интерес?
Согласие и законный интерес – это две из шести юридических причин, по которым компаниям разрешено собирать и обрабатывать персональные данные в соответствии с GDPR (другими потенциальными причинами являются договор, юридическое обязательство, жизненно важные интересы и общественная задача). Причина, по которой согласие и законный интерес являются единственными правовыми основаниями, о которых обычно говорят рекрутеры, заключается в том, что они чаще всего применяются в этом секторе (за исключением, возможно, ваших договорных прав на хранение записей любых кандидатов, которых вы размещаете).
Решение, на какое правовое основание полагаться в различных областях вашего бизнеса при сборе, хранении и обработке данных в рамках бизнеса, может быть непростым: одно не обязательно “ лучше ”, чем другое, но правда, что одно, вероятно, будет лучше. уместнее, чем другое, при рассмотрении различных методов обработки данных кандидата. Таким образом, неплохо было бы начать тщательно продумать свои процессы и выбрать наиболее подходящую правовую основу.
Понимание согласия при приеме на работу
Согласие является наиболее простым из двух правовых оснований в том смысле, что ясно, что вам нужно сделать, чтобы его получить, и его легко продемонстрировать, когда вам дали согласие на использование чьих-либо данных.Но хотя довольно ясно, что требует для согласия, реализация вашей стратегии на практике, чтобы получить его в первую очередь, может быть менее прямолинейной.
Получение согласия в контексте приема на работу означает предоставление кандидату полного контроля над тем, решит ли он делиться с вами своими личными данными, чем они делятся с вами, и что вам после этого разрешается делать с данными, которыми они делятся.
И если подумать логически, то очень мало смысла в том, чтобы записывать данные кандидата, если они не хотят, чтобы вы их получали: какая польза от этих данных, если вы ничего не можете с ними поделать?
Как выглядит согласие при приеме на работу
При использовании согласия в качестве правовой основы для обработки данных вам необходимо иметь на своем веб-сайте четкую политику конфиденциальности / соглашение о кандидате, которое содержит следующее:
ПОЛОЖЕНИЕ О СОГЛАСИИ | КАК ЭТО ВЫГЛЯДИТ В НАБЛЮДЕНИИ |
Почему вы будете хранить их данные | Помочь им найти новую работу |
Что вы планируете использовать для | Для подбора подходящей должности / работодателя |
Если вы будете делиться с третьими лицами (и кто они) | Обещайте, что вы уведомите их, прежде чем передавать их данные любым работодателям (и тем, кем они являются) |
Что они имеют право быть удалены в любое время | Что они имеют право быть забытыми (полностью удалены из базы данных компании) |
Согласие – хороший вариант, если вы можете предложить кандидатам подлинный контроль над их данными, а наличие портала кандидатов на вашем веб-сайте, связанного с вашей базой данных, является одним из способов обеспечения полной прозрачности с этим .Имея систему, в которой каждый кандидат, входящий в вашу систему, делает это, создавая свой собственный личный портал, вы возвращаете им власть контролировать свои собственные данные.
С помощью портала кандидатов вы предоставляете кандидатам платформу, с помощью которой они могут выбирать, какими данными они делятся, с кем они хотят поделиться ими (а с кем не хотят!), И могут запросить удаление себя из вашей базы данных по адресу любое время.
На что обращать внимание при согласии
Есть также несколько потенциальных ловушек, которые следует учитывать при использовании согласия в качестве законного основания для обработки данных при найме на работу.
Для начала, если вам нужно изменить условия конфиденциальности, чтобы они соответствовали GDPR, вам неизбежно придется попросить существующих кандидатов повторно дать согласие в соответствии с вашей новой политикой. Явный запрос согласия может затруднить его получение, а просьба к существующим кандидатам повторно дать согласие на новых условиях может привести к потере вами контактов.
Однако не имеет смысла просто отказываться от использования согласия, потому что это кажется трудным – вам просто нужно подумать о сегментации разрешений вашего кандидата и искреннем желании связаться с вашей компанией, чтобы ваши юридические причины имели смысл.
Понимание законного интереса в приеме на работу
Основная предпосылка использования законного интереса в качестве законного основания для обработки данных заключается в том, что вы можете продемонстрировать, что используете данные кандидата таким образом, на который человек мог бы разумно рассчитывать, и где есть действительное обоснование для их данных. обрабатывается.
Законный интерес, безусловно, является более гибким вариантом, чем согласие, и вы не будете первым, кто придет на мысль об отказе от необходимости проходить процедуру повторного согласия, если вы можете этого избежать.Но проблема с законным интересом заключается в том, что он намного менее прямолинеен, чем согласие, и поэтому может сделать вас немного более открытым и уязвимым для совершения ошибок.
Как выглядит законный интерес в найме
Чтобы установить, можете ли вы законно обрабатывать данные кандидата в соответствии с законным интересом, вам сначала необходимо выполнить проверку баланса или «Оценка законного интереса».
При проведении оценки законного интереса следует задать три основных вопроса:
- Каков ваш законный интерес в обработке данных?
- Можете ли вы показать, что обработка данных необходима для достижения того, что вам нужно?
- Может ли обработка данных повлиять на права или свободы человека?
Таким образом, законный интерес выглядит очевидным для рекрутеров – у нас есть законный интерес в обработке данных кандидата, чтобы помочь им найти работу!
Если вы полагаетесь на законный интерес в качестве правовой основы, вам необходимо разместить на своем веб-сайте заявление о конфиденциальности, в котором будет указано следующее:
- Что вы полагаетесь на законный интерес в качестве законного основания
- Каков законный интерес (т.е. чтобы помочь им найти работу).
После обновления заявления о конфиденциальности вам необходимо разослать его всем участникам вашей базы данных, чтобы уведомить их о вашей новой политике и включить четкую опцию отказа от подписки.
На что обращать внимание при соблюдении законных интересов
Как и следовало ожидать, остаются без ответа некоторые вопросы относительно того, как вы могли бы использовать законный интерес при найме на работу. Например, что произойдет, если кандидату не удастся выполнить роль, на которую он подал заявку, что было единственной причиной, по которой вы полагались на законный интерес для обработки его данных (если размещение не выполнено, вы технически не имеете законного права продолжать хранящие эти данные)?
ICO заявляет, что на законный интерес «можно полагаться только в той степени, в которой обработка необходима для целей законного интереса компании» и не более того.Означает ли это, что агентство может хранить или обрабатывать данные кандидата на определенную должность, на которую они подали заявку, только если это единственная причина, по которой данные были изначально получены? Или было бы разумно сказать, что ваш законный интерес состоит в том, чтобы направлять кандидата на протяжении всей его карьеры? В конце концов, более половины всех британских сотрудников будут менять работу каждые три года!
И как работает законный интерес, когда вы обращаетесь к новым кандидатам? Можете ли вы обоснованно утверждать, что у вас есть законный интерес связаться с кем-то, кого еще нет в вашей базе данных, поскольку вы «собираетесь помочь им найти новую работу», когда нет существующих отношений, и вы даже не можете быть уверены, что этот человек даже хочет найти новую работу? Наличие законного интереса не дает вам автоматически права использовать личные данные кандидата.
Таким образом, хотя законный интерес может быть хорошим маршрутом для отступления рекрутеров, важно, чтобы он не использовался просто «на том основании, что он менее ограничивает, чем другие основания» (Рабочая группа по статье 29). Это не карта для освобождения из тюрьмы!
Сегментирование опыта кандидатов
На практике первое, о чем вы, вероятно, захотите подумать при рассмотрении своей правовой базы, – это то, как выглядит путь кандидата в вашей компании. Затем вы можете разделить путешествие на различные различные процессы и подумать о том, какая из правовых основ лучше всего подходит для этих процессов.
Наш генеральный директор Венди сделала хорошее предложение относительно того, как сегментированные процессы могут выглядеть на веб-сайтах по найму в соответствии с GDPR, и я подумал, что было бы полезно поделиться им. Она предложила на вашем веб-сайте заявление, в котором говорится примерно следующее: «Мы проанализировали цели нашей деятельности по обработке и выбрали наиболее подходящую законную основу (или основы) для каждой деятельности».
Эта сегментация действий может выглядеть примерно так:
- Обработка заявления о приеме на работу – законный интерес
- Поиск для удовлетворения потребностей кандидата на более широкую должность или работодателя – согласие
- Размещение кандидата – законно.
Какой бы вариант вы ни выбрали, помните, что ваше законное основание для обработки личных данных и причина, по которой вы обрабатываете, должны быть четко указаны как в рабочем процессе подачи заявления о приеме на работу, так и в процессе регистрации кандидата.
Если вы чувствуете себя подавленным – не волнуйтесь! Неизбежно, что дискуссии по этой теме, вероятно, вызовут больше вопросов, чем ответят на них на данном этапе, но со временем все должно стать намного яснее.
И помните, что в основе как согласия, так и законного интереса при найме на работу является идея справедливости и прозрачности для кандидата, и это может означать только хорошее для будущего отрасли и вашего бизнеса.
Посетите нашу страницу GDPR, чтобы получить больше информации, которая поможет вам подготовиться, а также не забудьте подписаться на нашу ежемесячную рассылку GDPR, если вы еще этого не сделали.
Когда уместно согласие? | ICO
Подробнее
Всегда ли нам нужно согласие?
Короче нет. Согласие является одним из законных оснований для обработки, но есть еще пять других. Согласие не всегда бывает самым уместным или самым простым.
Вы всегда должны выбирать законную основу, которая наиболее точно отражает истинный характер ваших отношений с человеком и цель обработки.Если согласие затруднено, это часто связано с тем, что другое законное основание является более подходящим, поэтому вам следует рассмотреть альтернативы. См. Раздел «Каковы альтернативы согласию?».
Точно так же явное согласие – это один из способов узаконить обработку персональных данных особой категории, но не единственный. В статье 9 (2) перечислены девять других условий (дополненных приложением 1 Закона о защите данных 2018 г.). Альтернативные условия обработки данных специальной категории, как правило, более строгие и адаптированы к конкретным ситуациям, но вы все равно должны сначала проверить, применимы ли какие-либо из них.
Когда мы должны получить согласие?
Вам, вероятно, потребуется рассмотреть вопрос о согласии, когда явно не применимо иное законное основание. Например, это может произойти, если вы хотите использовать или поделиться чьими-либо данными особенно неожиданным или потенциально навязчивым способом или способом, несовместимым с вашей первоначальной целью.
Если вы используете данные особой категории, вам может потребоваться получить явное согласие для узаконивания обработки, если не применяется одно из других особых условий в статье 9 (2).Обратите внимание, что некоторые другие условия по-прежнему требуют, чтобы вы сначала рассмотрели согласие или получили согласие на некоторые элементы вашей обработки. Например, если вы некоммерческая организация и решите полагаться на Статью 9 (2) (d), вам все равно потребуется явное согласие на раскрытие данных любым сторонним контролерам.
Вам также может потребоваться согласие в соответствии с законами об электронной конфиденциальности для многих типов маркетинговых звонков и маркетинговых сообщений, файлов cookie веб-сайтов или других методов онлайн-отслеживания, а также для установки приложений или другого программного обеспечения на устройства людей.Эти правила в настоящее время содержатся в Положениях о конфиденциальности и электронных коммуникациях 2003 года (PECR), они применяют определение согласия GDPR. Обратите внимание: если ePR будет принят, мы подготовим дальнейшие инструкции.
Если вам необходимо согласие в соответствии с законами об электронной конфиденциальности для отправки маркетингового сообщения, то на практике согласие также является надлежащим законным основанием в соответствии с GDPR Великобритании. Если законы об электронной конфиденциальности не требуют согласия на маркетинг, вы можете вместо этого учитывать законные интересы.
Если вам нужно согласие на размещение файлов cookie, это должно соответствовать стандарту GDPR Великобритании.Тем не менее, вы все равно можете рассмотреть альтернативное законное основание, такое как законные интересы, для любой связанной обработки персональных данных.
При каких еще обстоятельствах согласие может быть уместным?
Согласие, вероятно, будет наиболее подходящим законным основанием для обработки (или подходящим шлюзом с помощью других соответствующих положений), если вы хотите предоставить отдельным лицам реальный выбор и контроль над тем, как вы используете их данные. В частности, вы можете рассмотреть возможность использования согласия, чтобы повысить уровень их взаимодействия с вашей организацией и побудить их доверять вам более полезные данные.
Однако то, является ли согласие уместным и действительным, всегда будет зависеть от конкретных обстоятельств.
См. Также «Каковы преимущества правильного получения согласия?»
Когда уместно использовать согласие для данных специальной категории?
Если вы хотите обрабатывать данные особой категории, вы должны указать как законное основание в соответствии со статьей 6, так и отдельное условие для обработки данных особой категории в соответствии со статьей 9, дополненное Приложением 1 Закона о защите данных 2018.
Первым условием, перечисленным в статье 9, является «явное согласие». Однако это не означает, что это всегда лучшее или наиболее подходящее состояние. Вы всегда должны учитывать, подходят ли какие-либо другие условия для конкретной ситуации.
Ваш выбор законного основания в соответствии со статьей 6 не обязательно определяет, какое условие статьи 9 вы должны применить. Даже если вы не полагались на согласие в качестве законного основания для обработки, вы все равно можете рассматривать «явное согласие» как условие статьи 9 для любых данных специальной категории.Однако вы должны помнить, что явное согласие должно соответствовать стандарту GDPR Великобритании для получения действительного согласия и может быть отозвано в любое время.
Подробнее о том, что считается «явным» согласием, см. В разделе «Что такое действительное согласие?».
Если вам необходимо обработать данные особой категории, чтобы предоставить услугу, запрошенную физическим лицом, наиболее подходящее законное основание, вероятно, будет «необходимо для заключения контракта». Но явное согласие может быть доступно в качестве вашего условия для обработки необходимых данных специальной категории.Однако вы должны быть уверены, что можете продемонстрировать, что согласие по-прежнему дается свободно, в частности, что обработка действительно необходима для службы.
Пример
Человек записывается на занятия йогой для беременных. Инструктор будет обрабатывать данные, касающиеся их здоровья (то есть факт их беременности вместе с любой информацией о сроках родов), и поэтому ему необходимы как законное основание, так и условие для обработки данных специальной категории.
Поскольку инструктор должен обработать эти данные для проведения занятия йогой, подходящим законным основанием, вероятно, будет «выполнение контракта».
Хотя человек не может записаться на занятия без раскрытия информации о своей беременности, явное согласие, вероятно, будет подходящим условием для обработки данных о состоянии здоровья. Обработка объективно необходима для предоставления запрашиваемого класса, и у человека есть свободный выбор, подписаться или нет на этот класс.
Дополнительная литература – Руководство ICO
Последние рекомендации по условиям обработки данных особых категорий см. На странице «Данные особых категорий» нашего Руководства по GDPR в Великобритании.
Дополнительная литература – Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.
EDPB выпустила Руководство по согласию.
Когда согласие неприемлемо?
Отсюда следует, что если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки. Это может иметь место, например, если:
- вы все равно будете обрабатывать данные на другом законном основании, если в согласии будет отказано или отозвано;
- вы запрашиваете «согласие» на обработку в качестве предварительного условия для доступа к вашим услугам; или
- у вас есть власть над отдельным лицом – например, если вы являетесь государственным органом или работодателем, обрабатывающим данные о сотрудниках.
Вы все равно будете обрабатывать данные без согласия
Если вы все равно будете обрабатывать персональные данные на другом законном основании, даже если в согласии было отказано или отозвано, то получение согласия от лица вводит в заблуждение и по своей сути несправедливо. Он представляет человеку ложный выбор и только иллюзию контроля. Вы должны с самого начала определить наиболее подходящую законную основу.
Пример
Компания, предоставляющая кредитные карты, просит своих клиентов дать согласие на отправку их личных данных в кредитные справочные агентства для оценки кредитоспособности.
Однако, если клиент откажется или отзовет свое согласие, компания-эмитент кредитной карты все равно отправит данные в справочные агентства на основе «законных интересов». Поэтому просьба о согласии вводит в заблуждение и неуместно – реального выбора нет. Компании с самого начала следовало полагаться на «законные интересы». Чтобы обеспечить справедливость и прозрачность, компания все равно должна сообщать клиентам, что это произойдет, но это сильно отличается от предоставления им выбора с точки зрения защиты данных.
Перед обработкой персональных данных вам необходимо хорошо подумать, потребуется ли вам сохранить какие-либо данные для каких-либо других целей, если физическое лицо отзовет свое согласие. Например, вам может потребоваться сохранить его в соответствии с юридическим обязательством или для целей аудита. Если это так, вы должны с самого начала четко и заранее заявить, какова ваша цель и законное основание для сохранения этих данных после отзыва согласия.
«Согласие» является условием оказания услуги
Если вы требуете, чтобы кто-то дал согласие на обработку в качестве условия обслуживания, согласие вряд ли будет наиболее подходящим законным основанием для обработки.В некоторых случаях это даже не считается действительным согласием.
Вместо этого, если вы считаете, что обработка необходима для услуги, более подходящее правовое основание, вероятно, будет «необходимым для выполнения контракта» в соответствии со статьей 6 (1) (b). Скорее всего, вам нужно будет полагаться на согласие только в том случае, если это требуется в соответствии с другим положением, например, для некоторого электронного маркетинга в соответствии с PECR.
Если обработка данных особой категории действительно необходима для предоставления услуги физическому лицу, вы все равно можете рассчитывать на явное согласие в качестве вашего условия для обработки данных особой категории, если не применяются другие условия статьи 9.См. Раздел Когда уместно использовать согласие для данных специальной категории?
Может оказаться, что обработка является условием обслуживания, но на самом деле не является необходимой для этой услуги. В таком случае согласие не просто неприемлемо в качестве законного основания, но и считается недействительным, поскольку оно не дается добровольно. В этих обстоятельствах вы можете рассмотреть вопрос о том, подходят ли «законные интересы» в соответствии со статьей 6 (1) (f) в качестве вашего законного основания для обработки. В этом случае вы не можете полагаться на явное согласие на данные какой-либо специальной категории, и вам нужно искать другое условие статьи 9.
Пример
Кафе решает предоставить своим клиентам бесплатный Wi-Fi. Чтобы получить доступ к Wi-Fi, клиент должен указать свое имя, адрес электронной почты и номер мобильного телефона, а затем согласиться с условиями использования кафе.
В условиях указано, что, предоставляя свои контактные данные, покупатель дает согласие на получение маркетинговых сообщений от кафе. Таким образом, кафе дает согласие на отправку прямого маркетинга в качестве условия доступа к услуге.
Однако сбор данных об их клиентах для целей прямого маркетинга не является необходимым для предоставления Wi-Fi. Следовательно, это недействительное согласие.
Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».
Вы находитесь у власти
Согласие обычно неуместно, если существует явный дисбаланс сил между вами и человеком. Это связано с тем, что те, кто зависит от ваших услуг или опасается неблагоприятных последствий, могут посчитать, что у них нет другого выбора, кроме как согласиться, поэтому согласие не считается предоставленным добровольно.Это будет особая проблема для государственных органов и работодателей.
Пример
Компания просит своих сотрудников дать согласие на мониторинг на работе. Однако, поскольку средства к существованию сотрудников зависят от компании, они могут чувствовать себя вынужденными соглашаться, поскольку не хотят рисковать своей работой, не хотят, чтобы их считали трудными или им есть что скрывать.
Пример
Жилищной ассоциации необходимо собирать информацию о предыдущих судимостях арендаторов и потенциальных арендаторов в целях оценки рисков при распределении собственности и организации посещений на дому.Однако неуместно запрашивать согласие на это в качестве условия аренды. Арендатор, подающий заявку на социальное жилье, может оказаться в уязвимом положении и может не иметь многих других вариантов жилья. Таким образом, у них может не быть реального выбора, кроме как подписаться на условиях жилищной ассоциации. Даже если обработка необходима для обеспечения размещения, их согласие не считается предоставленным свободно из-за несбалансированности полномочий.
Если вы являетесь государственным органом или обрабатываете данные сотрудников, или занимаетесь каким-либо другим положением над отдельным лицом, вам следует искать другую основу для обработки, такую как «общественная задача» или «законные интересы».
Однако государственным органам и работодателям не запрещено использовать согласие в качестве законного основания. Даже если вы находитесь у власти, могут возникнуть ситуации, когда вы все равно сможете показать, что согласие дано свободно.
Пример
Местный совет управляет несколькими фитнес-центрами. Он хочет узнать, что люди думают об объектах, чтобы решить, на чем сосредоточить улучшения. Он решает разослать анкету по электронной почте лицам, имеющим членство в фитнесе, чтобы спросить их об удобствах.
Решение о том, принимать ли участие в опросе, является полностью необязательным, и, учитывая характер взаимоотношений и опроса, нет реального риска неблагоприятных последствий в случае отсутствия ответа. Совет может полагаться на согласие на обработку ответов.
Пример
Работодатель решает сделать видеоролик о найме на своем веб-сайте. Он проинструктировал некоторых профессиональных актеров, но дает персоналу возможность добровольно принять участие в ролике.Работодатель дает понять, что никаких требований к персоналу принимать в нем нет, и участие не будет приниматься во внимание при оценке результатов работы.
Поскольку участие не является обязательным и нет никаких неблагоприятных последствий для тех, кто не хочет принимать участие, работодатель может рассмотреть вопрос о согласии.
Однако вам необходимо внимательно изучить конкретные обстоятельства и быть уверенным, что вы сможете продемонстрировать, что у человека действительно есть свободный выбор дать согласие или отказаться от него.Возможно, вам придется предпринять шаги, чтобы убедиться, что человек не чувствует давления, чтобы дать согласие, и развеять любые опасения по поводу последствий отказа в согласии.
Пример
Человек получает диагноз рака от своего врача. Врач объясняет, что благотворительная организация по борьбе с раком может получить помощь и поддержку, и они могут передать данные о человеке благотворительной организации, если он пожелает.
На первый взгляд, наблюдается явный дисбаланс сил, когда человек нездоров и обращается к квалифицированному специалисту с обширными медицинскими знаниями, который отвечает за его лечение.Если врач предлагает им обратиться в благотворительную организацию или что это стандартная практика, проблема дисбаланса сил вступит в игру, поскольку человек может почувствовать, что они должны согласиться. Они также могут опасаться, что им не предложат так много вариантов лечения или что на их лечение каким-то образом повлияет их несогласие.
Однако, если врач позаботится о том, чтобы предложение о помощи было нейтральным и пояснило, что это отдельная и полностью необязательная услуга, не влияющая на план лечения, тогда контролер может продемонстрировать, что согласие дается свободно. .
Врач также должен удостовериться, что согласие является конкретным, информированным, дано четким положительным действием и должным образом задокументировано. В частности, им необходимо четко указать благотворительную организацию, объяснить, какими данными они будут делиться с благотворительной организацией, и четко указать, для чего они будут использоваться.
Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».
Другое ненадлежащее использование согласия
Будьте очень осторожны при использовании других ранее существовавших концепций согласия вне контекста, поскольку они не всегда могут быть подходящими для целей защиты данных.
Даже если к вам предъявляются отдельные юридические или этические требования для получения «согласия» на какие-либо действия, это не означает, что вы автоматически имеете или должны иметь действующее согласие GDPR Великобритании на любую связанную обработку персональных данных. В некоторых случаях стандарт согласия может сильно отличаться. По-прежнему важно тщательно рассмотреть ваши законные основания.
Если вы намереваетесь полагаться на согласие в качестве законного основания, всегда проверяйте, что согласие также соответствует стандарту GDPR Великобритании, а не просто предполагать, что оно применимо.В частности, подразумеваемое согласие часто не подходит в качестве законного основания для обработки в соответствии с GDPR Великобритании.
Пример
В секторе здравоохранения данные о пациентах хранятся в секрете. Поставщики медицинских услуг обычно действуют на основе подразумеваемого согласия на передачу данных о пациентах в целях оказания непосредственной помощи без нарушения конфиденциальности.
Подразумеваемое согласие на оказание непосредственной медицинской помощи является отраслевой практикой в этом контексте. Но это «подразумеваемое согласие» на передачу конфиденциальных историй болезни – это не то же самое, что согласие на обработку персональных данных в контексте законной основы в соответствии с GDPR Великобритании.
В контексте здравоохранения согласие часто не является надлежащим законным основанием в соответствии с GPDR. Этот тип предполагаемого подразумеваемого согласия не будет соответствовать стандарту четкого утвердительного действия или квалифицироваться как явное согласие для данных специальной категории, которые включают данные о здоровье. Вместо этого поставщики медицинских услуг должны указать другое законное основание (например, жизненно важные интересы, общественную задачу или законные интересы). Что касается более строгих правил в отношении данных специальной категории, статья 9 (2) (h) конкретно узаконивает обработку данных в медицинских или социальных целях.
Даже если от вас требуется получить согласие пациента на лечение, это полностью отделено от ваших обязательств по защите данных. Это не означает, что вы должны полагаться на согласие на обработку персональных данных пациента.
Как правило, всякий раз, когда у вас возникают трудности с соблюдением стандарта согласия, это предупреждающий знак о том, что согласие может быть не самым подходящим основанием для вашей обработки. Поэтому рекомендуем поискать другую основу.
Дополнительная литература – Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.
EDPB выпустила Руководство по согласию.
Каковы альтернативы согласию?
Если вы ищете другое законное основание, оно изложено в статье 6 (1). Таким образом, вы можете обрабатывать личные данные без согласия, если это необходимо для:
- Договор с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или на выполнение ваших обязательств по трудовому договору. Это также включает шаги, предпринятые по их запросу до заключения контракта.
- Соблюдение юридических обязательств : вы можете это сделать, если в соответствии с законодательством Великобритании или ЕС вы должны обрабатывать данные для определенной цели.
- Жизненно важные интересы : вы можете обрабатывать личные данные, если это необходимо для защиты чьей-либо жизни. Это может быть жизнь субъекта данных или кого-то еще.
- Общедоступная задача : если вам нужно обрабатывать личные данные для выполнения ваших официальных функций или задачи в общественных интересах – и у вас есть правовая основа для обработки в соответствии с законодательством Великобритании – вы можете.Если вы являетесь государственным органом Великобритании, мы считаем, что это может дать вам законное основание для многих, если не всех ваших действий.
- Законные интересы : вы можете обрабатывать личные данные без согласия, если вам нужно сделать это по подлинной и законной причине (включая коммерческую выгоду), если только это не перевешивается правами и интересами человека. Обратите внимание, однако, что государственные органы ограничены в своих возможностях использовать эту основу.
Организации частного или третьего сектора часто смогут рассмотреть основание «законных интересов» в Статье 6 (1) (f), если им сложно выполнить стандарт для согласия и не применимо другое конкретное основание.Это означает, что у вас может быть веская причина для обработки чьих-либо личных данных без их согласия, но вы должны избегать того, чего они не ожидают, убедитесь, что это не окажет на них неоправданного воздействия, и что вы по-прежнему честны, прозрачны и подотчетны.
Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших официальных функций в соответствии с законодательством Великобритании, то основание «публичная задача», вероятно, будет более подходящим. В противном случае вы все равно можете учитывать законные интересы или одну из других оснований.Как всегда, вы должны быть честными, прозрачными и подотчетными.
Если вы ищете другие условия для обработки данных специальной категории, они изложены в статье 9 (2) (дополненной Законом о защите данных 2018 г.). Они более ограничены и конкретны и, например, включают положения, касающиеся трудового законодательства, здравоохранения и социального обеспечения, а также исследований. См. Наше руководство по данным специальных категорий для получения дополнительной информации.
Руководство по GDPR Великобритании также содержит дополнительные инструкции по правилам ограниченной обработки, автоматического принятия решений (включая профилирование) и переводов за границу.
Помните, что даже если вы не запрашиваете согласия, вам все равно необходимо предоставить четкую и полную информацию о том, как вы используете личные данные для соблюдения права на получение информации.
Новый закон ЕС о данных изменит способ взаимодействия с соискателями работы
Недавно усиленные правила защиты данных Европейского Союза (ЕС) вступят в силу 25 мая. Американским организациям, которые хотят нанимать работников, проживающих в ЕС, необходимо будет понять, как К ним применяется Общий регламент по защите данных (GDPR).
Ожидается, что полное соответствие будет сложной задачей – исследовательская компания Forrester прогнозирует, что 80 процентов организаций не будут соответствовать требованиям к дате вступления в силу, – но несоблюдение требований может привести к штрафам в размере до 4 процентов годового дохода или 20 миллионов евро. в зависимости от того, что выше.
«Очень важно, чтобы команды и руководители по подбору персонала понимали, как GDPR влияет на них напрямую… вашему бизнесу необходимо будет пройти полную самооценку», – сказал Джек Дэвис, руководитель операций маркетинговой платформы по подбору персонала Beamery, расположенной в Лондоне.
[Платформа онлайн-обсуждения только для членов SHRM: SHRM Connect ]
Что такое GDPR?
GDPR усиливает правила конфиденциальности для жителей ЕС, давая им больше контроля над тем, как их данные собираются, хранятся, обрабатываются и передаются. 28 стран-членов ЕС могут вводить дополнительные или более строгие требования к обработке кадровых данных, и работодатели также должны соблюдать трудовое законодательство конкретной страны, которое регулирует, когда и как могут обрабатываться кадровые данные.
Не совсем понятно, как будет применяться GDPR, пояснила Кэрол Умхофер, эксперт по защите данных и конфиденциальности и партнер в офисе международной юридической фирмы DLA Piper в Майами. Но это, безусловно, всеобъемлющее. GDPR «применяется к каждому этапу жизненного цикла данных, даже до того, как данные существуют», – сказала она. “Он включает в себя уведомления кандидатам до или во время сбора их данных [и он] регулирует использование и повторное использование данных, а также то, что делать с данными, которые вам больше не нужны. В некоторых случаях вам потребуется назначить защиту данных. перед обработкой любых данных или проведите оценку воздействия на данные.”
Это обычно применяется ко всем компаниям, независимо от их местонахождения, которые обрабатывают личную информацию, принадлежащую всем, кто живет в пределах границ ЕС.
Проверяйте ваши данные о найме
” Данные, собранные в процессе найма, и данные, которые уже существуют “, – сказала Дженнифер Гуд, менеджер по маркетингу продуктов системы сбора талантов SmartRecruiters, базирующейся в Сан-Франциско. Это включает в себя любую информацию, предоставленную соискателями работы или кандидатами, в том числе посредством взаимодействия с сайтом вакансий или в ответ на маркетинг по найму кампании, а также через прямые поставки.
«Неважно, храните ли вы данные в электронной почте или в таблицах Excel, или храните данные в своей ATS или платформе для адаптации, GDPR применяется ко всему, – сказал Гуд.
Она подчеркнула, что ответственность за соблюдение GDPR лежит на работодателе даже при обработке данных кандидатов через сторонних поставщиков.
Натан Акер, директор по информационным технологиям компании Symphony Talent, занимающейся подбором программного обеспечения, рекомендовал всем работодателям, ведущим операции в ЕС или которые могут принимать на работу в ЕС, пройти аудит данных о найме, который может начаться с внутренней оценки, но также должен включать внешнюю эксперты для окончательного обзора.«[Есть] люди, которые сосредотачиваются исключительно на европейском законе о конфиденциальности данных – штрафы GDPR настолько значительны, что вы, вероятно, захотите воспользоваться этим, имея опыт», – сказал он.
Создание политики соответствия GDPR
GDPR возлагает на работодателей дополнительные обязательства по подотчетности и документированию, сказал Умхофер. «Это потребует усовершенствования письменных политик и процедур и отслеживания того, как вы отслеживаете соответствие, обучаете его и проверяете на предмет улучшения».
Политика приема на работу в соответствии с GDPR должна включать указание:
Согласие. Без законной причины работодателям вообще не разрешается собирать или обрабатывать личную информацию. «В сфере найма это означает, что вам нужен либо законный интерес, либо прямое согласие», – сказал Акер. «Но даже отправка электронного письма с подпиской требует обработки; следовательно, вам нужна законная основа, такая как законный интерес, чтобы связаться с кандидатом».
Упреждающий поиск ресурсов на LinkedIn или других общедоступных сайтах может подпадать под законный интерес, если кандидат действительно рассматривается на роль, а не только для передачи талантов.По словам Акера, согласия можно достичь, отправив полученному кандидату электронное письмо с просьбой присоединиться к вашему кадровому резерву, где он даст согласие на ваше заявление о раскрытии информации в соответствии с GDPR.
«Если они не ответят на вашу информационную поддержку, вам необходимо немедленно удалить их информацию, поскольку у вас больше нет законного интереса в получении этой информации», – добавил Гуд.
Кандидаты могут дать согласие при заполнении заявления о приеме на работу, но подразумеваемого согласия, такого как отправка резюме, недостаточно.«Согласие должно позволять активную подписку», – сказал Гуд. «Флажок должен быть снят, чтобы быть действительным. Он также должен выделяться. Вы не можете скрыть его на своем сайте вакансий или в общих положениях и условиях. Согласие также должно быть легко отозвать».
Важно помнить, что личные данные могут обрабатываться только для определенной и ограниченной цели. Рассмотрение кандидата на определенную роль означает, что вы не можете разместить ее данные в своей сети талантов для будущих ролей. «Это означает, что если кандидат подает заявку на конкретную вакансию, вы должны получить дополнительное согласие на любую обработку, которая не связана и ограничивается вакансией, на которую претендует кандидат», – сказал Дэвис.”Например, если вы планируете общаться с неуспешными кандидатами после закрытия вакансии, вам необходимо получить конкретное согласие на дальнейшие контакты. Если вы планируете отправлять кандидатам различные типы сообщений, такие как ежемесячный информационный бюллетень или оповещения о вакансиях , вы обязаны запрашивать согласие на каждый тип сообщения, которое вы планируете отправить “.
Раскрытие информации. При сборе информации о соискателе сообщите соискателям, как будут использоваться их данные; как долго он будет храниться; и как получить к нему доступ, изменить или удалить.«Прозрачность также распространяется на привлеченных кандидатов», – сказал Гуд. «Когда вы обратитесь к ним, сообщите им, как будет собираться их информация, как вы нашли их информацию и как долго вы собираетесь рассматривать их для вакансии. Вы также должны четко указать, кто будет иметь доступ к этим данным, в том числе третьим лицам. – сторонние поставщики, которых вы используете, например, проверяющие или проверяющие ».
Сохранение и удаление данных. «GDPR дает понять, что вы не можете хранить данные дольше, чем это необходимо», – сказал Гуд.«Это также требует удаления данных кандидата, когда они больше не актуальны; кандидат отзывает согласие или возражает против обработки; или это получено незаконно. Данные также должны быть удалены от всех сторонних поставщиков».
Права кандидатов . Они включают право доступа ко всем имеющимся личным данным, право исправлять информацию, право ограничивать обработку данных, если их точность оспаривается, и право на удаление всей информации из баз данных работодателей.«Очень важно иметь процедуры для работы с этими запросами о правах», – сказал Умхофер.
Кандидаты также имеют право не подвергаться решению об отборе, основанном исключительно на автоматизированной обработке, как это обычно происходит, когда кандидаты отфильтровываются по ключевым словам в программном обеспечении для отслеживания кандидатов. Людям необходимо сообщить, когда решение было принято исключительно с использованием автоматизированной обработки, и они имеют право потребовать пересмотра решения.
“Если вы используете системы для фильтрации кандидатов на основе личной информации, такой как квалификация или оценки, вы должны учитывать, является ли это автоматизированной обработкой без какой-либо проверки со стороны человека, и, если да, необходимо получить явное согласие кандидата заранее, – сказал Дэвис.
Работодатель также должен объяснить используемые источники данных и основные характеристики автоматизированного процесса.
Эта статья лишь поверхностно описывает соответствие GDPR и влияние закона на процессы привлечения талантов. Существует множество онлайн-ресурсов, которые предоставляют более подробную информацию о соблюдении GDPR и наборе персонала, в том числе от Beamery и SmartRecruiters.
Была ли эта статья полезной? SHRM предлагает тысячи инструментов, шаблонов и других эксклюзивных преимуществ для участников, включая обновления соответствия, образцы политик, консультации специалистов по кадрам, скидки на обучение, растущее онлайн-сообщество участников и многое другое. Присоединяйтесь / продлите сейчас , и пусть SHRM поможет вам работать эффективнее.
Как GDPR напрямую влияет на процесс найма?
Общий регламент по защите данных (GDPR) вступил в силу в Великобритании (с 25 мая 2018 г.). Целью GDPR является создание современной и согласованной системы защиты данных во всем ЕС. Новая структура налагает строгие обязанности на работодателей в отношении обработки персональных данных с потенциально очень большими штрафами за нарушение правил (до 20 миллионов евро или 4% от общего мирового годового оборота организации, если он выше).Закон о защите данных 2018 года, который в основном вступил в силу 25 мая 2018 года, дополняет GDPR в Великобритании в некоторых областях.
GDPR применяется к контроллерам и обработчикам данных, поскольку как работодатель, получающий приложения, вы попадаете в обе категории.
Как GDPR напрямую влияет на процесс найма?В соответствии с Регламентом, когда работодатель собирает персональные данные о заявителе во время процесса приема на работу, будь то напрямую от заявителя или от третьей стороны, такой как кадровое агентство, он должен предоставить заявителю информационное уведомление, также известное как уведомление о конфиденциальности или уведомление о справедливой обработке.
В этом уведомлении должна быть указана определенная необходимая информация, включая цели, для которых будут обрабатываться данные, правовые основания для обработки и период, в течение которого данные будут храниться. Работодатель может разместить информационное уведомление на своем веб-сайте, отправить ссылку или копию уведомления в переписку отдельным соискателям. Если работодатель использует сторонний портал приема на работу, он может обеспечить, чтобы сведения о вакансии содержали ссылку на информационное уведомление
.Если вы еще этого не сделали, вам следует ввести в действие правила, определяющие, как долго будут храниться данные о найме.Принято считать, что работодателю потребуется сохранить некоторые данные о кандидатах для ответа на потенциальные претензии трудового трибунала, возникающие в процессе приема на работу. Работодатель должен хранить только минимальные данные, необходимые для этой цели, и только до истечения соответствующих сроков давности.
Если работодатель намеревается сохранить в файле данные о неудачных кандидатах для будущих раундов приема на работу, он должен уведомить их об этом в уведомлении о конфиденциальности. Он должен либо получить согласие кандидатов, либо уведомить их об их праве на возражение (если он полагается на свои законные интересы в качестве правовой основы для обработки).
Политика должна охватывать то, как работодатель будет поступать с незапрашиваемыми личными данными, например, с резюме, поданным на спекулятивной основе. В политике может быть указано, что если работодатель получит незапрошенное резюме в то время, когда он не набирает на работу, он удалит резюме и проинформирует об этом кандидата. Если работодатель хранит незапрошенные резюме в файле для будущих раундов приема на работу, он должен сообщить об этом кандидатам в уведомлении о конфиденциальности вместе с другой необходимой информацией.
Кандидаты имеют право в соответствии с GDPR не подвергаться решению, основанному исключительно на автоматизированной обработке, например, автоматизированном составлении коротких списков, при котором кандидаты без определенного уровня квалификации автоматически отфильтровываются до рассмотрения заявок рекрутерами.Согласно GDPR, работодатели могут использовать автоматизированное принятие решений, только если это:
- необходимо для заключения или исполнения контракта, что может иметь место, например, если имеется исключительно большой объем заявок на каждую вакансию;
- в соответствии с законом; или
- с явного согласия кандидата.
Если работодатель действительно использует автоматизированное принятие решений, он должен сообщить об этом кандидатам в информационном сообщении. Он также должен обеспечивать гарантии для кандидатов, позволяя им оспаривать автоматизированное решение и давая им право на альтернативные средства принятия решения с использованием человеческого вмешательства.
Если работодатель использует сторонних рекрутеров, например, кадровое агентство, где рекрутер обрабатывает данные соискателя от имени работодателя, рекрутер будет «процессором» и сам будет иметь обязательства в соответствии с GDPR. Работодатель должен гарантировать, что его отношения с рекрутером соответствуют требованиям GDPR, например, он должен быть удовлетворен тем, что обработчик будет реализовывать соответствующие технические и организационные меры для обеспечения защиты прав субъектов данных.
Итак, что нового, чем это отличается от DPA?Соответствие GDPR
Ключевыми элементами GDPR являются подотчетность и управление данными
Контроллеры и процессорыдолжны реализовать правила И продемонстрировать, что они это делают, демонстрирует, что это ключевой момент.
Кандидатыимеют дополнительные права в соответствии с GDPR в отношении того, как обрабатываются их данные, и, в частности, право быть забытым – например, если я решаю отказаться от процесса приема на работу, я имею право потребовать, чтобы моя информация была удалена.
Однако, как указывалось ранее, работодатель также имеет право сохранять основную информацию, касающуюся моего участия в кампании по набору персонала под видом «законных интересов», с целью ответа на потенциальные будущие иски трибунала по трудоустройству. Сохраняемая информация должна быть актуальной и может храниться только в течение ограниченного периода времени.
НИКОГДА НЕ ПРИНИМАЙТЕ СОГЛАСИЕВажно отметить, что согласие должно быть получено. Компаниям необходимо внедрить механизмы отслеживания, чтобы гарантировать, что они могут эффективно собирать согласие, поддерживать его и ДОКАЗЫВАТЬ, что согласие было получено.
Документация о согласии имеет решающее значение!Предположение, что при отправке кандидатом своего резюме вам было дано согласие, неприемлемо. Работодатели должны проинформировать заявителей о своей политике конфиденциальности И они должны получить подтверждение того, что заявитель принимает эту политику.
Независимо от того, как вы получаете заявки, получение согласия кандидата является вашей ответственностью как «обработчиком данных».
И все же именно здесь многие компании терпят неудачу. За последние несколько месяцев я просмотрел много страниц, посвященных вакансиям, с компаниями (большими и маленькими), которые все еще просто просят соискателей «отправить резюме» или «заполнить форму заявки» и отправить заявку по электронной почте или по почте.
Многие из этих компаний не имеют Уведомления о конфиденциальности, касающегося приложений-кандидатов, и не запрашивают у кандидатов согласие на передачу и хранение информации.
Пример
Эта компания не размещала никаких уведомлений о конфиденциальности и не запрашивала у соискателей согласия на передачу данных.
Другой пример:
Эта компания использует на своем веб-сайте встроенную «форму заявки» или форму для сбора данных. Хотя это, возможно, более безопасно, чем электронная почта, у компании нет политики конфиденциальности, касающейся сбора и хранения информации о кандидатах. Нет согласия или подробностей о том, как информация будет передаваться в организации. Если вы используете такие встроенные формы данных, как эта, попросите своего веб-разработчика вставить ваше уведомление о конфиденциальности в виде ссылки и «галочки», чтобы подтвердить, что кандидаты принимают вашу политику.
Чтобы соответствовать GDPR, если вы получаете заявки по электронной почте или по почте, вам следует связаться с «субъектами данных» заявителей и отправить им ссылку на вашу политику конфиденциальности. У вас должна быть возможность предоставить доказательства того, что вы отправили уведомление о своей политике конфиденциальности и проинформировали заявителя об их обрядах. Вы можете отправить им электронное письмо, чтобы подтвердить получение заявки и добавить ссылку на свое Уведомление о конфиденциальности.
Ниже приведен пример формулировки, которую вы можете использовать:
Уважаемый xxx
Спасибо за заявку.XXX Ltd собрала и сохранила ваше резюме / заявку и контактные данные.
Мы обрабатываем эти данные только в целях набора персонала. Мы храним эту информацию на / в {вставьте подробные сведения о том, как вы собираетесь хранить информацию, если не используете систему отслеживания кандидатов}. Мы будем хранить эту информацию до тех пор, пока открытая роль не будет заполнена, по истечении этого периода мы либо удалим вашу информацию, либо сообщим вам, что мы намерены сохранить ее для рассмотрения для будущих возможностей.
Вот ссылка на нашу политику конфиденциальности {вставить ссылку}. В этой политике вы найдете информацию о том, как мы соблюдаем GDPR (закон о защите данных). Вы можете узнать, как отправить нам запрос, чтобы предоставить вам доступ к вашим данным, которые мы собрали, попросить нас удалить ваши данные, исправить любые неточности или ограничить нашу обработку ваших данных.
У вас есть право подать жалобу на то, как мы обрабатываем ваши данные, в [надзорный орган] или вы можете связаться с нашим [DPO] по [контактные данные] для получения дополнительной информации или проблем.
С уважением
Отдел кадров, XXX Ltd
Трекер найма
Электронные таблицы – это наиболее часто выбираемый метод отслеживания информации о заявителях, когда не используется ATS. Но у электронных таблиц есть свои ограничения, вы не можете прикреплять резюме, поэтому вы будете хранить личные данные в нескольких точках доступа. Это подвергает вас рискам, связанным с соблюдением GDPR, поскольку контрольный журнал не связан или полностью прозрачен с множественным доступом и контролем версий.
Таблицымогут быть легко скопированы и изменены без ведома владельца, что подвергает риску данные заявителя. Наличие многоуровневого хранилища данных заявителя затрудняет удаление и исправление данных.
ПРАВО НА ЗАБЫВАНИЕОдним из наиболее важных элементов GDPR является «право субъектов данных на забвение», а затем продолжительность хранения данных.
И хотя существуют «законные» причины для компаний, хранящих данные заявителя в отношении трудовых трибуналов, заявители имеют право потребовать удаления своих данных.
Если вы собираете и отправляете резюме и формы заявок по почте или электронной почте, будет сложнее отследить, кто загрузил информацию или даже распечатал ее для проверки. У вас должны быть строгие правила и процедуры, касающиеся того, кто может получить доступ к резюме, формам заявлений и системам хранения, которые доступны только определенному персоналу.
Данные должны быть уничтожены, с сохранением записи, подтверждающей уничтожение. Если вы используете резюме, электронную почту и электронные таблицы, вам необходимо убедиться, что вы можете удалить данные кандидата из всех точек ввода данных, это может быть трудно отследить, если у вас нет подключенной системы.
Однако при использовании ATS этот процесс должен быть намного проще, большинство систем ATS будут иметь функцию «удалить данные» «удалить заявителя», удаляя все следы заявки и всю личную информацию.
Удалить кандидата
Большинство систем ATS также будут иметь автоматическую очистку информации, удаляя данные кандидатов в определенные моменты времени, будь то 12 месяцев, 24 месяца в соответствии с тем, как долго вы указали в своем уведомлении о конфиденциальности.
СИСТЕМЫ ОТСЛЕЖИВАНИЯ ЗАЯВИТЕЛЕЙ (ATS)Большинство систем отслеживания заявителей обновят свои системы, чтобы гарантировать, что они и их клиенты соблюдают новые правила.
Кандидаты должны отметить поле согласия, подтверждающее, что они получили и прочитали соответствующее уведомление о конфиденциальности.
Хорошая практика рекомендует как провайдеру ОВД, так и работодателю отображать свои индивидуальные уведомления о конфиденциальности.
ПРОЗРАЧНАЯ СВЯЗЬИнформирование ваших кандидатов и «прозрачность» ваших коммуникаций – ключевой элемент GDPR.
ATS, такая как LANDED, может помочь вам создать шаблоны сообщений электронной почты, которые будут поддерживать ваше Уведомление о конфиденциальности и политику GDPR, а также предоставят кандидатам возможность беспрепятственного и последовательного путешествия по вашей организации, не говоря уже о высвобождении времени, посвященного «администратору» и процесс.
ЗЕМЛЕЙ
Если вы не используете ATS, вам следует подумать об инвестировании в него, и если вы это сделаете, важно спросить следующее в отношении GDPR.
- Есть ли у них как у обработчиков данных гарантии GDPR?
- Если они не являются компанией из ЕС, они должны либо быть частью Privacy Shield (для компаний США), либо быть готовы подписать эффективные соглашения об обработке данных, которые обязывают их следовать руководящим принципам GDPR.
- Где они хранят свои данные?
- Выбранный вами ATS также должен сообщать вам, где они хранят свои данные и как они обеспечивают их защиту.У них должны быть соглашения об обработке данных с этими субподрядчиками.
- Можете ли вы получить доступ к их политикам? Обязательно ознакомьтесь с их политиками конфиденциальности, чтобы убедиться, что они соответствуют GDPR и могут надлежащим образом защитить данные кандидатов.
GDPR не должен ограничивать ваш процесс приема на работу, но в этот цифровой век важно, чтобы вы предприняли шаги для обеспечения защиты личной информации. LANDED Hiring Software – это платформа для маркетинга и отслеживания кандидатов, построенная на платформе agile stack.Мы способны адаптироваться к постоянно меняющемуся технологическому миру. Наша технология гарантирует, что наши клиенты соблюдают все законы о найме, включая GDPR.