Ochrana osobních údajů při pronájmu kapacit specialistů

  • Úvod
  • Zásady ochrany osobních údajů
  • Analýza rizik
  • Bezpečnostní architektura
  • Procesní implementace
  • Registrace u ÚOOÚ
  • Kontakty

Implementace do procesů

Navrženou bezpečnostní architekturu podpořenou zvolenými technologiemi jsme implementovali do jednotlivých procesů používaných při pronájmu kapacit. Pro přehlednější strukturu postupy rozdělíme do následujících oblastí:
  • práce se zaměstnanci a kontraktory;
  • recruitment;
  • komunikace se zákazníky.

V popisech zůstanou skryté některé podrobnosti, které jsou předmětem našeho obchodního tajemství nebo by jejich odhalení mohlo potenciálně snížit úroveň ochrany údajů. Soulad všech interních procesů s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen GDPR) je deklarován v interní neveřejné směrnici Základní pravidla postupů souvisejících se zpracováním osobních údajů (dále jen interní směrnice), která je k dispozici zaměstnancům a případným kontrolním orgánům.

Nezávisle na nastavení procesů a aktuálnímu stavu můžete vždy využít kontakty pro uplatnění vašich práv plynoucích ze zpracování osobních údajů a iniciovat řešení konkrétního požadavku.



Práce se zaměstnanci a kontraktory

Vztah se stávajícími spolupracovníky - zaměstnanci i kontraktory - se z pohledu ochrany osobních údajů řídí interní směrnicí. Osobní údaje jsou uložené v CRM, v interní komunikaci, v dokumentech v rámci G Suite a DocuSign.



Nábor nových spolupracovníků

Nábor nových zaměstnanců nebo kontraktorů pro poskytování jejich kapacit má z pohledu ochrany osobních údajů jistá specifika, která je potřeba procesně i technologicky zohlednit. Jedná se především o zajištění bezpečnosti informací při prezentaci profilů kandidátů stávajícím i potenciálním zákazníkům. Aiteq, jako zprostředkovatel, může stát mezi subjekty (kandidát, potenciální zákazník), se kterými nemá uzavřený žádný smluvní vztah. Zprostředkování tak může probíhat výhradně na základě souhlasu a striktního dodržování pravidel.

Navázání kontaktu iniciované kandidátem

  1. Kandidát nás osloví se zájmem o spolupráci prostřednictvím
    - telefonu, emailu, zprávy ze systému typu instant messaging (Google Hangouts, Facebook Messenger, Skype, ...),
    - aktivity na sociální síti (LinkedIn, Facebook, Twitter, Google+, ...),
    - reakcí na pracovní nabídku ve specializované aplikaci (jobs.cz, Facebook Jobs, LinkedIn Recruiter, ...).

  2. Do CRM zavedeme
    - jméno, příjmení a použitý kontakt (telefonní číslo, emailová adresa, ...),
    - další informace sdělené kandidátem (o jakou pozici má zájem, požadavek na odměnu, termíny, lokaci, ...),
    - případně informace z veřejného profilu na síti LinkedIn.
    Můžeme požádat kandidáta o spojení na síti LinkedIn.

    Pozor! Pokud nám zašlete CV v úvodní zprávě (emailem, instatní zprávou nebo jinak nasdílíte) nejsme oprávněni ho zpracovat a musíme ho smazat. CV můžete uploadovat nebo poslat až v reakci na naší zprávu, při které odpovědí odsouhlasíte zpracování vašich údajů. Výjimkou může být zprostředkování vašeho profilu specializovanou službou (jobs.cz apod.), u které vzniká možnost zprostředkování údajů odsouhlasením podmínek použití.

  3. Odpovíme formou emailové zprávy, která bude obsahovat
    - cca 4 odstavce textu o našem fungování,
    - odkazy na relevantní zdroje (www.aiteq.com, www.aiteq.jobs, privacy.aiteq.com, naše profily na sociálních sítích),
    - odkaz na seznam nabízených pozic, případně komentovaný seznam vybraných pozic přímo v těle zprávy,
    - žádost o doplnění informací (požadovaná odměna, možný termín nástupu, apod.),
    - žádost o upload aktuálního CV a potvrzení souhlasu se zpracováním osobních údajů.
    Emailová zpráva nemusí obsahovat vše uvedené, pokud jsme si již informace vyměnili dříve, např. během rozhovoru.

  4. Kandidát použije připravený zabezpečený formulář (technologie Google Forms v rámci G Suite) pro upload svého CV a udělení souhlasu pro zpracování osobních údajů.

  5. Dále se řídíme na základě odpovědi případným uděleným/neuděleným souhlasem a dohodou s kandidátem (která může spočívat i v odmítnutí spolupráce a smazání zpracovávaných osobních údajů). V opačném případě, neobdržíme-li odpověď, po uplynutí 60 dní smažeme získané osobní údaje z IS kromě veřejně dostupných informací (např. LinkedIn profil).

Navázání kontaktu iniciované Aiteqem na základě doporučení

  1. Kandidátovi se ozveme na předaný kontakt (telefon, email, ...), v případě možosti výběru preferujeme email. Součástí úvodní emailové zprávy bude
    - cca 4 odstavce textu o našem fungování,
    - odkazy na relevantní zdroje (www.aiteq.com, www.aiteq.jobs, privacy.aiteq.com, naše profily na sociálních sítích),
    - odkaz na seznam nabízených pozic, případně komentovaný seznam vybraných pozic přímo v těle zprávy,
    - žádost o doplnění informací (požadovaná odměna, možný termín nástupu, apod.),
    - žádost o upload aktuálního CV a potvrzení souhlasu se zpracováním osobních údajů.
    Emailová zpráva nemusí obsahovat vše uvedené, pokud jsme údaje již obdrželi jako součást doporučení.

  2. Kandidát použije připravený zabezpečený formulář (technologie Google Forms v rámci G Suite) pro upload svého CV a udělení souhlasu pro zpracování osobních údajů.

  3. Dále se řídíme na základě odpovědi případným uděleným/neuděleným souhlasem a dohodou s kandidátem (která může spočívat i v odmítnutí spolupráce a smazání zpracovávaných osobních údajů). V opačném případě, neobdržíme-li odpověď, po uplynutí 60 dní smažeme získané osobní údaje z IS kromě veřejně dostupných informací (např. LinkedIn profil).

Navázání kontaktu iniciované Aiteqem na základě nalezení kandidáta vlastním průzkumem

  1. Kandidátovi se ozveme na získaný kontakt (např. email po spojení na LinkedInu apod.), v případě možosti výběru preferujeme email. Součástí úvodní emailové zprávy bude
    - cca 4 odstavce textu o našem fungování,
    - odkazy na relevantní zdroje (www.aiteq.com, www.aiteq.jobs, privacy.aiteq.com, naše profily na sociálních sítích),
    - odkaz na seznam nabízených pozic, případně komentovaný seznam vybraných pozic přímo v těle zprávy,
    - žádost o doplnění informací (požadovaná odměna, možný termín nástupu, apod.),
    - žádost o upload aktuálního CV a potvrzení souhlasu se zpracováním osobních údajů.
    Emailová zpráva nemusí obsahovat vše uvedené, pokud jsme údaje získali např. z veřejného profilu na LinkedIn.

  2. Kandidát použije připravený zabezpečený formulář (technologie Google Forms v rámci G Suite) pro upload svého CV a udělení souhlasu pro zpracování osobních údajů.

  3. Dále se řídíme na základě odpovědi případným uděleným/neuděleným souhlasem a dohodou s kandidátem (která může spočívat i v odmítnutí spolupráce a smazání zpracovávaných osobních údajů). V opačném případě, neobdržíme-li odpověď, po uplynutí 60 dní smažeme získané osobní údaje z IS kromě veřejně dostupných informací (např. LinkedIn profil).

Obnovení kontaktu navázaného/získaného před platností zásad

  1. Kandidátovi se ozveme na uložený kontakt (telefon, email, ...), v případě možosti výběru preferujeme email. Součástí emailové zprávy bude vždy
    - žádost o vyjádření souhlasu/nesouhlasu se zpracováním držených osobních údajů
    a dále
    - cca 4 odstavce textu o našem fungování - aktualizace změn od posledního kontaktu,
    - odkazy na relevantní zdroje (www.aiteq.com, www.aiteq.jobs, privacy.aiteq.com, naše profily na sociálních sítích),
    - odkaz na seznam nabízených pozic, případně komentovaný seznam vybraných pozic přímo v těle zprávy,
    - žádost o doplnění informací (např. aktuální dostupnost),
    - žádost o upload aktuálního CV a odkaz na formulář.
    Emailová zpráva nemusí obsahovat vše uvedené, pokud jsme údaje již obdrželi dříve.

  2. Kandidát použije připravený zabezpečený formulář (technologie Google Forms v rámci G Suite) pro upload svého CV a udělení souhlasu pro zpracování osobních údajů.

  3. Dále se řídíme na základě odpovědi případným uděleným/neuděleným souhlasem a dohodou s kandidátem (která může spočívat i v odmítnutí spolupráce a smazání zpracovávaných osobních údajů). V opačném případě, neobdržíme-li odpověď, po uplynutí 60 dní smažeme získané osobní údaje z IS kromě veřejně dostupných informací (např. LinkedIn profil).

Zprostředkování příležitosti

Předpokladem ke zprostředkování konkrétních příležitostí je předchozí navázání kontaktu a udělení souhlasu se zpracováním osobních údajů

  1. Kandidátovi předložíme jednu nebo více příležitostí formou emailové zprávy, odkazu na portál www.aiteq.jobs nebo při osobním rozhovoru. Součástí popisu každé nabízené pozice bude (pokud budou informace v dané chvíli k dispozici)
    - název pozice / projektové role, požadavky na kandidáta, náplň práce a používané technologie a nástroje,
    - jméno zákazníka a místo výkonu práce,
    - začátek a předpokládaný konec alokace, případně informace o možnosti prodloužení,
    - informace o odměně.
    Alternativně nebo dodatečně může být kandidátovi předložen seznam zákazníků, kterým lze jeho profil prezentovat mimo reakci na konkrétní otevřenou pozici.

  2. Kandidát odpoví výběrem příležitostí, o které má zájem, případně zákazníků, ke kterým chce být prezentován.

    V případě, že neobdržíme odpověď, budeme považovat naší nabídku pro kandidáta za nezajímavou. V takovém případě se pokusíme vytvořit nabídkou novou, pokud dojde ke změně v nabízených pozicích. Druhou nabídku můžeme učinit nejdříve po uplynutí 30 dní od první; jakékoliv následující nejdříve po uplynutí 90 dní od předchozí. Mimo uvedené můžeme poslat kandidátovi ještě mimořádnou nabídku na konkrétní pozici, pokud splňuje jím požadované parametry. Za kalendářní rok pošleme jednomu kandidátovi nejvýše 6 nabídek, pokud si nebude přát jinak. V každém okamžiku může využít připravené kontakty pro změnu parametrů nebo odebrání souhlasu.

  3. Ve spolupráci s kandidátem připravíme jeho profil pro prezentaci zákazníkovi ve standardizovaném formátu strukturovaného CV zaměřeného na realizované projekty. Profil bude uložený jako dokument G Suite, zpřístupněný kandidátovi a zaměstnancům Aitequ, kteří budou CV dále zpracovávat (řízení přístupu bude dle navržené bezpečnostní architektury na úrovni IAM v rámci účtu G SUite).

  4. Oslovíme zákazníky specialistou vybrané v bodě 2. prezentací profilu kandidáta. Přístup k profilu mají výhradně registrované oprávněné osoby - zaměstnanci zákazníka. Z bezpečnostních a provozních důvodů (někteří zákazníci mají omezený přístup k dukumentům G Suite) není sdílen přímo dokument připavenný v bodě 3., ale jeho PDF verze uložená v systému Aiteq Specialists. Práva jsou udělována s rozlišením na zákazníka - všechny registrované oprávně osoby daného zákazníka mohou vidět zpřístupněný profil.

    Kandidát vždy zná a předem schválí seznam zákazníků, kterým bude jeho profil prezentován. Neoperujeme žádným univerzálním souhlasem, na základě kterého bychom nabízeli profily bez vědomí kandidáta, a nepovažujeme takový přístup za etický.
  5. Další kroky již závisí na parametrech procesu výběru nastavených konkrétním zákazníkem a trojstrannému jednání kandidát-Aiteq-zákazník a jejich nastavení je subjektem interních záležitostí Aitequ.

Podpis smlouvy s kandidátem

  1. Vytvoření a finalizace rámcové smlouvy a případně objednávky v G Suite (Google Document). Smlouva obsahuje:
    - jméno, příjmení a titul nového spolupracovníka,
    - adresa a kontaktní údaje spolupracovníka,
    - případně citlivá smluvní ujednání.
    V objednávce (nebo prováděcí smlouvě) je nebo může být navíc uvedeno:
    - jméno a adresa zákazníka,
    - cenové údaje,
    - další citlivá data.


​

Komunikace se zákazníky

V komunikaci je při zajištění ochrany osobních údajů největší pozornost věnována procesu sdílení profilů kandidátů, jehož nastavení je totožné pro stávající i potenciální zákazníky. Přístup k profilům je umožněn - v souladu s výše popsaným postupem - pouze po předchozím udělení souhlasu ze strany kandidáta, oprávněným osobám a prostřednictvím systému Aiteq Specialists.

Registrace oprávněných osob

  1. Zákazník podá žádost o registraci svých oprávněných osob (nejvýše pět, v případě nutnosti lze dohodnout další) prostřednictvím registračního formuláře (alternativně emailem na admin@specialists.aiteq.com, pokud z nějakého důvodu nelze formulář použít - např. blokovaný přístup ke službám a dokumentům G Suite). U každé oprávněné osoby musí zákazník uvést:
    - identifikace zákazníka - jméno společnosti;
    - jméno a příjmení, nepovinně pracovní pozice;
    - účel přístupu k profilům - ověření kvalifikace nebo administrativní účely;
    - emailová adresa - musí být na doméně zákazníka, nelze použít veřejné adresy na gmail.com, seznam.cz apod.;
    - mobilní telefonní číslo, které bude použité při ověření přístupu.

  2. Aiteq po kontrole splnění podmínek zaregistruje oprávněné osoby v systému Aiteq Specialists. Registrované osoby obdrží zprávu o úspěšné registraci. Při nesplnění podmínek (např. email mimo doménu zákazníka) systém osobu ignoruje, oznámení neodesílá.

  3. Po udělení souhlasu ze strany kandidáta bude jeho profil oprávněným osobám dostupný prostřednictvím odkazu ve formátu https://specialists.aiteq.com/profile/<profile-id>.
​
Přístup k profilu kandidáta

  1. Po kliknutí na odkaz vedoucí k profilu kandidáta provede systém ověření identity oprávněné osoby (autentizaci) prostřednictvím jedné z povolených autentizačních metod. V tuto chvíli jsou k dispozici:
    - ověření prostřednictvím Google účtu - bude vyžadováno povolení přístupu k identitě uživatele;
    - ověření pomocí jednorázového kódu zaslaného na registrovaný mobilní telefon oprávněné osoby (OTP).
    Uživatel může být systémem dodatečně vyzván k ověření, že se nejedná o strojový přístup (CAPTCHA).

    V případě použití Google účtu bude od této chvíle oprávněná osoba autentizována vždy, když bude do Google účtu přihlášená. V případě použití mobilního OTP je postup a způsob ověření identity následující.

  2. Na registrovaný mobilní telefon oprávněné osoby přijde SMS s ověřovacím kódem, kterým přistupující prokáže svoji identitu.

  3. V případě zadání správného telefonního čísla a ověřovacího kódu je povolen přístup k profilu kandidáta. Na daném zařízení je přístup možný dalších 30 dní, aby oprávněné osoby nemusely procházet ověřením při každém použití odkazu. V tomto období je na odpovědnosti každé oprávněné osoby zabezpečení daného zařízení.

Registraci v systému Aiteq Specialists získávají oprávněné osoby na dobu neurčitou, do odvolání ze strany zákazníka nebo rozhodnutí Aitequ. Přístup k jednotlivým profilům se řídí uděleným souhlasem kandidátů.


​
Proudly powered by Weebly