Atrankos sistemoje laikomi CV, kontaktai, pokalbių pastabos ir profesinės istorijos detalės. Saugumas nėra vien sertifikato ženklas tiekėjo svetainėje. Tai konkretūs atsakymai, kas yra atsakingas, kur keliauja duomenys, kas juos mato, kada jie ištrinami ir ką darote įvykus incidentui.
Aiškiai apibrėžkite GDPR vaidmenis
Pradėkite nuo to, kas nustato, kodėl ir kaip naudojami kandidatų duomenys, o kas juos tvarko jūsų nurodymu. Įmonė arba atrankų agentūra dažnai nustato tikslus, o technologijos tiekėjas veikia kaip tvarkytojas, tačiau realus vaidmuo turi būti patikrintas pagal paslaugą ir sutartį.
Agentūroje ypač svarbu atskirti kliento mandato duomenis nuo ilgalaikių kandidatų ryšių. Klientas gali gauti shortlist, tačiau tai nereiškia, kad jam turi būti perduota visa agentūros bazė ar ankstesnių pokalbių kontekstas.
Paprašykite DPA, subprocesorių sąrašo, saugumo priemonių aprašo ir incidentų kontaktų. Atskirai klauskite apie DI paiešką, duomenų papildymą, el. pašto siuntimą, analitiką ir tai, ar įvedami duomenys naudojami modeliams mokyti.
ES duomenų vieta nėra visas atsakymas
Klauskite, kur yra pagrindinė duomenų bazė, atsarginės kopijos, žurnalai, failai ir išorinės paslaugos. Sužinokite, kurie subprocesoriai gali pasiekti informaciją ir kaip sprendžiami perdavimai už EEE ribų.
DI funkcija gali reikšti skirtingus techninius procesus. Kandidato paieškos signalas, teksto santrauka ir išorinio profilio paieška turi būti vertinami atskirai. Tiekėjas turi paaiškinti, kas saugoma, kiek laiko ir kam perduodama.
Yena DI naudoja kandidatų paieškai, informacijos sutvarkymui ir tinkamumo paaiškinimui. Tai nėra automatinis įdarbinimo sprendimas. Vis tiek reikia gauti aiškų atsakymą apie jūsų duomenų srautus ir pasirinktą konfigūraciją.
Paprašykite pateikti duomenų žemėlapį paprasta kalba. Jame turėtų būti matyti, kas įvedama iš LinkedIn plėtinio, kas gaunama iš el. pašto ar API, kas patenka į paieškos užklausą ir kur laikomi rezultatai. Jei tokio paaiškinimo neįmanoma gauti, riziką sunku tinkamai įvertinti.
Saugumo vertinime nepamirškite atsarginių kopijų ir žurnalų. Net jeigu pagrindinė duomenų bazė yra ES, pagalbiniai failai ar stebėjimo paslauga gali būti tvarkomi kitur. Tiekėjas turėtų aiškiai įvardyti šias dalis ir jų saugojimo terminus.
Patikrinkite, ar tiekėjas gali paaiškinti, kaip atskiriami skirtingų klientų duomenys ir kaip užkertamas kelias netyčiniam jų parodymui. Agentūrai tai nėra teorinis klausimas: vienas neteisingas eksportas gali pakenkti ir kandidatui, ir kliento pasitikėjimui.
Į kontrolinį sąrašą įrašykite periodinius testus. Kartą per metus arba pasikeitus svarbiai funkcijai atlikite bandomąjį eksportą, peržiūrėkite prieigas ir atnaujinkite incidento kontaktus. Saugumas yra veikiantis procesas, o ne dokumentas, pasirašytas diegimo dieną.
Dar vienas praktinis klausimas: ar galite atkurti darbą po vartotojo klaidos neprarasdami audito pėdsako? Atsarginė kopija turi padėti atkurti duomenis, bet neturėtų panaikinti informacijos apie tai, kas ir kada įvyko.
Prieigos, trynimas ir eksportas
Prieiga turi atitikti vaidmenį ir realų poreikį. Administratorius nebūtinai turi kasdien matyti viską, konsultantui nereikia kito kliento konfidencialaus mandato, o išoriniam vartotojui neturėtų būti suteikta platesnė prieiga vien dėl patogumo. Tikrinkite MFA, sesijas ir vartotojų išjungimą.
Aprašykite, kaip gausite užklausą dėl prieigos, taisymo, trynimo ar nesutikimo. Sistema turi padėti rasti susijusius kandidato įrašus, veiksmus, kampanijas ir priedus. Ištrinti kortelę neužtenka, jei kopija lieka laiškų sistemoje ar integracijoje.
Eksportas yra perkeliamumo ir incidentų valdymo kontrolė. Patikrinkite, ar galite gauti kandidatus, įmones, veiksmų istoriją, sutikimus ir priedus struktūriniu formatu. Šį veiksmą atlikite prieš pasirašydami sutartį.
- Vaidmenimis pagrįsta prieiga ir MFA
- DPA ir subprocesoriai
- ES saugojimo bei perdavimo scenarijus
- Trynimo užklausų vykdymas
- Pilnas struktūrinis eksportas
Incidentų valdymas
Klauskite ne tik, ar tiekėjas patyrė incidentą. Svarbiau, kaip jis nustatomas, kas informuoja klientą, kaip saugomi įrodymai, kokie pranešimo terminai ir kaip atliekama priežasties analizė. Sutartyje turi būti konkretus pranešimo kanalas.
Jūsų vidinė tvarka taip pat svarbi. Kas sustabdo kampaniją, blokuoja paskyrą, informuoja klientą ir koordinuoja veiksmus su duomenų apsaugos specialistu? Išbandykite scenarijų, kuriame eksportas išsiunčiamas ne tam adresatui arba prarandama administratoriaus paskyra.
Atskirkite pasiekiamumo sutrikimą nuo asmens duomenų saugumo pažeidimo. Abiem atvejais reikia greitos reakcijos, tačiau dokumentavimo ir pranešimo pareigos gali skirtis.
Įrodymų reikalaujantis pirkimas
Pirkime paskirkite klausimų savininkus. Teisininkas vertina sutartis ir GDPR vaidmenis, IT tikrina autentifikavimą, žurnalus ir integracijas, o atrankų vadovas žiūri, ar saugumo reikalavimai netrukdys darbui.
Prašykite įrodymų: DPA, subprocesorių sąrašo, prieigos pavyzdžio, trynimo procedūros, eksporto failo, incidento tvarkos ir informacijos apie DI duomenų naudojimą. Miglotas atsakymas taip pat yra svarbi pirkimo informacija.
Galiausiai tikrinkite žmonių elgesį. Saugus produktas neapsaugos nuo bendrų paskyrų, asmeninių įrenginių eksportų ar laiku nepanaikintų prieigų. Įdiegus sistemą reikia trumpos, reguliarios kontrolės.
Paprašykite tiekėjo apibūdinti ne tik technines priemones, bet ir atsakomybės ribas. Kas atnaujina subprocesorių informaciją? Kas atsako, jei laiškų tiekėjas laikinai nepasiekiamas? Kas padeda atkurti duomenis, o kas informuoja apie saugumo įvykį? Aiškus atsakymas sutrumpina krizės laiką.
Saugumo vertinimą verta pakartoti pasikeitus produktui. Nauja paieškos funkcija, papildomas duomenų šaltinis ar nauja integracija gali pakeisti duomenų srautą. Vienkartinė anketa neturėtų tapti priežastimi niekada nebeklausti, kaip sistema veikia šiandien.
Kur lieka žmogaus atsakomybė
Žmogaus patikra nėra pasirenkama
Šis sąrašas nėra teisinė išvada ir nepakeičia VDAI konsultacijos, duomenų apsaugos pareigūno vertinimo ar rizikos analizės. Yena gali suteikti produktines kontrolės priemones, tačiau jūsų organizacija atsako už teisėtą pagrindą, konfigūraciją, vartotojų elgesį ir galutinį atrankos sprendimą.
Išbandykite kandidatų paieškos procesą su tikru mandatu
Pasiimkite šį sąrašą į tiekėjo pokalbį ir prašykite konkrečių duomenų srautų įrodymų.
Peržiūrėti Yena paieškąNaudingi Yena puslapiai
Dažniausi klausimai
Ar ES serveris reiškia, kad sistema atitinka GDPR?
Ne. Reikia vertinti vaidmenis, tikslą, prieigas, subprocesorius, perdavimus, saugojimo terminus, trynimą ir jūsų nustatymus.
Ką turi apimti DPA?
Apdorojimo tikslą ir trukmę, duomenų rūšis, instrukcijas, konfidencialumą, saugos priemones, subprocesorius, pagalbą įgyvendinant teises, incidentus, auditą ir trynimą arba grąžinimą.
Ar DI gali automatiškai pasirinkti geriausią kandidatą?
Atrankos sprendimams būtina tinkama žmogaus patikra ir teisinis vertinimas. Yena padeda ieškoti ir paaiškinti atitiktį, bet galutinio sprendimo nepriima.
Kaip dažnai peržiūrėti prieigas?
Iškart pasikeitus pareigoms ar darbuotojui išėjus, taip pat reguliariai pagal jūsų riziką ir klientų reikalavimus.
Oficialūs šaltiniai
- Lietuvos Valstybinė duomenų apsaugos inspekcija
- Eiropas Komisija: datu aizsardzība ES
- Eiropas Komisija: AI Act regulējums
Peržiūrėti Yena kainas
Prieš diegimą išbandykite trynimą, eksportą ir vartotojo paskyros išjungimą.
Peržiūrėti Yena kainas