Personāla atlases sistēmā glabājas CV, kontaktinformācija, sarunu piezīmes un reizēm arī jutīgi profesionālās dzīves fakti. Drošība nav tikai sertifikāta logotips pārdevēja lapā. Tā ir virkne pārbaudāmu atbilžu par lomām, piekļuvi, glabāšanu, dzēšanu un rīcību incidenta brīdī.
Noskaidrojiet, kas ir atbildīgs par ko
Sāciet ar GDPR lomām. Parasti uzņēmums vai atlases aģentūra nosaka, kāpēc un kā kandidātu dati tiek izmantoti, bet tehnoloģijas piegādātājs apstrādā datus jūsu vārdā. Tomēr loma jāapstiprina pēc faktiskā pakalpojuma modeļa un līguma, nevis jāpieņem automātiski.
Ja aģentūra strādā vairāku klientu labā, jābūt skaidram, kuri dati pieder konkrētam mandātam, kuri ir aģentūras kandidātu attiecību dati un kurš drīkst tos redzēt. Klienta prasība “atsūtiet visu datubāzi” nav pietiekams pamats, lai ignorētu piekļuves un datu minimizācijas principus.
Pieprasiet DPA jeb datu apstrādes līgumu, apakšapstrādātāju sarakstu, drošības pasākumu aprakstu un kontaktpersonu incidentiem. Pārbaudiet arī, kā līgums attiecas uz enrichment, e-pasta sūtīšanu, analītiku un AI funkcijām.
Datu atrašanās vieta un pārsūtīšana
Jautājums “vai dati ir Eiropā?” ir labs sākums, bet ar to nepietiek. Noskaidrojiet, kur atrodas primārā datubāze, rezerves kopijas, žurnāli, pielikumi un ārējie pakalpojumi. Uzziniet, kuri apakšapstrādātāji var piekļūt datiem un kā tiek risināti pārsūtījumi ārpus EEZ.
Ja sistēmā ir MI funkcijas, jautājiet, vai kandidātu dati tiek izmantoti modeļu apmācībai, cik ilgi tiek saglabāti vaicājumi un kuri pakalpojumi apstrādā ievadīto tekstu. “AI” nav viena tehniska kategorija. Sourcing ieteikums, teksta kopsavilkums un ārējs publiska profila meklējums var radīt atšķirīgus riskus.
Yena pozicionē MI kā palīgu kandidātu meklēšanā, datu sakārtošanā un atbilstības pamatojuma sagatavošanā. Tas nav automātisks lēmums par cilvēka pieņemšanu darbā. Piegādātājam tik un tā jāspēj izskaidrot konkrētās datu plūsmas un jūsu konfigurācijas ietekmi.
Piekļuve, dzēšana un eksports
Piekļuvei jābūt pēc lomas un vajadzības. Administratoram nav automātiski jāredz viss, konsultantam nav jāredz cita klienta konfidenciāls mandāts, bet ārējam lietotājam nevajadzētu saņemt plašāku piekļuvi tikai ērtības dēļ. Pārbaudiet daudzfaktoru autentifikāciju, sesiju pārvaldību un lietotāju deaktivizēšanu.
Definējiet, kā saņemsiet kandidāta pieprasījumu par piekļuvi, labošanu, dzēšanu vai iebildumu. Sistēmai jāpalīdz atrast saistītos ierakstus, aktivitātes, kampaņas un pielikumus. Dzēšana vienā skatā nav pietiekama, ja kopija paliek citā integrācijā vai eksportā.
Eksports ir gan pārnesamības, gan incidentu pārvaldības prasība. Pārbaudiet, vai varat iegūt kandidātu, uzņēmumu, sarunu vēstures, piekrišanu, aktivitāšu un pielikumu datus strukturētā formātā. Palūdziet izmēģināt šo procesu pirms līguma parakstīšanas.
- Lomu piekļuve un MFA
- DPA un apakšapstrādātāji
- EEZ glabāšanas un pārsūtīšanas scenārijs
- Dzēšanas un pieprasījumu izpilde
- Pilns strukturēts eksports
Incidentu reakcija
Drošības jautājums nav tikai “vai jums kādreiz bija incidents?”. Jautājiet, kā tiek atklāts notikums, kas informē klientu, kādi ir termiņi, kā tiek saglabāti pierādījumi un kā tiek veikta pēcanalīze. Līgumā jābūt praktiskam paziņošanas kanālam, nevis tikai vispārīgai saitei uz atbalsta centru.
Jūsu iekšējā kārtība ir tikpat svarīga. Nosakiet, kurš aptur kampaņu, bloķē lietotāju, informē klientu un koordinē saziņu ar datu aizsardzības speciālistu. Veiciet mācību scenāriju, kur kļūdains eksports nonāk nepareizam adresātam vai tiek pazaudēts administratora konts.
Pārbaudiet, vai piegādātājs spēj atšķirt pieejamības traucējumu no personas datu aizsardzības pārkāpuma. Abiem var būt vajadzīga steidzama rīcība, taču dokumentēšana un paziņošanas pienākumi var atšķirties.
Drošības kontrolsaraksts iepirkumam
Iepirkuma procesā piešķiriet katram jautājumam atbildīgu personu. Jurists pārbauda līgumus un GDPR lomas, IT pārbauda autentifikāciju, žurnālus un integrācijas, bet atlases vadītājs pārbauda, vai drošības prasības ir izmantojamas ikdienas darbā.
Prasiet pierādījumus, nevis tikai apgalvojumus: DPA, apakšapstrādātāju sarakstu, piekļuves piemēru, dzēšanas procedūru, eksporta failu, incidenta procedūru un informāciju par MI datu izmantošanu. Ja piegādātājs uz jautājumu atbild miglaini, tā ir iepirkuma informācija, nevis neērtība.
Drošība ir arī disciplīna. Pat labi aizsargāta sistēma nepalīdz, ja komanda koplieto kontus, eksportē kandidātus privātās ierīcēs vai neatjaunina piekļuves pēc aiziešanas. Ieviešanas plānā iekļaujiet īsas, regulāras pārbaudes.
Kur paliek cilvēka atbildība
Cilvēka pārbaude nav izvēles iespēja
Šis kontrolsaraksts nav juridisks atzinums un neaizstāj jūsu DVI konsultāciju, datu aizsardzības speciālista izvērtējumu vai riska analīzi. Yena var nodrošināt produkta darba plūsmu un drošības kontroli, bet jūsu organizācija atbild par tiesisko pamatu, konfigurāciju, lietotāju rīcību un galīgo atlases lēmumu.
Pārbaudiet kandidātu meklēšanu reālā mandātā
Paņemiet šo sarakstu uz nākamo piegādātāja sarunu un prasiet konkrētus pierādījumus par datu plūsmām.
Skatīt Yena kandidātu meklēšanuNoderīgas Yena lapas
Biežākie jautājumi
Vai ES datu centrs nozīmē, ka viss ir atbilstoši GDPR?
Nē. Jāvērtē arī lomas, tiesiskais pamats, piekļuves, apakšapstrādātāji, pārsūtīšanas, glabāšanas termiņi, dzēšana un jūsu pašu konfigurācija.
Ko jāredz DPA līgumā?
Apstrādes priekšmets un ilgums, datu veidi, instrukcijas, konfidencialitāte, drošības pasākumi, apakšapstrādātāji, palīdzība pieprasījumiem, incidenti, audits un datu dzēšana vai atdošana.
Vai MI drīkst automātiski izvēlēties labāko kandidātu?
Atlases lēmumiem vajadzīga atbilstoša cilvēka pārbaude un tiesiskā izvērtēšana. Yena palīdz meklēt un izskaidrot atbilstību, nevis pieņem galīgo darbā pieņemšanas lēmumu.
Cik bieži jāpārbauda piekļuves?
Pēc lietotāja lomas izmaiņām un aiziešanas nekavējoties, kā arī regulārā pārskatā, kura biežums atbilst jūsu riskam un klientu prasībām.
Oficiālie avoti
- Latvijas Datu valsts inspekcija
- Eiropas Komisija: datu aizsardzība ES
- Eiropas Komisija: AI Act regulējums
Apskatīt Yena cenas
Izmēģiniet dzēšanas, eksporta un lietotāja deaktivizēšanas scenāriju vēl pirms ieviešanas.
Apskatīt Yena cenas