Atpakaļ uz blogu
atlases programmatūras drošībaGDPRDPALatvija

Personāla atlases programmatūras drošības kontrolsaraksts

Ko pārbaudīt par GDPR lomām, DPA, datu atrašanās vietu, piekļuvēm, dzēšanu un incidentiem, izvēloties atlases programmatūru.

Janis Kolomenskis

9 min lasīšanai
Dalīties

Personāla atlases sistēmā glabājas CV, kontaktinformācija, sarunu piezīmes un reizēm arī jutīgi profesionālās dzīves fakti. Drošība nav tikai sertifikāta logotips pārdevēja lapā. Tā ir virkne pārbaudāmu atbilžu par lomām, piekļuvi, glabāšanu, dzēšanu un rīcību incidenta brīdī.

Noskaidrojiet, kas ir atbildīgs par ko

Sāciet ar GDPR lomām. Parasti uzņēmums vai atlases aģentūra nosaka, kāpēc un kā kandidātu dati tiek izmantoti, bet tehnoloģijas piegādātājs apstrādā datus jūsu vārdā. Tomēr loma jāapstiprina pēc faktiskā pakalpojuma modeļa un līguma, nevis jāpieņem automātiski.

Ja aģentūra strādā vairāku klientu labā, jābūt skaidram, kuri dati pieder konkrētam mandātam, kuri ir aģentūras kandidātu attiecību dati un kurš drīkst tos redzēt. Klienta prasība “atsūtiet visu datubāzi” nav pietiekams pamats, lai ignorētu piekļuves un datu minimizācijas principus.

Pieprasiet DPA jeb datu apstrādes līgumu, apakšapstrādātāju sarakstu, drošības pasākumu aprakstu un kontaktpersonu incidentiem. Pārbaudiet arī, kā līgums attiecas uz enrichment, e-pasta sūtīšanu, analītiku un AI funkcijām.

Datu atrašanās vieta un pārsūtīšana

Jautājums “vai dati ir Eiropā?” ir labs sākums, bet ar to nepietiek. Noskaidrojiet, kur atrodas primārā datubāze, rezerves kopijas, žurnāli, pielikumi un ārējie pakalpojumi. Uzziniet, kuri apakšapstrādātāji var piekļūt datiem un kā tiek risināti pārsūtījumi ārpus EEZ.

Ja sistēmā ir MI funkcijas, jautājiet, vai kandidātu dati tiek izmantoti modeļu apmācībai, cik ilgi tiek saglabāti vaicājumi un kuri pakalpojumi apstrādā ievadīto tekstu. “AI” nav viena tehniska kategorija. Sourcing ieteikums, teksta kopsavilkums un ārējs publiska profila meklējums var radīt atšķirīgus riskus.

Yena pozicionē MI kā palīgu kandidātu meklēšanā, datu sakārtošanā un atbilstības pamatojuma sagatavošanā. Tas nav automātisks lēmums par cilvēka pieņemšanu darbā. Piegādātājam tik un tā jāspēj izskaidrot konkrētās datu plūsmas un jūsu konfigurācijas ietekmi.

Piekļuve, dzēšana un eksports

Piekļuvei jābūt pēc lomas un vajadzības. Administratoram nav automātiski jāredz viss, konsultantam nav jāredz cita klienta konfidenciāls mandāts, bet ārējam lietotājam nevajadzētu saņemt plašāku piekļuvi tikai ērtības dēļ. Pārbaudiet daudzfaktoru autentifikāciju, sesiju pārvaldību un lietotāju deaktivizēšanu.

Definējiet, kā saņemsiet kandidāta pieprasījumu par piekļuvi, labošanu, dzēšanu vai iebildumu. Sistēmai jāpalīdz atrast saistītos ierakstus, aktivitātes, kampaņas un pielikumus. Dzēšana vienā skatā nav pietiekama, ja kopija paliek citā integrācijā vai eksportā.

Eksports ir gan pārnesamības, gan incidentu pārvaldības prasība. Pārbaudiet, vai varat iegūt kandidātu, uzņēmumu, sarunu vēstures, piekrišanu, aktivitāšu un pielikumu datus strukturētā formātā. Palūdziet izmēģināt šo procesu pirms līguma parakstīšanas.

  • Lomu piekļuve un MFA
  • DPA un apakšapstrādātāji
  • EEZ glabāšanas un pārsūtīšanas scenārijs
  • Dzēšanas un pieprasījumu izpilde
  • Pilns strukturēts eksports

Incidentu reakcija

Drošības jautājums nav tikai “vai jums kādreiz bija incidents?”. Jautājiet, kā tiek atklāts notikums, kas informē klientu, kādi ir termiņi, kā tiek saglabāti pierādījumi un kā tiek veikta pēcanalīze. Līgumā jābūt praktiskam paziņošanas kanālam, nevis tikai vispārīgai saitei uz atbalsta centru.

Jūsu iekšējā kārtība ir tikpat svarīga. Nosakiet, kurš aptur kampaņu, bloķē lietotāju, informē klientu un koordinē saziņu ar datu aizsardzības speciālistu. Veiciet mācību scenāriju, kur kļūdains eksports nonāk nepareizam adresātam vai tiek pazaudēts administratora konts.

Pārbaudiet, vai piegādātājs spēj atšķirt pieejamības traucējumu no personas datu aizsardzības pārkāpuma. Abiem var būt vajadzīga steidzama rīcība, taču dokumentēšana un paziņošanas pienākumi var atšķirties.

Drošības kontrolsaraksts iepirkumam

Iepirkuma procesā piešķiriet katram jautājumam atbildīgu personu. Jurists pārbauda līgumus un GDPR lomas, IT pārbauda autentifikāciju, žurnālus un integrācijas, bet atlases vadītājs pārbauda, vai drošības prasības ir izmantojamas ikdienas darbā.

Prasiet pierādījumus, nevis tikai apgalvojumus: DPA, apakšapstrādātāju sarakstu, piekļuves piemēru, dzēšanas procedūru, eksporta failu, incidenta procedūru un informāciju par MI datu izmantošanu. Ja piegādātājs uz jautājumu atbild miglaini, tā ir iepirkuma informācija, nevis neērtība.

Drošība ir arī disciplīna. Pat labi aizsargāta sistēma nepalīdz, ja komanda koplieto kontus, eksportē kandidātus privātās ierīcēs vai neatjaunina piekļuves pēc aiziešanas. Ieviešanas plānā iekļaujiet īsas, regulāras pārbaudes.

Kur paliek cilvēka atbildība

Cilvēka pārbaude nav izvēles iespēja

Šis kontrolsaraksts nav juridisks atzinums un neaizstāj jūsu DVI konsultāciju, datu aizsardzības speciālista izvērtējumu vai riska analīzi. Yena var nodrošināt produkta darba plūsmu un drošības kontroli, bet jūsu organizācija atbild par tiesisko pamatu, konfigurāciju, lietotāju rīcību un galīgo atlases lēmumu.

Pārbaudiet kandidātu meklēšanu reālā mandātā

Paņemiet šo sarakstu uz nākamo piegādātāja sarunu un prasiet konkrētus pierādījumus par datu plūsmām.

Skatīt Yena kandidātu meklēšanu

Noderīgas Yena lapas

Biežākie jautājumi

Vai ES datu centrs nozīmē, ka viss ir atbilstoši GDPR?

Nē. Jāvērtē arī lomas, tiesiskais pamats, piekļuves, apakšapstrādātāji, pārsūtīšanas, glabāšanas termiņi, dzēšana un jūsu pašu konfigurācija.

Ko jāredz DPA līgumā?

Apstrādes priekšmets un ilgums, datu veidi, instrukcijas, konfidencialitāte, drošības pasākumi, apakšapstrādātāji, palīdzība pieprasījumiem, incidenti, audits un datu dzēšana vai atdošana.

Vai MI drīkst automātiski izvēlēties labāko kandidātu?

Atlases lēmumiem vajadzīga atbilstoša cilvēka pārbaude un tiesiskā izvērtēšana. Yena palīdz meklēt un izskaidrot atbilstību, nevis pieņem galīgo darbā pieņemšanas lēmumu.

Cik bieži jāpārbauda piekļuves?

Pēc lietotāja lomas izmaiņām un aiziešanas nekavējoties, kā arī regulārā pārskatā, kura biežums atbilst jūsu riskam un klientu prasībām.

Oficiālie avoti

Apskatīt Yena cenas

Izmēģiniet dzēšanas, eksporta un lietotāja deaktivizēšanas scenāriju vēl pirms ieviešanas.

Apskatīt Yena cenas

Janis Kolomenskis

2026. gada 13. jūlijs

Dalīties
Yena

No lomas apraksta līdz pamatotam kandidātu sarakstam.

Aprakstiet, kādu cilvēku meklējat. Yena atrod pasīvos kandidātus, izskaidro viņu atbilstību, papildina pārbaudītu kontaktinformāciju un ļauj turpināt uzrunu tajā pašā atlases darba vidē.