GDPR v LMC
Osobní údaje uchazečů máte v bezpečí
Od 25. května 2018 platí nařízení EU o ochraně osobních údajů. Týká se i firem, které hledají a nabírají zaměstnance. Teamio je na to připraveno: děláme vše pro to, abychom vám práci s GDPR co nejvíce usnadnili.
Naše odpovědnost
Společnost LMC jako provozovatel Teamia je zpracovatel osobních údajů uchazečů, kteří odpovídají na pracovní nabídky. Správci těchto údajů jsou zaměstnavatelé, kteří zadávají inzeráty a pořádají příslušné výběrové řízení na volnou pracovní pozici, což je účelem zpracování těchto osobních údajů.
Správce osobních údajů
Správci osobních údajů jsou zaměstnavatelé – klienti LMC. Zpracování probíhá v aplikaci pro správu náborového procesu Teamio, kterou jim LMC poskytuje. Pokud si uchazeč o zaměstnání vytvoří registraci v systémech LMC, nebo pokud udělí LMC souhlas se zpracováním osobních údajů, je správcem osobních údajů i LMC.
Za co odpovídá správce:
- Určuje účely a prostředky zpracování osobních údajů. (Účelem je výběrové řízení na volnou pracovní pozici, prostředky správce zvolil tím, že se rozhodl používat Teamio.)
- Zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s GDPR. (Pro správce je důležité, aby si zvolil správný systém, v němž bude osobní údaje zpracovávat. My v LMC věříme, že Teamio je pro naše klienty tím správným systémem.)
- Dodržuje zásady ochrany osobních údajů. (Opět věříme, že Teamio je správnou volbou, zabezpečení je popsáno na stránce Bezpočnost.)
- Zpracovává pouze osobní údaje, jež jsou pro účel daného zpracování nezbytné. (To je zcela v kompetenci uchazečů a klientů. Uchazeči zaměstnavatelům své sami CV odesílají, případně je v databázi uchazečů o zaměstnání sami zveřejňují. Klienti mohou získat o uchazečních další informace a do Teamia je vložit, LMC nemá na rozsah osobních údajů žádný vliv.)
- Pokud dvě nebo více firem využívá jednu společnou registraci v Teamiu, jsou společnými správci osobních údajů. (Musí si mezi sebou vymezit, za jakou část zpracování dat který z nich odpovídá, zejména pokud jde o výkon práv subjektů údajů. Teamio umožňuje vložení personalizovaných textů poučení o zpracování osobních údajů a souhlasu se zpracováním, takže klienti mohou uchazeče o všem řádně informovat.)
Zpracovatel osobních údajů
Zpracovatelem osobních údajů je LMC. Zpracovává osobní údaje uchazečů o zaměstnání pro své klienty. Klientům poskytujeme aplikaci pro správu náborového procesu Teamio, v níž zpracování probíhá.
Za co odpovídá zpracovatel:
- Poskytuje záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR nařízení a aby byla zajištěna ochrana práv subjektu údajů. LMC zaručuje, že Teamio tyto předpoklady splňuje.
- Zpracovává osobní údaje na základě smlouvy se správci osobních údajů. Tato smlouva je součástí Všeobecných obchodních podmínek LMC pro podnikatele, případně může být uzavřena písemně. Smlouva se vztahuje na to zpracování osobních údajů, kde je správcem klient a zpracovatelem LMC.
- Zohledňuje povahu zpracování prostřednictvím vhodných technických a organizačních opatření tak, aby zpracování dat splňovalo požadavky GDPR. LMC aplikaci Teamio neustále vyvíjí a zdokonaluje, aby byly osobní údaje subjektů maximálně zabezpečeny a aby byla zajištěna jejich práva.
- Poskytujeme klientům – správcům osobních údajů potřebnou součinnost k řádnému zpracování osobních údajů i uchazečům – subjektům údajů při výkonu jejich práv.
Subjekt údajů
Subjekty údajů jsou především uchazeči o zaměstnání, kteří zasílají své životopisy zaměstnavatelům. Vždy jsou to fyzické osoby, právnická osoba subjektem údajů není.
Osobní údaj
Může to být jméno, e-mail, telefon, různé údaje v životopisu, ale i poznámky personalistů, štítky, historie akcí – obecně veškeré informace o identifikované nebo identifikovatelné fyzické osobě, kterou lze pomocí těchto informací přímo či nepřímo identifikovat.
Zpracování údajů
Akce, které správce nebo zpracovatel provádějí s osobními údaji, a to zcela nebo částečně automatizovaně (shromažďování, nahrávání, organizování, ukládání a vymazávání).
Důležité funkce, které vše usnadní
Všechny funkce najdete v Teamiu PRO.
Dva různé režimy zpracování osobních údajů
Zpracování osobních údajů na základě účelu, kterým je účast uchazeče ve výběrovém řízení. V tomto případě není potřeba, aby uchazeč udělil zaměstnavateli souhlas se zpracováním osobních údajů, výběrového řízení se může zúčastnit i „bez souhlasu“ (základní princip dobrovolného, svobodně uděleného souhlasu). Tento účel trvá v Teamiu PRO maximálně po dobu 6 měsíců od reakce uchazeče. Verze Teamio Posting maže uchazeče ve většině případů rychleji. Zaměstnavatel může během této doby s uchazečem pracovat v rámci probíhajícího výběrového řízení, nebo mu nabídnout jinou relevantní pozici. Tuto lhůtu může zaměstnavatel zkrátit a smazat uchazeče dříve, nebo prodloužit, pokud výběrové řízení trvá déle. Uchazeč může tuto lhůtu prodloužit tím, že zaměstnavateli dodatečně souhlas se zpracování osobních údajů udělí.
Zpracování osobních údajů na základě souhlasu, tedy nad rámec výběrového řízení, které začíná po jeho skončení u těch uchazečů, kteří zaměstnavateli udělili souhlas se zpracováním (uchazeči „bez souhlasu“ jsou po jeho skončení smazáni). Díky tomu mohou zaměstnavatelé s osobními údaji uchazečů pracovat po dobu platnosti souhlasu. Teamio umožňuje jednoduché smazání uchazeče, pokud svůj souhlas odvolá, i automatické odeslání žádosti o prodloužení platnosti souhlasu.
Ilustrační obrázek
Poučení o zpracování osobních údajů, kterým zaměstnavatel plní informační povinnost vůči uchazečům
První úroveň (zobrazí se v plném znění na odpovědním formuláři).
Druhá úroveň se opět rozbalí po kliknutí na „Zobrazit více“.
Pro výběrové řízení na tuto pracovní pozici bude společnost/personální agentura [název, IČO a sídlo dle OR], jakožto správce, zpracovávat Vámi poskytnuté (či z veřejných zdrojů získané) osobní údaje, a to v souladu s obecným nařízením o ochraně osobních údajů (EU) 2016/679. Zpracování osobních údajů bude pro správce provádět společnost LMC s.r.o., IČO: 264 41 381 prostřednictvím svých elektronických systémů. [Osobní údaje mohou být předány mimo EU] [zobrazit více]
Druhá úroveň (zobrazí se po rozkliknutí)
Odpovědí na tento inzerát poskytujete správci své osobní údaje za účelem a po dobu realizace výběrového řízení. V souvislosti se zpracováním Vašich osobních údajů máte příslušná práva: (i) na přístup k osobním údajům, (ii) na opravu či doplnění nepřesných nebo nepravdivých osobních údajů, (iii) na výmaz osobních údajů, nejsou-li již osobní údaje potřebné pro účely, pro které byly shromážděny či jinak zpracovány, anebo zjistíte-li, že byly zpracovávány protiprávně, (iv) na omezení zpracování osobních údajů ve zvláštních případech (v) na přenositelnost údajů a (vi) vznést námitku, po níž zpracování Vašich osobních údajů bude ukončeno, neprokáže-li se, že existují závažné oprávněné důvody pro zpracování, jež převažují nad Vašimi zájmy nebo právy a svobodami zejména, je-li důvodem případné vymáhání právních nároků a (vii) obrátit se na Úřad pro ochranu osobních údajů.
[Vaše osobní údaje mohou být předány zaměstnavateli mimo zemí EU, které neposkytují odpovídající ochranu osobních údajů. Předání je nezbytné pro účely výběrového řízení v souladu s čl. 49 odst. 1 písm. b) (EU) 2016/679]. Podrobnosti o zárukách ochrany si můžete vyžádat od správce.
Další informace o zpracování údajů společností [název, IČO a sídlo dle OR] včetně možných příjemců poskytuje pověřenec pro ochranu osobních údajů [●], e-mail: [●].
Další informace o zpracování údajů společností LMC s.r.o., IČO: 264 41 381, se sídlem Praha 7, Jankovcova 1569/2c, PSČ 170 00 poskytuje pověřenec pro ochranu osobních údajů [●], e-mail: [●], resp. jsou dostupné na [link na privacy policy LMC].
Pravidla pro uchazeče „bez souhlasu“
Uchazeče „bez souhlasu“ v Teamiu poznají klienti na první pohled v Detailu uchazeče i Agendě.
Pomocí filtrů je s nimi možné hromadně pracovat.
Uchazeči „bez souhlasu“ je možné v rámci výběrového řízení nabídnout i jinou vhodnou pozici v rámci souvisejícího účelu (předpokládáme, že má zájem o práci u klienta, pokud má tedy klient volnou obdobnou pozici, může jí uchazeči nabídnout).
Všechna data u uchazeče „bez souhlasu“ Teamio automaticky nevratně maže. Kdy?
- Po uplynutí 6 měsíců od reakce uchazeče.
Proč právě 6 měsíců od reakce uchazeče?
Tuto dobu jsme v LMC vyhodnotili jako přiměřenou danému účelu, kterým je účast ve výběrovém řízení. Klient však tuto dobu může zkrátit a smazat uchazeče, pokud výběrové řízení skončilo dříve, nebo naopak prodloužit, pokud po 6 měsících stále běží.
Souhlasy se zpracováním osobních údajů udělené před účinností GDPR
Analyzovali jsme dopady GDPR na osobní údaje uchazečů, kteří reagovali na pozice v době před účinností GDPR. Ty jsou platné, někteří klienti tedy mají v Teamiu stále archivovány osobní údaje uchazečů, kteří jim souhlas udělili před účinností GDPR.
Čím delší doba od účinnosti GDPR uplyne, tím jich bude méně, neboť jsou postupně mazány tak, jak končí platnost těchto souhlasů.
Kompletní informace jsou zveřejněny v našem starším článku: GDPR: Uděláme pořádek v databázi uchazečů.
Platné znění Všeobecných obchodních podmínek LMC pro podnikatele
Seznámit se s nimi můžete tady:
Export došlých reakcí
Používáte službu Export došlých reakcí z Teamia? Pokud ano, máme na vás prosbu.
Pošlete prosím vašemu správci IT/ATS systému následující podklady:
GDPR zlepšováky
V Teamiu vám s GDPR pomáhají následující zlepšováky.
19. 4. 2018
Pomocí symbolu „stopky s vykřičníkem” rozpoznáte uchazeče, kterým teprve končí souhlas. Upozorníme vás na to 2 měsíce předem.
Získáte tak dostatek času poslat žádost o prodloužení souhlasu.
27. 4. 2018
Když přiřadíte uchazeče z databáze životopisů na pozici, informujeme vás o tom, že pokud nezískáte dobrovolný souhlas pro zpracování osobních údajů, tak uchazeč bude v Teamiu po dobu 6 měsíců.
Poté ho automaticky smažeme.
27. 4. 2018
V nové Agendě hned vidíte, kolika uchazečům z celé firmy vyprší souhlas.
O souhlas můžete rovnou požádat i hromadně.
14. 5. 2018
Od teď, kdykoli pošlete uchazeči žádost o prodloužení souhlasu, uchazeč uvidí nový formulář s textem podle nařízení GDPR.
Prodloužit souhlas můžete také hromadně.
20. 5. 2018
Inbox i ruční vkládání splňují GDPR. Uchazeči, kteří se do Teamia dostanou přes tyto dva zdroje, budou uloženi po dobu 6 měsíců.
24. 5. 2018
Důležitý milník: souhlasy a poučení u inzerátů i celé Teamio splňují požadavky GDPR.
Školení
Kapacita naplněna
20. února 2018
Praha
Royal Theatre
Vinohradská 2165/48, Praha 2
Kapacita naplněna
13. března 2018
Praha
Royal Theatre
Vinohradská 2165/48, Praha 2
Související rozhovory
Časté dotazy
Na jak dlouho můžu mít uchazeče v Teamiu?
Období je vždy časově omezené.
Uchazeč, který vám nedal souhlas, zůstane v Teamiu maximálně 6 měsíců. Po archivaci pozice nebo uplynutí této lhůty jeho data automaticky smažeme.
Uchazeče, který vám dal souhlas (tedy nad rámec výběrového řízení), můžete mít uloženého po dobu platnosti souhlasu.
Vždy navíc poznáte, když uchazečům končí souhlas se zpracováním osobních údajů. Upozorníme vás na to 2 měsíce předem.
Jak poznám, že naší firmě dal uchazeč dobrovolný souhlas?
Dokud je uchazeč v Teamiu, lze prokázat, zda dal souhlas se zpracováním osobních údajů včetně konkrétního textu (např. u uchazeče v Historii aktivit > Detail první aktivity).
Pokud máte naší placenou službu Export pozic, dostáváte uchazeče i s textem souhlasu, který potvrdil.
Odkrývám životopisy z databáze Jobs.cz, občas rovnou přiřazuji uchazeče na pozici – jak jsou ošetřeny souhlasy těchto uchazečů?
Odkrývat údaje můžete zcela libovolně. Uchazeči, kteří chtějí být v databázi, při zveřejnění profilu souhlasili s tím, že jejich údaje budou dostupné 1 měsíc.
Až když přiřadíte uchazeče na pozici, informujeme vás v Teamiu o tom, že pokud nezískáte od uchazeče dobrovolný souhlas pro zpracování osobních údajů (na 3 roky), tak uchazeč bude v Teamiu po dobu 6 měsíců. Poté ho automaticky smažeme.
Jak jsou ošetřeny souhlasy uchazečů, které do Teamia posílají personální agentury?
Když přes náš modul získáte uchazeče od personální agentury nebo headhuntera, s uchazečem můžete v Teamiu pracovat na základě účelu po dobu 6 měsíců.
A to proto, že uchazeč souhlasil externímu náboráři (agentuře) s předáním svých dat v tomto znění:
„Osobní údaje budou zpřístupněny pouze oprávněným zaměstnancům personální agentury a dále zaměstnavatelům, jejichž nabízená pozice odpovídá mnou hledané práci, a to pouze v míře nezbytné pro účely zpracování.“ – zdroj
Pokud budete chtít mít uchazeče uloženého déle, požádejte přímo z Teamia o dobrovolný souhlas na 3 roky.
Když si do Teamia vložím uchazeče ručně, jakým způsobem ho požádám o dobrovolný souhlas?
Po tom, co jste ručně vložili uchazeče do Teamia, požádejte ho o prodloužení souhlasu. Uchazeč dostane e-mail s žádostí o potvrzení.
Pokud uchazeč žádost nepotvrdí, Teamio jeho osobní údaje smaže po uplynutí 6 měsíců.
Funkce dodatečného potvrzení souhlasu se zpracováním osobních údajů není povinná, protože zaměstnavatel může získat souhlas se zpracováním už před vložením osobních údajů do Teamia.
Uchazeč chce uplatnit právo „být zapomenut“. Jak ho mám z Teamia smazat?
Ve všech edicích Teamia smažete uchazeče buď v Hledání uchazečů nebo Kartě uchazeče.
Smažete ho z celého Teamia a to i s veškerými souvisejícími údaji, jako jsou poznámky nebo štítky. Uchazeče už nebudete mít v databázi a zmizí i ze všech pozic, ke kterým byl vázaný.
Občas chtějí uchazeči důkaz, že se tak stalo. Jan Svoboda (DPO) k tomu dodává:
Úřad na ochranu osobních údajů podle našich informací opakovaně uznal, že po smazání stačí prohlášení ve smyslu: „Vaše osobní údaje byly smazány, v našich systémech nejsou.“ Kdyby existoval záznam o smazání, znamenalo by to, že ve skutečnosti ke kompletnímu smazání nedošlo a správce stále zpracovává nějaké osobní údaje daného subjektu údajů. Možná, že si praxe vynutí existenci nějakého logu, který základní údaje (např. jméno, e-mail, datum udělení souhlasu se zpracováním, datum výmazu osobních údajů) bude udržovat.
Hledáte podklady pro bezpečnostní audit? Informace o datových centrech, zálohování, monitoringu najdete na stránce Bezpečnost a technické informace.
Nenašli jste odpověď?
Zeptejte se Honzy, našeho pověřence pro ochranu osobních údajů.
Jan Svoboda
Data Protection Officer