Ochrona danych zgodnie z RODO
Ochrona danych i bezpieczeństwo informacji są kluczowymi elementami produktów i usług softgarden.
Ochrona Państwa danych i powierzone nam zaufanie są dla nas bardzo ważne, dlatego też wdrożyliśmy środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych, które stale udoskonalamy.
System softgarden czyni ochronę danych łatwą i umożliwia Państwu przeprowadzenie procesu rekrutacji zgodnie z wymogami ogólnego rozporządzenia o ochronie danych UE
1
Ogólne
Jako podmiot przetwarzający dane na zlecenie jesteśmy szczególnie zainteresowani przetwarzaniem informacji poufnych i danych osobowych (osób ubiegających się o pracę) w sposób zgodny z zasadami ochrony danych osobowych. Obejmuje to również ochronę praw osób, których dane dotyczą, a w szczególności przetwarzanie i rozpatrywanie ich zapytań. Zgodnie z regulacjami prawnymi administrator danych musi odpowiedzieć na wszystkie zapytania od osób, których dane dotyczą, w ciągu czterech tygodni. Są one przekazywane do naszego zespołu ds. ochrony danych i analizowane zgodnie z ustalonymi procedurami. Zapytania zostają przez nas wstępnie zakwalifikowane.
Ochrona interesów naszych klientów obejmuje również obsługę incydentów związanych z ochroną danych i bezpieczeństwem. Ze względu na prawny obowiązek zgłaszania wszystkich incydentów związanych z ochroną danych osobowych do właściwego organu nadzorczego w ciągu 72 godzin w sytuacji, gdy incydent związany z ochroną danych może spowodować zagrożenie dla praw i wolności osób fizycznych, ważny jest szybki zorganizowany proces weryfikacji incydentów bezpieczeństwa, o których zostaną Państwo niezwłocznie poinformowani. Potencjalne naruszenia wykrywane są za pomocą struktur bezpieczeństwa informacji lub mogą być zgłaszane zespołowi ds. bezpieczeństwa informacji i prywatności, który je szczegółowo analizuje w ramach ustalonych procedur wewnętrznych. W ten sposób rozpatrujemy również pozornie nieistotne incydenty i regularnie szkolimy naszych pracowników w zakresie ochrony danych i zgodności z zasadami bezpieczeństwa IT.
System softgarden udostępnia wyczerpujące informacje na temat ochrony danych dla Talent Acquisition Suite (dla rekruterów) oraz stron poświęconych poszukiwaniu pracy (dla aplikujących). Informacje mają strukturę modułową, treść opiera się na określonym zakresie produktów i jest regularnie aktualizowana przez softgarden. Zgodnie z RODO obowiązek informacyjny w zakresie ochrony danych spoczywa na przedsiębiorstwie będącym naszym klientem (administrator w rozumieniu art. 4 nr 7 RODO). Z tego powodu oferujemy naszym klientom możliwość korzystania z ich własnej deklaracji ochrony danych. Ta ostatnia opcja jest wykorzystywana w szczególności, gdy istnieją specyficzne dla przedsiębiorstwa wymogi dotyczące obowiązków informacyjnych w związku z działalnością w zakresie przetwarzania danych. W tym celu prosimy o kontakt mailowy z naszym Biurem Obsługi Klienta: support@softgarden.de
System softgarden wprowadził kompleksowe środki bezpieczeństwa. Aby zapewnić ochronę danych w domu i mobilnym biurze, podjęto specjalne techniczne i organizacyjne środki ostrożności. Urządzenia pracownicze są dodatkowo wyposażone w sieć VPN (virtual private network) i szyfrowane. Dane klientów są przechowywane tylko w centrach danych, dostęp do oprogramowania odbywa się przez HTTPS, a na poziomie systemu jest możliwy tylko dla wybranych administratorów przez VPN. Istnieją specjalne wytyczne dotyczące pracy w domu lub w mobilnym biurze.
2
Przetwarzanie danych na zlecenie
Zakres przetwarzania danych osobowych wynika przede wszystkim z opisu ich kategorii (załącznik nr 1 do umowy o przetwarzaniu danych na zlecenie). Załącznik do umowy o przetwarzaniu danych na zlecenie obejmuje również specjalne kategorie danych osobowych. Dokładny ich zakres zależy, z jednej strony, od wymagań zawartych w ogłoszeniach o pracę, a z drugiej – od zakresu danych podanych przez osobę aplikującą. Ich kategorie opisane w załączniku nr 1 są zatem szerokie.
Opis środków technicznych i organizacyjnych (w skrócie: ŚTO) można znaleźć w załączniku nr 2 do umowy o przetwarzaniu danych na zlecenie. Aby potwierdzić przestrzeganie określonych procedur i nieustannie podejmowane wysiłki mające na celu rozwój tych działań, softgarden przeprowadza regularne wewnętrzne i zewnętrzne audyty oraz przeglądy, a także wdraża systemy zarządzania ochroną danych i bezpieczeństwem informacji (DSMS/ISMS).
Aktualne potwierdzenia można znaleźć tutaj:
softgarden świadczy kompleksowe usługi związane z Talent Acquisition Suite (system ATS) jako podmiot przetwarzający dane na zlecenie, chyba że dane osobowe są wyraźnie przetwarzane (zgodnie z prawem) dla własnych celów biznesowych. Administratorem danych w oparciu o art. 4 nr 7 RODO w kontekście korzystania z softgarden Talent Acquisition Suite jest przedsiębiorstwo będące naszym klientem. Ponadto podmioty przetwarzające dane na zlecenie są również administratorami danych w rozumieniu RODO, na przykład w odniesieniu do swoich podwykonawców lub przetwarzania danych dla własnych celów biznesowych.
Przekazywanie danych osób aplikujących w systemie zarządzania aplikacjami do krajów trzecich nie ma miejsca i nie jest przewidziane. Nasze oprogramowanie jest hostowane w centrach danych w Niemczech przez pracowników softgarden. Utrzymanie i obsługa – również. Przekazanie danych do kraju trzeciego może być brane pod uwagę tylko wtedy, gdy zagwarantowane byłoby przestrzeganie specjalnych wymagań dotyczących ochrony danych.
Ważne jest dla nas, aby nasi podwykonawcy spełniali odpowiednie standardy bezpieczeństwa. Zwracamy szczególną uwagę na zgodność z RODO w kontekście realizacji zleceń oraz dodatkowo na spełnianie powszechnych standardów bezpieczeństwa, takich jak certyfikacja zgodnie z ISO 27001.
Nasze centra danych świadczą nam usługi hostingowe, tj. zapewniają nam zasilanie, przestrzeń w szafach rack oraz internet, w tym firewalle, load balancery i bezpieczne certyfikaty SSL. Utrzymanie i instalacja sprzętu oraz oprogramowania to zadania softgarden. Wykorzystywane centra danych są regularnie sprawdzane i audytowane. Centra danych są bezwarunkowym umownym składnikiem usług i realizacji zleceń, bez których nie możemy dostarczać naszych produktów. Obecnie wykorzystywane są centra danych następujących dostawców.
- myLoc managed IT AG, Am Gatherhof 44, 40472 Düsseldorf, Niemcy
- PlusServer GmbH, Welserstraße 14, 51149 Kolonia, Niemcy
- Equinix Germany GmbH, Kruppstraße, 60388 Frankfurt nad Menem, Niemcy
Do tak zwanego „parsowania CV” korzystamy z usług firmy Textkernel (Nieuwendammerkade 26A-5, 1022 AB Amsterdam, Holandia). Textkernel jest zweryfikowanym przez softgarden podwykonawcą w kontekście przetwarzania danych na zlecenie. Ponieważ „CV parsing” jest opcjonalny i nie stanowi obowiązkowej części umowy, jego użycie przez naszych klientów musi być potwierdzone oddzielnie w Recruiter-Backend (tzw. „Opt-in”). Textkernel wykorzystuje technologię AI do analizy życiorysów i formatowania ich w ustrukturyzowany sposób. Dane te są tymczasowo przechowywane na serwerze w Niemczech i usuwane raz w tygodniu.
Do integracji kalendarza softgarden wykorzystuje usługę firmy Cronofy Limited (1 Broadway, Nottingham, NG1 1PR, Anglia). Cronofy jest podwykonawcą softgarden w zakresie przetwarzania danych na zlecenie – opcjonalnego składnika umownego systemu zarządzania aplikacjami. Cronofy może być używany przez naszych klientów po oddzielnym „Opt-in” w Recruiter-Backend. Usługa nie jest domyślnie aktywowana. Więcej informacji na temat technologii i ochrony danych osobowych można znaleźć w materiałach informacyjnych dostarczonych przez Cronofy.
Potwierdzenia i certyfikaty naszych podwykonawców można znaleźć tutaj:
System softgarden korzysta z Zendesk jako narzędzia do obsługi zgłoszeń supportowych. W naszej współpracy z Zendesk postrzegamy siebie jako administratora w rozumieniu przepisów o ochronie danych osobowych. Zendesk nie jest więc podwykonawcą w sensie przetwarzania danych na zlecenie. Wykorzystanie Zendesk w ramach supportu i tym samym przekazywanie danych naszych klientów (w szczególności adresu poczty służbowej użytkownika składającego zapytanie) opieramy na uzasadnionym interesie zgodnie z art. 6 ust. 1 lit. f RODO. Alternatywnie można zwrócić się do bezpośrednich osób kontaktowych z zapytaniem, np. za pomocą poczty elektronicznej. Zendesk przechowuje dane w USA.
Szkolenie i zobowiązanie pracowników do zachowania poufności danych osobowych oraz informacji o klientach jest częścią zarówno on-, jak i offboardingu, a także zarządzania ochroną danych i bezpieczeństwem informacji w softgarden. W tym celu regularnie przeprowadzamy wewnętrzne szkolenia koncentrujące się na ochronie danych i bezpieczeństwie informacji. Nasi eksperci w tej dziedzinie są dostępni dla wszystkich pracowników jako osoby kontaktowe.
W przypadku wystąpienia awarii przywrócenie danych może nastąpić natychmiast lub jeszcze tego samego dnia. Tworzone są kopie zapasowe plików, baz danych i całych dysków twardych. Środowisko produkcyjne jest redundantnie dublowane, dzięki czemu nawet w przypadku awarii jednego centrum danych można uruchomić operacje produkcyjne w innym. Kopie zapasowe są zapisywane w sposób geo-redundantny na zaszyfrowanych nośnikach danych. Używane są między innymi rsnapshot i Cepth RBD. Testy odzyskiwania danych przeprowadza się wybiórczo. Kopie zapasowe są monitorowane i weryfikowane.
3
Zarządzanie aplikacjami (Just Hire)
Aby spełniać wymogi prawne, opracowano globalną koncepcję usuwania danych na poziomie procesu i produktu. I tak w szczególności skupiamy się na produktach softgarden, które, aby spełnić wymagania „privacy by design”, zawierają implementacje do usuwania danych. Istotnym elementem jest automatyczne usuwanie danych osób ubiegających się o pracę, które może być zdefiniowane przez administratora danych zgodnie z wymogami zakładowymi. System softgarden zaleca, aby okres przechowywania danych osób ubiegających się o pracę wynosił sześć miesięcy.
Udostępniamy naszym klientom informacje dotyczące prawnie wymaganego rejestru czynności przetwarzania danych. To nie zastępuje jednak obowiązku uwzględnienia przetwarzania danych przez administratora we własnym rejestrze.
W ogłoszeniach o pracę istnieje możliwość aktywowania tzw. „social share buttons” (XING, LinkedIn, Facebook itp.). Przyciski nie są wtyczkami sieci społecznościowych. O ile nie jest to wyraźnie ustalone, stosowane są wyłącznie linki zewnętrzne. Oznacza to, że dane są przekazywane do sieci społecznościowych tylko wtedy, gdy użytkownik strony kliknie na link.
W zakresie zarządzania aplikacjami zapewniamy naszym klientom możliwość szybkiego i łatwego przeprowadzania wideorozmów kwalifikacyjnych. Do tego celu używamy oprogramowania Jitsi, które jest obsługiwane w oddzielnym pliku instalacyjnym w ramach infrastruktury softgarden. W przypadku dwóch rozmówców połączenie jest nawiązywane za pomocą tzw. technologii P2P („peer to peer”), tzn. bez wykorzystania serwerów softgarden, a bezpośrednio między uczestnikami rozmowy. Jeżeli w spotkaniu bierze udział więcej osób, serwer softgarden działa jak ogniwo pośredniczące. Nie dokonuje się żadnych nagrań ani rejestracji. Dane są wymieniane bezpośrednio między uczestnikami spotkania.
Ponieważ serwer Jitsi jest obsługiwany przez softgarden, nie ma żadnego stosunku podwykonawstwa z tym podmiotem.
W historii systemu rejestrowane są próby dostępu do systemu zarządzania aplikacjami oraz operacje zmiany rekordów danych.
Rejestrowane jest również pobieranie streszczeń aplikacji w formacie PDF.
4
Portal pracy (standard)
W standardowym frontendzie występuje tylko sesyjny plik cookie JSESSIONID. Jest on niezbędny z technicznego punktu widzenia i przechowuje się go tak długo, jak długo aktywna jest sesja użytkownika.
Wykorzystywane są tu tylko technicznie niezbędne pliki cookies.
W ogłoszeniach o pracę wyświetlanych na stronach kariery i różnych portalach, znajduje się piksel śledzący, mały obrazek, który jest pobierany z naszego serwera tracker.softgarden.de za każdym razem, gdy ogłoszenie o pracę jest wyświetlane. W ten sposób nie są pobierane ani śledzone żadne dane osobowe, a jedynie liczona jest częstotliwość wyświetlania ogłoszenia o pracę. Liczbę tę można zobaczyć w systemie ATS jako “Odsłony”. Liczba “Kliknięć” jest obliczana na podstawie liczby kliknięć przycisku “Aplikuj”. Również w tym przypadku nie są rejestrowane ani śledzone żadne dane osobowe. Nie jest też możliwe wyciągnięcie wniosków na temat konkretnego użytkownika.
5
Wszystkie certyfikaty i ważne załączniki w skrócie
W softgarden cały hosting jest „made in Germany”. Nasze certyfikowane centra danych Plusserver GmbH w Kolonii i Düsseldorfie, Equinix Germany GmbH w Frankfurt nad Menem oraz myLoc managed IT AG w Düsseldorfie oferują najwyższe standardy bezpieczeństwa w zakresie przechowywania i dostępności Państwa danych. Spełnienie wymagań normy ISO 27001 jest potwierdzone przez TÜV Süd Management Service GmbH.
Dla softgarden ochrona i poufność Państwa danych ma szczególne znaczenie. Należy kliknąć tutaj, aby zapoznać się z polityką prywatności produktów softgarden. Przygotowaliśmy dla Państwa przykładowe oświadczenie o ochronie danych osobowych, z którego mogą Państwo skorzystać po wcześniejszym zapoznaniu się z nim bądź zindywidualizowaniu go.
Rozwiązania e-rekrutacyjne firmy softgarden oferują Państwu możliwość pracy zgodnej z RODO. Potwierdza to również zewnętrzna ekspertyza dotycząca ochrony danych osobowych przeprowadzona przez procado Consulting, IT- & Medienservice GmbH. Nasz system zarządzania danymi osobowymi jest również kontrolowany oraz certyfikowany przez firmę DEKRA.
Od 23 marca 2020 roku softgarden jest certyfikowane zgodnie z normą ISO 9001-2015. Z tego powodu DEKRA wyróżnia softgarden za wysoką jakość produktów i usług. Ciągłe udoskonalanie usług jest dla nas najwyższym priorytetem.
Zapoznaj się z warunkami korzystania z systemu e-rekrutacji oferowanego przez softgarden e-recruiting GmbH.
Nasze umowy dotyczące przetwarzania na zlecenie można pobrać tutaj bezpośrednio do wypełnienia. Prosimy o przesłanie podpisanej umowy na adres: dpa@softgarden.com
Oprogramowanie softgarden poddawane jest regularnym testom bezpieczeństwa. Kliknij, aby uzyskać aktualny certyfikat testu penetracyjnego.
