GDPR

Публикуване на обяви за работа и GDPR

Събрахме 10 от най-често задаваните въпроса, свързани с публикуването на обяви за работа, получаването на кандидатури и отговорностите на работодателите по GDPR в платформата MyPayDay.

Практически насоки за работодателиСвързан документ: Поверителност
1

Администратор ли сте на лични данни, когато публикувате обява за работа?

Да. Когато публикувате обява за работа и определяте целта, поради която кандидатите изпращат своите кандидатури, Вие действате като администратор на личните данни, които събирате във връзка с конкретната позиция.

Това важи както когато публикувате обява в MyPayDay, така и когато използвате фирмения си сайт, електронна поща или друг канал за подбор.

2

Какво се случва, когато кандидат изпрати кандидатура на имейл, посочен от Вас?

От момента, в който кандидатурата пристигне в посочената от Вас пощенска кутия, Вие носите отговорност за нея като администратор на лични данни.

Необходимо е да пазите сигурно достъпа до пощата си, да използвате надеждни пароли и да контролирате всички копия на кандидатурите, които се съхраняват локално, в облачна услуга или на хартия.

Добра практика е да използвате пощенска услуга с криптиран пренос на данни, например чрез TLS.

3

Какво се случва при кандидатстване през MyPayDay?

Когато кандидатурата е изпратена през вътрешната система на MyPayDay, след като тя достигне до работодателския Ви акаунт, Вие сте администратор на получените данни и носите отговорност за тяхното законосъобразно обработване.

MyPayDay предоставя техническата среда за получаване и управление на кандидатури, но не поема ролята на работодател и не определя целта, за която Вие използвате получените кандидатури.

4

Колко дълго може да съхранявате получени кандидатури и кой определя срока?

Срокът за съхранение се определя от работодателя според целта на подбора и приложимото законодателство.

Кандидатурите не следва да се пазят по-дълго от необходимото за провеждане на подбора, интервютата, вземането на решение и евентуалното назначаване.

Ако не разполагате с допълнително правно основание или съгласие за по-дълго съхранение, след изтичане на определения срок следва да изтриете данните от всички места, на които се съхраняват.

5

Може ли да запазите кандидатурите за бъдещи позиции?

Да, но само ако разполагате с подходящо правно основание. В много случаи това означава да получите изрично допълнително съгласие от кандидата за бъдещ контакт и разглеждане по други позиции.

Ако кандидатстването е през MyPayDay, подобна логика трябва да бъде ясно комуникирана към кандидата преди или по време на кандидатстването.

6

Какво представлява правното основание и кой го определя?

Правното основание е причината, поради която обработвате личните данни законосъобразно съгласно GDPR.

Като работодател Вие определяте каква е целта на обработването и кое правно основание е приложимо за конкретния процес по подбор, например легитимен интерес, предприемане на стъпки преди сключване на договор, съгласие или законово задължение.

7

Какво представлява политиката за защита на личните данни за кандидати?

Това е документ, чрез който информирате кандидатите какви данни събирате, за какви цели, на какво правно основание, за какъв срок ги съхранявате, на кого ги предоставяте и как могат да упражнят своите права.

Добра практика е Вашата политика да бъде лесно достъпна от обявата, формата за кандидатстване или фирмения Ви кариерен сайт.

8

Как кандидатите упражняват своите права по GDPR?

Кандидатите трябва да разполагат с ясен канал за контакт с работодателя по въпроси, свързани с техните лични данни.

Като работодател сте длъжни да реагирате без ненужно забавяне на искания за достъп, коригиране, изтриване, ограничаване, възражение или други приложими права съгласно GDPR.

9

Какво трябва да направите при инцидент, например откраднат лаптоп или неоторизиран достъп?

Ако се стигне до инцидент със сигурността, който засяга лични данни на кандидати, следва незабавно да оцените риска и да предприемете подходящи мерки.

В зависимост от случая може да възникне задължение за уведомяване на Комисията за защита на личните данни и, при определени обстоятелства, на засегнатите лица.

За намаляване на риска се препоръчват криптиране, надеждни пароли, ограничен достъп, защитени устройства и вътрешни правила за сигурност.

10

Къде може да се запознаете с регламента GDPR?

Пълният текст на Регламент (ЕС) 2016/679 можете да намерите в EUR-Lex.

Официален линк: https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX%3A32016R0679

Този материал е подготвен с информативна цел, не е изчерпателен и не представлява правен съвет. За конкретното прилагане на изискванията на GDPR във Вашата организация е необходимо да се консултирате с Ваш юрист или правен консултант.