Technická specifikace a zabezpečení
Software jako služba
Jobote je provozován jako SaaS (Software jako služba), což jednoduše znamená:
- běží na veřejném cloudu (AWS),
- nachází se v několika datových centrech, aby byla zajištěna vysoká dostupnost,
- servery a data Jobotu jsou umístěny v několika datových centrech napříč EU,
- Alma Career jako poskytovatel aplikačních služeb (ASP) zajišťuje nepřetržitý provoz.
Ochrana osobních údajů
Přístupová omezení
Uživatelská data jsou dostupná pouze omezené skupině autorizovaných zaměstnanců.
Kategorie
Rozeznáváme následující kategorie přístupu pro zpracování uživatelských požadavků:
- Zákaznická podpora [40+] – přijímá požadavky od zákazníků a snaží se je zpracovat (v první linii).
- Podpora [20+] – technický podpůrný personál (druhá linie zpracovatelského řetězce).
- Obchodní oddělení [20+] – řeší funkční požadavky na produkty, kampaně atd. (třetí linie).
- Správa systémů [10+] – udržuje technické zdroje (servery, zálohy…).
Příslušná kategorie pracovníků Alma Career musí (nebo potenciálně může) mít přístup k části nebo kompletním uživatelským datům. Orientační počet zaměstnanců je úměrný velikosti podpory, která musí nevyhnutelně přistupovat k osobním údajům.
Zobrazení a správa doporučených uchazečů je prováděna v interním adminu, který je dostupný pouze z interní firemní sítě a má do něj přístup pouze omezená skupina uživatelů (<20).
Výmaz osobních údajů
Existují dva způsoby, jak smazat osobní údaje doporučeného uchazeče:
1) „Ruční“ smazání
Každý uchazeč evidovaný v Jobotu má právo zažádat o výmaz svých údajů ze systému. V případě, že zákaznická podpora takový požadavek klienta obdrží, předá ho správě systému a ta provede smazaní osobních údajů (anonymizaci).
Anonymizovaný uchazeč zmizí ze všech zobrazení, včetně historie. Je to nevratný krok. Uchazeč je také odstraněn z naší databáze, a tak zmizí ze všech propojených pozic. Jeho reakce zůstává pouze zaznamenána ve statistikách jako anonymní číslo bez osobních údajů.
2) Automatické odstranění
Uchazeči – doporučení uživatelé, jsou smazáni po 6 měsících od doporučení/reakce, pokud nedali souhlas se zpracováním souvisejících osobních údajů nebo po vypršení / odvolání souhlasu doporučeného uchazeče.
Každý klient si může zvolit individuální dobu platnosti souhlasu.
Smazání osobních údajů je vždy nevratný krok.
Obnovení smazaných uchazečů není možné, protože všechna související data jsou trvale anonymizována.
Neexistuje žádný způsob, jak dále shromažďovat jakékoli informace (včetně většiny auditních informací) o smazaném doporučeném uchazeči či souvisejících aktivitách.
Jelikož doporučovatel má v elektronickém systému Jobote možnost vidět svůj přehled odměny včetně jména a příjmení doporučeného kandidáta, vztahují se pravidla anonymizace také na údaje uchazeče přístupné v přehledu doporučovateli.
Technická bezpečnostní opatření
Přístup uživatele je zajištěn prostřednictvím šifrovaného připojení.
Neprodukční (vývojové/testovací) prostředí je odděleno od produkčních dat.
Uživatelská data jsou omezena na produkci, neprodukční prostředí používá syntetický datový korpus s anonymizovanými daty.
Uživatelská podpora
Žádosti o podporu jsou shromažďovány a zaznamenávány pomocí služeb LiveAgent a Intercom a zpracovávány týmem zákaznické podpory v co nejkratším možném čase, během standardní pracovní doby (Po-Pá, 08-17 SEČ).
Kontakty:
Kompatibilita a minimální požadavky:
- Jobote je přístupný prostřednictvím webového prohlížeče a je kompatibilní s předními/nejrozšířenějšími prohlížeči – Firefox, Chrome, Explorer/Edge, Safari,
- je vyžadování podpora JavaScriptu a cookies.
Zabezpečení
Přenos dat – data in transit
Webový přístup umožňuje pouze připojení HTTPS, tj. šifrovaně.
- Protokol TLS 1.2 je vynucen.
- Certifikát SSL X509v3 je podepsán důvěryhodnými certifikačními autoritami (přijímanými všemi hlavními webovými prohlížeči).
- Klientský certifikát není vyžadován.
Oddělení jednotlivých klientských relací je zajištěno mechanismem cookies.
Veškerý provoz produkčního systému v obou směrech je filtrován a HTTPS je povoleno pouze k interakci s uživatelem a šifrovaný přístup (protokol SSH s ověřením klíčem) pro údržbu/aktualizaci aplikace.
Ověření
Aktivace uživatele zahrnuje mechanismus zaslání aktivačního kódu na e-mailovou adresu uživatele.
Uživatelské účty jsou považovány za individuální (Alma Career důrazně nedoporučuje sdílení účtů mezi více uživateli s ohledem na bezpečnost a ochranu dat).
Nešifrované heslo není nikdy uloženo a je přítomno pouze v paměti v době přihlášení uživatele. Hesla jsou uložena pouze v hashované podobě. Hashovací algoritmus je neustále upravován, aby reagoval na aktuální stav technologie.
Přihlašovací parametry musí splňovat zásady hesel. Aktuální nastavení jsou následující:
- uživatelské jméno je jedinečný identifikátor (lze také použít e-mailovou adresu),
- minimální nutná délka hesla je 6 znaků,
- změna hesla není vynucena (tj. heslo nevyprší), proto se historie použitých hesel nezaznamenává,
- algoritmus pro hashování hesel je PBKDF2(HMAC-SHA256) s 100 000 iteracemi, s použitím individuálního zabezpečení „salted hash“.
Autorizace – Uživatelské role
Každý uživatel Jobote má definovanou roli, s kterou jde ruku v ruce jedinečná sada oprávnění a přístupů k různým funkcím a částem Jobotu pro daného klienta.
Definovány jsou následující uživatelské role:
- HR Manager – má přístup k zobrazení statistik doporučování, seznamu doporučených uchazečů a seznamu doporučovatelů. Může editovat webové stránky pro doporučovatele a stránky pro uchazeče.
- Doporučovatel – může doporučovat uchazeče na vystavené pozice, může si zobrazit svoje doporučené uchazeče.
Monitoring a dohled
Monitorování operací běží nepřetržitě (24×7).
Stav je denně sledován a jakékoli problémy hlášeny (07-22 CET).
Ke kontrole stavu se využívají externí monitorovací služby spolu s interními systémy.
Soulad s GDPR
Zpracování a ochrana uživatelských údajů je zajištěna v souladu s legislativou EU, zejména obecným nařízením o ochraně osobních údajů (EU) 2016/679 („GDPR“).
Všechny zjištěné případy porušení ochrany osobních údajů jsou hlášeny zákazníkům, tj. správcům osobních údajů, kterým je plně poskytována součinnost pro případné ohlášení porušení příslušnému dozorovému orgánu nebo také subjektům údajů.
Výčet informací, který svým zákazníkům hlásíme, je přesně legislativně vymezen a vyplývá z GDPR.
Jobote/Alma Career zpracovává osobní údaje uchazečů, kteří jsou doporučováni pracovníky klienta (bez ohledu na to, zda je doporučení přímé či nepřímé). Správci údajů jsou tak zaměstnavatelé, tj. klienti Alma Career, a Alma Career je zpracovatelem.
Alma Career jako zpracovatel
Naší odpovědností je zpracovávat osobní údaje uchazečů pro klienty (správce údajů).
Jobote/Alma Career jsou zodpovědní za:
- Správu platformy, která umožňuje zpracování údajů uchazečů.
- Tyto údaje zpracováváme na základě Vašich pokynů a v souladu se zpracovatelskou smlouvou.
- Bereme v úvahu povahu zpracování údajů využitím vhodných technických a organizačních opatření, abychom zajistili, že naše zpracování údajů splňuje požadavky GDPR a zajišťuje ochranu práv uchazečů.
- Dbáme na to, aby byly na straně zpracovatele údaje o uchazečích zpracovávány výhradně osobami vázanými dohodou o mlčenlivosti.
- Poskytujeme spolupráci potřebnou k zajištění adekvátního zpracování osobních údajů správcem údajů.
Klient jako správce
Klient, tj. zaměstnavatel, kterému jsou uchazeči doporučeni, je správcem osobních údajů.
Doporučovatel, kterému je přes elektronický systém Jobote zpřístupněný přehled doporučených kandidátů, je příjemcem osobních údajů doporučeného uchazeče, a to v rozsahu – jméno, příjmení, status (ve hře/mimo hru/přijatý), pozice, firma, zdroj a také odměna, která se však vztahuje k doporučovateli za doporučení.
Správce údajů je odpovědný zajistit, aby
- byla zavedena adekvátní technická a organizační opatření, která usnadňují prokázání souladu zpracování vašich údajů s GDPR (např. pro práci se staženým excelem o doporučených uchazečích – platí pro klienta),
- zpracovával pouze takové osobní údaje, které jsou nezbytné pro daný, předem definovaný, konkrétní účel (například náborový proces).
Subjekt údajů
Osoba, kterou můžeme (ne)přímo identifikovat pomocí jejich osobních údajů.
Osobní údaje
Informace spojené se subjektem údajů:
- Doporučený: jméno a příjmení; pozice.
- Doporučovatel: jméno a příjmení; e-mail, osobní číslo, informace o odměně, informace o stavu a zdroji doporučení.
Jelikož Jobote slouží jako evidence doporučovatele a doporučovaného, „putují“ osobní údaje doporučovaného, tj. údaje vyplněné uchazečem ve formuláři v reakci na doporučení, do elektronického systému Teamio.
Zpracování údajů
Činnosti prováděné s osobními údaji správcem nebo zpracovatelem údajů; tyto jsou plně nebo částečně automatizované (sběr, zaznamenávání, organizování, ukládání a mazání).
Nakládání s údaji v procesu doporučení
Protože v rámci služby Jobote dochází k situaci, že doporučovatel posílá osobní údaje uchazeče do svojí firmy, ale uchazeč o tom nemusí vědět, putuje nejprve informace o doporučení na e-mail uchazeče se žádostí o potvrzení – vyžádáme si souhlas s doporučením. Pokud uživatel s doporučením souhlasí, je přesměrován na odpovědní formulář, kde jsou zobrazeny informace o zpracování osobních údajů včetně souhlasu se zpracováním osobních údajů, přičemž uchazeč musí aktivně formulář odeslat. Teprve poté zasíláme uchazeče na HR oddělení do systému Teamio. Pokud uživatel nesouhlasí s doporučením, tak jeho osobní údaje okamžitě smažeme. Pokud do 14 dnů nezareaguje, pak osobní údaje také smažeme.
Jak dlouho můžete uchazeče uchovávat v Jobotu?
Množství času je vždy omezené.
Uchazeč, který Vám neposkytl dobrovolný souhlas se zpracováním osobních údajů, může zůstat v databázi Jobote maximálně po dobu 6 měsíců.
Uchazeč, který Vám poskytl dobrovolný souhlas, může zůstat ve Vaší databázi až 3 roky, pokud není doba pro souhlas upravena Klientem odchylně, tzn. dle nastavení Klienta.
Pověřenec pro ochranu osobních údajů
V případě jakýchkoli dotazů týkajících se ochrany osobních údajů kontaktujte našeho pověřence pro ochranu osobních údajů na adrese DPO-CZ@almacareer.com nebo DPO-SK@almacareer.com.