Informacja o ochronie danych osobowych w procesie rekrutacji

1. Wprowadzenie 

Ochrona prywatności jest ważna dla firmy Barona. Pragniemy podkreślić, że przetwarzamy dane osobowe w sposób ostrożny i transparentny, respektując prawo do prywatności. Przetwarzamy dane zgodnie z Ogólnym rozporządzeniem o ochronie danych oraz innymi przepisami dotyczącymi ochrony danych. Zawsze stosujemy najlepsze praktyki związane z prywatnością. 

Niniejsza Informacja dotycząca ochrony danych firmy Barona, należącej do grupy Bravedo, opisuje to, jak gromadzimy, przetwarzamy i chronimy dane osobowe podczas rekrutowania pracowników. 

2. Cele przetwarzania danych i rodzaje przetwarzanych danych 

Gromadzimy i przetwarzamy dane osobowe tylko w poniższych, ściśle określonych celach. Poniżej znajdują się listy rodzajów danych osobowych, które przetwarzamy w każdym z celów. Część przetwarzanych danych osobowych może należeć do specjalnych kategorii danych osobowych. 

  • Przetwarzanie aplikacji o pracę i ocenianie kandydatów 
  • Imię, nazwisko i dane kontaktowe 
  • Adres email 
  • Numer ubezpieczenia społecznego 
  • Informacje uwzględnione w aplikacji lub CV 
  • Znajomość języków, wykształcenie oraz inne informacje związane z kompetencjami i kwalifikacjami 
  • Informacje zgromadzone podczas procesu rekrutacyjnego, jak nagrania wideo z rozmów kwalifikacyjnych, notatki z tych rozmów i referencje 
  • Potencjalne spełnienie kryteriów i testy osobowości 
  • Ewentualne raporty kredytowe i bezpieczeństwa 

Komunikacja związana z rekrutacją 

  • Dane kontaktowe 

3. Podstawa prawna 

Przepisy dotyczące ochrony danych wymagają, aby przetwarzanie danych odbywało się na podstawach prawnych ujętych w treści RODO. Poniżej znajdują się podstawy prawne przetwarzania przez nas danych osobowych. 

Prawnie uzasadniony interes  

Zajmowanie się aplikacjami o pracę i ocenianie kandydatów odbywają się na podstawie prawnie uzasadnionego interesu. Oceniamy i rozważamy znaczenie swojego prawnie uzasadnionego interesu zgodnie z przepisami prawa dotyczącymi ochrony danych, zapewniając, że nie jest on źródłem nieuzasadnionego ryzyka ani utrudnień dla osób, których dane dotyczą. 

Zgoda  

W niektórych sytuacjach przetwarzamy dane osobowe tylko pod warunkiem, że osoba, której dane dotyczą, udzieliła na to wcześniej wyraźną zgodę. Na przykład przetwarzanie danych osobowych związane ze społecznością talentów lub biuletynem wysyłanym na adres email zawsze opiera się na wyraźnej zgodzie osoby, której dane dotyczą.  

Zobowiązania prawne  

Jesteśmy prawnie zobowiązani do przetwarzania pewnych danych osobowych. Na przykład w przypadku niektórych stanowisk weryfikowanie formalnych kwalifikacji może wynikać z obowiązku prawnego.    

4. Źródła danych osobowych

Dane osobowe są gromadzone głównie bezpośrednio od osób, których dane dotyczą. W specjalnych sytuacjach, określonych w przepisach prawnych, możemy również gromadzić dane osobowe z innych źródeł, np. oficjalnych rejestrów. Na przykład jeśli dane zadanie wymaga przygotowania raportu bezpieczeństwa lub raportu kredytowego, gromadzone dane pochodzą z oficjalnych rejestrów i są pozyskiwane za zgodą osoby, której dotyczą. W przypadku gromadzenia danych z oficjalnych rejestrów osoba ta jest o tym informowana z wyprzedzeniem. Możemy również otrzymywać dane osobowe od innych firm należących do grupy, jak opisano w części „Przekazywanie danych osobowych”. 

5. Przekazywanie i ujawnianie 

Przetwarzamy dane osobowe z zachowaniem poufności i nigdy nie sprzedajemy, nie użyczamy ani nie ujawniamy danych osobowych podmiotom zewnętrznym w inny sposób bez potrzeby. 

5.1. Przekazywanie danych osobowych 

Gdy administrator danych (w tym przypadku firma Barona) udostępnia dane osobowe osobie trzeciej do wykorzystania w jej własnych celach, jest to przekazanie danych. Barona może przekazywać dane następującym podmiotom: 

  • do firmy klienta, w związku z danym zadaniem, ale tylko w zakresie niezbędnym do realizacji zadania; 
  • do firm należących do firmy Barona lub grupy Bravedo (na przykład jeśli pracownik chce aplikować na inne stanowisko w obrębie grupy, jego dane osobowe mogą zostać przekazane nowej firmie z grupy). 

5.2. Ujawnianie danych osobowych 

Jeśli administrator danych udostępni dane osobowe osobie trzeciej, ale nie będzie ona ich przetwarzać we własnych celach, jest to ujawnienie danych osobowych. Na przykład jeśli jakieś działanie biznesowe, jak ocena spełnienia kryteriów, jest zlecane podmiotowi zewnętrznemu, dane osobowe związane z tym działaniem mogą zostać ujawnione takiej osobie trzeciej. 

Zgromadzone dane osobowe są częściowo przetwarzane i przechowywane poza UE/EOG, np. gdy usługodawca jest zlokalizowany poza UE. Usługodawcy są zobowiązani na mocy umów do zapewnienia adekwatnego poziomu ochrony danych w ramach wszystkich procesów przetwarzania. 

6. Środki techniczne i organizacyjne

Chronimy dane osobowe, stosując odpowiednie techniczne i organizacyjne środki bezpieczeństwa zabezpieczające przed ich utratą, nieuprawnionym dostępem oraz innego rodzaju nieprawidłowym użyciem. Są to na przykład zapory sieciowe, szyfrowanie, kopie zapasowe oraz bezpieczne pokoje udostępniania danych. 

Dostęp do danych osobowych jest kontrolowany z wykorzystaniem środków wewnętrznych, jak elektroniczna i fizyczna kontrola dostępu, dane uwierzytelniające pozwalające na ograniczony dostęp czy polityki związane z monitorowaniem. Dane osobowe są przetwarzane jedynie przez pracowników, którzy mają do tego uprawnienia w związku z zajmowanym stanowiskiem.  

7. Zautomatyzowane podejmowanie decyzji 

Pojęcie „zautomatyzowanego podejmowania decyzji” odnosi się do decyzji podejmowanych w pełni automatycznie, na przykład w oparciu o algorytm, bez udziału człowieka. W ramach przetwarzania danych osobowych firma Barona nie stosuje zautomatyzowanego podejmowania decyzji. 

8. Czas przechowywania 

Przechowujemy dane osobowe tylko przez okres, który jest niezbędny w związku z przetwarzaniem danych, chyba że dłuższy okres przechowywania jest wymagany przez prawo. 

Po upłynięciu okresu przechowywania danych dane osobowe są albo nadpisywane (w przypadku kopii zapasowych i tła systemu), albo edytowane. Wówczas dane osobowe są permanentnie zmieniane w taki sposób, że na ich podstawie nie jest możliwe zidentyfikowanie osoby, której dotyczyły. Profil kandydata, aplikacja oraz CV są usuwane po 2 latach od ostatniego zaktualizowania przez daną osobę danych.  

9. Prawa osób, których dane dotyczą 

9.1. Prawo do informacji 

Osoby, których dane dotyczą, mają prawo do uzyskiwania informacji na temat przetwarzania ich danych w sposób zwięzły, transparentny, zrozumiały, w dostępnej formie oraz wyrażonych jasnym i prostym językiem. Celem tej informacji o ochronie prywatności jest umożliwienie skorzystania z prawa do informacji oraz pomoc w zrozumieniu, jak przetwarzamy dane osobowe. W przypadku dodatkowych pytań po zapoznaniu się z niniejszą informacją zapraszamy do kontaktu, jak opisano w części „Dane kontaktowe”.  

9.2. Prawo dostępu 

Osoby, których dane dotyczą, mają prawo otrzymać potwierdzenie dotyczące swoich danych osobowych, które przetwarzamy. Dzięki temu mogą ocenić i potwierdzić, że dane te są przetwarzane zgodnie z prawem. Ponadto osoby, których dane dotyczą, mają prawo poprosić o kopię swoich danych osobowych, które przetwarzamy, i otrzymać ją. Instrukcje dotyczące żądania kopii danych można znaleźć w następnej części, „Korzystanie przez osoby, których dane dotyczą, z przysługujących im praw”. 

9.3. Prawo do przeniesienia danych  

W niektórych sytuacjach osoba, której dane dotyczą, ma prawo otrzymać przekazane nam dane osobowe w ustrukturyzowanym, powszechnie wykorzystywanym i nadającym się do odczytu maszynowego formacie oraz, jeśli będzie miała takie życzenie, przekazać dane innemu administratorowi. Prawo to istnieje w sytuacji, gdy przetwarzamy dane osobowe na podstawie udzielonej zgody lub umowy, a proces przetwarzania danych ma charakter cyfrowy.  

9.4. Prawo do sprostowania danych 

Naszym celem jest przechowywanie danych osobowych aktualnych i dokładnych oraz usuwanie bez opóźnień danych nieprawdziwych, niewystarczających i niedokładnych. Osoby, których dane dotyczą, mają prawo żądać sprostowania niedokładnych danych osobowych oraz uzupełnienia danych, które nie są wystarczające.   

9.5. Prawo do ograniczenia przetwarzania danych 

Ograniczenie przetwarzania danych oznacza, że osoba, której dane dotyczą, może ograniczyć ich przetwarzanie, z wyjątkiem przechowywania, tylko do sytuacji, gdy: 

  • wyraziła na to zgodę; 
  • jest to potrzebne w celach związanych z ustaleniem, dochodzeniem lub obroną roszczeń prawnych; 
  • ma to na celu ochronę praw innej osoby fizycznej lub prawnej; 
  • jest to ważne przez wzgląd na interes publiczny UE lub państwa członkowskiego. 

Z tego prawa można skorzystać w następujących sytuacjach: 

  • gdy osoba, której dane dotyczą, kwestionuje prawidłowość tych danych osobowych (wówczas przetwarzanie zostaje ograniczone na okres pozwalający administratorowi danych ich zweryfikowanie); 
  • gdy przetwarzanie jest niezgodne z prawem, ale osoba, której dane dotyczą, sprzeciwia się usunięciu swoich danych osobowych i żąda w zamian ograniczenia ich wykorzystywania; 
  • gdy administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne administratorowi do ustalenia, dochodzenia lub obrony roszczeń; 
  • gdy osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania w celach innych niż marketing bezpośredni i oczekuje na potwierdzenie, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw po jej stronie. 

9.6. Prawo sprzeciwu wobec przetwarzania danych  

W niektórych sytuacjach osoba, której dane dotyczą, ma prawo sprzeciwić się przetwarzaniu danych, żądając, by dane te w ogóle nie były przetwarzane. Jeśli dane osobowe są przetwarzane w celach związanych z wykonaniem zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej lub ze względu na prawnie uzasadnione interesy (nasze lub osoby trzeciej), osobie, której dane dotyczą, przysługuje prawo sprzeciwu wobec przetwarzania danych w związku z jej szczególną sytuacją. 

W takich sytuacjach zaprzestanie przetwarzania danych jest konieczne, chyba że: 

  • administrator wykaże w sposób, który nie pozostawia wątpliwości, prawnie uzasadnione podstawy przetwarzania, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą; 
  • jest to potrzebne w celach związanych z ustaleniem, dochodzeniem lub obroną roszczeń prawnych. 

Jeśli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo wnieść sprzeciw wobec przetwarzania tych danych bez żadnego konkretnego uzasadnienia, po czym jej dane nie będą już mogły być przetwarzane na potrzeby marketingu bezpośredniego. 

9.7. Prawo do usunięcia danych i bycia zapomnianym  

W niektórych sytuacjach osoba, której dane dotyczą, ma prawo do bycia zapomnianą lub do żądania całkowitego usunięcia swoich danych osobowych. Prawo to istnieje na przykład wtedy, gdy dane osobowe nie są już niezbędne w związku z realizacją celów, dla których zostały zgromadzone czy w inny sposób przetworzone, przetwarzanie odbywało się na podstawie zgody, którą osoba, której dane dotyczą, wycofała, lub gdy przetwarzanie danych osobowych odbywało się niezgodnie z prawem.  

9.8. Prawo do wycofania zgody  

Gdy przetwarzanie danych opiera się na zgodzie udzielonej przez osobę, której dane dotyczą, ma ona prawo w dowolnym momencie wycofać tę zgodę. W przypadku wycofania zgody przetwarzanie danych osobowych nie będzie kontynuowane, chyba że będzie to wymagane na innej podstawie prawnej, jak na przykład obowiązek prawny.  

9.9. Prawo do złożenia skargi do organu nadzorczego 

Osoba, której dane dotyczą, może również skorzystać z prawa do złożenia skargi do organu nadzorczego, jeśli uzna, że nasze praktyki związane z prywatnością nie są zgodne z Ogólnym rozporządzeniem o ochronie danych. Skargę można złożyć na przykład w sytuacji, gdy prawa opisane w niniejszej informacji nie zostały prawidłowo zaimplementowane. W Finlandii takim organem nadzorczym jest Biuro Ombudsmana ds. Ochrony Danych.  

10. Korzystanie przez osoby, których dane dotyczą, z przysługujących im praw  

W przypadku pytań dotyczących wymienionych tu praw, chęci skorzystania z nich, w tym uzyskania informacji o swoich danych osobowych, należy się z nami skontaktować. Dane kontaktowe naszego inspektora ochrony danych znajdują się na końcu niniejszej informacji. 

Korzystanie z przysługujących praw z zasady nie wiąże się z żadnymi kosztami. W niektórych sytuacjach określonych przez prawo, na przykład jeśli osoba, której dane dotyczą, zażąda wielu kopii swoich danych osobowych, możemy przed realizacją żądania poprosić o uiszczenie opłaty w wysokości wymaganej do jego realizacji. 

Odpowiadamy na wszelkie żądania bez nadmiernych opóźnień, najpóźniej miesiąc po ich otrzymaniu. Informujemy również o środkach podjętych w celu ich realizacji. Jeśli z jakiegoś powodu żądanie zostanie odrzucone, osoba, której dane dotyczą, zostanie o tym poinformowana, a także otrzyma uzasadnienie decyzji (w ciągu miesiąca od otrzymania przez nas żądania).  

W przypadku kilku żądań lub w sytuacji, gdy są skomplikowane, możemy potrzebować dodatkowego czasu (do 2 miesięcy) na ich zrealizowanie. W takiej sytuacji poinformujemy osobę, której dane dotyczą, o takiej potrzebie i wyjaśnimy przyczyny opóźnienia w ciągu miesiąca od otrzymania przez nas żądania.  

W przypadku chęci złożenia skargi do organu nadzorczego więcej informacji na ten temat można znaleźć w witrynie Biura Ombudsmana ds. Ochrony Danych: https://tietosuoja.fi/en/notification-to-the-data-protection-ombudsman   

11. Administrator danych i dane kontaktowe 

Administratorem danych jest podmiot, który decyduje, jak i dlaczego dane osobowe są przetwarzane. Firma Barona wybiera cele przetwarzania danych osobowych swoich pracowników oraz środki stosowane w tym celu. Firma Barona jest więc administratorem w przypadku przetwarzania danych osobowych. 

Firma Barona wyznaczyła inspektora ochrony danych, czyli wewnętrznego eksperta ds. ochrony danych. Inspektor ochrony danych nadzoruje przetwarzanie danych osobowych, doradza pracownikom w sprawach związanych z ochroną danych i jest osobą do kontaktu w przypadku żądań i zapytań dotyczących praw osób, których dane dotyczą. 

Dane kontaktowe administratora danych 

Barona Oy   
Identyfikator firmy: 2808477-9  
Workery East, 8. floor [8. piętro], Pasilan Asema-aukio 1,
00520 Helsinki. Finland

Dane kontaktowe inspektora ochrony danych 

privacy@barona.fi  
020 198 3460  

12. Aktualizowanie Oświadczenia dotyczącego ochrony danych

Na bieżąco ulepszamy nasze praktyki związane z ochroną prywatności. W związku z tym niniejsza informacja o ochronie prywatności może być okazjonalnie aktualizowana. Aktualizacje mogą być wynikiem zmian w przepisach prawnych. Zalecamy odwiedzanie tej strony w celu zapoznawania się z ewentualnymi zmianami. W razie potrzeby możemy również informować o zmianach w zakresie praktyk związanych z prywatnością bezpośrednio osoby, których dane dotyczą.