Dział IT w firmie powinien zadbać o to, by rekruterzy (czyli dział HR) mieli warunki do pracy zgodnie z przepisami – twierdzą fachowcy z Pracuj. Aby zapewnić stosowaną ochronę, należy dokładnie prześledzić proces dostępu do informacji w firmie i opracować odpowiednie procedury. Na początek warto ustalić:

– czy komputer i programy, na których pracują rekruterzy, są zabezpieczone?

– czy rekruter korzysta z komputera poza biurem? Czy podłącza się do ogólnodostępnych sieci?

– gdzie są przechowywane kopie zapasowe i kto ma do nich dostęp?

– kto poza rekruterami ma dostęp do CV gromadzonych w firmie?

– w jaki sposób przekazywany jest dostęp do tych danych, gdy nie ma uprawnionej osoby?

– co dzieje się z aplikacjami kandydatów, które zostały przesłane do poszczególnych kierowników?

– czy rekruter wie, jak zareagować i jakie procedury wdrożyć, jeśli komputer zostanie skradziony?

 

Wszystkie wymienione sytuacje stanowią potencjalnie zagrożenie bezpieczeństwa. Jeśli dane są przechowywane na dyskach i w programie pocztowym, to dział IT musi pamiętać o odpowiednim zabezpieczeniu komputerów, sieci lokalnej i serwerów, a także o przeszkoleniu pracowników działów HR (i innych, mających dostęp do danych kandydatów) i pilnowaniu przestrzegania ustalonych procedur.

Dane na dyskach powinny być szyfrowane. Sposób ochrony należy dostosować do „Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”. Mianowicie zgodnie z tym aktem prawnym hasła muszą być odpowiednio skonstruowane – zawierać minimum 6 znaków, a na tzw. poziomie podwyższonym minimum 2 z 3 wymienionych: małą/dużą literę, znak specjalny lub cyfrę. Hasło należy zmieniać nie rzadziej niż co 30 dni. Zapewnienie zgodności z przepisami ułatwia wdrożenie systemu zarządzania opartego na domenach i Active Directory. Administratorzy mogą wtedy sterować systemem centralnie, bez potrzeby konfiguracji poszczególnych stacji roboczych.

Dla sieci lokalnej i serwerów należy stosować zarówno zabezpieczenia fizyczne, jak: kontrolę dostępu, drzwi spełniające normy przeciwpożarowe i antywłamaniowe oraz alarmy, jak i sprzętowe, typu oprogramowanie antywirusowe, firewall itp. Trzeba pamiętać o regularnym backupie danych i obowiązku ich szyfrowania. Nie zaszkodzi kontrola drukarek i skanerów. Na firmowych drukarkach często można znaleź dokumenty czekające w kolejce, a na skanerach tych sieciowych – historię skanowań z ostatnich miesięcy.

Innym rozwiązaniem jest „wirtualny ochroniarz danych”, czyli system do zarządzania rekrutacjami i bazą kandydatów – ATS (Applicant Tracking System) w modelu SaaS. Dostawca usługi zobowiązany jest m.in. do zapewnienia szyfrowanego połączenia SSL (również przy składaniu aplikacji przez kandydata), nadawania uprawnień i blokowania dostępu do aplikacji użytkownikom wskazanym przez firmę, zabezpieczenia procesu aplikacyjnego, aby do dokumentów przesyłanych przez kandydata nikt niepowołany nie miał dostępu.

Kandydat powinien być poinformowany o celu zbierania danych osobowych, o tym, że podaje je dobrowolnie, ma prawo dostępu do ich treści oraz możliwości ich poprawiania i usuwania. W przypadku rekrutowania poprzez skrzynkę e-mail, jeśli kandydat poprosi o poprawienie lub usunięcie swoich danych, firma musi je wymazać ze wszystkich nośników, na których zostały zapisane. W przypadku korzystania z systemu do rekrutacji online taki proces przebiega automatycznie.

Autorami publikacji są Maciej Chwiłoc, Menedżer Działu Wdrożeń i Utrzymania Systemów IT, Grupa Pracuj oraz Marcin Sieńczyk, eRecruitment Solutions Director, odpowiedzialny w Grupie Pracuj za rozwój systemu do zarządzania rekrutacjami on-line – eRecruiter.