GDPR
Denna övergripande GDPR-information kring Exteal Engage riktar sig mot de olika aktörer som använder tjänsten. Med “Kunden” menas den organisation/företag som använder sig av Exteal Engage. Med “Användare” menas en av Kundens medarbetare, konsulter eller tredje part som använder tjänsten på uppdrag av Kunden. Med “Kandidaten” menas den person som finns i Kundens kandidatdatabas.
1. Personuppgiftsbiträde (Data processor)
Vilken roll har Exteal Engage i förhållande till GDPR?
I förhållande till GDPR (Dataskyddsförordningen) är Kunden personuppgiftsansvarig för personuppgifter som lämnas av Kandidater och Användare i systemet som Exteal Engage tillhandahåller. Exteal har rollen som personuppgiftsbiträde dvs att vi agerar under bemyndigande och på uppdrag av Kunden.
Vem äger datan?
Kunden äger datan som finns om sina Användare och om Kandidaterna.
Vilken data hanteras?
Datan som hanteras i Exteal Engae är sådan information som Kunden väljer att exportera från sitt rekryteringssystem om sina Kandidater som exempelvis kan vara namn och kontaktuppgifter. Andra uppgifter som hanteras i Exteal Engage är sådana personuppgifter som Kandidaten skickar in via Exteal Engage direkt. Denna data kan variera beroende på vad Kunden vill samla in för data om sina kandidater. Ett exempel kan vara kontaktuppgifter, jobbstatus, intresseområden och CV. Varje Kund är skyldig att förhålla sig till sin egna personuppgiftspolicy när det gäller hantering av personuppgifter som rör Kandidaten i systemet Exteal Engage tillhandahåller.
Syftet med databehandlingen
Syftet med att behandla data om Kandidater i Exteal Engage är att ha möjlighet att via Exteal Engage engagera och skapa relationer till sin befintliga kandidatpool som Kund. Detta sker i rekryteringssyfte för att i förlängningen kunna rekrytera duktiga talanger. Den juridiska grunden för databehandlingen är Kunden ansvarig för då denne är personuppgiftsansvarig.
Radering av kandidatdata
Då kunden är personuppgiftsansvarig är det Kundens personuppgiftspolicy som avgör vilken tid som är rimlig för att lagra data om sina Kandidater. Exteal Engage följer riktlinjer som finns för “privacy by design” och har designat tjänsten och den digitala plattformen för att göra det enkelt för Kunden att hålla sin kandidatbank GDPR-kompatibel och radera data när det är nödvändigt.
Lagring av känslig data
Exteal Engage är en tjänst som syftar till att samla in data om kandidaters jobbsituation och preferenser som kan ligga till grund för framtida rekryteringar. Data som samlas in kan exempelvis vara kopplat till yrkeskategorier, intresseområden, kompetenser, jobbstatus samt övriga preferenser. Känslig data är inte något som måste processas för att tjänsten ska uppfylla sitt syfte, hursomhelst kan inte Exteal ta ansvar för om Kandidaten väljer att skicka in känslig data när tjänsten används.
Exteal har oavsett vilken data som hanteras finns en god säkerhet kring lagring av data, både teknisk och organisatorisk. I övrigt ligger det på Kundens ansvar att hantera eventuell känslig data som skickas in av Användare eller Kandidater.
2. Datatillgänglighet
Vilka som har tillgång till datan på Exteal
Exteal vidtar de tekniska och organisatoriska säkerhetsåtgärder som krävs för att säkra att dina personuppgifter som Användare eller Kandidat inte skall manipuleras, gå förlorade eller förstöras och för att obehöriga personer inte skall komma åt dem. Enbart ett fåtal personer med särskild behörighet har tillgång till den data som finns på våra servrar. All personal som jobbar på Exteal omfattas av juridiskt bindande tystnadsplikt.
3. Datalagring
Lagringsplats
För datalagring använder vi Amazon Web Services (AWS) som underleverantör. Servrarna är fysiskt placerade i Sverige.
Lagringstid av kandidatdata
Enligt GDPR får enbart personuppgifter lagras så länge det är nödvändigt för att uppfylla syftet med databehandlingen. Efter detta ska datan raderas. Kunden har själv möjlighet att administrera hur lång lagringstiden ska vara för kandidatdatan.
Begäran om att få data raderad - från Kund
Du som Kund har rätt att kunna radera den data som finns lagrad i Exteal Engage. Detta kan göras direkt via gränssnittet i tjänsten. Om inte rätt åtgärder kan vidtas så ber vi dig som Kund att kontakta Exteal så ska vi hjälpa dig med att utföra rätt åtgärder för radering. All data kommer raderas om dig både hos oss och hos våra underleverantörer.
Begäran om att få data raderad - Kandidat
Du som kandidat har rätt att få dina personuppgifter raderade. Om du som Kandidat vill få din data i Exteal Engage raderad ber vi dig i första hand att kontakta det företag eller organisation som använder Exteal Engage och be dem radera datan. Vi strävar också efter att implementera funktionalitet som gör det möjligt att på egen hand radera dina personuppgifter direkt i Exteal Engage. All data kommer raderas om dig både hos oss och hos våra underleverantörer.
Efter avslutad kundrelation
Efter avslutad kundrelation mellan Exteal och Kunden kommer all data som finns under Kundens före detta konto att raderas. Tidsfristen för detta är 8 veckor innan permanent radering genomförs. Hos våra underleverantörer kommer radering eller oåterkallelig anonymisering genomföras som inte gör det möjligt att härleda uppgifter till en specifik individ. Vi utgår här med det Data processor agreement/Personuppgiftsbiträdesavtal (DPA) som vi har ingått med våra underleverantörer.
4. Underleverantörer
Personuppgiftsbiträdesavtal (DPA)
Exteal har ett DPA med samtliga underleverantörer som behandlar personuppgifter.
Underleverantörer som används
För tjänsten Exteal Engage används enbart underleverantörer som uppfyller kraven på dataskydd enligt GDPR. Specifikt vilka underleverantörer som används kan man få tal del av genom att kontakta oss och göra en förfrågan. Primärt används Amazon Web Services för att driva tjänsten och lagra data. För mejlutskick används Postmark.
5. Cookies
Exteal Engage använder cookies på webbplatsen. En cookie innehåller ingen personinformation utan hjälper Skolinformationsportalen statistiskt genom att registrera anonymiserad information om användarens beteende för att i sin tur kunna förbättra hemsidans användarupplevelse.
Hur säger jag nej till cookies?
Om du inte vill tillåta lagring av cookies på din dator kan du stänga av funktionen i din webbläsares inställningar. Väljer du att inte tillåta cookies kan dock funktionaliteten begränsas på vissa delar av Exteal Engages webbplats.
6. Säkerhet
Exteal säkerställer sekretess, integritet och tillgänglighet av personuppgifterna. Vi genomför organisatoriska och tekniska åtgärder för att säkerställa en lämplig säkerhetsnivå. Åtgärder som är vidtagna för att uppfylla och upprätthålla detta är följande:
- Rollbaserad åtkomst och inloggning där personal och system endast har tillgång till personuppgifter nödvändiga för att tillhandahålla tjänster.
- Säkerhetskopiering av system som behandlar personuppgifter.
- Säkert antivirusskydd.
- Förändringslogg.
- Krypterad kommunikation över internet mellan system som hanterar personuppgifter.
- Klassificering av personuppgifter för att implementera lämpliga säkerhetsåtgärder med hänsyn till risk.
- Användning av system och processer som förbättrar säkerheten vid hantering av personuppgifter.