Datenschutz-Grundverordnung (DSGVO)
Bullhorn hat wichtige Neuigkeiten! Wir sind stolz darauf, Ihnen unseren ersten CIPP/E, Peter de Waal, vorstellen zu können. CIPP/E steht für Certified Information Privacy Professional/Europe und ist eine Zertifizierung, welche von der IAPP (‘international association for privacy professionals’) vergeben wird. Peter de Waal ist ein wichtiger Mitarbeiter und Kollege für uns und unterstützt uns mit seiner Expertise rund um die Datenschutz-Grundverordnung (DSGVO).
Warum braucht man einen CIPP/E?
Die General Data Protection Regulation (GDPR) oder auf Deutsch auch Datenschutz-Grundverordnung (DSGVO) trat mit Mai 2016 in Kraft. Diese Verordnung der Europäischen Union kommt dann zur Anwendung, wenn persönliche Daten von Menschen eingegeben, verarbeitet und gespeichert werden. Peter de Waal: “Dieses Gesetz ist sehr wichtig für alle Organisationen, die persönliche Daten verarbeiten. Für Bullhorn und seine Kunden war es von wesentlicher Bedeutung auf die Reform vorbereitet zu sein. Ich beschäftige mich mit den DOs und DON’Ts und informiere alle Stakeholder so genau wie möglich darüber, welche Auswirkungen dieses Gesetz auf unsere Aktivitäten hat.”
Das Was / Wann / Warum rund um die DSGVO
- Die DSGVO hilft dabei, die bestehenden internationalen Gesetze miteinander in Einklang zu bringen, was bedeutet, dass alle EU Mitgliedsstaaten dieselben Richtlinien befolgen müssen. Das bedeutet, dass Sie wissen, woran Sie sind, wenn Sie mit anderen Organisationen im EU-Raum zusammenarbeiten.
- Von Organisationen wird erwartet, dass sie bis zum 25. Mai 2018 alle Aktivitäten in Einklang mit der DSGVO bringen. Die Umsetzung wird ab diesem Datum für alle verpflichtend sein.
- Wenn Sie sich nicht daran halten, kann Sie hohe Strafen erwarten (bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes).
Was wird sich für HR und das Recruiting ändern?
Mehr Daten sind Gegenstand der Datenschutzvorschriften
Neben Dateien, die Namen, Adressen etc. beinhalten, zählen zum Begriff der persönlichen Daten nun auch IP Adressen, Media Access Control (MAC) Adressen, Cookies etc. Selbst wenn Sie die Cookies keinen Personen zuordnen können, sind Sie immer noch dazu verpflichtet, ihre Daten vertraulich zu behandeln.
Eigentümer vs. Verarbeiter
Es wird eine klare Abgrenzung der Zuständigkeiten zwischen den Eigentümern und den Verarbeitern der Daten geben. In unserem Fall sind die Kunden die Eigentümer der Kandidaten- und Kundendaten und werden von der neuen Gesetzgebung als Controller bezeichnet. Bullhorn verarbeitet die Kandidaten- und Kundendaten und wird im Gesetz als Verarbeiter betitelt.
Grundregeln
Der Personal Data Protection Act (WbP) wurde durch die DSGVO ersetzt. Das bedeutet, dass es ab sofort internationale Grundregeln bezüglich der Sicherheitsvorschriften von persönlichen Daten gibt. Des Weiteren ist es für alle Mitgliedstaaten möglich, zusätzliche Regeln in bestimmten Bereichen festzulegen.
Mehr Rechte für Kandidaten
Die Konsumentenrechte wurden durch die Datenschutzrichtlinien erweitert. Zum Beispiel können Kandidaten nun von Organisationen fordern, dass ihre Daten geändert oder gelöscht werden.
Verpflichtende Datenschutzerklärungen
Organisationen sind nun dazu verpflichtet, Datenschutzerklärungen zu veröffentlichen, wenn sie Daten sammeln. Diese Erklärung muss die Gründe dafür darlegen, warum Daten gesammelt werden, ob Zugang an Dritte gewährleistet wird, und wie lange die Daten gespeichert werden. Das bedeutet, dass Sie für Job-Alerts eine andere Datenschutzerklärung als für Bewerbungsformulare brauchen.
Datenverluste müssen dokumentiert werden
Die DSGVO macht es verpflichtend, dass alle Datenverluste intern dokumentiert werden, auch jene Daten, die nicht der Regulierungsbehörde gemeldet werden müssen. Jeder, der private Daten verarbeitet, ist gesetzlich dazu verpflichtet, alle Datenverluste aufzuzeichnen, sodass diese an die Regulierungsbehörde weitergegeben werden können.
Ernennung eines Data Protection Officer?
Unternehmen könnten dazu verpflichtet werden, einen Data Protection Officer zu ernennen. Vorerst trifft dies allerdings nur auf Organisationen zu, welche vorrangig in der Datenverarbeitung tätig sind.
Was müssen Sie jetzt machen?
Sie haben noch bis Mai 2018 Zeit, aber unterschätzen Sie den Aufwand nicht. Es gibt vieles zu erledigen, und es ist wichtig, offene Fragen so schnell wie möglich zu adressieren. Peter hat einige wichtige Tipps für Sie:
- Sorgen Sie dafür, dass Ihre Organisation noch vor Mai 2018 den neuen Richtlinien entspricht;
- Übertragen Sie die Verantwortung einer Person;
- Stellen Sie eine Projektgruppe zusammen;
- Stellen Sie sicher, dass die Sicherheitsmaßnahmen für die persönlichen Daten effizient sind;
- Identifizieren Sie die Anlässe, zu denen spezifische Informationen gesammelt werden;
- Legen Sie fest, für wie lange Sie die Daten speichern werden (abhängig vom Zweck und dem Kontext);
- Identifizieren Sie, wie spezifische Arten von Informationen registriert werden (Datenhaltung);
- Identifizieren Sie Dritte, mit denen Sie Ihre Daten teilen werden (Bullhorn, Lieferanten);
- Entscheiden Sie, was Sie mit Daten machen werden, wenn diese “abgelaufen” sind;
- Informieren Sie sich über die Rechte der Kandidaten und entscheiden Sie sich, wie Sie mit ihnen intern umgehen werden;
- Gewährleisten Sie eine transparente Kommunikation mit den Kandidaten.
Bleiben Sie auf dem Laufenden
Die neue EU-Datenschutz-Grundverordnung ist in manchen Aspekten noch etwas mehrdeutig. Zurzeit sind die Datenschutzbehörden in sämtlichen Mitgliedstaaten damit beschäftigt, die Richtlinien zu präzisieren. Die Rahmenbedingungen sind zwar klar, aber die genauen Details werden erst mit der Zeit spezifiziert. Stellen Sie sicher, dass Ihre Organisation mit den relevanten Entwicklungen Schritt hält. Wir werden unser Bestes geben, Sie immer auf dem Laufenden zu halten. Peter hält seine Augen und Ohren offen, also folgen Sie regelmäßig unserem Blog! Auch wenn Sie kein Bullhorn Kunde sind, sind Sie herzlich dazu eingeladen, unseren monatlichen Newsletter zu abonnieren. Auf diesem Weg verpassen Sie nie wieder die wichtigsten Neuigkeiten.