一般数据保护条例(GDPR)是一个新的欧盟法律,旨在保护欧盟居民的个人资料和隐私权。2018年5月,组织必须准备每当收集和处理欧盟公民的数据时遵守GDPR。招聘人员和招聘团队特别应确保在招聘期间处理候选数据时它们是透明的。他们还应确保候选人可以在GDPR下行使其权利。
来帮助你为符合GDPR要求准备招聘和人力资源流程,我们创建了这个GDPR清单:
请注意:虽然在创建本GDPR清单和更新我们自己的产品功能时,可操作性咨询了法律专业人士,但可操作性不是一家律师事务所。这些常见问题解答中的所有信息仅为一般信息。它不打算构成法律意见或寻求成为法律的完整和全面的陈述,也不打算解决您的具体要求。各机构应就其本身的资料保护条文征询独立的法律意见。
我的公司是否必须遵守GDPR?
如果您的公司收集和使用欧盟居民的数据,则必须遵守GDPR。这个定义涵盖了:
- 欧盟公司。
- 非欧盟公司:
- 为欧盟居民提供商品或服务,
- 监督欧盟居民的行为。
本周该做什么:
理解基本的GDPR术语
- 候选人或“数据科目”:欧盟居民您正在考虑开放的角色。
- 雇主或“数据控制器”:收集候选人信息以招聘目的的组织。
- 申请人追踪系统(ATS)或“数据处理器”:代表雇主处理候选信息的软件提供商。
我们的招聘专家可以回答您关于GDPR和可行的GDPR功能包的问题。请求免费演示为了了解如何运作的一体化招聘软件,可以使候选人数据保持安全,同时使您的招聘流程更高效。
了解与招聘相关的GDPR要求
- 合法兴趣:您需要有一个指定的、明确的和合法的目的来收集候选数据。
- 同意(对于敏感数据):作为招聘人员,处理候选数据的合法兴趣。只有在需要残疾信息或文化和遗传信息等敏感数据时,您只需要同意。
- 透明度您需要披露GDPR要求的信息(例如,候选人如何要求您纠正或删除他们的数据)。
- “被遗忘的权利”:您需要遵守候选人的希望从您在一个月内存储它的所有系统中删除自己的数据。
- 访问和纠正数据的权利:您需要遵守候选人的希望从您在一个月内存储它的所有系统中访问自己的数据。
- 问责制:您必须确保您有流程正确通知候选人,并且您负责仅与符合GDPR的组织合作。
尽快开始做什么:
绘制招聘数据图
- 与高层领导和公司的数据保护官(如果你的公司必须指定一个)会面,以计划公司的数据审计。
- 作为审计的一部分回答以下问题:
- 我们的候选来源是什么?我们如何收集他们的个人数据?
- 我们收集什么样的数据以及我们实际使用多少?
- 我们如何在我们的运营中使用个人数据?
- 我们在哪里存储数据,谁可以访问它?
- 如何在流程/职能/部门跨我们公司内流动?
- 我们的共享,传输,修改和删除数据是什么过程?
创建一个特定于招聘的隐私政策
- 确保包括:
- 您的机构和DPO的名称和联系方式(如适用)。
- 说明您的合法权益,并说明您所要求的任何资料只用于招聘用途。
- 有关驻留在公司文件中的候选人的信息类型。
- 您将与谁共享数据。
- 你在那里找到了候选人的数据。
- 处理基于以及存储数据的地方。
- 您的组织打算将候选人的数据储存多长时间。
- 候选人的权利。
- 有关候选人如何处理其个人资料的指示。
- 如何保护候选数据。
修改您的采购实践以遵守GDPR
- 考虑在存储被动候选数据之前是否具有合法的兴趣。确保您:
- 对于特定的,合法的原因来源候选人,而不仅仅是为了建立你的人才库。
- 仅收集您招聘目的绝对必要的数据量和类型。
- 打算联系您在不到一个月内存储的候选人。
- 从合法来源合法地获得数据。
- 设置固定的时期(不到一个月),其中您的团队应联系候选人以通知他们正在处理其数据。
- 创建一个用于联系候选人的采购模板,包括:
- 征聘隐私政策的链接。
- 你所在机构的名称及联络资料。
- 一份声明,说明所要求的资料只用于招聘用途。
确保你的工作申请流程符合GDPR
- 仅询问必要的个人数据(“与正在申请的工作的表现相关并相关。”)
- 是透明的:
- 说明你只打算将他们的数据用于招聘目的。
- 指定可能需要保留此数据的时间。
- 如果你打算在筛选过程中收集更多的候选人信息,请注意。
- 链接到您的隐私政策并澄清:
- 考生可以在您的隐私政策中找到如何访问他们的数据的说明。
- 候选人有权要求您纠正或删除其数据。
拒绝候选人时遵守GDPR
- 删除您对候选人有关的所有数据,您将无法考虑进一步的角色。
- 通知您要保留其数据的候选人,您将继续处理其数据(如果您告诉他们您只会在您填写位置之前处理他们的数据。)在您的电子邮件中:
- 解释为什么要保留候选人的数据。
- 提及您计划保留其细节的时间。
- 再次链接到您的隐私政策。
- 让候选人知道他们可以随时撤回他们的同意(如果适用)。
每当您接收候选人的数据时都是透明的
- 提供公司隐私政策的副本或链接。
- 收到候选人的资料后给他们发邮件。
审查现有人才渠道
- 检查每一个候选人在你存储候选人数据的地方(电子表格,ATS,内部数据库):
- 如果您确定候选人不太可能有资格获得未来的角色或不再相关,则删除其数据。
- 如果您想在您的候选人中保留候选人人才管道,联系他们向他们通知他们正在处理他们的数据。
确保您的软件供应商(例如ATS)符合要求
- 您的数据处理器是否在欧盟?如果是,则默认情况下,它们必须符合GDPR。
- 你们的数据处理器在欧盟之外吗?如果他们代表您处理欧盟居民的个人数据,他们必须遵守GDPR。
- 要求他们签署数据处理协议,迫使他们按照GDPR的要求处理候选数据。
- 一些美国公司是隐私盾牌的一部分,该公司为公司提供了一个框架,符合欧盟数据保护要求,包括GDPR。
- 与你的软件供应商安排一次会议,询问:
- 他们已经做了什么,或计划做什么,以符合GDPR。
- 他们如何确保自己的数据处理器是兼容的。
- 他们提供哪些工具来帮助您的公司保持符合要求。
- 他们是否有明确的隐私政策并要求审查。
- 在法律生效后与供应商联系。
更新您的流程以授予候选请求
- 建立流程以让候选人根据要求访问其个人数据。
- 创建删除或纠正数据的进程。
- 创建一个进程,让候选人撤回同意如果适用。
- 在您的网站和/或您的条款和条件下清楚地传达所有这些流程。
相关:gdpr准备评估员