从2018年5月起,收集欧盟居民个人数据的组织必须遵守《通用数据保护条例》(GDPR)。GDPR是一部新法律,旨在加强人们的隐私权,保护他们的个人数据。
GDPR将确保合规的责任置于整个组织,特别是像招聘这样严重依赖于收集候选人个人数据的职能。当雇主在网上找到候选人或在人才库中收集候选人数据时,应该如何确保符合GDPR规定?
帮助你在旅途中走向GDPR合规性,我们准备了以下招聘指南:
请注意:虽然在创建本指南和更新我们自己的产品功能时,可操作性咨询了法律专业人士,但可操作性不是一家律师事务所。本指南中的所有资料仅为一般资料。它不打算构成法律意见或寻求成为法律的完整和全面的陈述,也不打算解决您的具体要求。各机构应就其本身的资料保护条文征询独立的法律意见。
谁必须遵守GDPR,不遵守的惩罚是什么?
的GDPR适用于处理欧盟居民数据的公司。这涵盖了欧盟组织和非欧盟公司,为欧盟居民提供商品或服务或监督其行为。当法律于2018年5月25日生效时,所有这些组织都应该符合符合。如果他们没有,他们的风险高达4%的全球营业额(收入)或2000万欧元,以较大者为准。公司也可能看到他们的声誉受到罚款或谴责的声誉。
在英国脱欧完成之前,英国机构必须遵守GDPR可能之后也是如此。
什么是基本的GDPR条款以及它们如何与招聘有关?
关于招聘功能,GDPR为:
- 候选人或“数据科目”。候选人是资料当事人,因为他们可以通过提供给公司的个人资料识别。例如,他们的简历可能包括他们的名字、地址或电话号码。GDPR的存在就是为了保护这类数据。招聘团队的成员也被视为GDPR下的数据主体,但他们自己的数据不会像候选人数据那样被处理。
- 雇主或“数据控制器”。雇主或招聘人员作为他们公司对候选人的主要代表,决定收集候选人个人数据的目的。这使他们成为完全负责保护候选数据和合法使用数据的数据控制器。
- 申请人跟踪系统(ATS)和其他招聘软件/服务或“数据处理器”。你们的ATS是一个数据处理器,因为它代表你们公司按照你们公司的指示处理候选数据。数据处理器通常有“子处理器”(例如,可用的使用云平台来部署它的系统)。
我们的招聘专家可以回答您关于GDPR和可操作的GDPR功能包的所有问题。请求免费演示为了了解如何运作的一体化招聘软件,可以使候选人数据保持安全,同时使您的招聘流程更高效。
GDPR如何影响招聘?
以下是GDPR的一些关键指令,影响招聘人员和招聘团队的日常工作:
- 您需要合法利息来处理候选数据。GDPR不得不为您收集数据"明确,明确和合法的目的。"这意味着,例如,只要你只收集与工作相关的信息,并且你打算在30天内联系你的候选人,你就可以获取候选人数据。
- 您需要候选人同意处理敏感数据。GDPR要求您在处理残疾信息、文化、遗传或生物特征信息等数据或为均等就业机会调查或背景检查。在这些情况下,您必须以明确和可理解的方式要求同意,并提供有关如何撤回其同意的明确指示。
- 您需要透明地处理候选数据。公司必须有明确的隐私政策,招聘人员有义务将这些政策提供给候选人。你还必须披露你存储求职者数据的地方(例如你的ATS),并声明你只会将这些数据用于招聘目的。
- 您需要承担合规性的责任(问责制。)您的公司需要能够证明遵守GDPR。例如,在GDPR下,您的公司负责与(例如ATS提供商或采购服务的业务有关。如果您的承包商未遵守法律,您的公司也是负责任的。
此外,当候选人根据GDPR行使其权利时,你必须遵守:
- 候选人有“被遗忘的权利”。候选人有权要求您删除并停止处理其个人数据。您必须找到保持信息的每个地方(例如电子表格)并在收到候选人请求后一个月内删除它。
- 候选人有权访问他们的数据并要求您纠正它。候选人有权询问您所拥有的数据。他们还可以要求您对任何不准确性(纠正)进行更正(纠正。)您必须在一个月内授予两个请求,并提供免费的电子副本的候选人。
雇主应该遵守GDPR什么?
绘制招聘数据图
为准备GDPR,公司必须做的第一件事就是进行全公司范围的数据审计。这个过程将显示你的组织收集什么类型的数据,如何收集,为什么收集,从哪里收集。
至于招聘数据因此,你必须清楚在哪里、如何找到和存储候选人的姓名、联系方式以及其他身份信息。当数据审计完成时,您应该能够回答以下问题:
- 我们的候选来源是什么以及我们如何收集个人数据?例如,通过与招聘广告链接的申请表收集候选人数据。
- 我们收集什么样的数据以及我们实际使用多少?例如,要求应聘者提供他们的电子邮箱、家庭地址和电话号码。你必须确定所有这些信息对你的招聘是必要的(合法利益),否则你不应该收集它。
- 我们如何在运作中使用个人资料?一个例子将使用候选数据来筛选候选人并判断他们的适合性以进行面试。
- 我们把数据存储在哪里,谁可以访问?例如,将求职者数据存储在电子表格或ATS中,并与招聘团队共享。
- 如何在流程/职能/部门跨我们公司内流动?一个例子是候选信息如何从源人转移到聘请经理到雇用团队成员,因此他们可以联系这些候选人。
- 我们的共享,传输,修改和删除数据是什么过程?同样,如果您使用电子表格来跟踪候选数据,那么您有什么流程来纠正错误或共享文档呢?
为招聘创建隐私政策
你的公司必须有一个透明的隐私政策,解释它如何收集、处理和保护数据,并就如何要求你的公司删除和纠正他们的数据向数据主体提供指示。除了这一隐私政策之外,你的公司可能会发现在招聘时发布一份隐私通知是有用的。本说明将直接针对候选人,应包括GDPR要求的所有信息第13条和第14条除了重新叙述公司的行动,以确保数据保护:
- 您组织的姓名和联系方式。如果您已被任命为数据保护官(DPO),也包括其联系方式。
- 一份声明,说明所要求的资料只用于招聘用途。你还需要解释你的合法权益。
- 有关驻留在您公司文件中的候选人的信息类型。这些可能是联系方式,社交和专业档案,教育和工作经验。
- 你会和谁分享这些数据。例如,如果您是招聘顾问,您可以使用客户分享此数据。
- 你找到候选数据的地方。重要的是你要提到你合法使用你的消息来源。
- 处理基于以及存储数据的地方。如果您在欧盟之外传输数据,这一点尤其重要。
- 您的组织打算存储每个候选人的数据。如果这是不可能的,则需要使用您确定此期间的标准来解释。
- 候选人的权利。这些权利包括被遗忘、纠正或查阅数据、限制处理、撤回同意、被告知其数据处理的权利。
- 有关候选人如何处理其个人资料的指示。让他们知道如何访问他们的数据或请求您删除,纠正或限制其数据处理。
- 如何保护候选数据。您可以总结或链接到您公司的一般隐私政策,该政策应包括您公司保护数据的所有方式(例如,加密,通过设计隐私)
源候选人在线小心
对于希望找到优秀人才的组织来说,采购是一项必不可少的功能。然而,采购需要寻找和存储个人候选数据,因此始终遵守GDPR至关重要。
首先,记住你需要合法的利益来寻找候选人并处理他们的个人数据。确保您:
- 实际上打算联系那些候选人。只需通过添加候选数据来构建您的人才数据库,以防您在未来需要它并不合法地在GDP下。
- 计划尽快联系候选人。您只能保留候选人的数据,而无需通知他们有限的时间(最多一个月)。尽快联系这些候选人,如果他们要求您的数据,请删除他们的数据。如果您更改了候选人的思想,并决定不联系它们,则必须立即删除其数据。
- 只收集您需要的数据。你可能想要处理求职者的教育背景、工作经历或技能以及联系方式。这些类型的数据对你的招聘过程有意义。但是,你不应该为了招聘的目的处理无关的数据(例如文化信息)。如果你需要处理这些数据,一定要在联系候选人时解释清楚,并征求他们的同意。
- 律师们获得数据。如果这些档案可公开访问,则在GDPR下收集来自社交档案的数据是合法的,如果您可以合理地假设候选人希望联系,则是合法的。例如,您可以假设公开访问的LinkedIn配置文件指示联系人的合理期望。只有,您只能继续处理候选数据。
创建一个可以添加到您的采购电子邮件的模板文本。如果您有一个特定于招聘的策略,您可以提供组织的姓名和联系方式,例如您打算只能保留数据以便招聘目的,并链接到您的招聘隐私政策,以传达其他必要信息。
如果你还没有招聘隐私通知,你需要包含GDPR要求的所有信息第14条(以上解释)在您的电子邮件中。这是一个带有占位符的示例电子邮件文本:
Acme, Inc.[地址,电话,电子邮件]已经收集并存储了您的简历和联系方式。
我们只处理此数据仅供招聘目的。我们在寻找填写我们公司的公开职位时,我们在[LinkedIn]上找到了此数据。我们在申请人跟踪系统中存储此数据,[将数据存储在U.S中,并完全符合欧盟数据保护法则],我们不会与其他人分享。
我们希望保持此数据,直到我们的开放角色填补。[我们无法估计确切的时间段,但我们会在候选人接受我们的工作机会的情况下考虑这一时期,因为我们在考虑你的位置。]当该期间结束时,我们将删除您的数据或通知您我们将把它保留在我们的数据库中以备将来角色。
这是我们隐私政策的链接。在此策略中,您将找到有关我们遵守GDPR(数据保护法的信息。)您可以找到如何向我们发送请求,让您访问我们收集的数据,请我们删除数据,更正任何不准确性或限制我们对数据的处理。
您有权就我们处理您的数据的方式向【监管部门】提出投诉,或您可通过【联系方式】联系我们的【DPO】以获取更多信息或关注。
确保您的工作申请流程符合GDPR
当候选人填写你的工作申请表时,他们会向你提供他们的个人数据。因为工作申请与实际的职位空缺相对应,所以你对处理这些数据有合法的兴趣,你不需要明确征求同意。但是,为了完全符合GDPR,请确保:
- 只要求提供你需要的个人资料。的工作派对29.(数据保护当局的集合)指出您收集的数据必须是“必要的,并与正在申请的工作的表现相关。”
- 是透明的。在你的招聘广告中,让候选人知道你只打算将他们的数据用于招聘目的,以及你可能需要多长时间保存这些数据。如果你打算在筛选过程中收集更多候选人的信息(例如,查看他们的社交媒体资料),你需要明确地说明这一点,并解释如何和为什么这么做。
- 链接到您的隐私政策。你公司的隐私政策应该很容易获得。它应该包括指示候选人如何要求你删除、改正或停止分享他们的个人数据。在你的招聘广告中,让候选人知道他们可以在你的隐私政策中找到这些信息。
更新你的拒绝邮件模板威廉希尔官网谁知道
有时你有一个以上的伟大申请人的角色。如果您无法雇用所有这些,您可能希望保留您未在文件上雇用的那些。为了保持符合GDPR,您需要确保您不会比您最初提到的候选者更长的时间保留此数据。例如,如果您在您的采购电子邮件中告诉候选人,您将在申请后保持数据,您无需在此年份传递之前将其发送另一封电子邮件。相反,如果您告诉候选人,您将保留其数据,直到您填写此特定位置,然后您需要再次通知他们,以便您要保留您收集的数据。
在你的拒绝邮件中这样做。加几句话到:
- 解释你为什么想要保留候选人的数据。
- 提及您计划保留其细节的时间。
- 再次链接到您的招聘隐私通知。
- 让候选人知道他们可以要求你在任何时候删除他们的数据。
如果他们要求您删除其数据,则必须遵守。
当你收到候选人的数据时,准备通知他们进行数据处理
通常情况下,你会发现自己通过求职申请或网上资源以外的方式获取了个人候选人信息。求职者可能会在招聘会或社交活动上给你简历。或者他们会让你联系他们,提供工作机会。所有这些情况在GDPR下都是合法的,但您需要能够证明自己是透明的。
为此,您可以准备标准表格,提供GDPR要求的所有信息,并请候选人签名。或者你也可以通过电子邮件向他们发送你的招聘隐私通知和其他必要的信息。
查看现有人才管道
GDPR涵盖了贵公司过去收集的个人数据。这意味着在该法律于5月生效之前,你必须查看你的人才数据库、电子表格和其他存储候选人数据的文件。
这是一个很好的机会来确保你的人才数据库是更新和相关的。确定哪些候选人适合你公司未来的职位空缺,哪些不是:
- 如果您确定候选人不太可能有资格持有未来的角色或不再相关或者您已经在很久以前获得了信息,那么您必须删除他们的数据。
如果你在ATS中存储了考生的数据,那么那些被取消资格的考生的数据将很容易被删除。快速浏览所有候选人的资料,看看是否有有前途的候选人,或者你想在未来联系谁。你可以大量删除剩下的部分。
- 如果您想在您的人才管道中保留候选人,就会向他们联系,告知他们您正在处理他们的数据。
对于你想要保存在数据库中的候选人,准备一封电子邮件给他们必要的信息。这封电子邮件应该类似于你将发送给来源候选人的电子邮件,因为它必须包括关于你持有的数据和在哪里的所有信息。这些邮件还应该包括你的隐私政策的链接。你的ATS可能有批量发送邮件的功能,这会让你更容易发送邮件。
确保您的软件供应商是兼容的
数据处理器可以完全访问您的候选人的数据。这就是为什么GDPR希望您确保您的合作伙伴以与您相同的方式保护这些数据。
你最重要的招聘供应商是ATS供应商。你可以在ATS中存储几乎所有的考生数据,发送电子邮件,删除或修改信息。如果你的ATS符合GDPR,这将是一个伟大的盟友,以确保您的公司遵守以及。
如果你还没有使用ATS,可以考虑在GDPR生效前购买ATS。电子表格是软件供应商最常见的替代方案,可能会使您面临与GDPR遵从性有关的风险,因为它们提供了糟糕的审计跟踪、访问控制和版本控制。电子表格的一个主要优点也是它们的一个主要缺陷,因为它们可以在所有者不知情的情况下很容易被复制、修改和传播。而且,它们是一种擦除和校正数据的繁琐方法。
首先,如果你打算购买ATS,你可以安排与ATS供应商或几家供应商见面。问:
- GDPR是否适用于处理器。如果它们不是欧盟公司,它们要么是欧盟的一部分隐私保护(对于美国公司)或准备签署有效的数据处理协议,要求他们遵守GDPR的指导方针。
- 他们如何计划成为符合GDPR。他们还应该能够告诉您他们将数据存储在哪里,以及他们如何确保这些数据受到保护。
- 他们是否使用兼容的供应商。他们应该与那些分包商签订数据处理协议。
- 他们是否有明确的隐私政策。审查其隐私政策,以确保其符合GDPR,并能充分保护候选数据。
准备好接受候选人的要求
与GDPR剩余符合符合条件的大部分是能够帮助候选人在本法下行使其权利。为此,您必须提供指导方针和流程:
- 应要求,让候选人查阅其个人资料。
- 确定你必须给候选人的数据的电子副本的格式。
- 建立一个进程来提取并发送该副本。
- 删除候选人的个人资料,或根据他们的要求限制处理。
- 找到所有保存数据的地方(在数据审计期间必须这样做),并建立一个从所有这些地方删除数据的过程。
- 纠正候选数据。
- 确保您有流程来控制不同版本的候选数据。例如,您不应该在一个电子表格上纠正相同的候选数据,而不是另一个电子表格。拥有ATS的地方可以为您节省这个问题。
- 让候选人撤回同意(如果您决定使用同意作为加工的法律依据)。
- 将这个过程与给予同意的过程进行比较。GDPR要求给予和撤回同意的过程应该同样容易和简单。
确保在您的网站和/或您的条款和条件上清楚地传达这些流程。
相关:
