HRのCCPA:知っておくべき5つのこと

公開: 2020-03-05

人材育成と採用の分野での雇用関連の個人情報に関しては、CCPAは現在、一般的なビジネスよりもHRの範囲が限られています。 ただし、それでもHRコンテキストの要件が規定されています。

また、これらのHR制限は、2020年末に失効するように設定されており、制限を拡張するためのさらなる修正がない限り、CCPAが消費者に提供するより強力な権利がHRデータ主体にも適用されます。

日常的には、HRのCCPAに関しては、他の機能と比べて少し息抜きがありますが、次のようになります。

1)あなたのHR作業はまだある程度影響を受けています

2)CCPAは、2020年の終わりからあなたにもっと影響を与え始めます。

そこで、何を心配する必要があるかを知るために、何十年にもわたる消費者法をテーブルにもたらしたBakerHostetler消費者データ保護弁護士のAlan L.Frielに連絡を取りました。

Friel氏は、2月19日水曜日に、このトピックについて実行可能なウェビナーで詳細に話しました。ここでウェビナーをご覧ください。

Friel氏の言い方では、2020年のHRで知っておく必要のある主要な規定は2つだけです。

  • 事前収集通知
  • データセキュリティ違反に対する私的な行動の権利。

しかし、繰り返しになりますが、それはあなたが心配することなく夜に眠ることができるという意味ではありません。 トラックの準拠側にとどまるには、HRのCCPAの5つの主要な側面を把握する必要があります。

1.収集前の通知を提供する

明確にするために:これは、求職者や既存の従業員からのものを含め、HRコンテキストで収集するすべての情報に適用されます。

CCPAは、カリフォルニア州の消費者(カリフォルニア州の納税者として定義)の個人情報を収集する企業は、個人情報が収集される時点またはその前に、以下について消費者に明確に通知する必要があります。

  • 収集する個人情報のカテゴリー
  • PIの各カテゴリが使用される目的

雇用関連情報の収集の時点で、収集前の通知を含める必要があります。 HRでCCPAに準拠し続けるためのヒントの詳細:クリックしてツイート

HRの文脈では、これは、雇用主が求職を含む雇用関連情報の収集の時点でこのタイプの通知を行わなければならないことを意味します。 求職者から収集する個人情報の種類と、収集する目的について明確かつ率直に伝えてください。 候補者に必要なフィールドへの入力を求めるだけでなく、収集した情報を特定のビジネスおよび場合によっては商業目的に使用します。

仕事の候補者を評価するためのアプリケーションを収集しているため、情報を収集しているだけであることは明らかですが、事前にそのように言う必要があります。 また、候補者を乗船させる場合は、追加の事前収集通知を必ず行う必要があります。

コンプライアンスを自信を持って管理する

GDPRやEEOC / OFCCPを含む国内および国際的な規制を、採用する場所を問わず、コンプライアンスから努力を奪う自動化されたツールとレポートを使用してナビゲートします。

Workableへの準拠を実証する

2.収集しているものとその理由を明確にします

明確にするために:通知を投稿するだけでは十分ではありません。 また、収集するデータとその理由を指定する必要があります。

何を集めていますか?

準拠していることを確認するために、収集する個人情報の各カテゴリを収集前の通知に記載してください。 個人情報の次の11の列挙されたカテゴリは、一般的なHR固有の例(限定されない)とともにCCPAに記載されています。

  1. 識別子–名前、住所、電子メール、SSN、DL番号
  2. 個人記録–電話番号、教育/雇用履歴、銀行口座の詳細
  3. 個人の特徴と特徴–性別/性別、夫婦/退役軍人/家族の地位、人種、障害
  4. 商業情報–福利厚生記録、経費精算の記録
  5. 生体情報–指/声のプリント、網膜スキャン
  6. インターネットの使用情報–閲覧および検索履歴
  7. ジオロケーションデータ–物理的な位置/動き、移動パターン(つまり、会社の追跡デバイス)
  8. 感覚データ–オーディオ/ビジュアルレコーディング(すなわち、セキュリティカメラ)
  9. 専門家または雇用情報–履歴書、身元調査、参考資料
  10. 非公開の教育記録–教育機関の成績証明書と記録
  11. 収集された公開情報からの推論–能力と適性を反映するプロファイル、適性検査の結果

なぜこの情報を収集しているのですか?

また、個人情報を収集するためのすべてのビジネスおよび商業目的を完全に開示する必要があります。 CCPAの最初の一連の規制(HRまたはその他)では、収集する前述のカテゴリごとに、ビジネスおよび商業目的を明確に概説する必要があると指定されています。

つまり、「レコードのデータを収集している」と単純に言うことはできません。詳細を確認する必要があります。 CCPAでは、どのデータがどの目的で使用されるかを具体的に指定する必要があります。 必要な詳細の量のために(求職者または従業員に実質的により良い情報を提供しない可能性があります)、これは長い文書になる可能性があります。 別のページに完全な通知を作成し、事前収集通知自体からリンクする方がよい場合があります。これは、提案されている規制で許可されています。 または、この情報を含むプライバシー通知にリンクすることもできます。

まだ検討中の規制の修正されたドラフトは、個人情報の収集の目的をカテゴリごとに開示する要件を削除することにより、より詳細なものを必要としません。 ただし、ルール作成プロセスを監視して、どこに到達するかを確認する必要があります。

オフラインの事前収集通知の場合、規制によって提供される十分な通知の例は、「通知がオンラインで見つかる場所に消費者を誘導する目立つ看板」です。 繰り返しになりますが、したがって、URLがすべての詳細を含む通知に解決されると仮定すると、「収集する個人情報と目的の詳細については[URL]にアクセスする」のように簡単な事前収集通知を提供するだけで十分です。 regsによって要求されます。

データ共有に関しては、雇用関連情報の収集時の通知のために、少なくとも2020年には、「個人情報を販売しない」ページへのリンクを含める必要はありません。これは2021年に変更される可能性があります。

3.最初から明確な言葉

提案された規制は、収集前の通知が明白でわかりやすいものでなければならないことを要求しています。 法的な専門用語は禁止されています。 求職者と従業員は、必ずしも法学の学位を持っているわけではなく、法律用語に精通しているわけでもありません。 したがって、結果として、あなたは日常の言葉であなたがしていることを伝える必要があります。

法的文書を使用している場合は、コピーして貼り付けないでください。コンテンツ自体に精通し、求職者と従業員があなたの情報を完全に理解できるように、口頭と書面の両方で内容を伝える準備をしてください。再収集し、どのような目的で。

4.あなたがするだろうとあなたが言っていないことは何もしないでください

CCPAは、企業が消費者に通知せずに追加のカテゴリの個人情報を収集することはできないと規定しています。「消費者」を「求職者」、「従業員」、「請負業者」に置き換えてください。これは、HRおよび個人情報を収集している人。

求職者または従業員に関する追加情報が必要であり、それに関する事前収集言語に前兆を含めなかった場合は、求職者または従業員に通知せずにそれを行わない方がよいでしょう。 提案された規制は、収集が本人から直接ではない場合、登録されたデータブローカーのみが収集前の通知から解放されることを示唆しています。 また、身元調査の同意を必要とし、申請者に結果を確認する権利を与える公正信用報告法などの他の法律にも留意してください。

5.公開されている情報も保護されます

多くのATSソリューション(および一般的なソフトウェア)は、個人情報を自動的に収集できます。 これの多くは公開されています(たとえば、LinkedIn、会社のページ、またはその他の公開Webページ)が、それでも、その「公開」された個人情報でさえ、CCPAの対象となります。

ただし、政府の出版物から公に入手可能なデータは、個人情報の定義から除外されます。

転ばぬ先の杖

これはそれほど多くはないようですが、まだ初期段階であることを忘れないでください。 CCPAは引き続き有効になるため、より複雑になります。また、強力なプライバシー法を検討している州もあります。 上で述べたように、2020年の人材への影響は他の人ほどではありませんが、2021年に入ると変化する可能性があります。

ここでは、「申し訳ないより安全である」という精神が非常に当てはまります。これらの5つのルールに従うことで発生する可能性のある潜在的な問題を先取りし、先取りすることが最善です。

関連性のあるコンテンツ:
AB25:CCPAが雇用主と採用担当者に与える影響
CCPA:カリフォルニア州の新しいプライバシー法に関するよくある質問