GDPRコンプライアンスに関する採用担当者向けガイド

公開: 2018-01-20
GDPRコンプライアンスガイド

2018年5月以降、EU居住者の個人データを収集する組織は、一般データ保護規則(GDPR)に準拠する必要があります。GDPRは、プライバシーに対する人々の権利を強化し、個人データを保護することを目的とした新しい法律です。

GDPRは、組織全体、特に候補者の個人データの収集に大きく依存する採用などの機能にコンプライアンスを確保する責任を負わせます。 オンラインで候補者を見つけたり、人材プールで候補者データを収集したりする場合、雇用主はGDPRコンプライアンスを確保するために何をすべきですか?

GDPRコンプライアンスへの道のりを支援するために、次の採用ガイドを用意しました。

注意:Workableは、このガイドの作成と自社の製品機能の更新の両方で法律専門家に相談しましたが、Workableは法律事務所ではありません。 このガイドのすべての情報は、一般的な情報のみです。 これは、法律上の助言を構成したり、法律の完全かつ包括的な声明を目指したりすることを意図したものではなく、特定の要件に対応することを意図したものでもありません。 組織は、データ保護に関する独自の規定に関して、独立した法的助言を受ける必要があります。

GDPRに準拠する必要があるのは誰ですか?準拠しなかった場合の罰則は何ですか?

GDPRは、EU居住者のデータを処理する企業に適用されます。 これは、EU居住者に商品やサービスを提供したり、彼らの行動を監視したりするEU組織および非EU企業を対象としています。 これらの組織はすべて、2018年5月25日に法律が施行されたときに準拠する必要があります。準拠していない場合、世界の年間売上高(収益)の最大4%または2,000万ユーロのいずれか大きい方の罰金が科せられるリスクがあります。 企業はまた、罰金や懲戒処分によって評判が損なわれる可能性があります。

英国の組織は、Brexitが完了するまで、場合によってはその後もGDPRに準拠する必要があります。

コンプライアンスを自信を持って管理する

GDPRやEEOC / OFCCPを含む国内および国際的な規制を、採用する場所を問わず、コンプライアンスから努力を奪う自動化されたツールとレポートを使用してナビゲートします。

Workableへの準拠を実証する

GDPRの基本的な用語は何ですか?また、それらは採用とどのように関連していますか?

採用機能に関して、GDPRは次のことを指します。

  • 候補者または「データ主体」。 候補者は、企業に提供する個人データから特定できるため、データ主体です。 たとえば、履歴書には、名前、住所、電話番号が含まれる場合があります。 GDPRは、この種のデータを保護するために存在します。 採用チームのメンバーもGDPRの下でデータ主体と見なされますが、彼ら自身のデータは候補者データと同じ程度には処理されません。
  • 雇用主または「データ管理者」。 雇用主、または候補者の会社の主要な代表者となる採用担当者は、候補者の個人データを収集する目的を決定します。 これにより、候補者のデータを保護し、合法的に使用する責任を完全に負うデータ管理者になります。
  • 応募者追跡システム(ATS)およびその他の採用ソフトウェア/サービスまたは「データプロセッサ」。 ATSは、会社の指示に従って会社に代わって候補データを処理するため、データプロセッサです。 多くの場合、データプロセッサには「サブプロセッサ」があります(たとえば、Workableはクラウドプラットフォームを使用してシステムを展開します)。

採用スペシャリストは、GDPRと実行可能なGDPR機能パックに関するすべての質問に答えることができます。 無料のデモをリクエストして、Workableのオールインワン採用ソフトウェアが候補者データを安全に保ちながら採用プロセスをより効率的にする方法を学びましょう。

GDPRは採用にどのように影響しますか?

採用担当者と採用チームの日常業務に影響を与えるGDPRのいくつかの重要な指令は次のとおりです。

  • 候補者データを処理するには、正当な利益が必要です。 GDPRでは、「特定の明示的かつ合法的な目的」でのみデータを収集することが義務付けられています。 これは、たとえば、仕事関連の情報のみを収集し、30日以内に調達された候補者に連絡する予定である限り、候補者データを調達できることを意味します。
  • 機密データを処理するには、候補者の同意が必要です。 GDPRでは、障害情報、文化的、遺伝的、生物測定情報、またはEEO調査や身元調査のために収集された情報などのデータを処理する場合は、同意を求める必要があります。 このような場合は、明確でわかりやすい方法で同意を求め、希望する場合に同意を取り消す方法について候補者に明確な指示を与える必要があります。
  • 候補データの処理について透過的である必要があります。 企業は明確なプライバシーポリシーを持っている必要があり、採用担当者はそれらのポリシーを候補者が利用できるようにする義務があります。 また、候補者データ(ATSなど)を保存する場所を開示し、このデータを採用目的でのみ使用することを明記する必要があります。
  • コンプライアンス(説明責任)の責任を負う必要があります。会社は、GDPRへのコンプライアンスを実証できる必要があります。 たとえば、GDPRの下では、会社は取引相手(ATSプロバイダーやソーシングサービスなど)に責任があります。請負業者が法律を遵守しなかった場合、会社にも責任があります。

また、候補者がGDPRに基づく権利を行使する場合は、遵守する義務があります。

  • 候補者には「忘れられる権利」があります。 候補者は、個人データの削除および処理の停止を求める権利を有します。 情報を保持しているすべての場所(スプレッドシートなど)を見つけて、候補者の要求を受け取ってから1か月以内に削除する必要があります。
  • 候補者は自分のデータにアクセスし、それを修正するように依頼する権利があります。 候補者は、あなたが保持している自分のデータを尋ねる権利があります。 また、不正確な点を修正するように要求することもできます(修正します)。両方の要求を1か月以内に許可し、候補者に自分の個人データの無料の電子コピーを提供する必要があります。

GDPRに準拠するために雇用主は何をすべきですか?

採用データをマッピングする

GDPRに備えるために会社が最初に行う必要があることの1つは、全社的なデータ監査を実施することです。 このプロセスでは、組織が収集するデータの種類、方法、理由、および場所が示されます。

採用データに関しては、候補者の名前や連絡先の詳細、その他の識別情報をどこでどのように見つけて保存するかを明確にする必要があります。 データ監査が完了したときに答えられるはずのいくつかの質問を次に示します。

  • 候補となる情報源は何ですか?また、個人データをどのように収集しますか? 例としては、求人広告からリンクされた応募フォームを介して候補者データを収集する場合があります。
  • 私たちはどのような種類のデータを収集し、実際にどれだけのデータを使用していますか? 例としては、候補者にメールアドレス、自宅の住所、電話番号を提供するように依頼する場合があります。 このすべての情報があなたの採用(正当な利益)に必要であることを確認する必要があります。そうでない場合は、それを収集するべきではありません。
  • 業務で個人データをどのように使用しますか? 例としては、候補者データを使用して候補者を選別し、面接に進むための適性を判断する場合があります。
  • データはどこに保存し、誰がデータにアクセスできますか? 例としては、候補者データをスプレッドシートまたはATSに保存し、採用チームと共有する場合があります。
  • 社内のデータはプロセス/機能/部門間でどのように流れますか? 例としては、候補者情報がソースから採用マネージャー、採用チームメンバーに転送され、それらの候補者に連絡できるようにする方法があります。
  • データを共有、転送、変更、削除するためのプロセスは何ですか? 繰り返しになりますが、スプレッドシートを使用して候補データを追跡する場合、不正確さを修正したり、ドキュメントを共有したりするためにどのようなプロセスがありますか?

採用のためのプライバシーポリシーを作成する

会社は、データの収集、処理、保護の方法を説明し、データ主体にデータの削除と修正を依頼する方法を指示する透明性のあるプライバシーポリシーを設定する必要があります。 このプライバシーポリシーに加えて、あなたの会社は採用のためにプライバシー通知を持っていることが役に立つかもしれません。 このメモは候補者に直接対応するものであり、GDPR第13条および第14条に必要なすべての情報と、データ保護を確保するための企業の行動の詳細を含める必要があります。

  • 組織の名前と連絡先の詳細。 データ保護責任者(DPO)を任命した場合は、その連絡先の詳細も含めてください。
  • 要求されたデータは採用目的でのみ使用されるという声明。 あなたもあなたの正当な興味を説明する必要があります。
  • 会社のファイルにある候補者に関する情報の種類。 これらは、連絡先の詳細、社会的および専門的なプロフィール、教育および仕事の経験である可能性があります。
  • 誰とデータを共有するか。 たとえば、採用コンサルタントの場合、このデータをクライアントと共有できます。
  • 候補データを見つける場所。 ソースを合法的に使用していることに言及することが重要です。
  • 処理のベースとデータの保存場所。 これは、EU外にデータを転送する場合に特に重要です。
  • 組織が各候補者のデータを保存する予定の期間。 これが不可能な場合は、この期間を決定する基準を説明する必要があります。
  • 候補者の権利。 これらには、忘れられる権利、データの修正またはアクセス、処理の制限、同意の撤回、データの処理に関する情報の保持が含まれます。
  • 候補者が個人データの処理に関してどのように行動を起こすことができるかについての指示。 彼らに彼らのデータにアクセスする方法を知らせるか、あなたが彼らのデータの処理を削除、修正または制限するように要求してください。
  • 候補データを保護する方法。 会社の一般的なプライバシーポリシーを要約またはリンクすることができます。これには、会社がデータを保護するすべての方法(暗号化、設計によるプライバシーなど)を含める必要があります。

候補者をオンラインで慎重に調達する

ソーシングは、優れた人材を見つけたい組織にとって不可欠な機能です。 ただし、ソーシングでは個人の候補データを見つけて保存する必要があるため、GDPRに完全に準拠することが重要です。

まず、候補者を調達して個人データを処理するには、正当な利益が必要であることを忘れないでください。 次のことを確認してください。

  • 実際にそれらの候補者に連絡するつもりです。 GDPRでは、将来必要になった場合に備えて候補者データを追加して人材データベースを構築することは合法ではありません。
  • できるだけ早く候補者に連絡することを計画してください。 候補者のデータは、限られた時間(最大で1か月)通知せずにのみ保持できます。 できるだけ早くこれらの候補者に連絡し、必要に応じてデータを削除してください。 候補者について気が変わって連絡しないことにした場合は、すぐにそのデータを削除する必要があります。
  • 必要なデータのみを収集します。 連絡先の詳細とともに、教育、職歴、またはスキルに関連する候補者データを処理することをお勧めします。 これらのタイプのデータは、採用プロセスにとって意味があります。 ただし、採用目的で無関係なデータ(文化情報など)を処理しないでください。 このデータを処理する必要がある場合は、候補者に連絡して同意を求めるときに必ず説明してください。
  • 合法的にデータを取得します。 ソーシャルプロファイルからデータを収集することは、それらのプロファイルが公的にアクセス可能であり、候補者が連絡を受けることを期待していると合理的に想定できる場合、GDPRの下で合法です。 たとえば、公的にアクセス可能なLinkedInプロファイルは、連絡の合理的な期待を示していると想定できます。 そうして初めて、候補データの処理に進むことができます。

ソーシングメールに追加できるテンプレートテキストを作成します。 採用固有のポリシーを設定している場合は、組織の名前と連絡先の詳細を提供できます。たとえば、採用目的でのみデータを保持し、残りの必要な情報を伝えるために採用プライバシーポリシーにリンクする予定です。

採用プライバシーに関する通知をまだお持ちでない場合は、GDPR第14条(上記で説明)に必要なすべての情報をメールに含める必要があります。 プレースホルダーを含むサンプルのメールテキストは次のとおりです。

Acme、Inc。[住所、電話番号、電子メール]は、履歴書と連絡先の詳細を収集して保存しました。

このデータは採用目的でのみ処理されます。 このデータは、当社の募集職種を探しているときに[Linkedin]で見つかりました。 このデータは、[米国でデータを保存し、EUのデータ保護法に完全に準拠している]応募者追跡システムに保存されており、他の人と共有することはありません。

オープンな役割が果たされるまで、このデータを保持したいと思います。 [正確な期間を見積もることはできませんが、候補者があなたを検討しているポジションの求人を受け入れたときに、この期間を考慮します。]その期間が終了すると、データを削除するか、通知します。将来の役割のためにデータベースに保存します。

こちらがプライバシーポリシーへのリンクです。 このポリシーには、GDPR(データ保護法)への準拠に関する情報が記載されています。収集したデータへのアクセスを許可するリクエストの送信方法、データの削除リクエスト、誤りの修正方法、またはお客様のデータの処理を制限します。

あなたには、私たちがあなたのデータを処理する方法について[監督当局]に苦情を申し立てる権利があります。または、詳細や懸念については、[連絡先の詳細]で私たちの[DPO]に連絡することができます。

求人応募プロセスがGDPRに準拠していることを確認します

候補者があなたの求人応募フォームに記入するとき、彼らはあなたに彼らの個人データを提供します。 求人応募は実際の求人に対応しているため、このデータの処理に正当な関心があり、明示的な同意を求める必要はありません。 ただし、GDPRに完全に準拠するには、次のことを確認してください。

  • 必要な個人データのみを要求してください。 作業部会29(データ保護機関の収集)は、候補者から収集するデータは「必要であり、申請されている仕事の遂行に関連している」必要があると述べています。
  • 透明であること。 求人広告で、求人目的でのみデータを使用する予定であることと、このデータを保持する必要がある期間を候補者に知らせます。 スクリーニングプロセスの一環として候補者に関するより多くの情報を収集することを計画している場合(たとえば、ソーシャルメディアプロファイルを確認することによって)、それを明示的に言い、その方法と理由を説明する必要があります。
  • プライバシーポリシーへのリンク。 あなたの会社のプライバシーポリシーは簡単にアクセスできる必要があります。 候補者が個人データの削除、修正、または共有を停止するように依頼する方法についての指示を含める必要があります。 あなたの求人広告で、あなたのプライバシーポリシーでその情報を見つけることができることを候補者に知らせてください。

拒否メールテンプレートを更新する

ある役割に複数の優秀な応募者がいる場合があります。 すべてを採用できない場合は、採用しなかったものを将来の役割のためにファイルに保存しておくことをお勧めします。 GDPRに準拠し続けるには、候補者に最初に言及したデータよりも長期間このデータを保持しないようにする必要があります。 たとえば、ソーシングメールで候補者に、申請後1年間データを保持することを伝えた場合、その年が経過するまで別のメールを送信する必要はありません。 逆に、この特定のポジションを埋めるまでデータを保持することを候補者に伝えた場合は、収集したデータを保持することを再度通知する必要があります。

拒否メールでこれを行います。 次の文を追加します。

  • 候補者のデータを保持する理由を説明してください。
  • 詳細を保持する予定の期間について言及します。
  • 採用プライバシー通知に再度リンクします。
  • いつでもデータを削除するように依頼できることを候補者に知らせます。

彼らがあなたに彼らのデータを削除するように頼んだら、あなたは従わなければなりません。

あなたが彼らのデータを受け取るときはいつでもデータ処理の候補者に知らせる準備をしてください

多くの場合、求人応募やオンラインソーシング以外の方法で個人の候補者データを所有していることに気付くでしょう。 候補者は、就職説明会やネットワーキングイベントでCVを提供する場合があります。 または、彼らはあなたに仕事の機会について彼らに連絡するように頼むかもしれません。 これらのシナリオはすべてGDPRの下で合法ですが、透明性があることを証明できる必要があります。

これを行うには、GDPRに必要なすべての情報を提供し、候補者に署名を求める標準フォームを作成します。 または、後で採用プライバシー通知と残りの必要な情報をメールで送信することもできます。

既存の人材パイプラインを確認する

GDPRは、会社が過去に収集した個人データを対象としています。 つまり、5月に法律が施行される前に、候補者データを保存している人材データベース、スプレッドシート、その他のファイルを確認する必要があります。

これは、タレントデータベースが更新され、関連性があることを確認する良い機会です。 あなたの会社で将来のオープンな役割に適している可能性のある候補者とそうでない候補者を決定します。

  • 候補者が将来の役割の資格を得る可能性が低い、または関連性がなくなった、または候補者の情報をかなり前に取得したと判断した場合は、その候補者のデータを削除する必要があります。

候補者データをATSに保存すると、失格となった人のデータを簡単に削除できます。 すべての候補者プロファイルをざっと見て、有望な候補者や将来連絡したい候補者がいるかどうかを確認します。 残りを一括削除できます。

  • 候補者をタレントパイプラインに残したい場合は、候補者に連絡して、データを処理していることを知らせてください

データベースに保持したい候補者のために、彼らに必要な情報を与えるために電子メールを準備してください。 このメールは、保持しているデータと場所に関するすべての情報が含まれている必要があるという点で、ソース候補に送信するメールと似ている必要があります。 これらの電子メールには、プライバシーポリシーへのリンクも含める必要があります。 ATSには、この電子メールの送信をはるかに簡単にする一括電子メール機能がある場合があります。

ソフトウェアベンダーが準拠していることを確認します

データ処理者は、候補者のデータに完全にアクセスできます。 これが、GDPRが、パートナーがこのデータをあなたと同じように保護していることを確認することを期待している理由です。
採用において最も重要なベンダーは、ATSプロバイダーです。 ATSは、ほぼすべての候補データを保存し、電子メールを送信し、情報を削除または変更する場所です。 ATSがGDPRに準拠している場合は、会社も準拠していることを確認する上で大きな味方になります。

ATSを使用していない場合は、GDPRが有効になる前にATSに投資することを検討してください。 ソフトウェアベンダーの最も一般的な代替手段であるスプレッドシートは、不十分な監査証跡、アクセス制御、およびバージョン管理を提供するため、GDPRコンプライアンスに関するリスクにさらされる可能性があります。 スプレッドシートの主な利点の1つは、所有者の知らないうちに簡単に複製、変更、および配布できるという点で、スプレッドシートの主な欠点の1つでもあります。 そして、それらはデータを消去して修正する面倒な方法です。

最初のステップとして、ATSプロバイダー、またはATSの購入を計画している場合は複数のプロバイダーとのミーティングを手配します。 聞く:

  • GDPRがプロセッサーとしてそれらに適用されるかどうか。 EUの企業でない場合は、プライバシーシールド(米国企業の場合)の一部であるか、GDPRのガイドラインに従うことを義務付ける効果的なデータ処理契約に署名する準備ができている必要があります。
  • GDPRに準拠するための計画方法。 また、データを保存する場所と、このデータを確実に保護する方法を教えてくれるはずです。
  • 準拠ベンダーを使用しているかどうか。 それらの下請け業者との間でデータ処理契約を結んでいる必要があります。
  • 明確なプライバシーポリシーがあるかどうか。 プライバシーポリシーを確認して、GDPRに準拠し、候補データを適切に保護できることを確認します。

候補者のリクエストを許可する準備をする

GDPRに準拠し続けることの大部分は、候補者がこの法律の下で権利を行使できるようにすることです。 これを行うには、次のガイドラインとプロセスを提供する必要があります。

  • 要求に応じて、候補者が自分の個人データにアクセスできるようにします
    • 候補者に提供しなければならないデータの電子コピーの形式を決定します。
    • そのコピーを抽出して送信するプロセスを確立します。
  • 候補者の個人データを削除するか、要求に応じて処理を制限します
    • データを保持しているすべての場所を見つけ(データ監査中にこれを行っている必要があります)、これらすべての場所からデータを削除するプロセスを確立します。
  • 候補データを修正します
    • 候補データのさまざまなバージョンを制御するプロセスがあることを確認してください。 たとえば、あるスプレッドシートで同じ候補データを修正したり、別のスプレッドシートで修正したりしないでください。 ATSを設置しておくと、この問題を回避できます。
  • 候補者に同意を取り消させます(処理の法的根拠として同意を使用することにした場合)
    • このプロセスを同意を与えるプロセスと比較してください。 GDPRでは、同意の付与と撤回のプロセスも同様に簡単でシンプルである必要があります。

これらのプロセスをウェブサイトや利用規約で明確に伝えてください。

関連している:

GDPR準備評価者
GDPRチェックリスト:採用担当者と人材の要件