採用におけるGDPRの正当な利益にアプローチする方法

公開: 2018-08-07

一般データ保護規則(GDPR)は、個人データを処理するための6つの合法的な基盤を提供します。 それらのうちの2つ(正当な利益と同意)は、採用に非常に関連しています。 しかし、同意は厳密に定義されており、理解するのは簡単ですが、正当な利益は曖昧で特異なものです。

そして、それが雇用主にとって正当な利益を課題にしているのです。 一方では、それは非常に柔軟です。 一方で、あなたはあなたの正当な利益を解釈するのに苦労したり、あなたの解釈が監査中にその根拠を示すかどうかについて確信が持てないかもしれません。

正当な関心をよりよく理解し、それに取り組む方法についてのいくつかの指針を与えるのを助けるために、私たちはこの短いガイドを作成しました:

免責事項:Workableは、このガイドの作成と当社独自の製品機能の両方について法律専門家に相談しましたが、Workableは法律事務所ではありません。 このガイドのすべての情報は、一般的な情報のみです。 法律上の助言を構成したり、法律の完全かつ包括的な声明を発表したりすることを意図したものでも、特定の要件に対応することを意図したものでもありません。 組織は、データ保護に関する独自の規定に関して、独立した法的助言を受ける必要があります。

正当な利益とは何ですか?

GDPRは、第6条(f)で正当な利息の定義を提供します。 要旨:

人々の利益、権利、自由がその目的を無効にしない限り、特定の正当な目的のために人々の個人データを処理することができます。

実際には、GDPRの下であなたの正当な利益が適切であるかどうかを判断するのは難しいことがよくあります。

正当な利息はいつ適用されますか?

一般に、次のような方法で人々のデータを使用する場合は、正当な利益に依存することができます。

  • 彼らはあなたがそうすることを合理的に期待するでしょう、
  • プライバシーへの影響を最小限に抑え、
  • 説得力のある正当化を持っています。

採用に関連するデータを処理する場合、採用への正当な関心は適切な合法的な根拠となります。 チームが候補者に連絡したり評価したりするのに役立たないデータ、または「機密」情報(人種や民族、宗教的または政治的信念、障害や遺伝情報など)を含むデータは、採用とは関係ありません。 通常、採用プロセスの一環としてこの種のデータを収集するべきではありません。

特定の採用データを処理するために正当な関心に頼ることができるようにするには、正当な関心の評価(LIA)を行うのが最善です。

コンプライアンスを自信を持って管理する

GDPRやEEOC / OFCCPを含む国内および国際的な規制を、採用する場所を問わず、コンプライアンスから努力を奪う自動化されたツールとレポートを使用してナビゲートします。

Workableへの準拠を実証する

正当な利息評価(LIA)を実施する理由と方法

個人データ(少量でも)を処理する組織内のすべてのチームは、LIAを実施する必要があります。 この評価は次のことに役立ちます。

  • あなたの正当な利益の境界を決定します。
  • 問題を熟考し、プロセスを適切に文書化したことを当局に示します(これは、監査中にGDPRコンプライアンスを証明する上で大きな役割を果たします)。

LIAを実施するには、部門、チーム、または部門の責任者が3部構成のテストを完了する必要があります。

  1. 目的–データ処理の背後に正当な利益がありますか?
  2. 必要性–その目的のためにデータ処理は必要ですか?
  3. バランスをとる–正当な利益は、その人の利益、権利、または自由によって上書きされますか?

この正確な順序でテストを完了する必要があります。 プロセスを簡単にするために、正当な利息評価(テンプレート)を含むドキュメントがあります。

目的

「目的」のテストの詳細は次のとおりです。

  • データを処理する目的を定義します。 英国の情報コミッショナーオフィス(ICO)によると、「顧客データを処理することに正当な関心がある」とだけ言うことはできません(候補者データについても同じことが言えます)。 あなたの正当な利益は具体的かつ明確に定義されるべきです。
  • データを処理するために、独自の理由や刺激的な理由を持っている必要はありません。 正当な関心些細なことかもしれませんが、目的が弱いほど、バランステストへの人々の関心によって簡単に上書きされる可能性があることを忘れないでください。
  • あなたの目的は合法でなければなりません。 これは簡単なことのように思えますが、データを処理する目的が違法または非倫理的である場合、それは合法ではないことに注意することが重要です。

これらのポイントを確実にチェックするには、LIAの一部としてこれらの質問に答えてください(質問はテンプレートに含まれています)。

  • なぜデータを処理したいのですか?
  • 処理からどのようなメリットが期待できますか?
  • サードパーティは処理の恩恵を受けていますか?
  • 処理にもっと広い公共の利益はありますか?
  • あなたが特定したメリットはどれほど重要ですか?
  • 処理を進めることができなかった場合、どのような影響がありますか?
  • 処理に適用される特定のデータ保護ルール(プロファイリング要件、電子プライバシー法など)に準拠していますか?
  • 他の関連法を遵守していますか?
  • 業界のガイドラインまたは行動規範に準拠していますか?
  • 処理に関して他に倫理的な問題はありますか?

候補データの処理に関するこれらの質問に答えると、組織に当てはまらないものがある場合があります(「処理にさらに広い公共の利益はありますか?」など)。この場合、「該当なし」としてマークを付けることができます。規制当局は、あなたがこの質問を検討したが、関連する答えはないと判断したことを期待するからです。

必要性

「必要性」のテストに関する詳細は次のとおりです。

  • 「必要」とは、このデータ処理が正当な目的を満たす唯一の方法であることを意味します。 あなたは人々の個人データを処理することがあなたの正当な目的を達成する唯一の方法であることを確認する必要があります。 あなたの目的を達成するための合理的で侵襲性の低い方法がある場合、あなたの正当な利益は必要性テストに失敗する可能性があります。

処理が必要であることを確認するには、LIAの一部として次の質問に答えてください。

  • この処理は実際に目的を達成するのに役立ちますか?
  • 処理はその目的に比例していますか?
  • 処理せずに同じ目的を達成できますか?
  • より少ないデータを処理することによって、または別のより明白なまたはより邪魔にならない方法でデータを処理することによって、同じ目的を達成できますか?

バランシング

「バランシング」のテストに関する詳細は次のとおりです。

  • 人の合理的な期待を考慮してください。 たとえば、個人のソーシャルメディアプロファイルにある連絡先情報を処理できるのは、その個人の側に合理的な連絡が期待できる場合のみです。 一般的に、FacebookやInstagramを使用する人は、専門家ではなく個人的な理由で使用するため、仕事のために連絡を受けることを期待しない場合があります。 特定の状況下(たとえば、誰かがFacebookプロフィールで仕事を探していると言及した場合)、あなたは彼らに連絡することに正当な関心を持っているかもしれません。 また、ICOが説明しているように、採用担当者に仕事の機会を受け入れていることを示す設定を有効にしたプロフェッショナルネットワーク(LinkedInなど)のメンバーは、合理的な連絡の期待を示しています。
  • データ処理が何らかの形で人々の自由を害するかどうかを判断します。 採用の範囲でデータを処理しても害が生じる可能性は低いですが、それでもすべてのケースを個別に検討する必要があります。 データを処理したい人に不当に危害を加える可能性があることがわかった場合は、既存のデータを削除し、それ以上収集しないようにする必要があります。

これらのポイントを決定するには、LIAの一部としてこれらの質問に答えてください。

個人データの性質

  • 特別なカテゴリのデータですか、それとも犯罪のデータですか?
  • 人々が特に「プライベート」と見なす可能性が高いのはデータですか?
  • 子供のデータまたは他の脆弱な人々に関連するデータを処理していますか?
  • 個人的または職業的能力のある人々に関するデータはありますか?

合理的な期待

  • 個人との間に既存の関係がありますか?
  • 関係の性質はどのようなもので、過去にデータをどのように使用しましたか?
  • 個人から直接データを収集しましたか? 当時、彼らに何と言いましたか?
  • サードパーティからデータを取得した場合、サードパーティによる他の目的での再利用について、サードパーティは個人に何を伝えましたか?これはあなたを対象としていますか?
  • どのくらい前にデータを収集しましたか? それ以降、期待に影響を与えるようなテクノロジーやコンテキストの変更はありますか?
  • あなたの意図する目的と方法は広く理解されていますか?
  • 新しいことや革新的なことをするつもりですか?
  • 市場調査、フォーカスグループ、その他の形式の相談など、期待についての証拠はありますか?
  • 特定の状況で、処理を期待する、または期待しないことを意味する他の要因はありますか?

影響の可能性

  • 処理が人に与える可能性のある影響は何ですか?
  • 個人は自分の個人データの使用を制御できなくなりますか?
  • 潜在的な影響の可能性と重大度はどのくらいですか?
  • 一部の人々は、処理に反対したり、それが煩わしいと感じたりする可能性がありますか?
  • 処理について個人に説明していただけませんか?
  • 影響を最小限に抑えるためのセーフガードを採用できますか?

これらの質問のいくつかは、特別な考慮が必要な場合があります。 たとえば、「誰かと既存の関係を持っている」とは何ですか? 雇用機会に関する以前のコミュニケーションは重要ですか? 彼らがあなたのメッセージに少なくとも一度は返信した場合、彼らは連絡を合理的に期待していると思いますか? 「はい」と答えられると思う場合は、LIAで理由を明確に説明してください。

LIAを実施した後はどうなりますか?

LIAがコンプライアンスに不十分な場合があります。 そのとき、データ処理がプライバシーに重大な影響を与えることを確認します。 たとえば、これは、バランステストの最初の2つの質問に肯定的な答えを出した場合に発生する可能性があります。 これが発生した場合は、データ保護影響評価(DPIA)を実行し、LIAを参照として保持する必要があります。

LIA(またはDPIA)を終了した後、他の種類の情報の処理を開始したい場合、またはデータの処理方法に何か変更があった場合は、将来、評価をやり直す必要がある可能性があることに注意してください。 採用機能の責任者は、GDPRに準拠する可能性を高めるために、評価をレビューし続ける必要があります。

候補者データを収集する…注意して

候補者データを処理するための正当な関心を持つことは不可欠ですが、コンプライアンスには十分ではありません。 候補者を調達したり、データを保持したりする場合は、GDPRの指示に従う必要があります。 覚えておくべきいくつかの基本的なルールを次に示します(GDPRに基づく責任の詳細については、採用担当者と採用チーム向けのGDPRコンプライアンスガイドを参照してください)。

  • 透明であること。 データを最初に処理してから1か月以内にデータを処理していることを知らせるために、ソースの候補者にメールを送信します。 また、その電子メールでプライバシー通知にリンクする必要があります。 このメールを1か月以内に送信しない場合は、すぐにデータベースからデータを削除する必要があります。
  • データ保持義務に従います。 候補データを無期限に保持することはできません。 データを保持する期間を候補者に知らせます(データを保持できるのは、関連性がある場合のみです)。 現在、古いまたは無関係な候補データがある場合は、それを削除することをお勧めします。
  • GDPRに基づく権利を行使する方法を候補者に提供します。 候補者が処理中のデータの詳細を要求する方法と、データを削除するように要求する方法について明確な指示を提供します。 彼らの要求に応じる準備をしてください。