GDPR for Hiring: What Candidate Data You Can Keep, For How Long, and What to Delete

重要な原則

GDPRの適法根拠フレームワークは、保持しているすべての候補者データについて2つの質問をします：なぜそれを持っているのかとどのくらいの期間それが必要ですか。両方をはっきり答えることができない場合は、それを持つべきではありません。

ほとんどの採用データコンプライアンス問題は、エキゾチックなエッジケースについてではありません。デフォルトについてです。適切なデフォルトを持つチームはめったに問題がありません。それらのないチームは、データを永遠に収集し、述べられていない目的のために、削除パスがありません。

防衛可能なデフォルト

適法根拠

アクティブな候補者（特定の役割に応募している人）の場合：正当な利益または契約準備。彼らを評価するために同意は必要ありません — 彼らは申請しました。

才能パイプラインプール内のパッシブな候補者、または役割が閉じられた後に彼らのデータを保持する場合：明確なオプトインと明確な保持期間を伴う同意。

混ぜないでください。1つの根拠で収集し、別の根拠の下で使用する場合、問題があります。

保持

• アクティブな候補者： 採用プロセスの期間に加えて、差別請求の合理的な防御ウィンドウ（管轄区域に依存 — 通常、EUでの却下後6～12か月、一部の米国の州でより長い）。
• 採用された候補者： HR保持ポリシーを持つ従業員データに移行します。
• 才能パイプライン： 明確な同意を伴っており、定義された更新周期（例えば、毎年同意を再確認）のみ。

これより古い場合は、「リクエストに応じて利用可能」ではなく、自動削除する必要があります。

データの最小化

役割評価に必要なものを収集し、必要な場合があるすべてではなく。レジュメの写真？必須ではありません。生年月日？必須ではありません。国家ID？絶対に。原則：決定のためにそれが必要な場合は、それを集めないでください。

特別カテゴリーデータ

人種、民族性、健康、性的志向、宗教、政治的見解、生体識別データ — GDPR の下で特別なカテゴリー。より厳格な適法根拠の要件。特定のコンプライアンス使用がない限り回避してください（例えば、明確な同意と処理分離による自発的な多様性監視）。

実用的なコンプライアンスチェックリスト

• 応募ページの隠私通知は、収集されるデータと理由を説明しています
• 各データカテゴリに対して文書化された適法根拠
• 文書化され、自動的に実施される保持期間
• データサブジェクトアクセス要求（DSAR）プロセスが文書化およびテストされました
• 削除権プロセスが文書化およびテストされました
• サブプロセッサ（ATS、評価プラットフォーム、バックグラウンドチェックベンダー）がDPAを備えた処理レジスタに記載されています
• データがEU/EEAを離れる場合は、文書化されたクロスボーダー移送メカニズム
• 名前の付いた所有者と72時間のSLAを伴う違反通知プロセス

一般的な失敗モード

• 永遠の保持。 2019年の候補者データはまだATSに座っており、目的がありません。削除または正当化してください。
• 無制限アクセス。 すべてのリクルーターと採用マネージャーはすべての候補者のデータにアクセスできます。最小権限の原則を適用してください。
• 保持のない録画。 インタビュー録音は無期限に保存されます。保持期間（90日が一般的）を選択し、実施してください。
• ベンダースプロール。 新しいベンダーはそれぞれ、独自のデータ処理を備えたサブプロセッサを追加します。毎年監査してください。

ClarityHireが行うこと

データカテゴリあたりの構成可能な保持、保持終了時の自動削除、DSARエクスポート、候補者データへのスコープされたロールベースのアクセス、およびプラットフォームのサブプロセッサに対するプロセッサドキュメント。コンプライアンスはプロダクトではなくプロセスです — しかし、プロダクトはプロセスを処理可能にする必要があります。

この投稿は法的アドバイスではなく、一般的なガイダンスです。特定の管轄区域とリスクプロファイルについては、弁護士に相談してください。