Compliance

GDPR pentru hiring: ce date de candidată poți păstra, pentru cât timp și ce să ștergi

ClarityHire Team(Editorial)3 min read

Principiul care contează

Cadrul de lawful-basis al GDPR pune două întrebări pentru fiecare bucată de date de candidată pe care o ții: de ce o ai și pentru cât ai nevoie de ea. Dacă nu poți răspunde la ambele clar, n-ar trebui să o ai.

Majoritatea problemelor de compliance nu sunt edge case-uri exotice. Sunt default-uri.

Default-uri defensabile

Lawful basis

Pentru o candidată activă: legitimate-interest sau contract-preparatory. Nu ai nevoie de consimțământ să o evaluezi — ea a aplicat.

Pentru o candidată pasivă într-un pool de talent-pipeline: consent, cu opt-in clar și perioadă de retenție clară.

Nu amesteca. Dacă colectezi sub un temei și folosești sub altul, ai o problemă.

Retenție

  • Candidate active: pe durata procesului plus o fereastră rezonabilă de apărare (6-12 luni după respingere în UE).
  • Candidate angajate: trec la date de angajat cu politici HR.
  • Talent pipeline: doar cu consimțământ explicit și cadență de reînnoire definită (e.g., reconfirmare anual).

Orice mai vechi ar trebui auto-șters.

Minimizarea datelor

Colectează ce cere evaluarea rolului, nu tot ce ai putea vrea. Foto pe CV? Necesar nu. Data nașterii? Necesară nu. ID național? Definit nu.

Date de categorie specială

Rasa, etnia, sănătatea, orientare sexuală, religie, vederi politice, date biometrice — categorie specială sub GDPR. Cerințe mai stricte. Evită dacă nu ai utilizare specifică de compliance.

Checklist practic de compliance

  • Notă de confidențialitate pe pagina de aplicație
  • Lawful basis documentat pentru fiecare categorie
  • Perioadă de retenție documentată și aplicată automat
  • Proces DSAR documentat și testat
  • Proces de drept la ștergere documentat și testat
  • Sub-procesori (ATS, platformă evaluare, vendor background-check) listați cu DPA-uri
  • Mecanism transfer transfrontalier documentat dacă datele părăsesc UE/SEE
  • Proces notificare breach cu proprietar numit și SLA 72h

Moduri comune de eșec

  • Retenție pentru totdeauna. Date din 2019 încă în ATS fără scop. Șterge sau justifică.
  • Acces nerestricționat. Aplică principiul privilegiului minim.
  • Înregistrări fără retenție. Alege o perioadă (90 de zile obișnuit).
  • Vendor sprawl. Auditează anual.

Ce face ClarityHire

Retenție configurabilă pe categorie de date, ștergere automată la sfârșitul retenției, export DSAR, acces bazat pe rol scopat, documentație procesor pentru sub-procesorii platformei. Compliance e un proces, nu un produs — dar produsul ar trebui să facă procesul gestionabil.

Acest articol e ghidare generală, nu sfat juridic. Pentru jurisdicția ta specifică, lucrează cu un consilier.

gdprcompliancedate candidatăconfidențialitate

Articole conexe

Compliance

Cum să verifi identitatea candidatului într-un interviu la distanță fără a stoca date biometrice

Poți confirma că persoana din apel este persoana pe care ai angajat-o fără recunoaștere facială, profiluri vocale sau șabloane biometrice stocate. Modelul care satisface GDPR, BIPA și bună practica de interviu.

ClarityHire Team2026-05-125 min read
Ghiduri Angajări

Export date candidați la CSV și XLSX: Ce aparține unde

Conformitate PII, cazuri de utilizare și capcane Excel. Ghid practic pentru alegerea format export.

ClarityHire Team2026-05-215 min read
Hiring pe industrie

Validitatea testelor de sănătate și compliance HIPAA: construirea evaluărilor care rezistă

Asigură-te că evaluările tale de hiring în sănătate sunt valide statistic, defensabile legal și complet HIPAA-compliant.

ClarityHire Team2026-05-093 min read