当涉及到人力资源和招聘领域的与雇佣相关的个人信息时,CCPA目前在人力资源领域的影响力比在一般业务领域受到限制。然而,它仍然提出了人力资源背景的要求。
此外,这些人力资源限制将在2020年底到期,除非有进一步的修正案延长限制,否则CCPA为消费者提供的更有力的权利也将适用于人力资源数据主体。
在日常生活中,与人力资源中的CCPA相比,你有一些喘息的时间——但是:
1)你的人力资源工作在一定程度上仍然受到影响
2)CCPA将从2020年底开始影响您的更多。
所以,要找出你所需要的担心,我们与之联系BakerHostetler消费者数据保护律师Alan L. Friel.他将数十年的消费者法律搬上谈判桌。
Friel先生在2月19日星期三在这个非常主题的一个可行的网络研讨会上发表了长度。在这里观看网络研讨会:
按照Friel先生的说法,在2020年的人力资源管理中,你只需要注意两个主要条款:
- 收集预先通知
- 数据安全破坏的隐私权。
但是,这并不意味着你可以在没有担心的情况下在晚上睡觉。您仍然需要留在HR中CCPA的五个主要方面,以留在轨道的兼容方面:
1.提供pre-collection通知
需要明确的是:这适用于你在人力资源部门收集的所有信息,包括求职者和现有员工。
CCPA要求收集加州消费者(定义为加州纳税人)个人信息的企业必须在收集个人信息时或之前明确告知消费者:
- 收集的个人信息类别
- 将使用PI类别的每个类别的目的
收集预订通知必须包含在就业相关信息的收集点。了解更多关于符合人力资源的CCPA的更多提示:点击推荐
在人力资源背景下,这意味着雇主必须在雇佣相关信息的收集时提供这种通知,包括就业申请。对于您从求职者收集的个人信息类型以及您收集的目的是清晰的。您不只是要求候选人填写必要的字段 - 您将使用所收集的信息,以满足某些业务,并且可能是商业目的。
即使你很清楚你只是在收集信息,因为你是为了评估一份工作的候选人而收集申请,你也需要事先说出来。你还需要确保给额外的预收集通知,如果你在候选者上。
2.阐明你在收集什么以及为什么要收集
需要明确的是:仅仅张贴一个通知是不够的。你还必须指定你在收集什么数据以及为什么要收集。
你收集了什么?
为了确保你符合要求,在你的预收集通知中列出你要收集的每个类别的个人信息。《中华人民共和国注册会计师条例》胪列了以下11种列举的个人资料类别,并列举了常见的个别人事个案(不限于):
- 身份标识- 名称,地址,电子邮件,SSN,DL号码
- 个人记录- 电话号码,教育/就业历史,银行账户详细信息
- 个人特征和特征-性别,婚姻/退伍/家庭状况,种族,残疾
- 商业信息- 福利记录,偿还费用的记录
- 生物识别信息-手指/声音指纹,视网膜扫描
- 互联网使用信息-浏览和搜索历史
- 地理位置数据- 物理位置/运动,旅行模式(即公司跟踪设备)
- 感觉数据- 音频/可视录制(即安全摄像机)
- 专业或就业信息- 简历,背景检查,参考
- 非公开教育记录-教育机构成绩单和记录
- 从收集的公共信息推断-反映能力和资质的简介,资质测试结果
你为什么收集这些信息?
您还必须完全披露所有业务和商业目的来收集个人信息。CCPA的第一组法规 - 在人力资源或其他方面 - 指定必须为您收集的每个上述类别清楚地概述业务和商业目的。
这意味着你不能简单地说你在“为你的记录收集数据”你需要详细介绍。CCPA要求详细说明哪些数据将用于哪些目的。因为大量的细节要求-可能不能提供任何实质性的更好的信息给求职者或雇员-这可能导致冗长的文件。你最好在一个单独的页面构建一个完整的通知,并从预收集通知本身链接到它-这是在拟议的规定中允许的。或者,您可以链接到包含此信息的隐私通知。
目前仍在审议中的条例修订草案,取消了对收集个人信息目的分类披露的要求,对信息粒度的要求有所降低。然而,我们将不得不观察规则制定过程,看它会落到什么地步。
对于线下预收通知,条例提供的充分通知的一个例子是“引导消费者在线查看通知的显著标识”。“因此,提供一份简单如:“有关我们收集的个人信息以及访问[url]的详细信息,请访问[URL],”假设URL解析为一个通知,其中包含规则所需的所有细节。
在数据共享方面,在收集就业相关信息的通知中,你不需要添加“请勿出售我的个人信息”页面的链接——至少在2020年。这在2021年可能会改变。
3.从一开始就明确语言
拟议的条例要求,预收通知必须简单明了。禁止使用法律术语。求职者和雇员不一定拥有法律学位,也不一定精通法律术语。因此,你需要用日常语言来表达你正在做的事情。
如果你处理的是一份法律文件,不要复制粘贴——要熟悉内容本身,并准备好通过口头和书面的方式进行沟通,这样求职者和雇员就能充分理解你收集的信息和目的。
4.不要做任何你没有说的任何事情
The CCPA specifies that a business cannot collect additional categories of personal information without providing the consumer with notice – replace “consumer” with “job applicant” or “employee” or “contractor”, and that’s how it applies to you in HR and to the person whose personal information you are collecting.
如果您需要关于求职者或雇员的额外信息,而在您的预收集语言中没有包含有关该信息的前体,那么在不通知求职者或雇员的情况下最好不要这样做。建议的规例建议,只有已登记的数据代理才可免除预先收集通知,而收集通知并非直接来自有关人士。同时,记住其他的法律,比如公平信用报告法,这需要同意背景检查,并为申请人提供审查结果的权利。
甚至公开发表的信息也受到保护
许多ATS解决方案 - 以及任何一般软件 - 可以自动收集个人信息。其中大部分是公共 - 例如,在LinkedIn,公司页面或任何其他公共网页上 - 但即使是“公共”个人信息也被CCPA覆盖。
然而,来自政府出版物的公开数据不属于个人信息的定义。
比抱歉更好
这看起来并不多,但记住,这仍是早期阶段。随着CCPA的继续生效,它将变得更加复杂,还有其他一些州正在考虑制定健全的隐私法。如上所述,人力资源在2020年受到的影响并不像其他行业那样大,但到了2021年,这种情况可能会改变。
这里的精神“更安全”非常适用于这里 - 最好取得领先并预先抢先任何可能通过以下五个规则产生的潜在问题。