一般数据保护条例(GDPR)为处理个人数据提供了六个合法的基础。其中两个 - 合法利益和同意 - 与招聘非常相关。但虽然同意严格定义和掌握掌握,但合法利益模糊不清。
这就是为什么合法权益对雇主来说是个挑战。一方面,它非常灵活。另一方面,你可能会努力解释你的合法利益,或者不确定你的解释是否会在审计期间站得住脚跟。
为了帮助您更好地了解合法利益,并为您提供一些指示如何接近它的指示,我们已经创建了此简短指南:
免责声明:虽然在创建本指南和我们自己的产品功能时,可操作性咨询了法律专业人士,但可操作性不是一家律师事务所。本指南中的所有资料仅为一般资料。它不打算构成法律意见或成为法律的完整和全面的陈述,也不打算解决您的具体要求。各机构应就其本身的资料保护条文征询独立的法律意见。
什么是合法的兴趣?
GDPR提供了合法的兴趣定义第6条(F)。要点:
除非他们的兴趣,权利和自由覆盖该目的,否则您可以为特定合法目的处理人们的个人数据。
在实践中,通常很难弄清楚在GDPR下你的合法利益是否合适。
合法利息什么时候适用?
通常,当您以方面使用人员数据时,您可以依赖合法利益:
- 他们会合理地期待你,
- 具有最小的隐私影响,
- 有一个引人注目的理由。
在处理招聘相关数据时,招聘的合法兴趣可以是合法的合法基础。没有帮助团队联系或评估候选人的数据,或者包括“敏感”信息(比种族和族裔,宗教或政治信仰和残疾或遗传信息)无关,与招聘无关。通常,您不应将这种数据作为招聘过程的一部分收集。
为了确保您可以依靠合法利益来处理特定的招聘数据,最好做一个合法利益评估(LIA)。
为什么和如何进行合法的利益评估(LIA)
在你的组织中,每个处理个人数据(即使是少量)的团队都应该进行LIA。这个评估将帮助你:
- 确定合法利益的界限。
- 显示您认为此事并正常记录此事的当局(这将在审计期间证明您的GDPR合规性发挥重要作用)。
要进行LIA,部门,团队或功能的负责人应该完成三部分测试:
- 目的- 是否存在数据处理背后的合法利益?
- 必要性- 是此目的所需的数据处理吗?
- 平衡-个人的利益、权利或自由是否凌驾于合法利益之上?
您需要以此确切的顺序完成测试。要使过程更容易,我们有一个文件合法利息评估(模板)。
目的
以下是关于“目的”的测试的一些细节:
- 定义处理数据的目的。根据英国的信息专员办公室(ICO),您不能只是说“我们对处理客户数据有合法的兴趣”(同样用于候选数据)。您的合法兴趣应具体且明确定义。
- 您不需要有原始或鼓舞人心的原因来处理数据。合法兴趣能够要琐碎,但请记住,目的较弱,人们在平衡测试中越来越容易被人们的利益覆盖。
- 你的目的必须是合法的。这似乎是一个禁智的人,但重要的是要注意,如果处理数据的目的是非法或不道德的,那么这并不是合法的。
为了确保你勾选了这些点,回答这些问题作为你的LIA的一部分(这些问题包括在模板中):
- 你为什么要处理数据?
- 您希望从处理中获益是什么好处?
- 任何第三方都会受益于处理吗?
- 加工有更多的公众福利吗?
- 你认为这些好处有多重要?
- 如果你不能继续进行处理,会有什么影响?
- 您是否遵守适用于您的处理的任何特定数据保护规则(例如分析要求,或电子隐私立法)?
- 您是否遵守其他相关法律?
- 您是否遵守行业指导方针或练习守则?
- 加工有其他道德问题吗?
在回答这些关于处理候选数据的问题时,您可能会发现其中一些并不适用于您的组织(比如“处理有任何更广泛的公共利益吗?”)在这种情况下,你可以把它标记为“不适用”,因为监管机构会期望看到你考虑过这个问题,但确定没有相关的答案。
必要性
以下是关于“必要性”测试的一些细节:
- “必要”意味着这种数据处理是满足合法目的的唯一方法。您需要确保处理人们的个人数据是实现合法目的的唯一途径。如果有合理,较少的侵入性方式来实现您的目的,您的合法利益可能会失败必要性。
为了确保处理是必要的,回答以下问题作为你的LIA的一部分:
- 这个过程真的能帮助你实现你的目标吗?
- 处理与此目的是相称的吗?
- 如果没有加工,你可以实现相同的目的吗?
- 您能否通过处理更少的数据,或通过另一种更明显或更少干扰的方式处理数据来达到相同的目的?
平衡
以下是“平衡”测试周围的一些细节:
- 考虑一个人的合理期望。例如,只有在他们身边有合理的联系人的期望时,才能处理在人的社交媒体配置文件上的联系信息。通常,使用Facebook或Instagram的人出于个人原因,而不是专业,因此他们可能不会指望与工作联系。在某些情况下(例如,当有人在他们的Facebook个人资料上提到他们正在寻找工作时),您可能对联系它们有合理的兴趣。此外,正如ICO所解释的那样,专业网络的成员(如LinkedIn),他们已经启用了设置,以显示他们对就业机会开放的招聘人员已经出现了合理的联系期望。
- 决定您的数据处理是否以某种方式损害人们的自由。虽然在招聘范围内的处理数据不太可能会造成伤害,但您仍然需要单独考虑每种情况。如果您发现您可能不合理地伤害您要处理的数据的人,您应该删除已拥有的数据,并避免收集更多。
为了确定这些点,回答这些问题作为你的LIA的一部分:
个人数据的性质
- 是特殊类别资料还是犯罪资料?
- 是人们可能考虑特别是“私人”的数据吗?
- 你处理的是儿童数据还是与其他弱势群体相关的数据?
- 这些数据是关于个人或专业能力的吗?
合理的期望
- 你与个人有现有的关系吗?
- 关系的性质是什么以及您如何在过去使用数据?
- 您是否直接从个人收集数据?你当时告诉他们是什么?
- 如果您从第三方获得了数据,他们告诉个人对第三方以其他目的重用的是,这使得这封面了?
- 你是多久前收集的数据?从那以后,技术或环境有什么变化会影响人们的预期吗?
- 您的预期目的和方法是否广泛理解?
- 您打算做任何新的还是创新的事情?
- 您是否有关于从市场研究,焦点小组或其他形式的咨询的预期的有证据?
- 在特定的情况下,是否有其他因素意味着他们会或不会期待这个过程?
可能会影响
- 这个过程对人们可能有什么影响?
- 个人将失去对使用他们的个人数据的任何控制吗?
- 任何潜在影响的可能性和严重程度是多少?
- 有些人可能会反对处理或发现它侵入性吗?
- 你很乐意向个人解释处理吗?
- 您可以采用任何保障措施,以尽量减少影响吗?
这些问题可能需要更多的思考。例如,什么是“与某人保持现有关系”?之前关于工作机会的沟通算数吗?如果他们至少回复过一次你的信息,你是否应该假设他们有合理的期望与你联系?如果你认为你可以回答“是”,请确保在你的LIA中清楚地解释你的理由。
指挥LIA之后会发生什么?
有时候LIA将不足以合规。这是您确定您的数据处理会产生重大隐私影响。例如,如果您对平衡测试中的两个初始问题提供了积极答案,这可能会发生。当发生这种情况时,你应该做一个数据保护影响评估(DPIA)并保持LIA作为参考。
在您完成了LIA(或DPIA)之后,请记住,如果您要开始处理其他类型的信息,或者如果某些东西以处理数据的方式更改,则可能必须在将来重新执行您的评估。负责招聘职能的人应保留正在审查的评估,以提高符合GDPR的机会。
谨慎地收集候选数据
处理候选数据的合法兴趣是必不可少的 - 但不足以遵守。您需要遵循GDPR的指示,并在讨论候选人或保留其数据时。以下是要记住的一些基本规则(对于您在GDPR下的职责进行更详细的解释,请参阅我们的GDPR合规指南对于招聘人员和招聘团队):
- 是透明的。发送电子邮件给源候选人,告知他们您在第一次处理它后一个月内处理数据。你还应该链接到你的隐私声明在那封电子邮件中。如果您在一个月内没有发送此电子邮件,则应立即从数据库中删除其数据。
- 遵循数据保留义务。您无法无限期地保留候选数据。让候选人知道你要保留他们的数据需要多长时间(你只能让它们只能与他们相关)。如果您目前有旧或无关的候选数据,最好删除它。
- 给候选人锻炼方式他们在GDPR下的权利。就候选人如何要求你提供正在处理的资料的细节,以及他们如何要求你删除这些资料,提供清楚的说明。准备好服从他们的要求。
