2018年、採用活動に訪れるGDPRの頭痛の種 - EY LAWのクシシュトフ・ジオバが解決します。

ウェブは、人々の仕事探しの方法や、企業がプロフェッショナルを採用する方法を大きく変えました。候補者は、フォームに記入して自ら進んで個人情報を提出するか、あるいは、オンラインで共有することを選択した情報に基づいて採用担当者に識別されます。場合によっては、採用プロセスに関わる候補者のデータが誤って取り扱われることもあります。

2018年5月25日、この問題に対処する新しいプライバシー規制が施行されます。それは「一般データ保護規則（GDPR）」と呼ばれるものです。

2018年5月は遠く感じるかもしれませんが、やらなければならないことはたくさんあるので、すぐに始める必要があります。時計は刻々と進んでいますが、組織はまだ準備が整っていません。TrustArc社の2017年の調査結果によると、"プライバシーとEU GDPR"、調査参加者の61%は、GDPRの導入プロセスを開始していないと回答しています。GDPRとその採用プロセスへの影響について理解を深めていただくために、以下の方々にお話を伺います。 Krzysztof Dzioba (クシシュトフ・ジオバ) の アーンスト・アンド・ヤング法律事務所 Tałasiewicz, Zakrzewska i Wspólnicy sp.k.

1.一般データ保護規則（GDPR）とは何か、誰に適用されるのか？

2016年5月4日、4年間にわたる厳しい交渉の末、このたびGDPRが官報に掲載されました。この規制は、あらゆる種類の組織にとって大きな変化をもたらします。最終草案では、世界の年間売上高の最大4%の罰金を背景に、より厳格で規定的なデータ保護コンプライアンスの課題が導入されています。同規則は、1995年に導入されて以来、欧州のデータ保護法の基礎となってきた指令95/46/ECに代わるものです。GDPRは2018年5月25日にすべてのEUで施行され、加盟国による実施は要求されません。

この規制は、あらゆる産業分野の企業に大きな影響を与え、コストと労力の面でビジネスにプラスとマイナスの両方の変化をもたらすでしょう。多国籍企業にとっては、全加盟国の法律が調和され、複雑なデータ保護の状況を容易に把握できるようになることが歓迎されるでしょう。しかし、「忘れられる権利」や「ポータビリティーの権利」といった個人の新しい権利の導入や、違反通知の義務化は、組織の規制負担を増大させる可能性があります。

個人データ（顧客、従業員、契約者）を処理するすべての企業および一部の公的機関は、GDPRを実施する必要があります。

最も重要なことは、GDPRがデータ保護に関する特定の技術的ソリューションを要求していないことです。そのようなソリューションは、特定のデータや個人データ保護の違反に関するリスクに合わせて調整する必要があるとしています。データを処理する企業は、リスクを評価し、適切な対策を施したことを証明しなければならなくなります。

データ保護はより複雑になり、常に監視し、発展させる必要のある生きたプロセスとなりました。

2.GDPRは、これまでの個人情報保護規制と比較して、採用プロセスやリクルーターの仕事にどのような影響を与えますか？

ほとんどの場合、候補者や従業員の個人情報は、各加盟国の個別の法律に基づいて保護されています。

GDPRの第88条により、2018年5月以降も同じルールが適用されます。加盟国は、保護に関するより具体的なルールを提供する権利を与えられました。 雇用関係における従業員の個人データの処理に関する権利と自由の尊重.そのため、この点に関するルールは各国でまだ確立されていません。例えば、バイオメトリクスや特定のカテゴリーの個人情報については、かなり大きな違いがあることが予想されます。

GDPRが施行されると、従業員や候補者にいくつかの新しい特権が追加されますが、これらは各国の規制によって追加調整される可能性があります。

また、データ処理に対する同意についても、いくつかの新しいルールがありますので、以下にご紹介します。

3.GDPRは候補者との最初の接触にどのような影響を与えるか？法的に必要な同意の種類は？

GDPRの第32項により、同意は、電子的手段を含む書面や口頭での説明など、データ対象者が自分に関する個人データの処理に同意することを、自由に、具体的に、情報を与えられた上で明確に示す断定的行為によって行われるべきです。沈黙、事前にチェックされたボックス、または無活動状態は、同意を構成するものではありません。

そのため、雇用主は採用プロセスにおいて、特に以下のことを候補者に伝える必要があります。

• 個人データ処理の目的
• 蓄積される期間
• は、データの受信者です。
• 監督機関に苦情を申し立てる権利。

形式的には、すべての候補者は、雇用主によってデータ処理規則について知らされるべきであり、文書（求人票に添付または参照される）または最初の接触で必要な情報を記載することになります。

4.アクティブな候補者（履歴書を送った人）とパッシブな候補者（LinkedIn、GitHub、Twitter、Facebookでデータを見つけた人）の個人データの処理に違いはありますか？

雇用主は、信頼性、目的性、妥当性、および時間性の原則に従って、潜在的な従業員の個人データを処理する必要があります。

雇用主は、活動中の候補者に対する情報提供義務を果たす必要性を考慮する必要があります。情報の範囲は、雇用主が履歴書を第三者から入手するか、候補者から直接入手するかによって異なる場合があります。

受動的な候補者のデータを処理するには、正当な利益のような特定の法的根拠が必要です。ソーシャルメディアでの情報収集は、ビジネス目的に関連したものでなければなりません。言い換えれば、雇用主は候補者の個人データを収集・処理することが許されるのは、そのデータが職務遂行に必要かつ関連する場合に限られます。

基本的に、候補者の個人データの取り扱いの違いは、処理の法的根拠に起因します。能動的な候補者は同意し、受動的な候補者のデータは雇用主の正当な利益に基づいて処理されます。ただし、そのような候補者との最初の接触は、雇用者の情報提供の義務をカバーする必要があります。

5.GDPRでは、何が個人データにあたるのですか？

GDPRによれば、「個人データ」とは、識別された、または識別可能な自然人に関連するあらゆる情報を意味します。識別可能な自然人とは、直接的または間接的に、特に名前、識別番号、位置情報、オンライン識別子などの識別子、または自然人の物理的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有の1つ以上の要素を参照して、識別することができる人を指します。

基本的には、特定の個人を識別することができる情報はすべて個人情報です。

ある企業の所定の情報は個人情報として機能しますが、別の企業ではそうはなりません。また、特定の個人を識別するために過剰なコストや時間がかかる場合、その情報は個人情報に該当しない可能性があります。

6.候補者は、採用プロセスで収集された自分のデータを保護する権利を持っていますか？その権利とは何ですか？

GDPRの下では、候補者は採用段階でのデータ処理の分野でより多くの権利を持ち、雇用者はその実施を保証しなければなりません。例えば、候補者のデータは、候補者の自発的かつ意識的な意志表示に基づいて処理することができます。同意を推定することはできず、ユーザーは同意を撤回する権利を持つことになりますが、同意と同様に容易な手続きでなければなりません。

GDPRでは、上記のように、例えば、採用プロセスから除外されない権利を実装しています。

• 個人情報がどのように使用されるかを知らされる権利。
• アクセス権があること。
• 不正確または不完全なデータを修正する権利。
• 特定の状況下で忘れられる権利
• 個人データの処理を阻止または抑制する権利。
• データポータビリティに関する新しい権利。

加盟国は、これらの権利が採用プロセスにおいて従業員によってどのように実行されるかを明確にすることができる。

7.参加したが選考に漏れた候補者は、GDPRの影響をどのように受けますか？候補者のデータは合法的に保存できるのか、できるとしたらどの程度までなのか。

雇用主は、候補者のデータ（履歴書を含む）を所定の採用手続きの期間を超えて保存してはなりません。

個人データの保護に関する欧州の諮問機関が示すように - ワーキンググループのart.29 - 職場でのデータ処理に関する意見2/2017では、"d採用プロセス中に収集されたデータは、一般的に、雇用のオファーが行われないこと、または当該個人に受け入れられないことが明らかになった時点で直ちに削除されるべきである。また、個人は、採用プロセスに従事する前に、そのような処理について正しく知らされなければならない。"

個人情報は履歴書だけではありません。面接の際に候補者について保存された情報も廃棄する必要があります。

雇用者が、例えばその後の採用活動のためなど、より長期間にわたってそのようなデータを処理したい場合は、候補者の同意など、適切な法的根拠を持つ必要があります。

ただし、採用プロセスで収集されたデータの処理は、正当な利益がある場合（例えば、差別に関連するクレームから守るため）には、より長い期間行われることがあります。このような場合、データが他の採用プロセスや他の目的に使用されないよう、厳重に監視する必要があります。

8.候補者は、採用活動の過程で得た自分のデータの削除を合法的に要求できるか？候補者は自分の個人情報を入手する権利がありますか？

GDPRの忘れられる権利では、候補者は特定の状況下で自分に関する個人データを消去するよう雇用者に要求する権利があります。それは、従業員が同意を撤回した場合に起こるかもしれません。

GDPRでは、採用プロセスから自分の個人データを取得する権利を除外していませんでした。

この点に関する追加の規則や要件は、各メンバー国の法律から生じる可能性があります。

9.採用活動において外部ツール（ATSなど）を使用する場合、GDPRはどのように適用されますか？データ管理者とデータ処理者として扱われるのはどちらですか？

提供されるサービスの種類に応じて、雇用主と人材紹介サービス会社の間のデータ交換は、2人の管理者の関係、または管理者と要求に応じて個人データを処理する人の関係という形をとることがあります。

それぞれのケースでどのモデルが有効かという質問に対する答えは、そのようなパートナーと締結した契約を分析する必要があります。例えば、人材紹介会社は、候補者に関する基本的な情報（経験や学歴など）のみを雇用主に転送し、個人データは転送しないかもしれません。このような場合、雇用主はデータ管理者でもなければ処理者でもないと私は考えます。

10.候補者が採用された後、法的に必要な追加の同意はありますか？新入社員は、組織で使用されているシステムおよびこれらのシステムにおけるデータ保護に関する何らかのトレーニングを必要とするか？

ほとんどの場合、雇用契約に必要な個人データの正確なカタログは、各加盟国の法律で規定されています。労働法、税法、またはその他の一般的な規定により、特定の個人データの処理が必要な場合、同意は必要ありません。

雇用主は、従業員の同意を必要としないデータ処理のみを行うことをお勧めします。なぜ？

まず、上述のGDPRにより、いかなる同意も強制することなく自由に与えられるべきです。すべての関係において、雇用者は力のある立場から従業員に接しています。そのため、従業員が個人データの処理、例えばマーケティングや統合目的のための肖像権などについて、単純に同意を拒否または取り消すことができると証明することは著しく困難です。

もちろん、従業員の福利厚生（社用車、健康管理など）の中には、データ処理に関連するものもあります。しかし、そのような同意はいつでも取り消すことができ、データはその目的に必要な期間のみ処理されるべきです。

11.GDPRは従業員の解雇にどのように適用されますか？雇用者は果たすべき義務がありますか？

第一に、上述したように、従業員の同意が個人データ処理の唯一の法的根拠である場合、従業員は解雇時に同意を撤回する可能性があります。そのため、そのようなデータはすべて雇用主のシステムから消去されるべきである。

データ処理の根拠が特定の法律（労働法、社会保障、税に関するもの）に定められている場合、雇用者は雇用契約の終了後もそのデータを保存する必要があります。

その他の規制や要件は、各加盟国の法律で雇用者に課せられる可能性があります。

12.EU域外へのデータ移転の場合、データを保護し、すべての手続きがGDPRと一致していることを確認する法的義務があるのは誰ですか？

雇用主は、従業員の個人データの処理の目的および手段を決定します。したがって、GDPRの第4.7条に記載されているように、管理者とみなされるべきです。管理者は、データ保護の違反があった場合に責任を負います。

アカウンタビリティルールにより、第三国の事業体のデューデリジェンスを怠った場合、雇用者がその責任を負うことになります。その結果、雇用主は、第三国の事業体が適切な保護措置を講じていることを確認しなければならず、また、GDPR第46条第1項により、データ主体の強制力のある権利およびデータ主体に対する効果的な法的救済措置が利用可能であることを条件とします。

もちろん、第三国の企業による契約違反により、雇用主が経済的な被害を被ることになれば、法廷で権利を主張し、補償を要求することもあるでしょう。

13.GDPRを遵守しない場合、どのような影響がありますか？

第一に、明らかでよく知られている金銭的な影響（罰則は最大20,000,000ユーロまたは直前の会計年度の全世界の年間売上高の4%のいずれか高い方）。次に、データ対象者からの民事上の請求があります。そして最後に、重大なマーケティング上の損害です。