GDPR и международный найм: рекрутер на минном поле данных

Удалённая работа и глобальный найм открыли для бизнеса весь мир. Но вместе с международными талантами в компанию могут «пробраться» и европейские законы о данных. Главный из них — печально известный GDPR. Его часто недооценивают как бюрократическую формальность, пока гром не грянет: штрафы до €20 млн или 4% годового оборотаcleverconnect.com способны обрушиться даже на стартап за океаном.

GDPR касается каждого, кто работает с данными граждан ЕС, где бы ни находилась компания. А для рекрутеров это значит, что любая анкета европейского кандидата — потенциальный источник риска. Давайте разберёмся, как соблюдать GDPR при найме и не подорвать репутацию компании.

Глобальный закон, который нельзя игнорировать

GDPR — Общий регламент по защите данных — вступил в силу в 2018 году и до сих пор наводит страх на бизнес по всему миру. И неудивительно: помимо драконовских штрафов, утечка или неправомерное хранение кандидатских данных грозит разбирательствами и потерей доверия соискателей. Например, во Франции компания Sergic получила €400 тысяч штрафа после того, как из-за сбоя тысячи резюме оказались в открытом доступе. Казалось бы, европейский закон, но распространение у него глобальное: любая фирма, обрабатывающая данные резидентов ЕС, обязана соблюдать GDPR, даже если сама находится в США или Азии.

Почему рекрутерам стоит об этом помнить? Потому что на кону не только штрафы, но и репутация работодателя на мировом рынке. Сегодня кандидаты всё больше ценят конфиденциальность.

Пренебрежение GDPR может не только привести юристов компании в ужас, но и отпугнуть ценных специалистов. Напротив, уважительное обращение с личными данными усиливает доверие к бренду работодателя. Иными словами, GDPR — это не прихоть юристов, а часть HR-стратегии: хотите успешно нанимать по всему миру — учитесь грамотно работать с данными.

Сбор данных: только по делу

Принцип «бери меньше, бросай дальше» отлично описывает подход GDPR к информации о кандидатах. Собирать можно только то, что действительно необходимо для оценки и найма человека (источник mofo.com). Рекрутеры по привычке хотят знать о претенденте всё, но европейский регулятор говорит категорическое «нет» избыточным данным. Например, резюме, портфолио и контакты — да; сведения о семейном положении, политических взглядах или здоровье — решительно нет, если они не имеют прямого отношения к работе. Такие личные вопросы могут нарушить принцип пропорциональности и даже быть расценены как попытка дискриминации.

Конечно, бывают случаи, когда нужны дополнительные проверки — например, справка о несудимости для банка или медосмотр для авиапилота — но это скорее исключения, продиктованные законом. В общем же случае соблюдайте правило: никакой «желтизны» и любопытства, только профессиональная информация. Кстати, европейские HR-эксперты советуют: прежде чем добавить новое поле в анкету кандидата, спросите себя — а действительно ли без этих данных нельзя принять решение о найме? Если ответ неочевиден, скорее всего, спрашивать не нужно.

Не забывайте и про так называемые специальные категории данных (о расовом происхождении, здоровье, религии, членстве в профсоюзах и т. п.). GDPR практически запрещает их обработку в рекрутинге. Например, информация об инвалидности или генетические данные кандидата допускается только с его отдельного явного согласия и в случаях, предусмотренных законом (источник friend.work). Да и вообще, вопросы в духе «планируете ли детей?» давно должны остаться в прошлом — это не только нарушение GDPR, но и дурной тон.

Принцип минимизации данных в GDPR требует собирать не больше информации, чем нужно для конкретных целей обработки. Если в вашей анкете или тестовом задании фигурируют поля «для галочки», лучше убрать их. Сократив объем личных данных до разумного минимума, вы и работу кандидата оцените объективнее, и снизите риски утечки или жалобы.

Прозрачность и уведомление кандидатов

Ещё до того, как соискатель откликнется на вакансию, вы обязаны сыграть с ним в открытую. GDPR требует прозрачности: кандидат должен знать, какие его данные вы собираете, зачем, кто будет их видеть и как долго хранить. Поэтому каждый международный рекрутинг-процесс нужно начинать с понятного уведомления о конфиденциальности.

Представьте, что это своего рода паспорт вашего HR-процесса. В таком privacy notice (политике или соглашении для кандидатов) опишите: какие именно данные вы запрашиваете (например, ФИО, опыт работы, образование), для каких целей (оценка на соответствие должности, оформление трудового договора и т.д.) и на каком основании. Также укажите, как долго будете хранить резюме, кто получит к нему доступ (например, внутренняя HR-служба, руководители подразделения) и какие права у самого кандидата. Это уведомление должно предоставляться сразу на старте: например, на странице отклика на вакансию разместите ссылку «Обработка персональных данных кандидатов», чтобы человек мог заранее всё прочитать.

Важно помнить: политика приватности для сотрудников здесь не подойдёт — соискатель ещё не ваш работник, и объем данных о нём меньше. Нужен отдельный документ для кандидатов. И не забудьте: если вы получаете данные не напрямую от человека (например, нашли профиль в LinkedIn или получили резюме от партнёра), всё равно обязаны проинформировать субъекта данных. GDPR не оставляет лазеек: узнали информацию о ком-то — будьте добры уведомить его о её обработке.

Юридическое основание: не всё решается согласием

Многие компании первое время пытались перестраховаться и брали с кандидатов кипы согласий на обработку данных. Но в контексте найма опираться на согласие — плохая идея. Европейские регуляторы прямо указывают: из-за подчинённого положения будущего работника его согласие вряд ли будет считаться «свободным» и юридически действительным (источник habr.com). Проще говоря, кандидат может подписать все бумаги ради работы, а потом отозвать согласие или заявить, что его «вынудили» — и по букве GDPR будет прав.

Что же делать? GDPR разрешает несколько альтернативных оснований обработки. В случае рекрутинга основное — это необходимость для заключения трудового договора или проведения мероприятий по запросу кандидата до заключения договора (ст.6(1)(b) GDPR). Именно под эту норму подпадает рассмотрение резюме, интервью и прочие стандартные этапы найма.

Фактически, раз человек сам отправил вам данные, чтобы получить работу, вы можете их использовать без отдельного согласия – ведь иначе договор не заключить. Второе возможное основание – законный интерес компании (ст.6(1)(f) GDPR), например, вести кадровый резерв или проверять дипломы кандидатов. Но тут важно соблюсти баланс интересов и приватности, документально обосновать, что ваш интерес (нанять подходящего сотрудника) не нарушает прав кандидата.

К согласию стоит прибегать лишь там, где без него никак. Скажем, вы хотите сохранить резюме не подошедшего сейчас кандидата в своей базе на пару лет для других позиций – в ряде стран ЕС потребуется получить на это согласие соискателя. Или планируете переслать CV партнёру по совместному проекту – тоже без явного согласия нельзя. Во всех остальных случаях старайтесь действовать на основе договора или законного интереса. Так вы избежите ситуации, когда отозванное внезапно согласие поставит крест на всем процессе найма.

Отдельно обратите внимание: если вы используете сторонние HR-сервисы (рекрутинговые платформы, облачные ATS/CRM для кандидатов), ответственность за GDPR-комплаенс всё равно лежит на вас. Проверьте, заключены ли с провайдером стандартные договорные положения по защите данных, где хранятся серверы, и соблюдает ли сервис требования регламента. Если утечка случится по вине подрядчика, отвечать перед регуляторами будете вы как контролёр данных. Поэтому выбирайте сервисы с хорошей репутацией, а при работе с небольшими зарубежными подрядчиками пропишите в контракте обязательства соблюдать GDPR.

Права кандидатов: контроль — в их руках

GDPR знаменит тем, что наделяет европейцев широкими правами насчёт их данных. Рекрутеру важно помнить: эти права распространяются и на соискателей. Вот ключевые из них:

Право на доступ. Кандидат может запросить у компании, какую информацию о нём вы храните, с какой целью и кому она раскрывалась. И вы обязаны предоставить ему копию всех данных (с поправкой: не разглашая при этом чужие данные, например, комментарии интервьюера, содержащие имена других людей). Срок на ответ — до 1 месяца, иначе — жалоба в надзорный орган.
Право на исправление. Если человек обнаружил, что вы хранили неверные сведения (опечатка в фамилии, устаревший адрес), он может потребовать корректировки. Для рекрутера тут совет простой: всегда обновляйте базу кандидатов, получая новую информацию, чтобы не хранить ошибки.
Право на удаление (быть забытым). Кандидат имеет полное право попросить удалить все свои данные, если они больше не нужны для цели найма. Самый частый случай: соискатель отозвал отклик или вы отказали в позиции, и срок хранения резюме истёк — дальше хранить без оснований нельзя. Исключение – разве что необходимость защиты от судебных претензий или другая юридическая обязанность, но это редкие ситуации. В общем случае, «не нужен – удаляй».
Право на возражение и ограничение обработки. Чуть более тонкие моменты: кандидат может потребовать прекратить использовать его данные (например, не рассылать ему больше приглашения на собеседования) – это право возражать против обработки. При этом вы можете сохранить минимальный объём данных о нём в «стоп-листе», чтобы учесть его желание в будущем. А право на ограничение означает, что соискатель может указать, что данные пока можно хранить, но не использовать для некоторых действий или до определённой даты. В найме это запрашивается редко, но знать полезно.

Все эти запросы пользователей не должны оставаться на бумаге. Заранее настройте процессы: кто в вашей компании занимается ответами кандидатам, как удаляет данные из баз, как вносит исправления. Нередко именно рекрутеры становятся «первой линией» и получают письма вроде «Прошу выслать копию всех моих персональных данных». Не пугайтесь: это нормальная практика в Европе. Главное – оперативно перенаправить запрос в отдел по защите данных или компетентному сотруднику и проследить, чтобы ответ ушёл в срок.

Осторожно: соцсети под замком

В эпоху цифрового следа руки так и чешутся погуглить кандидата, изучить его соцсети и сделать выводы. Американские работодатели давно мониторят публичный Facebook или Instagram претендентов (формально – если сами выложили, значит, не приватно). Однако европейский подход куда строже. Даже если профиль открыт, GDPR требует уважать приватность: собирать о кандидате сведения из интернета можно только связанные с профессиональной сферой.

То есть LinkedIn или портфолио на GitHub – вполне законно, а вот личные аккаунты в TikTok или семейные фото в VK смотреть не рекомендуется. Во-первых, это не релевантно для работы (нарушение принципа минимизации), во-вторых – трудно обосновать законный интерес в таком «сливе» приватной информации. В ряде стран ЕС работодатели вообще не вправе требовать от кандидата ссылки на личные страницы.

Конечно, если кандидат сам предоставил какую-то информацию (например, в резюме указал блог или публичный твиттер), можно изучить в рамках профессионального контекста. Но самовольно лезть в его цифровую жизнь – плохая затея. К тому же, есть риск наткнуться на защищённые законом характеристики (те же религия или сексуальная ориентация), а использовать их при найме категорически запрещено. Вывод: европейский рекрутер скорее позвонит рекомендателям или проведёт тестовое задание, чем полезет изучать фотки кандидата с вечеринки. Если же очень хочется узнать о человеке больше – спрашивайте напрямую у него, но держитесь подальше от личных тем.

Автоматизация и ИИ: удобство vs. правила

Современные HR-технологии предлагают магию: специальные алгоритмы отсеют неподходящие резюме, чат-бот проведёт первичное интервью, а ИИ-система даже оценит видеоинтервью кандидата. Звучит привлекательно, но GDPR ставит жёсткие рамки при использовании таких штук. Дело в том, что фильтрация или оценка кандидатов алгоритмом – это профилирование и автоматизированное принятие решений, подпадающее под статью 22 GDPR. Регламент даёт каждому право не быть объектом решения, основанного только на автоматизированной обработке, если оно существенно влияет на человека (а отказ в приёме на работу – несомненно, существенно).

Проще говоря, полностью передавать отбор ИИ без участия человека – запрещено, если кандидат не дал на это явного согласия (которое, как мы выяснили, в найме проблематично). Кандидат вправе потребовать пересмотра решения человеком. Более того, компании обязаны раскрывать в своём уведомлении, что используют алгоритмы для принятия решений, и объяснять логику работы таких систем. Например, если ваше приложение сортирует отклики по какому-то скорингу, об этом надо честно написать в политике и быть готовыми объяснить, на основании каких данных ставятся баллы.

Европейские регуляторы внимательно следят за этим аспектом. Как отметил юрист Бенжамен Грезе, если решение о найме принималось исключительно алгоритмом, кандидат имеет право потребовать участия живого рекрутера – иначе компания нарушит GDPR. Поэтому, даже внедряя самые модные HR-Tech решения, оставляйте за собой финальное слово. Пусть ИИ помогает, но не заменяет вас полностью. И обязательно проводите DPIA (оценку влияния на защиту данных) перед вводом таких систем, чтобы учесть риски для приватности.

Хранение резюме: «кратко и по делу»

Вспомните честно: сколько старых резюме пылится в недрах вашей кадровой базы или даже на случайных флешках в отделе? До GDPR многие HR-ы годами хранили контакты перспективных кандидатов «про запас» и рассылали вакансии всем подряд. Теперь так нельзя. GDPR вводит правило ограничения хранения данных: персональную информацию нужно хранить не дольше, чем необходимо для целей, ради которых она собрана. В рекрутинге эта цель обычно заканчивается, когда вакансия закрыта и новый сотрудник вышел на работу.

Конечно, бизнесу хочется сохранить резюме талантливых ребят на будущее. GDPR этого не запрещает, но вы обязаны заранее предупредить кандидатов, как долго будете хранить их данные и для чего. Часто компании указывают, что неуспешные отклики будут автоматически удалены через, скажем, 6 месяцев или год. Многие регуляторы в ЕС рекомендуют срок хранения порядка 6–12 месяцев, максимум два года – ведь через пару лет и навыки устареют, и контакты поменяются.

Если же вы хотите держать человека в резерве дольше, лучше прямо попросить у него разрешения. Например: «Мы бы хотели сохранить ваше резюме в нашем кадровом резерве на 2 года и связаться, если появятся подходящие возможности. Вы не против?» – и полученное согласие зафиксировать. Без этого продолжать хранить данные после завершения процесса найма нельзя. И уж тем более не стоит добавлять кандидата в рассылку новостей или передавать его CV сторонним заказчикам без его ведома – за такие вещи GDPR карает особо.

Итак, правило: нет дела – нет данных. Процесс закрыт – данные либо удаляем, либо переводим на новое правовое основание (например, согласие для резерва). Кстати, для автоматизации удобнее настроить систему так, чтобы она сама помечала и удаляла «старые» профили кандидатов по истечении срока, чем делать это вручную. Это снизит риск человеческой ошибки, когда кто-то забудет почистить архив.

Безопасность: защита данных – защита репутации

Последний, но не по значимости блок — техническая и организационная защита данных кандидатов. GDPR обязывает обеспечивать безопасность персональных данных: от утечек, несанкционированного доступа, кражи или потери. Для рекрутера это означает простые, но важные вещи:

Храните резюме централизованно и безопасно. Забудьте про пачки анкет на почте HR-менеджера или Excel-файлы на чьем-то ноутбуке. Используйте защищённые базы данных, ограничивайте к ним доступ паролями, разграничивайте права (рекрутер видит одно, руководитель отдела — другое и т.д.).
Передача данных — только по защищенным каналам. Если вы пересылаете CV клиенту или коллегам в другой стране, убедитесь, что делаете это безопасно. Простая почта без шифрования — плохой выбор. Лучше уж защищённые порталы или хотя бы шифрованные архивы с паролем. А если отправляете за пределы ЕС, позаботьтесь о юридической стороне: либо получайте согласие кандидата, либо заключайте стандартные договорные положения для трансграничной передачи данных.
Информационная гигиена. Учите команду не оставлять распечатки резюме где попало, не обсуждать кандидатов в публичных чатах, не использовать личные аккаунты для работы с данными претендентов. Казалось бы, мелочи, но утечки часто случаются именно из-за человеческого фактора.
Готовность к инцидентам. Если случился data breach — например, кто-то получил несанкционированный доступ к базе кандидатов или вы по ошибке разослали список претендентов не тем адресатам — действовать надо быстро. У GDPR жесткий протокол: уведомить регулятора (в стране ЕС, где вы работаете) в течение 72 часов после обнаружения утечки, а также сообщить самим пострадавшим, что их данные могли утечь. Звучит неприятно, зато вовремя признанная ошибка часто смягчает возможные санкции.

В случае с Sergic, о котором мы говорили, причиной огромного штрафа стала именно дырявая IT-система, позволявшая посторонним скачать файлы кандидатов. Этот случай подчеркнул: кибербезопасность рекрутинговых данных — зона особого внимания. Хорошая новость: инвестируя в неё, вы заодно повышаете и привлекательность компании. Кандидаты ценят, когда работодатель бережно относится к их информации. В условиях рынка талантов это конкурентное преимущество: люди охотнее идут туда, где чувствуют себя защищёнными.

Вместо заключения: найм без границ и штрафов

Международный рекрутинг — увлекательная гонка за лучшими специалистами, но на этом маршруте важно не сбить дорожные знаки. GDPR можно сравнить с правилом дорожного движения в мире данных: его соблюдение требует дисциплины, зато спасает от серьёзных аварий. Подводя итог, рекрутеру, работающему глобально, стоит помнить три главных вещи:

Прозрачность во всём. Предупреждайте кандидата, что вы делаете с его данными и зачем. Никаких тёмных коробочек: честность – лучший друг HR-бренда.
Контроль и уважение. Собирайте только нужные сведения, дайте возможность людям управлять своими данными (удалить, исправить), не держитесь за лишнее. Кандидат – не ресурс, а владелец своей информации, и это надо признать.
Проактивность и обучение. Настройте процессы хранения и удаления данных, обучите команду основам GDPR, работайте с юристами и Data Protection Officer, если такой есть. Проще предотвратить проблему, чем потом расхлёбывать её с надзорными органами.

И, наконец, не забывайте, что ландшафт в области конфиденциальности постоянно меняется. Вслед за GDPR уже появляются новые требования — от локальных законов о персональных данных до грядущего регулирования ИИ. Быть в курсе этих трендов – часть профессии современного рекрутера.

GDPR — не враг международному найму, а повод сделать процессы более цивилизованными и этичными. Выполняя его нормы, вы не только избежите штрафов, но и выстроите больше доверия с кандидатами по всему миру. А доверие на глобальном рынке талантов дорогого стоит. Наймайте смело, но с умом – и тогда никакие регуляторы вам не страшны.

Кандидатов «мало» и каждый стоит дорого? ИИ Naimee AI ищет по смыслу, а не по ключевым словам — находит скрытых специалистов и сразу объясняет «почему именно он». Акция: первый месяц — бесплатно. Получить шорт-лист