如果您在欧洲招聘,GDPR不是可选项——它是法律。2026年,执法力度比以往更严格。招聘相关的GDPR违规罚款已达数百万欧元,监管机构越来越关注雇主在整个招聘过程中如何处理候选人数据。
从候选人提交简历的那一刻起,到最终决策(及之后),您收集、处理和存储的每一条个人数据都受《通用数据保护条例》的约束。这包括简历、面试记录、评估结果、背景调查数据、录像,以及——日益增多的——AI生成的筛选结果。
对于全球招聘团队而言,挑战不仅仅是"合规"那么简单。您需要管理多个司法管辖区的同意,在Schrems II之后处理跨境数据传输,在不违反自动化决策规则的情况下集成AI招聘工具,并维护每次数据处理活动的可审计记录。
本指南涵盖招聘人员和HR团队在2026年需要了解的关于GDPR合规的一切——提供实用框架、检查清单,以及EasyHire AI等工具如何帮助您在大规模招聘的同时保持合规的指导。
招聘人员的GDPR基础
什么是GDPR?
更多国际招聘合规信息,请参阅我们的日本招聘指南。和东南亚招聘指南。。
《通用数据保护条例》(EU)2016/679是欧盟的综合数据隐私法。它规定了组织如何收集、处理、存储和共享欧盟/欧洲经济区(EEA)个人的数据。该条例自2018年5月25日起生效,适用于任何处理欧盟居民数据的组织——无论其位于何处。
为什么对招聘很重要?
招聘本质上是一个数据密集型流程。每一次申请都会产生属于GDPR范围的个人数据:
- 联系信息:姓名、邮箱、电话号码、地址
- 专业数据:工作经历、教育背景、认证、技能
- 评估数据:测试结果、面试评估、评分
- 背景数据:犯罪记录、信用调查、推荐信息
- 敏感数据:健康信息、残障状况、国籍、宗教(有时无意中收集)
- 数字数据:IP地址、职业页面Cookie、浏览器指纹
GDPR招聘关键原则
| 原则 | 对招聘人员的意义 |
|---|---|
| 合法性、公正性、透明性 | 必须有处理的法律依据,并明确告知候选人 |
| 目的限制 | 仅为特定招聘目的收集数据 |
| 数据最小化 | 只收集您需要的——不要询问不必要的信息 |
| 准确性 | 保持候选人数据更新 |
| 存储限制 | 不保留超过必要时间的数据 |
| 完整性和机密性 | 采取适当安全措施保护数据 |
处理候选人数据的法律依据
根据GDPR,您需要有效的法律依据来处理个人数据。对于招聘,最相关的依据是:
1. 同意(第6(1)(a)条)
候选人明确同意数据处理。然而,招聘中的同意有重大限制:
- 权力不平衡:雇主和候选人之间的关系存在固有的权力不平衡,使"自愿"同意受到质疑
- 可撤回:候选人可随时撤回同意,要求您删除其数据
- 特定和知情:一揽子同意表格无效——同意必须针对每个处理目的
最佳实践:同意不应是您招聘处理的主要法律依据。仅将其用于特定的可选目的(例如,将候选人保留在人才库中以备将来职位)。
2. 合法利益(第6(1)(f)条)
您有合法利益来处理候选人数据以填补空缺职位。这通常是招聘中最合适的依据,但需要:
- 平衡测试:记录您的合法利益不会凌驾于候选人的隐私权之上
- 透明性:在隐私通知中告知候选人处理情况
- 退出机制:为候选人提供反对的方式
3. 合同必要性(第6(1)(b)条)
处理是在签订合同之前应候选人要求采取的步骤所必需的。一旦候选人申请且您正在处理其申请,这适用。
4. 法律义务(第6(1)(c)条)
某些处理是法律要求的——例如,工作权利检查、税务报告或受管制行业的强制性背景调查。
候选人隐私通知
每位招聘人员必须在数据收集时向候选人提供清晰、可访问的隐私通知。该通知必须包括:
- 数据控制者的身份和联系方式
- DPO联系方式(如适用)
- 处理的目的和法律依据
- 处理的个人数据类别
- 接收方或接收方类别(如招聘经理、背景调查提供商)
- 国际传输和保障措施
- 保留期限或确定标准
- 候选人权利(访问、更正、删除等) 9.向监管机构投诉的权利 10.提供数据是否为法定/合同要求
隐私通知的实用建议
- 保持可读性:避免法律术语——候选人应该真正理解它
- 易于访问:从招聘信息、申请表和职业页面链接到它
- 分层设计:使用包含关键要点的简短通知,并链接到完整详细版本
- 定期更新:至少每年审查和更新
数据保留:候选人数据可以保留多久?
这是招聘中最常见的GDPR合规问题之一。没有单一的"正确"答案,但以下是指导原则:
未成功的候选人
- 建议保留期:招聘流程结束后6-12个月
- 最长:在大多数司法管辖区不应超过24个月
- 理由:保留以备将来可能的职位或防御歧视索赔
成功的候选人
- 过渡:录用后,数据应从招聘记录转移到员工记录
- 新的保留期:根据劳动法和公司政策适用
基于同意的人才库保留
- 有明确同意:您可以为未来机会保留更长时间
- 年度刷新:定期重新确认同意(至少每年一次)
- 便捷删除:必须能够在收到请求时删除
记录您的保留政策
监管机构期望书面的数据保留政策,明确规定:
- 您收集的数据类别
- 每类数据的保留时间
- 保留的法律依据
- 删除/匿名化流程
跨境数据传输
如果您进行全球招聘,候选人数据将不可避免地跨境传输。Schrems II之后,这是GDPR合规中最复杂的领域之一。
更多国家/地区的劳动法指导,请查看我们的德国招聘合规指南。和拉丁美洲近岸招聘指南。。
欧盟充分性决定
欧盟委员会已认可某些国家提供"充分"的数据保护,包括:
- 安道尔、阿根廷、加拿大(商业)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、乌拉圭和美国(根据EU-US数据隐私框架)
标准合同条款(SCCs)
对于没有充分性决定的国家的传输,您必须使用欧盟委员会批准的标准合同条款。关键要求:
- 使用2021年SCC模块(旧的2010/2004 SCC对新合同不再有效)
- 进行传输影响评估(TIA),评估目的地国家的法律框架
- 如果TIA识别出风险,实施补充措施(如加密、假名化)
EU-US数据隐私框架
自2023年7月起,EU-US数据隐私框架为向经认证的美国组织的传输提供了机制。但是:
- 检查美国接收方是否已获得框架认证
- 认证必须每年续期
- 该框架正受到挑战(类似其前身安全港和隐私盾)
AI在招聘中的GDPR合规
AI在招聘中的使用在2026年受到严格监管审查,特别是在GDPR和**《欧盟AI法案》**(2025年8月生效)下。
自动化决策(第22条)
GDPR第22条赋予候选人不受仅基于自动化处理的决定约束的权利——该决定会产生法律或重大影响。在招聘中,这意味着:
- 完全自动化的拒绝有风险:如果您的AI筛选工具在没有人工审查的情况下自动拒绝候选人,您可能违反第22条
- 需要人工监督:确保招聘决策中有有意义的人工参与
- 解释权:候选人必须能够要求解释决定
《欧盟AI法案》与招聘
《欧盟AI法案》将用于就业的AI系统分类为高风险,要求:
- 风险评估:部署前记录和减轻风险
- 透明性:告知候选人AI正在被使用
- 人工监督:确保人类可以覆盖AI建议
- 偏见测试:定期测试歧视性结果
- 数据治理:确保训练数据具有代表性且无偏见
- 记录保存:维护AI系统行为的详细日志
AI招聘工具的实用合规框架
- 部署前评估:评估AI工具的数据处理活动、偏见风险和第22条合规性
- 候选人通知:明确告知候选人AI工具正在被使用及其方式
- 人机协作:确保所有AI建议由人工决策者审查
- 定期审计:定期审计AI工具的结果,检查偏见和准确性
- 数据最小化:确保AI工具仅处理评估所需的数据
- 供应商尽职调查:评估AI供应商的GDPR合规性和安全实践
招聘中的数据主体权利
候选人根据GDPR享有广泛的权利。招聘人员必须准备好处理这些请求:
访问权(第15条)
候选人可以请求您持有的关于他们的所有个人数据的副本。在招聘中,这包括:
- 申请材料
- 面试记录和评估
- 评估结果
- 招聘人员之间的沟通
- AI生成的分数或建议
删除权(第17条)
候选人可以请求删除其数据。除非您有合法理由保留(如进行中的法律程序),否则必须遵守。
更正权(第16条)
候选人可以更正不准确的数据。确保存在及时更新记录的流程。
反对权(第21条)
候选人可以反对基于合法利益的处理。如果他们反对,您必须证明令人信服的合法理由或停止处理。
响应时间
您必须在1个月内响应所有数据主体请求(复杂请求可延长至3个月)。
EasyHire AI 如何支持GDPR合规
在大规模招聘流程中手动管理GDPR合规容易出错且资源密集。EasyHire AI 采用隐私设计原则构建,帮助您保持合规:
同意管理:自动捕获和管理不同处理目的的候选人同意,内置同意撤回工作流。
隐私通知集成:在每个候选人接触点嵌入符合GDPR的隐私通知——从申请表到面试安排。
数据保留自动化:按司法管辖区配置保留政策,在保留期到期时自动删除或匿名化候选人数据。
数据主体请求处理:通过自动数据编译和响应模板简化DSAR(数据主体访问请求)处理。
跨境传输合规:内置国际传输评估工具,自动生成SCC和TIA文档。
AI透明性:当EasyHire AI的AI功能用于筛选或评估时,平台生成可应候选人要求共享的透明性报告。
审计跟踪:每次数据处理活动都被记录,为监管机构查询创建全面的审计跟踪。
安装 EasyHire AI Chrome 扩展,进行合规的全球招聘 →
招聘人员GDPR合规检查清单
使用此清单审计您的招聘GDPR合规:
- 在数据收集时向所有候选人提供隐私通知
- 为每项处理活动记录法律依据
- 在需要时捕获同意,具有清晰的选择加入和便捷的退出
- 数据最小化:仅收集招聘决策所需的数据
- 保留政策已定义、记录和执行
- 数据主体权利流程已到位(访问、删除、更正、反对)
- 跨境传输使用充分的保障措施(充分性决定、SCCs或DPF)
- AI工具已评估第22条合规性和《欧盟AI法案》要求
- 供应商协议包含符合GDPR的数据处理条款
- 为候选人数据实施安全措施(加密、访问控制)
- 任命DPO(如果您的组织规模和处理活动要求的话)
- 按第30条维护处理活动记录
- 数据泄露响应计划已到位,具备72小时通知能力
2026年执法趋势
招聘领域的GDPR执法正在加强。值得关注的关键趋势:
- AI专项执法:监管机构越来越多地审计AI驱动的招聘工具的偏见、透明度和自动化决策合规性
- 跨境合作:欧盟数据保护机构在涉及跨国雇主的案件上更密切协调
- 候选人投诉:个人候选人越来越了解自己的权利,更愿意提出投诉
- 更高罚款:罚款呈上升趋势,多个与招聘相关的案件罚款超过100万欧元
常见问题
如果我的公司不在欧盟,我需要GDPR合规吗?
需要,如果您处理欧盟/欧洲经济区个人的个人数据——包括接收来自欧盟候选人的申请——无论您的总部在哪里,GDPR都适用于您的组织。
我可以在欧洲使用AI筛选简历吗?
可以,但有重大限制。您必须确保决策中的人工监督,告知候选人AI正在被使用,测试偏见,并同时遵守GDPR第22条和《欧盟AI法案》对就业AI系统的高风险要求。
候选人被拒绝后,我可以保留其简历多久?
没有单一答案,但最佳实践是招聘流程结束后6-12个月。您应该有记录在案的保留政策来证明期限的合理性并确保及时删除。
如果候选人要求我删除所有数据,我该怎么办?
您必须在1个月内遵守,除非您有保留的法律依据(如进行中的法律程序、法定保留义务)。记录您的决定并与候选人沟通。
EU-US数据隐私框架是否足以将候选人数据传输给美国招聘人员?
如果美国组织已获得框架下的认证,它提供了有效的机制。然而,鉴于持续的法律挑战,建议也将SCCs作为后备方案。始终进行传输影响评估。
准备好在欧洲进行完全GDPR合规的招聘了吗? 立即开始使用 EasyHire AI →,建立以隐私为先的招聘流程。
