如果您在欧洲招聘,GDPR不是可选项——它是法律。2026年,执法力度比以往更严格。招聘相关的GDPR违规罚款已达数百万欧元,监管机构越来越关注雇主在整个招聘过程中如何处理候选人数据。

从候选人提交简历的那一刻起,到最终决策(及之后),您收集、处理和存储的每一条个人数据都受《通用数据保护条例》的约束。这包括简历、面试记录、评估结果、背景调查数据、录像,以及——日益增多的——AI生成的筛选结果。

对于全球招聘团队而言,挑战不仅仅是"合规"那么简单。您需要管理多个司法管辖区的同意,在Schrems II之后处理跨境数据传输,在不违反自动化决策规则的情况下集成AI招聘工具,并维护每次数据处理活动的可审计记录。

本指南涵盖招聘人员和HR团队在2026年需要了解的关于GDPR合规的一切——提供实用框架、检查清单,以及EasyHire AI等工具如何帮助您在大规模招聘的同时保持合规的指导。

招聘人员的GDPR基础

什么是GDPR?

更多国际招聘合规信息,请参阅我们的日本招聘指南。和东南亚招聘指南。。

《通用数据保护条例》(EU)2016/679是欧盟的综合数据隐私法。它规定了组织如何收集、处理、存储和共享欧盟/欧洲经济区(EEA)个人的数据。该条例自2018年5月25日起生效,适用于任何处理欧盟居民数据的组织——无论其位于何处。

为什么对招聘很重要?

招聘本质上是一个数据密集型流程。每一次申请都会产生属于GDPR范围的个人数据:

  • 联系信息:姓名、邮箱、电话号码、地址
  • 专业数据:工作经历、教育背景、认证、技能
  • 评估数据:测试结果、面试评估、评分
  • 背景数据:犯罪记录、信用调查、推荐信息
  • 敏感数据:健康信息、残障状况、国籍、宗教(有时无意中收集)
  • 数字数据:IP地址、职业页面Cookie、浏览器指纹

GDPR招聘关键原则

原则对招聘人员的意义
合法性、公正性、透明性必须有处理的法律依据,并明确告知候选人
目的限制仅为特定招聘目的收集数据
数据最小化只收集您需要的——不要询问不必要的信息
准确性保持候选人数据更新
存储限制不保留超过必要时间的数据
完整性和机密性采取适当安全措施保护数据

处理候选人数据的法律依据

根据GDPR,您需要有效的法律依据来处理个人数据。对于招聘,最相关的依据是:

1. 同意(第6(1)(a)条)

候选人明确同意数据处理。然而,招聘中的同意有重大限制:

  • 权力不平衡:雇主和候选人之间的关系存在固有的权力不平衡,使"自愿"同意受到质疑
  • 可撤回:候选人可随时撤回同意,要求您删除其数据
  • 特定和知情:一揽子同意表格无效——同意必须针对每个处理目的

最佳实践:同意不应是您招聘处理的主要法律依据。仅将其用于特定的可选目的(例如,将候选人保留在人才库中以备将来职位)。

2. 合法利益(第6(1)(f)条)

您有合法利益来处理候选人数据以填补空缺职位。这通常是招聘中最合适的依据,但需要:

  • 平衡测试:记录您的合法利益不会凌驾于候选人的隐私权之上
  • 透明性:在隐私通知中告知候选人处理情况
  • 退出机制:为候选人提供反对的方式

3. 合同必要性(第6(1)(b)条)

处理是在签订合同之前应候选人要求采取的步骤所必需的。一旦候选人申请且您正在处理其申请,这适用。

4. 法律义务(第6(1)(c)条)

某些处理是法律要求的——例如,工作权利检查、税务报告或受管制行业的强制性背景调查。

候选人隐私通知

每位招聘人员必须在数据收集时向候选人提供清晰、可访问的隐私通知。该通知必须包括:

  1. 数据控制者的身份和联系方式
  2. DPO联系方式(如适用)
  3. 处理的目的和法律依据
  4. 处理的个人数据类别
  5. 接收方或接收方类别(如招聘经理、背景调查提供商)
  6. 国际传输和保障措施
  7. 保留期限或确定标准
  8. 候选人权利(访问、更正、删除等) 9.向监管机构投诉的权利 10.提供数据是否为法定/合同要求

隐私通知的实用建议

  • 保持可读性:避免法律术语——候选人应该真正理解它
  • 易于访问:从招聘信息、申请表和职业页面链接到它
  • 分层设计:使用包含关键要点的简短通知,并链接到完整详细版本
  • 定期更新:至少每年审查和更新

数据保留:候选人数据可以保留多久?

这是招聘中最常见的GDPR合规问题之一。没有单一的"正确"答案,但以下是指导原则:

未成功的候选人

  • 建议保留期:招聘流程结束后6-12个月
  • 最长:在大多数司法管辖区不应超过24个月
  • 理由:保留以备将来可能的职位或防御歧视索赔

成功的候选人

  • 过渡:录用后,数据应从招聘记录转移到员工记录
  • 新的保留期:根据劳动法和公司政策适用

基于同意的人才库保留

  • 有明确同意:您可以为未来机会保留更长时间
  • 年度刷新:定期重新确认同意(至少每年一次)
  • 便捷删除:必须能够在收到请求时删除

记录您的保留政策

监管机构期望书面的数据保留政策,明确规定:

  • 您收集的数据类别
  • 每类数据的保留时间
  • 保留的法律依据
  • 删除/匿名化流程

跨境数据传输

如果您进行全球招聘,候选人数据将不可避免地跨境传输。Schrems II之后,这是GDPR合规中最复杂的领域之一。

更多国家/地区的劳动法指导,请查看我们的德国招聘合规指南。和拉丁美洲近岸招聘指南。。

欧盟充分性决定

欧盟委员会已认可某些国家提供"充分"的数据保护,包括:

  • 安道尔、阿根廷、加拿大(商业)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、乌拉圭和美国(根据EU-US数据隐私框架)

标准合同条款(SCCs)

对于没有充分性决定的国家的传输,您必须使用欧盟委员会批准的标准合同条款。关键要求:

  • 使用2021年SCC模块(旧的2010/2004 SCC对新合同不再有效)
  • 进行传输影响评估(TIA),评估目的地国家的法律框架
  • 如果TIA识别出风险,实施补充措施(如加密、假名化)

EU-US数据隐私框架

自2023年7月起,EU-US数据隐私框架为向经认证的美国组织的传输提供了机制。但是:

  • 检查美国接收方是否已获得框架认证
  • 认证必须每年续期
  • 该框架正受到挑战(类似其前身安全港和隐私盾)

AI在招聘中的GDPR合规

AI在招聘中的使用在2026年受到严格监管审查,特别是在GDPR和**《欧盟AI法案》**(2025年8月生效)下。

自动化决策(第22条)

GDPR第22条赋予候选人不受仅基于自动化处理的决定约束的权利——该决定会产生法律或重大影响。在招聘中,这意味着:

  • 完全自动化的拒绝有风险:如果您的AI筛选工具在没有人工审查的情况下自动拒绝候选人,您可能违反第22条
  • 需要人工监督:确保招聘决策中有有意义的人工参与
  • 解释权:候选人必须能够要求解释决定

《欧盟AI法案》与招聘

《欧盟AI法案》将用于就业的AI系统分类为高风险,要求:

  • 风险评估:部署前记录和减轻风险
  • 透明性:告知候选人AI正在被使用
  • 人工监督:确保人类可以覆盖AI建议
  • 偏见测试:定期测试歧视性结果
  • 数据治理:确保训练数据具有代表性且无偏见
  • 记录保存:维护AI系统行为的详细日志

AI招聘工具的实用合规框架

  1. 部署前评估:评估AI工具的数据处理活动、偏见风险和第22条合规性
  2. 候选人通知:明确告知候选人AI工具正在被使用及其方式
  3. 人机协作:确保所有AI建议由人工决策者审查
  4. 定期审计:定期审计AI工具的结果,检查偏见和准确性
  5. 数据最小化:确保AI工具仅处理评估所需的数据
  6. 供应商尽职调查:评估AI供应商的GDPR合规性和安全实践

招聘中的数据主体权利

候选人根据GDPR享有广泛的权利。招聘人员必须准备好处理这些请求:

访问权(第15条)

候选人可以请求您持有的关于他们的所有个人数据的副本。在招聘中,这包括:

  • 申请材料
  • 面试记录和评估
  • 评估结果
  • 招聘人员之间的沟通
  • AI生成的分数或建议

删除权(第17条)

候选人可以请求删除其数据。除非您有合法理由保留(如进行中的法律程序),否则必须遵守。

更正权(第16条)

候选人可以更正不准确的数据。确保存在及时更新记录的流程。

反对权(第21条)

候选人可以反对基于合法利益的处理。如果他们反对,您必须证明令人信服的合法理由或停止处理。

响应时间

您必须在1个月内响应所有数据主体请求(复杂请求可延长至3个月)。

EasyHire AI 如何支持GDPR合规

在大规模招聘流程中手动管理GDPR合规容易出错且资源密集。EasyHire AI 采用隐私设计原则构建,帮助您保持合规:

  1. 同意管理:自动捕获和管理不同处理目的的候选人同意,内置同意撤回工作流。

  2. 隐私通知集成:在每个候选人接触点嵌入符合GDPR的隐私通知——从申请表到面试安排。

  3. 数据保留自动化:按司法管辖区配置保留政策,在保留期到期时自动删除或匿名化候选人数据。

  4. 数据主体请求处理:通过自动数据编译和响应模板简化DSAR(数据主体访问请求)处理。

  5. 跨境传输合规:内置国际传输评估工具,自动生成SCC和TIA文档。

  6. AI透明性:当EasyHire AI的AI功能用于筛选或评估时,平台生成可应候选人要求共享的透明性报告。

  7. 审计跟踪:每次数据处理活动都被记录,为监管机构查询创建全面的审计跟踪。

了解 EasyHire AI 如何处理隐私合规 →

安装 EasyHire AI Chrome 扩展,进行合规的全球招聘 →

招聘人员GDPR合规检查清单

使用此清单审计您的招聘GDPR合规:

  • 在数据收集时向所有候选人提供隐私通知
  • 为每项处理活动记录法律依据
  • 在需要时捕获同意,具有清晰的选择加入和便捷的退出
  • 数据最小化:仅收集招聘决策所需的数据
  • 保留政策已定义、记录和执行
  • 数据主体权利流程已到位(访问、删除、更正、反对)
  • 跨境传输使用充分的保障措施(充分性决定、SCCs或DPF)
  • AI工具已评估第22条合规性和《欧盟AI法案》要求
  • 供应商协议包含符合GDPR的数据处理条款
  • 为候选人数据实施安全措施(加密、访问控制)
  • 任命DPO(如果您的组织规模和处理活动要求的话)
  • 按第30条维护处理活动记录
  • 数据泄露响应计划已到位,具备72小时通知能力

2026年执法趋势

招聘领域的GDPR执法正在加强。值得关注的关键趋势:

  • AI专项执法:监管机构越来越多地审计AI驱动的招聘工具的偏见、透明度和自动化决策合规性
  • 跨境合作:欧盟数据保护机构在涉及跨国雇主的案件上更密切协调
  • 候选人投诉:个人候选人越来越了解自己的权利,更愿意提出投诉
  • 更高罚款:罚款呈上升趋势,多个与招聘相关的案件罚款超过100万欧元

常见问题

如果我的公司不在欧盟,我需要GDPR合规吗?

需要,如果您处理欧盟/欧洲经济区个人的个人数据——包括接收来自欧盟候选人的申请——无论您的总部在哪里,GDPR都适用于您的组织。

我可以在欧洲使用AI筛选简历吗?

可以,但有重大限制。您必须确保决策中的人工监督,告知候选人AI正在被使用,测试偏见,并同时遵守GDPR第22条和《欧盟AI法案》对就业AI系统的高风险要求。

候选人被拒绝后,我可以保留其简历多久?

没有单一答案,但最佳实践是招聘流程结束后6-12个月。您应该有记录在案的保留政策来证明期限的合理性并确保及时删除。

如果候选人要求我删除所有数据,我该怎么办?

您必须在1个月内遵守,除非您有保留的法律依据(如进行中的法律程序、法定保留义务)。记录您的决定并与候选人沟通。

EU-US数据隐私框架是否足以将候选人数据传输给美国招聘人员?

如果美国组织已获得框架下的认证,它提供了有效的机制。然而,鉴于持续的法律挑战,建议也将SCCs作为后备方案。始终进行传输影响评估。


准备好在欧洲进行完全GDPR合规的招聘了吗? 立即开始使用 EasyHire AI →,建立以隐私为先的招聘流程。