Данные рекрутинга чувствительны так, как HR-команды недооценивают. CV, видео-записи, голосовые транскрипты, результаты ассессментов, решения hire/no-hire, performance reviews — всё это PII, многое — special-category по GDPR. Относитесь соответственно.
Два baseline для любой платформы рекрутинга, которую вы внедряете: [права субъекта данных, retention policies). Оба должны быть доступны вам по запросу без эскалации в продажи.
Запросите отчёт Пробегите секцию exceptions — у каждого отчёта они есть. Смотрите на «без exceptions» по контролям доступа и сегрегации данных в первую очередь.
Запросите DPA. Проверьте, что пункт о data residency совпадает с вашими потребностями (клиенты ЕС должны требовать хранение в ЕС; США обычно принимают US East/West). Проверьте, что окна retention настраиваются на каждую вакансию.
Спросите про explainability по Article 22. Вендор должен уметь по запросу выдать, почему было сделано то или иное AI-скоринг решение — для любого кандидата, который спросит. По GDPR это не опционально.
