%99 doğruluk iddia eden bir AI dedektör API’si buldunuz. Entegrasyon basit görünüyor. Ancak ilk özgeçmişi o uç noktaya göndermeden önce satıcının açılış sayfasında kimse sormadığı bir soru var: aday verisine gönderdikten sonra ne olur?
Aday özgeçmişlerini üçüncü taraf bir AI tespit API’si üzerinden işliyorsanız, GDPR ve diğer gizlilik yasalarının belirli görüşleri olan bir veri işleme ilişkisi yaratıyorsunuz.
Aslında ne gönderiyorsunuz
ATS’niz bir AI dedektör API’sini çağırdığında, adayın özgeçmişinin metin içeriğini—veya önemli bir bölümünü—üçüncü taraf bir sunucuya gönderir. Bu metin kişisel veri içerir: isimler, iletişim bilgileri, iş geçmişi, eğitim, bazen demografik ayrıntılar.
Çoğu AI dedektör API’si İK verisi için tasarlanmamıştır. Özgün olarak akademik intihal tespiti ve içerik pazarlaması için yapıldılar. Gizlilik politikaları, veri saklama uygulamaları ve güvenlik standartları makale kontrolü için yazıldı, aday taraması için değil.
Entegre etmeden önce satıcının gizlilik politikasını bir veri koruma görevlisi gibi okuyun. Çünkü bir şeyler ters giderse soru soracak olan odur.
GDPR: atlayamayacağınız temeller
AB, AEA’da işe alıyorsanız veya AB sakinlerinin verisini işliyorsanız, aday verisine dokunan her sistem için GDPR geçerlidir. AI dedektör entegrasyonu için anlamı şudur:
Hukuki dayanak: Dedektör üzerinden aday verisini işlemek için yasal bir nedeniniz olmalıdır. İki yaygın seçenek meşru menfaat (GDPR Madde 6(1)(f)) ve açık onaydır. Meşru menfaat, tespitin neden gerekli ve orantılı olduğunu belgelemenizi gerektirir. Onay, adayın özgeçmişi taranmadan önce kabul etmesini gerektirir—ve bu onay belirli, bilgilendirilmiş ve geri alınabilir olmalıdır (GDPR Advisor, 2026).
Şeffaflık: Adaylara verilerinin üçüncü taraf bir AI tespit hizmetine gönderileceği, hangi verinin paylaşıldığı, neden ve ne kadar süre saklandığı söylenmelidir. Gizlilik bildiriminiz amacı açıkça adlandırmalıdır. “Üçüncü taraf araçlar kullanabiliriz” yeterince belirli değildir.
Veri işleme sözleşmesi: GDPR Madde 28, sizin (veri sorumlusu) ile API satıcısı (veri işleyen) arasında yazılı bir sözleşme gerektirir. Bu sözleşme hangi verinin işlendiğini, hangi amaçla, ne kadar süre saklandığını ve hangi güvenlik önlemlerinin olduğunu belirtmelidir. Satıcı DPA sunmuyorsa bu kırmızı bayraktır.
DataForSEO Labs’tan (Amerika Birleşik Devletleri, İngilizce) güncel anahtar kelime verileri “ai resume screening” için aylık yaklaşık 390 arama gösteriyor. Bu arayanların çoğu alttaki uyumluluk katmanını düşünmeden araçları değerlendiriyor.
ABD gizlilik yasaları: yalnızca Avrupa sorunu değil
GDPR manşetleri alır, ancak ABD gizlilik gereksinimleri genişliyor. Birkaç eyalet kapsamlı gizlilik yasalarını geçirdi veya önerdi:
- Kaliforniya (CCPA/CPRA): Üçüncü taraflarla veri paylaşımının açıklanmasını gerektirir ve tüketicilere kişisel verilerin satışı veya paylaşımından vazgeçme hakkı verir.
- New York City Yerel Kanun 144: Otomatik istihdam karar araçları için önyargı denetimleri gerektirir. AI dedektörünüz bir işe alım kararına katkıda bulunuyorsa bu yasa kapsamına girebilir.
- Illinois AI Video Interview Act ve BIPA: İşe alımda kullanılan biyometrik veri ve AI araçlarına özel gereksinimler getirir.
Düzenleyici ortam daha fazla açıklama, daha fazla denetim ve daha fazla aday hakkına doğru ilerliyor. Pipeline’ınıza denetlenmemiş üçüncü taraf API eklemek uyumluluk yüzeyinizi artırır.
API satıcısına beş soru
Sözleşme imzalamadan önce bunların yazılı yanıtlarını alın:
-
Sunucular nerede? Satıcının altyapısı yetki alanınızın dışındaysa sınır ötesi veri transferi kuralları geçerlidir. AB verisinin ABD sunucularına gönderilmesi için Standart Sözleşme Maddeleri veya yeterlilik kararı gerekir.
-
Aday verisi ne kadar süre saklanır? Bazı API’ler girdi metnini model iyileştirmesi için önbelleğe alır. Aday özgeçmişleriniz satıcının sunucularında süresiz saklanıyorsa bu veri minimizasyonu ilkeleriyle çelişir.
-
Aday verisi model eğitimi için kullanılıyor mu? Birçok AI şirketi modellerini iyileştirmek için girdi verisini kullanır. Özgeçmiş metni eğitim için kullanılıyorsa, aday verisini işe alımla ilgisi olmayan bir amaç için paylaşıyorsunuz—ve neredeyse kesinlikle belirttiğiniz hukuki dayanağın kapsamı dışında.
-
Satıcı hangi güvenlik sertifikalarına sahip? SOC 2 Type II, ISO 27001 veya eşdeğeri. Satıcı güvenlik standartlarını gösteremiyorsa, kişisel veriyi denetleyemediğiniz bir sisteme gönderiyorsunuz.
-
Satıcı GDPR uyumlu DPA imzalar mı? Cevap hayırsa veya “bu ürün katmanı için genelde yapmıyoruz” ise uzaklaşın.
Veri minimizasyonu alternatifi
GDPR’nin veri minimizasyonu ilkesi, yalnızca belirli bir amaç için gerekli veriyi işlemeniz gerektiğini söyler. AI tespit taraması tek bir soruyu yanıtlamak için tüm özgeçmiş metnini işler: “Bu AI ile mi yazıldı?” Düşük değerli bir sinyal için çok fazla kişisel veri.
Kriter tabanlı yaklaşım daha az veriyi daha faydalı bir sonuç için işler. CriteriaMatch belirli nitelikleri—sertifikalar, çalışma hakları, dil becerileri, deneyim eşikleri—tanımlı gereksinimlere karşı değerlendirir. Tarama hedeflidir, sonuç eyleme dönüştürülebilir ve veri işleme amaca orantılıdır.
Bir adayın gereksinimlerinizi karşılayıp karşılamadığına karar vermek için tüm özgeçmişleri üçüncü taraf sunucuya göndermeniz gerekmez.
Aday haklarına ve ekip verimliliğine saygı duyan işe alım iş akışları oluşturma hakkında daha fazla bilgi için işe alımda sorumlu AI rehberimize bakın.
İmzalamadan önce uyumluluğu haritalayın
AI dedektör API pazarı hızlı hareket ediyor. Satıcılar aciliyet satıyor—“AI özgeçmişleri pipeline’ınızı bastırıyor”—ürünlerini sorumlu kullanmak için gereken gizlilik altyapısını ele almadan.
Doğruluğu değerlendirmeden önce uyumluluğu değerlendirin. Teknik entegrasyon kolay kısım. Çoğu ekip maliyetin sinyale değmediğini veri yönetiminde fark eder.