TNG
GDPR-TNG-rekrytering-och-bemanning

Tre tips om GDPR till dig som arbetar med rekrytering

Vad är GDPR?

EU:s nya Dataskyddsförordning, GDPR, börjar gälla den 25 maj 2018. Lagen förändrar sättet att hantera personuppgifter och stärker individens skydd. Är du och HR-avdelningen redo? Här reder vi ut varför GDPR är viktigt ur ett rekryteringsperspektiv.

General Data Protection Regulation och är EU:s nya dataskyddsförordning som träder i kraft 25 maj 2018. Att det är en förordning betyder att den direkt gäller som lag. GDPR är en uppdatering och skärpning av vår nuvarande Personuppgiftslag, PUL. De nya reglerna gäller vilka uppgifter som får registreras, vem som har tillgång till dem och hur länge de får sparas.

Syftet är att ge tillbaka kontrollen över sin persondata till individen. Om ett företag brister i sin behandling av personuppgifter kan de tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av en koncerns omsättning.

Personuppgifter när du rekryterar

En personuppgift är all sorts information som direkt eller indirekt kan kopplas till en person. Det kan vara namn, adress, foton, telefonnummer, e-postadress, IP-adresser, cookies, cv och personliga brev. Även enkla listor eller kalkylark, det som skrivs om personer i löpande text eller information som skickas i e-post omfattas av GDPR. Ingen personinformation får lagras utan ett dokumenterat samtycke eller utan det som kallas ”annan laglig grund”.

Annan laglig grund uppstår exempelvis när personen det berör har ingått ett avtal. Som arbetsgivare får du spara namn, adress, personnummer, bankkontonummer och mycket annat baserat på att ni har ett anställningsavtal.

Vad innebär GDPR för dig som rekryterar?

Framförallt gäller det att ha koll på den information du hanterar om kandidater och inhämta samtycke från dem i samband med ansökan. I en rekryteringsprocess hanterar du ett stort antal personuppgifter och för att värna om säkerheten behöver du bland annat se över vem som har tillgång till kandidaters personuppgifter, var och hur uppgifterna förvaras, hur och vem du delar uppgifter med, vilka uppgifter som lagras och hur länge. Kandidaten har rätt att få sina uppgifter raderade på eget initiativ.

Kort sagt, du måste känna er data, och de system som hanterar informationen. Du måste också kunna motivera varför ni behöver ni precis de här uppgifterna, hur de samlas in och vem har tillgång till dem.

Vi gör ett tankeexperiment…

Ett cv skickas in till ditt företag. Det läggs in i ett rekryteringssystem, och HR-specialisten skickar en kopia skickas till linjechefen via e-post. Linjechefen kommenterar cv:t och skickar det vidare till en kollega. De e-postar sedan sina kommentarer till HR som bjuder in kandidaten på intervju. Efter intervjufasen beslutas det att cv:t ska skickas till teamet för en gruppintervju. Ytterligare tre personer får tillgång till cv:t. När cv:t har fått klartecken är det dags för HR-specialisten att ringa upp kandidatens referenser. Kandidaten skickar information om sina referenser på e-post. HR dokumenterar referenternas namn och kontaktuppgifter i rekryteringssystemet. Nu finns både referensernas namn, telefonnummer, e-post och titel i din personuppgiftshantering.

Är du helt säker på hur du ska och får hantera informationen samt skydda kandidatens personuppgifter? Och i förlängningen, även kandidatens referensers personuppgifter? Det är detta som GDPR handlar om.

Tre tips om GDPR

1. Gör en riskanalys
Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Gå igenom de system och rutiner som används idag för att hantera kandidaters personuppgifter. Skapa tydliga beskrivningar för rutiner kring hur personuppgifter samlas in, i vilket syfte, hur uppgifterna kommer att användas och behandlas samt vilka som har behörighet att ta del av dessa uppgifter.

2. Skapa rutiner
Se till att ni kan uppfylla alla rättigheter som de registrerade har, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter. De viktigaste rättigheterna för de registrerade är att:

  • Få information om vilka uppgifter som du har registrerade som rör dem – registerutdrag
  • Få felaktiga personuppgifter rättade
  • Få sina personuppgifter raderade – rätten att bli glömd


3. Fundera över samtycke eller annan laglig grund

 Samtycke är en av de rättsliga grunderna för att få hantera någons personuppgift. I en rekrytering är det mest troligt att du baserar din hantering på just samtycke. GDPR ställer betydligt hårdare krav än den nuvarande Personuppgiftslagen. Samtycket ska vara frivilligt, entydigt och utformat på ett lättförståeligt sätt. Du måste kunna visa att samtycke har lämnats och kandidaten ska kunna ändra sig och dra tillbaka det.

Varje sätt som du tänker hantera kandidatens personuppgift på måste punktas var för sig och godkännas punkt för punkt genom ett aktivt val av kandidaten. Datainspektionen tar upp att det i vissa fall kan vara lämpligt att överväga om ”annan rättslig grund” kan vara mer passande än samtycke, till exempel genom avtal med den registrerade.

Fundera på era behov och alternativ. Hanteras ett fåtal ansökningar i din organisation per år så är samtycke troligtvis det bästa men hanterar ni mängder så kan avtal en bättre lösning.

Med TNG kan du känna dig trygg. Vi har en väl utarbetad struktur för GDPR som gör att vi lever upp till de nya reglerna. Läs mer om varför det är viktigt för dig som kund och hur vi jobbar med GDPR och rekrytering här.

Källa: Dataskyddsinspektionen