Hur påverkar GDPR rekryteringsprocessen?
Sedan EU:s dataskyddsförordning GDPR (General Data Protection Regulation) trädde i kraft i maj 2018 har företag påverkats på en rad olika sätt. Alla verksamheter – oavsett om det rör sig om en offentlig myndighet, ett privat företag, en förening eller annan typ av verksamhet – är förpliktigade att följa reglerna i GDPR vid behandling av personuppgifter.
Arbetsgivare samlar in och behandlar personuppgifter i en rad olika sammanhang, från löneregister och adresslistor till behörighetssystem och kompetensdatabaser för de anställda. GDPR fastställer att alla verksamheter ska ha en rättslig grund för varje syfte de använder personuppgifter för, till exempel fullgörande av ett avtal med personen ifråga, ett giltigt samtycke eller en intresseavvägning. Arbetsgivare måste också följa de grundläggande principerna i GDPR – bland annat att uppgifterna ska vara korrekta, uppdaterade och inte för omfattande i förhållande till syftet med behandlingen. Bestämmelserna i GDPR omfattar därmed också i allra högsta grad rekryteringsprocessen och behandling av kandidaternas personuppgifter.
Det finns därmed många viktiga överväganden att göra kring rättslig grund och de syften som man använder personuppgifterna för. Rekryterande chefer måste ha koll på hur de hanterar kandidaters personuppgifter och i vilket syfte de gör det under hela rekryteringsprocessen – och allt som sker därefter. I denna guide ämnar vi att ge dig våra bästa tips på hur du GDPR-anpassar din rekryteringsprocess, så fortsätt läsa för att ta del av dessa!
Och kom ihåg att vi på Jobylon alltid är ett samtal eller meddelande bort om ditt företag behöver hjälp med att förenkla och GDPR-anpassa din rekrytering!
Vad räknas som en personuppgift?
Enligt GDPR är all information som indirekt eller direkt kan knytas till en fysisk person som är i livet en personuppgift. Typiska personuppgifter är exempelvis:
- Namn
- Adress
- E-postadress
- CV som i sin tur kan innehålla all ovanstående information och mer
Personnummer, ID-kortsnummer och telefonnummer kan knytas till personen ifråga, och kan därför också räknas också som personuppgifter. Även bilder på personer är personuppgifter. Ljudupptagningar och röstinspelningar kan vara personuppgifter, även om inga namn nämns. I vissa fall räknas även elektroniska identiteter som personuppgifter, exempelvis om en person surfar på nätet och lämnar ifrån sig sin IP-adress.
I GDPR så finns det även särskilda krav för så kallade särskilda kategorier av personuppgifter (känsliga personuppgifter), exempelvis uppgifter som avslöjar en persons etniska ursprung, politiska åsikter, religiös eller filosofisk övertygelse, samt uppgifter om en persons sexuella läggning. Även uppgifter om personens hälsa eller medlemskap i en fackförening räknas som känsliga.
Vad är en behandling?
En behandling av en personuppgift kan tyckas vara ett diffust begrepp, men i princip innefattar det varje åtgärd som går att utföra med personuppgifterna – dvs. insamling, registrering, läsning, överföring eller lagring av uppgifterna.
I GDPR beskrivs behandling av personuppgifter som följande:
”En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.”
I rekryteringssammanhang sker den vanligaste behandlingen av personuppgifter när en kandidat söker en tjänst, en arbetsgivare får en rekommendation, eller själv söker upp en potentiell kandidat, och då dessa uppgifter insamlas eller registreras. Att justera, spara eller radera personuppgifter är även det behandlingar.
Så GDPR-anpassar du din rekryteringsprocess
Det finns en hel del att tänka på som arbetsgivare när det gäller behandling av personuppgifter i rekryteringsprocessen, bland annat följande punkter:
- Se till att lagring och hantering av kandidaters personuppgifter sker på ett korrekt sätt, och med rättslig grund.
- Du får enbart samla in relevanta uppgifter för ändamålet och därmed inte en större mängd än nödvändigt, det vill säga samla enbart in de uppgifter som behövs för att bedöma om kandidaten är lämplig för den specifika tjänsten.
- Data som inte längre är relevant för ändamålet måste raderas.
- Uppgifter får inte sparas längre än nödvändigt. Om arbetsgivaren vill spara uppgifterna för att använda vid framtida rekrytering krävs att den sökande samtycker till det, enligt IMY.
- Rekryteringsverktyget som används måste vara säkert och förhindra spridning av information.
Tips! Se till att hitta ett system/en leverantör som har bra kunskap inom området och således har utvecklat funktionalitet för att underlätta ert GDPR-arbete. Det kommer spara er tid och är till stor hjälp för att säkra upp hanteringen av kandidaters personuppgifter.
Exempelvis – det är lika rätt att radera ansökningar manuellt en och en, som att ha ett system som per automatik gör detta efter era instruktioner. Det sistnämnda bidrar dock till att säkra och effektivisera ert arbete.
Kom ihåg! Kommunikationen med kandidaten i GDPR-syfte behöver inte nödvändigtvis vara torr och tråkig. När du som arbetsgivare behöver nå ut till en kandidat för att samla in ett samtycke och/eller informera om den behandling som sker, våga visa en mänsklig och omtänksam sida och var inte rädd för att vara kreativ, det uppskattar många kandidater. Kontakten med kandidaterna är trots allt ett ypperligt tillfälle att stärka ert arbetsgivarvarumärke.
Ett exempel på hur ni kan formulera om ni behandlar data baserat på samtycke: Vi tycker att din profil är intressant och skulle gärna vilja samla in din information för att föreslå relevanta framtida positioner. Vem vet, kanske är nästa tjänst perfekt för just dig? Men din integritet är viktig för oss, så för att göra det behöver vi först ditt godkännande.
- Key takeaway: Se till att all kommunikation med kandidaterna kring hur deras personuppgifter hanteras i rekryteringsprocessen är tydlig och transparent. Men glöm inte för den sakens skull att kommunicera på ett roligt, trevligt och mänskligt sätt. Och när det kommer till att lagra kandidaternas data efter rekryteringsprocessen. En bra tumregel att följa är must have – inte nice to have.
Hur vi på Jobylon kan hjälpa er
I takt med att vår omvärld blir alltmer digital påverkas även sättet vi rekryterar. Människor spenderar en stor del av sina liv uppkopplade, vilket innebär att det finns en enorm mängd data och information om kandidaterna tillgängligt för arbetsgivare och rekryterare, vilket i sig utgör möjligheter. Men med stora möjligheter följer också ett stort ansvar i att se till att värna om kandidaternas integritet.
GDPR kan vara en svårtolkad lagstiftning och många rekryteringsverktyg är komplicerade att navigera kring och förstå. På Jobylon hjälper vi våra kunder att hantera kandidaternas uppgifter i enlighet med GDPR på enkelt och lättförståeligt sätt. Vi har ett flertal funktioner för såväl dig som arbetsgivare som kandidater. Exempelvis finns funktioner för att begära radering och tillgång. Väljer du Jobylon som rekryteringssystem kan du vara säker på att det är GDPR-anpassat.
Nyfiken på att lära dig mer om våra funktioner för att underlätta arbetet kring GDPR?
Senast uppdaterad: