GDPR & Rekrytering: Hantera personuppgifterna på rätt sätt

Publicerad: 2017-09-11 av Draftit #Personuppgifter #GDPR #HR #Personalfrågor #Dataskydd
Beräknad lästid för inlägget: ca. 5 minuter

GDPR och rekrytering

I samband med rekryteringsprocesser kommer man alltid att hantera många personuppgifter. Ska ditt företag rekrytera under hösten? Då är det smart att utforma rekryteringsprocessen och hanteringen av data enligt GDPR som träder i kraft den 25 maj nästa år.

Organisationer som använder sig av personuppgifter i verksamheten är skyldiga att informera de registrerade. Det är viktigt att den registrerade vet att de är registrerade, varför och hur uppgifterna kommer att behandlas. I dataskyddsförordningen står det att informationen ska vara uttömmande och lättbegriplig.

Vad räknas som uttömmande och lättbegriplig information? 
Det ska vi ta reda på i denna artikel. Du kommer dessutom få tips på hur personuppgifterna bör sparas, och när de ska gallras.

Det finns så mycket mer att tänka på när det kommer till hantering av personuppgifter vid rekrytering än vad vi kan behandla i denna artikel. Referenstagning, känsliga uppgifter och uppgifter om lagöverträdelser är exempel på processer som också kräver efterlevnad mot GDPR.

 

Informationsskyldighet vid nyrekrytering

Anledningen till att det finns informationsskyldighet är att den registrerade ska känna till samtliga behandlingar av personuppgifter om den jobbsökande. Den registrerade ska också veta att man kan begära registerutdrag. Därför ska det finnas information om hur man begär ett utdrag. Tanken är alltså att de jobbsökande alltid ska vara informerade om hur hans eller hennes uppgifter hanteras.

Har ni inte upprättat en registerförteckning? Ladda ner vår kostnadsfria guide.

 

Bakgrundscheck på sociala medier? Inte okej med GDPR

EU:s rådgivande organ i dataskyddsfrågor, Artikel 29-gruppen, gav i juni 2017 ut en vägledning för dataskyddsfrågor på arbetsplatser. Där beskrivs bland annat att "bakgrundskontroll" av arbetssökande via sociala medier i princip blir uteslutet när GDPR träder i kraft.

Det enda sättet som man kan kringgå detta är om det i jobbannonsen explicit står att sociala medier kommer att kontrolleras i samband med en ansökan.

 

När ska personuppgifter från rekryteringen tas bort?

All data som samlas in under rekryteringsprocessen ska arkiveras så snart man vet att sökanden inte har gått vidare i processen. Innan ansökningsprocessen börjar ska den ansökande givetvis informeras om hur personuppgifter behandlas och lagras i enlighet med dataskyddsförordningen.

Radera inte personuppgifterna. Om en sökande anser sig diskriminerad i ansökningsprocessen, och överklagar detta, så måste ni ha tillgång till de uppgifter som kan bevisa att ni inte diskriminerat den sökande. Spara uppgifterna så länge överklagandetiden gäller. Det är normalt sett 2 år.

Kom ihåg att informationen bara får användas vid överklagan - inte i något annat syfte. Vill arbetsgivaren ha kvar information för eventuella kommande rekryteringar kräver det ett samtycke.

Process - personuppgifter vid rekrytering

 

När ska den jobbsökande informeras?

Information om datahantering kan lämnas:

  • På hemsidan där ansökan skickas in.
  • I ett bekräftelsemail efter ansökan har kommit in.
  • I ett bekräftelsebrev efter ansökan har kommit in.

Kom ihåg: Den registrerade måste också få vet hur personuppgifterna hanteras efter att rekryteringen avslutas, till exempel om personuppgifter sparas under en viss tid.

 

Faktablad: Intern kommunikation för HR

Ladda ner: Guide till lyckad intern kommunikation

 

Använder ni ett rekryteringsbolag? OBS på uppgifter från tredje part

När ni använder er av ett externt rekryteringsbolag, och allmänt när man använder tjänster från tredje part, är det den rekryterande organisationen som ansvarar för hur personuppgifterna behandlas.

Det innebär att ni tillsammans med det externa företaget måste analysera vilken organisation som är ansvarig för personuppgifterna i de olika leden av rekryteringen. Säkerställ också att båda parter har ett datahanteringssystem som efterlever lagstiftningen i GDPR. 

 

Lathund till informering av personuppgiftshantering vid rekrytering

  1. Lämna informationen skriftligt: det är svårt att bevisa att information verkligen har lämnats om det sker muntligen.
  2. Använd kort och koncist språk: välj ord som gemene man förstår och använder.
  3. Anpassa texten till mottagaren: Om ni är ett svenskt företag som exempelvis söker en engelskspråkig person till en viss ställning, ska informationen lämnas på engelska.
  4. Texten ska vara lätt att hitta: Det kan vara en kort beskrivning med en länk som går till den fullständiga versionen av informationen.

I artikel 13-14 i dataskyddsförordningen beskrivs ett antal punkter som ni ska informera om. Du kan läsa mer om krav på innehåll enligt GDPR i Draftit Dataskydd.

Boka gratis demo för Draftit Dataskydd

Jag vill veta mer om GDPR