Hvad er GDPR? Og hvad indebærer det for dig der arbejder med rekruttering?

GDPR vil blive dansk lov og erstatter det nuværende regelsæt for persondatabeskyttelse i Danmark. Hvis man ikke følger retningslinjerne, risikerer man bøder på op til 4% af den totale omsætning eller 100 millioner euro. Med under et år tilbage før loven træder i kraft, er der til stadighed uklarheder om hvordan forordningen præcist skal fortolkes i Danmark. Her gennemgår vi noget af det som den nye reform vil indebære.

gdpr-rekruttering-HR.jpg

GDPR – de nye personbeskyttelsesregler

De grundlæggende krav der findes i den nuværende personoplysningslov er også gældende med GDPR, som er en videreførelse af det nuværende regelsæt. Det vil sige at hvis I opfylder de nuværende lovkrav, vil overgangen til de nye regler være enklere. Kort fortalt indebærer GDPR nye rettigheder og bedre beskyttelse for hvert enkelt individ og mere ansvar for virksomheder der indsamler og håndterer personoplysninger. Reglerne for samtykke, information om behandling af oplysninger, dokumentation af rutiner og tilgangen til følsom data bliver strengere og mere omfattende. Hvis retningslinjerne ikke følges, risikerer man bøder på optil 4% af virksomhedens omsætning optil 100 millioner euro

Forberedelser inden GDPR

Det er på tide at begynde at udarbejde rutiner for behandling af personoplysninger. Udover at hver virksomhed skal udpege en person som er ansvarlig for persondatabeskyttelse, så er der en række retningslinjer samt dokumentering som skal forberedes:

  • Virksomheder skal vurdere risiko og personbeskyttelseskonsekvenser og kunne vise dokumentation af en konsekvensanalyse af de anvendte systemer. Systemer skal blandt andet kunne levere på indlejret integritet. Det vil sige at der er begrænset tilgang til personoplysningerne, og at disse slettes efter en vis tidsperiode.
  • Hvilke personoplysninger gemmes, har i samtykke fra kandidaten til at håndtere oplysninger og hvad skal de bruges til? Hvis du kan svare på dette, har du et godt grundlag for videre arbejde.
  • Rutiner for hvordan personoplysninger bliver håndteret, tilladelser der er uddeles, behandling af data i e-post og registrering i fritekst.
  • Informationstekster om hvorfor oplysninger indsamles, hvem som vil have tilgang og hvordan oplysningerne vil blive håndteret.

Rekruttering og persondataforordningen

Indtil videre er der ikke blevet publiceret specifikke retningslinjer for GDPR i forbindelse med rekruttering. Baseret på de forventede regler der vil komme med persondataforordning, fremhæver vi her de punkter som vi anser som vigtige for en HR-afdelings arbejde:

  • Begræns adgang og indblik i indsamlede oplysninger – Kun de som absolut behøver tilgang til oplysninger om kandidater, skal have det. Det betyder adgangsniveauer som for eksempel begrænset indblik for rekrutterende ledere om følsom information.
  • Dele information om kandidaten – GDPR kræver omtanke før du deler en kandidats CV eller kommentarer om kandidaten mellem kollegaer. Dette anses som behandling af persondataoplysninger. God logføring over handlinger er vigtigt for senere redegørelse.

    Tip! Hvis I deler ansøgninger internt i et rekrutteringssystem, er det mindre sandsynligt at CV’er eller personoplysninger kommer på afveje. Hvis du derimod kommunikerer med kollegaer og kandidater via e-mail, er det vanskeligere at sikre at informationen bliver behandlet i overensstemmelse med GDPR.

  • Efter forespørgsel skal indsamlet data sendes til kandidaten - Kandidater har indsynsret, det vil sige ret til at kræve indblik i information der er gemt om sig selv. Vedkommende skal derefter have adgang til alle indsamlede oplysninger og behandlinger der er foretaget. Disse eksporterede data skal kunne samles og sendes hurtigt elektronisk. Det indikeres at dette også gælder notater om kandidater, for eksempel notater fra et interview. Dette gælder uanset om informationen findes i et system, e-mail eller andre dokumenter.

  • Personoplysninger og anden data skal slettes – Man skal have rutiner for at sikre at al kandidatdata slettes efter en vis tidsperiode, som kandidaten samtykker til. Dette omfatter ansøgning, CV og andre notater eller oplysninger som er knyttet til kandidaten. Efter forespørgsel fra kandidaten skal al data slettes. Med det nye regelsæt får kandidater en ”ret til at blive glemt”.

  • Information til kandidater om indsamling af personoplysninger – Med GDPR kommer en strengere informationspligt ovenfor kandidaterne. Dette betyder opdaterede informationstekster og samtykke fra kandidaten før vedkommende sender CV og ansøgning – Dette kan være svært at håndtere, specielt hvis I modtager jeres ansøgninger via e-mail. Informationen skal være skrevet på en enkel måde og være let tilgængelig.

  • Åbne ansøgninger – Siden information kun kan gemmes i en begrænset tidsperiode, er det vigtigt at håndtere åbne ansøgninger på en korrekt måde. For åbne ansøgninger gælder informationskrav og samtykke også – noget som kan gøre det lettere at følge op og ikke miste interessante kandidater.  

Rekrutteringsværktøjer og GDPR

Med de forhøjede krav bliver det vigtig at have fuldstændig kontrol over personoplysninger og håndteringen af dem. Det er desuden smart at have al data i et pålideligt system. For de der arbejder med rekruttering manuelt, eller via et system der ikke opfylder kravene, vil det i fremtiden blive udfordrende at sikre sig korrekt databehandling.

ReachMee er som leverandør af et IT-system der behandler personoplysninger, forpligtet til at følge principperne for indlejret persondatabeskyttelse når GDPR træder i kraft. Vi arbejder for at sikre at ReachMee skal leve op til disse vilkår i god tid før maj 2018.

Vil du vide mere om ReachMee’s rekrutteringsværktøj og hvordan vi kan hjælpe dig og din virksomhed? Bestil en demo eller send os din kontaktinformation, så fortæller vi dig gerne mere.

Bestil en demo

Vil du vide mere om GDPR?

Tjekliste (norsk): Hent tjekliste for samtykke

Datatilsynets vejleder for de nye personbeskyttelsesregler

Læs hele forordningsteksten fra EU her

Denne artikel er ment som generel vejledning i forhold til GDPR for dig der arbejder med rekruttering. Hvis du har konkrete spørgsmål om GDPR i din virksomhed, skal du kontakte en jurist. 

Publiceret 02.02.2018

Blog om rekruttering

På ReachMee's blog finder du alt, du behøver at vide om rekruttering. Fordyb dig i emner som karrieresider, tiltrække kandidater, arbejde med employer branding og hvordan man skriver gode jobannoncer. Du vil selvfølgelig også finde artikler om rekruttering, udvælgelsesmetoder og håndtering af vellykkede ansættelsesprocesser.

Få inspiration fra vores blog om rekruttering direkte i indbakken.

Tilmeld dig her

Seneste indlæg

Kategorier