<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=129294691104950&amp;ev=PageView&amp;noscript=1">

Förbered dina rekryteringar för nya dataskyddsförordningen

2017-09-21

Förbered dina rekryteringar för nya dataskyddsförordningen

Om lite mer än ett halvår kommer nya dataskyddsförordningen, mer känt under förkortningen GDPR, att ersätta Personuppgiftslagen. Med ökade krav på säkerhet, uppgiftsbehandling och högre böter för de som inte efterlever reglerna finns det god anledning att börja förbereda sig. Vi sammanfattar det mest centrala i förberedelsearbetet för rekryterare och HR inför det att dataskyddsförordningen börjar gälla.  

forbered-dina-rekryteringar-infor-dataskyddsforordningen.jpg

Förberedelser för rekryterande företag

Det företag som genomför rekryteringar för egen räkning är personuppgiftsansvarig. Det innebär ett ansvar för de interna processerna om hur kandidaters personuppgifter behandlas, rutiner och säkerhet samt att säkerställa att externa leverantörer och egna system lever upp till GDPR-säker hantering.

Oron för böter

Nya dataskyddsförordningen är en het fråga framförallt på grund av den höga straffavgift som kan drabba företag som inte lever upp till kraven. Mindre överträdelser ger ”bara” böter på 2% av omsättningen medan ett större övertramp kommer med en prislapp på upp till 4% av omsättningen (upp till 20 miljoner EUR). Dataskyddsförordningen gäller inte bara för hur företag behandlar kunduppgifter; även när det kommer till att rekrytera ska lagring och behandling följa GDPR.

Strategi – så förbereder du dina rekryteringar inför dataskyddsförordningen

Det är inte bara HR och rekryterande funktion som måste se över sina rutiner och lagring av persondata. Att bli compliant, det vill säga möta regeluppfyllnad, för Dataskyddsförordningen innebär ett stort arbete genom hela företaget. Med andra ord bör det finnas stöd från ledningsgruppen i form av en företagsspecifik handlingsplan som HR-avdelningen kan vända sig till för vägledning. Baserat på den information som finns tillgänglig hos Datainspektionen och andra rådgivande funktioner finns det fyra centrala faser i förberedelsearbetet.

  1. Förbereda
  2. Inventera
  3. Utvärdera
  4. Agera

1) Förbereda – förstå dataskyddsförordningen och få rätt stöd

Det första steget är att vara förberedd. Läs på om dataskyddsförordningen, se om det finns stöd inom företaget att hämta och överväg om det finns behov av att ta in externa konsulter. Eftersom dataskyddsförordingen är en företagsgemensam fråga behöver du inte känna att GDPR-arbetet ska behöva skötas helt på egen hand.

  • Läs på om dataskyddsförordningen så att du får en övergripande förståelse för reglerna. Datainspektionens webb förklarar de uppdaterade reglerna.

  • Undersök hur frågan hanteras inom företaget. Arbetet med att möta förordningen är en fråga för ledningsgruppen. Uppfinn inte hjulet på nytt och ta reda på hur frågan sköts internt. Finns det framtagen dokumentation du ska använda dig av? Finns det en central kontaktperson som ansvarar för GDPR-relaterade frågor på ert företag?

  • Se över om det finns behov för extern hjälp. Är det ett massivt projekt att inventera allt? Svårt att tolka reglerna eller veta hur säkerhetsaspekterna av IT ska tydas? Saknas det intern kunskap kan det vara aktuellt att be om hjälp utifrån. Det finns jurist- och advokatbyråer och IT-konsultfirmor som specialiserar sig på att hjälpa till i GDPR-arbetet.

2) Inventera – förstå var ni är

För att förstå nuläget och veta vad som behöver göras är det viktigt att du kartlägger de personuppgifter som ni hanterar i en rekrytering. Inventera också rutiner kopplade till olika delar av rekryteringsprocessen och se över vilka system som lagrar och behandlar persondata. Rutinbeskrivningar är värdefulla för att i ett senare skede konkret veta hur personal ska utbildas för att jobba GDPR-säkert.

  • Inventera personuppgifter och behandlingar. Exempelvis:
    • Vem har tillgång till kandidaters personuppgifter?
    • Var förvarar vi kandidatdata?
    • Vilka personuppgifter lagrar och behandlar vi?

  • Rutinbeskrivningar. Exempelvis:
    • Hur registrerar vi ansökningar?
    • Hur hanterar vi tillgång och insyn i kandidatdata?
    • Vad gör vi med gamla CV:n?

  • Gör en riskanalys. Dataskyddsförordningen har höga krav på personlig integritet och det gäller att de system och program ni använder vid rekrytering skyddar data och vidtar rätt säkerhetsåtgärder. En riskanalys ska även se över den mänskliga faktorn och exempelvis granska risken för att personuppgifter läcker ut från företaget via medarbetares hantering av kandidatdata.

  • Se över tredjepartsavtal. Finns det någon data från kandidater som delas med ett annat företag, exempelvis för second opinion? Inventera hur ser deras behandling av persondata ser ut, vad avtalet säger och var de i sin tur behandlar datan.

3) Utvärdera – förstå vad du och dina kollegor behöver göra

Med en översikt på hur personuppgifter behandlas och lagras i dagsläget är det läge att genomföra en GAP-analys. Här fastställer du var ni är i jämförelse med var ni ska vara för att leva upp till GDPR.

  • Behandling av personuppgifter under GDPR. Det finns en rad nya regler som gäller för vad för uppgifter som får registreras, vem som har tillgång till informationen och hur länge data får sparas. Bland annat:
    • Uppgiftsminimering. Dataskyddsförordningen begränsar möjligheten att lagra onödig information eller att be om personuppgifter för eventuellt framtida bruk. Är det nödvändigt att be om och lagra denna personuppgift?
    • Åtkomstkontroll. Endast den som behöver tillgång till personuppgifterna (ex rekryterare och i viss utsträckning rekryterande chef) bör ha tillgång. Utvärdera hur ni ska säkerställa att enbart nödvändig information delas med rätt personer.
    • Lagringsbeskrivningar. Som del av inventeringen är det aktuellt att kolla upp lagring av data. En del av utvärderingen är sedan att exempelvis undersöka vad det finns för laglig grund för att behandla personuppgifter och om det finns någon restriktion på hur länge uppgifterna får sparas.

  • Att säkerställa den registrerades rättigheter. Hur ska ni leva upp till GDPR:s krav på att säkra individens rättigheter? Det är läge att utvärdera interna rutiner.
    • Dataportabilitiet och möjlighet att få registerutdrag
    • Få rätta felaktiga personuppgifter
    • Få uppgifter raderade 

  • Utvärdera lagringsplats och systemleverantörer. Utifrån riskanalys, inventeringen av personuppgifterna och de krav som finns gällande individens rättigheter är det läge att se över de system eller verktyg du och dina kollegor använder i er rekrytering. Lever de upp till GDPR? Kan de exempelvis ge stöd för:
    • Ändra eller radera kandidatdata
    • Dela kandidatdata säkert
    • Rollbaserad åtkomstkontroll
    • Stöd för informerat samtycke i samband med ansökan

4) Agera – skapa en handlingsplan och kom igång

Baserat på inventering och utvärdering är det läge att sätta en handlingsplan för hur regeluppfyllnad ska bli verklighet. Det kan vara läget att gå igenom och uppdatera tidigare avtal, byta leverantör eller att köpa in ett system som kan underlätta det framtida rekryteringsarbetet.

  • Se över system och leverantörer
    • Uppdatera avtal
    • Byta leverantör
    • Köpa in nytt system
  • Uppdatera samtyckestexter och integritetspolicy
  • Uppdatera rutiner
  • Skapa nya rutiner
    • Vad händer vid personuppgiftsincident?
  • Informera anställda och kollegor om GDPR och nya förhållningssätt.
    • Utbilda om GDPR som grund till förändrade rutiner
    • Utbilda om uppdaterade rutiner

Dataskyddsförordningen efter 25:e maj 2018

När förarbetet väl är genomfört, förhoppningsvis i god tid innan den 25:e maj 2018 då GDPR träder i kraft, är inte arbetet med regelefterlevnad avslutat. Att följa dataskyddsförordningen innebär att ha en pågående och kontinuerlig uppföljning och förbättring av interna rutiner, processer och behandling av persondata.

Vägledning och råd

Dataskyddsförordningen är ett tuff nöt att knäcka och det är bäst att överlåta lagtolkning till jurister. Det räcker sällan att läsa på lite om lagen eller att gå en kort kurs för att helt förstå den juridiska innebörden av förordningen. Analyserna som ska genomföras är också ganska komplexa och kan vara svåra att göra på egen hand. Därför är det bra att så tidigt som möjligt ta in hjälp från företagets bolagsjurist eller IT-specialister för att få stöd genom hela processen. Även företagets utsedda Dataskyddsombud kan vara till hjälp. 

Rekryteringsverktyg som stöd

Med dataskyddsförordningens krav på åtkomstkontroll och säker lagring av personuppgifter är det viktigt att ha ett tillförlitligt rekryteringssystem. Att samla in ansökningar per epost eller att försöka sköta en rekryteringsprocess från ett system som inte kan leverera på regeluppfyllnad innebär många timmars manuellt arbete för att undvika risken att bli bötfälld. 

Vi på ReachMee arbetar för att våra kunder ska känna sig trygga och leva upp till GDPR:s krav i sina rekryteringar. Vill du veta mer om ReachMee rekryteringsverktyg och hur vi kan hjälpa dig och ditt företag? 

Boka en demo eller lämna dina kontaktuppgifter så hör vi av oss till dig och berättar mer. 

Se presentation om GDPR och rekrytering!

Ta del av vår videopresentation som översiktligt förklarar den nya dataskyddsförordningen och hur den kommer att påverka rekryteringar. Videon innehåller tips om hur du förbereder dig inför GDPR och hur du rekryterar rätt inom ramen för den nya förordningen. 

Förstå GDPR! Se videon GDPR och rekryteringar

Läs också:

Prenumerera på ReachMees blogg Gör som många andra och anslut dig till vår blogg för att få de senaste inläggen, inbjudningar till våra kommande event, webinar och utbildningar direkt i din inkorg.

Relaterade inlägg