En tredjedel av tillfrågade företag har inte börjat se över sina interna processer kring rekrytering som del av att förbereda sig för GDPR.
En nödvändig process för att kunna identifiera vad som behövs göras inför lagändringarna som träder i kraft 25:e maj 2018.
En orsak verkar vara en generell kunskapsbrist för vad den nya dataskyddsförordningen innebär. Vi tar en titt på vanliga funderingar för att kasta nytt ljus över denna högst aktuella fråga.
Osäkerhet om förordningens centrala punkter
Förutom att ta tempen på förberedelser frågade vi Hur bra koll upplever du att du har på GDPR i förhållande till rekrytering? i samband med ett webinar vi anordnade om hur den nya dataskyddsförordningen kan komma att påverka rekryteringsprocessen. En femgradig skala och över 400 svar gav oss medelvärdet 2,25. Alltså en ganska låg förståelse för hur den kommande förordningen kommer att förändra arbetsprocesser och kandidathantering.
Vad beror det på?
Vi har identifierat ett par ämnen som återkom i kommentarer och frågor från medverkande och i andra dialoger. Alla är överens om att GDPR är viktig att förstå, men många känner att det är långt kvar tills det att förordningen träder i kraft och avvaktar därför att sätta sig in i frågan.
Av de som har insett hur tidskrävande det är att förbereda sin organisation och sina processer för GDPR-säker rekryteringar och som har inlett sitt arbete finns det fortfarande två centrala punkter som orsakar huvudbry.
I informationsångvälten som dragit fram är det nämligen många som missat ett par viktiga detaljer för att fullt ut inse GDPR:s effekt, och det har varit svårt att uppfatta hur förordningen rent praktiskt kommer att påverka nuvarande arbetssätt.
En personuppgift handlar inte bara om personnummer. All slags information som kan kopplas till en individ omfattas av GDPR (och i dagsläget, PUL).
Viktiga detaljer för att förstå vidden av GDPR
Hur lång tid efter den 25:e maj har jag på mig att anpassa mig till GDPR?
Ingen. Vi är just nu i övergångsfasen från att ha processer och behandling av personuppgifter enligt PUL, till att behandla personuppgifter enligt GDPR. Det finns ingen ytterligare karensperiod – regelefterlevnad gäller från dag ett.
Vad är en personuppgift?
En personuppgift handlar inte bara om personnummer. All slags information som kan kopplas till en individ omfattas av GDPR (och i dagsläget, PUL). Det inkluderar namn, telefonnummer, bostadsadress, utlåtande från referenser, intervjusvar och innehåll i ett personligt brev eller CV.
Du hittar mer information på Datasinspektionens webbplats.
Samtycke? Vad är innebär det?
I och med GDPR måste du ha samtycke från kandidater när du behandlar deras ansökningshandlingar, som alltså innehåller personuppgifter. Innan det att en arbetssökande skickar in sin ansökan måste de bli informerade om vad för uppgifter ni vill ha från dem och varför.
För att samtycket ska vara giltigt ska arbetssökande få ta del av informationen enkelt, utan att först behöva kontakta er och be om det, och samtycka med tydlig avsikt. Det går inte att friskriva sig genom att ha en rad i sin annons ”När du skickar in ditt CV samtycker du automatiskt till vår behandling av dina personuppgifter”. Inte heller förbockade rutor på ansökningsformulär räknas som godkänt samtycke.
Du kan läsa mer om samtycke från kandidater i denna bloggartikel.
Hur länge får jag spara personuppgifter?
Enligt GDPR ska personuppgifter tas bort när syftet för att deras insamling är uppfyllt. I klartext: när en rekrytering är avslutad ska du radera eller avidentifiera alla ansökningshandlingar och associerade personuppgifter. De ska tas bort i samtliga led, det vill säga från alla lagringsplatser såsom delad mapp på datorn, excellista, backuper eller i mottagna/skickade mail.
Men! Det finns lagar i Sverige som är överordnade GDPR:s regel för hur länge du kan spara ansökningshandlingar. Ett exempel är Diskrimineringslagen (2008:567). Ifall en arbetssökande upplever sig diskriminerad under en rekryteringsprocess måste ni ha tillgång till underlag som kan bevisa att ni inte har diskriminerat kandidaten. Lagen ger stöd för att arkivera och lagra ansökningen och personuppgifterna i två år efter avslutad rekrytering innan de tas bort. Det är därför viktigt att kolla upp om det finns andra lagar eller regler som ger stöd för att lagra personuppgifter längre än vad GDPR anger.
Det är bra att ha satta processer och rutiner för hur länge uppgifter ska sparas och när de ska raderas, anonymiseras eller arkiveras. Det är också bra att känna till att om ni vill ha kvar personuppgifter för att använda i andra rekryteringar måste ni ha samtycke från kandidaten i förväg.
Praktisk påverkan – era processer kommer att behöva förändras
Beroende på hur väl ditt företag i dagsläget lever upp till PUL blir startsträckan kortare eller längre för att klara av regelefterlevnad under GDPR.
Att arbeta utan rekryteringsverktyg eller HR-system kommer att innebära många timmars administration för att säkra att personuppgifter behandlas, arkiveras och tas bort på rätt sätt. För att inte nämna att kunna säkerställa kandidatens rättigheter. Även den som använder rekryteringsbolag är skyldiga att ha GDPR-säkra rutiner och bör ha skriftligt avtal med sin leverantör.
Sitter ni idag i ett rekryteringssystem är det viktigt att se över så att ni arbetar på rätt sätt med verktyget – och att det har den typen av inställningar och funktioner ni behöver för att underlätta ert arbete med GDPR-säkra rekryteringsprocesser. I grund och botten finns ju rekryteringsverktyg för att minska administration och behovet att manuellt hantera ansökningar. På samma sätt är alltså verktygets roll i och med GDPR att se till att ni lättare kan leva uppp till reglerna.
Oavsett utgångsläge går det inte att ”klara sig undan” GDPR genom att skylla på okunskap, brist på systemstöd eller en förlitan på att en leverantör ska göra arbetet åt er.
Förstå GDPR och hur den påverkar dina rekryteringar på 30 minuter
Tycker du också allt det här med GDPR är svårt och tidskrävande att sätta sig in i har vi lösningen – en snabbintroduktion i videoformat. Presentationen går igenom dataskyddsförordningen med fokus på det du som rekryterar behöver veta för att förstå hur det påverkar ditt arbete med ansökningshandlingar.
Utöver en snabb översikt av GDPR fokuserar vi på fyra aspekter av förordningen:
- Uppgiftsminimering
- Inbyggt dataskydd
- Informera kandidater och få samtycke
- Kandidatens rättigheter
