Hva er GDPR og hva innebærer det for deg som jobber med rekruttering?

2017-09-01

Hva er GDPR og hva innebærer det for deg som jobber med rekruttering?

EUs nye forordning for personvern GDPR, General Data Protection Regulation, trer i kraft 25. Mai 2018. GDPR vil da bli norsk lov og erstatter dagens regelverk for personvern i Norge. Om man ikke følger retningslinjene risikerer man bøter på opptil 4% av den totale omsetningen eller 100 millioner euro. Med under ett år igjen til loven trer i kraft er det fortsatt uklarheter for nøyaktig hvordan forordningen skal tolkes i Norge. Her går vi gjennom noe av det den nye reformen vil innebære for deg som jobber med rekruttering.

gdpr-rekruttering-HR.jpg

GDPR – de nye personvernreglene

De grunnleggende kravene som finnes i dagens personopplysningslov er også gjeldende med GDPR, som er en videreføring av dagens regelverk. Det vil si at om dere oppfyller dagens lovkrav vil overgangen til de nye reglene bli enklere. Kort fortalt innebærer GDPR nye rettigheter og bedre beskyttelse for hvert enkelt individ, og mer ansvar for virksomheter som samler inn og håndterer personopplysninger. Reglene for samtykke, informasjon om behandling av opplysninger, dokumentasjon av rutiner og tilgang til sensitive data blir blant annet strengere. Om retningslinjene ikke følges risikerer man bøter på 4% av virksomhetsens globale omsetning eller opp til 100 millioner euro

Forberedelser i forkant av GDPR

Tiden frem til 25. mai 2018 går raskt, og det er på tide å begynne å utarbeide nye rutiner for behandling av personopplysninger. I tillegg til at hver virksomhet må utpeke en person som er ansvarlig for personvern, så er det en rekke retningslinjer og dokumentasjon som må forberedes:

  • Virksomheter skal vurdere risiko og personvernkonsekvenser, og kunne vise til dokumentasjon av en konsekvensanalyse av systemene som brukes. Systemer skal blant annet kunne levere på innebygd integritet. Det vil si at det er begrenset tilgang til personopplysningene og at disse slettes etter en viss tidsperiode.

  • Hvilke personopplysninger lagrer dere, har dere samtykke fra kandidaten for å håndtere opplysninger, og hva skal de brukes til? Om du kan svare på dette har du et godt grunnlag for videre arbeid.

  • Rutiner for hvordan personopplysninger blir håndtert, tillatelser som er utdelt, behandling av data i e-poster og registrering i fritekst.

  • Informasjonstekster om hvorfor opplysninger samles inn, hvem som vil ha tilgang og hvordan opplysningene kommer til å bli håndtert.

Last ned sjekkliste for GDPR og kandidatsamtykke: Hvordan må du jobbe med samtykke fra kanididater når GDPR trer i kraft? Få oversikt her

Rekruttering og personvernsforordningen

Til nå har det ikke blitt publisert spesifikke retningslinjer for GDPR og rekruttering. Basert på de generelle reglene som kommer med den nye personvernsforordningen, trekker vi her frem de punktene vi ser på som viktige for HR:

  • Begrenset innsyn i innsamlede opplysninger – Kun de som absolutt trenger tilgang til opplysninger om kandidater skal ha det. Det betyr tilgangsnivåer som for eksempel begrenser innsynet til rekrutterende ledere om sensitiv informasjon.

  • Dele informasjon om kandidaten – GDPR krever ettertanke før du deler en kandidats CV eller kommentarer om kandidaten mellom kollegaer. Dette sees på som behandling av personopplysninger.

    Tips! Om dere deler søknader internt i et rekrutteringssystem er det mindre sannsynlig at CVer eller personopplysninger havner på avveie. Om du derimot kommuniserer med kollegaer og kandidater via e-post er det vanskeligere å sikre at informasjonen blir behandlet i samsvar med GDPR.

  • På forespørsel skal innsamlet data sendes til kandidaten - Kandidater har innsynsrett, det vil si rett til å kreve innsyn i informasjon som er lagret om seg selv. Vedkommende skal da få tilgang til alle innsamlede opplysninger og behandlinger som er gjort. Disse eksporterte dataene skal kunne samles og sendes raskt elektronisk. Det indikeres at dette også gjelder notater om kandidater, for eksempel notater fra et intervju. Dette gjelder uansett om informasjonen finnes i et system, i e-poster eller andre dokumenter.

  • Personopplysninger og annen data skal slettes – Man må ha rutiner for å sikre at all kandidatdata slettes etter en viss tidsperiode som kandidaten samtykker til. Dette omfatter søknad, CV og andre notater eller opplysninger som er knyttet til kandidaten. På forespørsel fra kandidaten skal all data slettes. Med det nye regelverket får kandidater en tydeligere ”rett til å bli glemt”.

  • Informasjon til kandidater om innsamling av personopplysninger – Med GDPR blir det strengere informasjonsplikt ovenfor kandidatene. Dette betyr oppdaterte informasjonstekster og samtykke fra kandidaten før vedkommende sender CV og søknad – noe som kan være vanskelig å håndtere dersom dere mottar søknader via e-post. Informasjonen skal være skrevet på en enkel måte og være lett tilgjengelig.

  • Åpne søknader – Siden informasjon kun kan lagres i en begrenset tidsperiode er det viktig å håndtere åpne søknader på riktig måte. For åpne søknader gjelder også informasjonskrav og samtykke – noe som kan gjøre det enklere å følge opp og ikke miste interessante kandidater.  
Last ned sjekkliste for GDPR og samtykke

Rekrutteringsverktøy og GDPR

Med de økte kravene blir det viktig å ha full kontroll på personopplysninger og håndteringen av dem, og da er det lurt å ha all data i et pålitelig system. For de som jobber med rekruttering manuelt, eller via et system som ikke oppfyller kravene, blir det mer utfordrende å sikre at alle opplysninger behandles rett.

ReachMee som leverandør av et IT-system som behandler personopplysninger er pliktet til å følge prinsippene for innebygd personvern når GDPR trer i kraft. Vi jobber for å sikre at ReachMee skal leve opp til disse vilkårene i god tid før mai 2018.

Vil du vite mer om ReachMees rekrutteringsverktøy og hvordan vi kan hjelpe deg og din bedrift? Bestill en demo eller legg igjen din kontaktinformasjon, så forteller vi deg gjerne mer.

Vil du vite mer om GDPR?

Denne artikkelen er ment som generell veiledning i forhold til GDPR for deg som jobber med rekruttering. Dersom du har konkrete spørsmål om GDPR i deres bedrift må du kontakte en jurist.

Abonner på ReachMees blogg Gjør som mange andre og abonner på vår blogg for å få nye innlegg, invitasjoner til våre kommende arrangementer, webinar og kurs rett i innboksen din.

Relaterte innlegg