Från och med den 25:e maj 2018 gäller EU:s nya lag GDPR, General Data Protection Regulation. Lagen kallas på svenska för Dataskyddsförordningen och kommer på sikt att ersätta nuvarande regelverk kring hantering och insamling av personuppgifter som finns i PUL (Personuppgiftslagen).
Många verksamheter kanske fortfarande har en del frågetecken kring vad GDPR faktiskt innebär. Vi reder ut grunderna kring vad reglerna innebär för dig som jobbar med rekrytering.
GDPR
Genomför ett företag behandling av personuppgifter måste de följa GDPR. Kort sagt innebär det ett ökat skydd för den enskilde individen och ett ökat ansvar för den som hanterar personuppgifter. Bland annat finns det strängare krav om att informera om vilka uppgifter som samlas in, varför de behandlas, hur de hanteras och att uppgifterna bara får användas i ett syfte individen har gett samtycke till. Reglerna för samtycke, information om behandling av uppgifter, dokumentation av rutiner och behörighet till känsliga uppgifter blir strängare.
Alla grundläggande krav som finns i PUL ingår även i GDPR. Det betyder att de som i dagsläget hanterar personuppgifter i enlighet med PUL har en bra utgångspunkt för att förbereda inför för GDPR.
Regelbytet innebär att den så kallade missbruksregeln, en tidigare regel i PUL som tillät viss ostrukturerad behandling av personuppgifter, upphör och att ingen personinformation får lagras utan dokumenterat samtycke. Med andra ord omfattas även enkla listor eller kalkylark, det som skrivs om personer i löpande text eller information som skickas i e-post av GDPR.
Förberedelserna inför GDPR
Två år innan den 25 maj 2018 var det en förberedelseperiod på två år, där varje företag hade tid på sig att göra förändringar.
Förutom att varje organisation skulle utse en person som är för dataskyddsfrågor fanns det en rad riktlinjer och dokumentation att förbereda. Så här såg förberedelsepunkterna ut:
- Företag ska göra en riskanalys och kunna visa upp dokumentation av utvärdering av de system som används. Systemen ska bland annat kunna leverera på inbyggd integritet, dvs att data gallras och att det är begränsad åtkomst till uppgifterna.
- Inventering av register och personuppgifter som insamlas. Varför samlas de in? Hur behandlas de? Använd detta som underlag för vidare arbete.
- Rutinbeskrivningar av exempelvis hur personuppgifter hanteras, behörigheter tilldelas, hantering av data i e-post och registrering i fritext.
- Informationstexter i samband med att personuppgifter samlas in som beskriver vad och varför det insamlas och hur det kommer att användas och behandlas.
Rekrytering och Dataskyddsförordningen
Till skillnad från PUL där det finns riktlinjer för hur lagen ska tillämpas med exempel för vad som gäller inom rekrytering och HR, har inga specifika riktlinjer för GDPR och rekrytering än så länge publicerats. Baserat på de allmänna reglerna och den förstärkning av Personuppgiftslagen som lagbytet innebär finns det ett dock ett par punkter vi redan nu ser som viktiga i framtiden:
- Begränsad insyn i insamlade uppgifter – Endast ett fåtal personer som behöver tillgång till datan ska ha det. Det innebär behörighetsnivåer och att begränsa den information om kandidater som blir tillgänglig för exempelvis rekryterande chefer.
- Dela information om kandidat – GDPR kräver eftertanke kring att skicka CV eller kommentarer om kandidater mellan kollegor. Det ses som en behandling av personuppgift.
Tips! Delar ni ansökningar via ett rekryteringssystem hamnar inga CV:n eller personuppgifter på villovägar. Med e-postkommunikation om kandidater är det svårt att säkerställa att informationen verkligen behandlas/rensas i enlighet med GDPR. - På begäran ska insamlad data lämnas ut – En person som finns registrerad har rätt att begära ut information om vad som finns lagrat. Det ska gå att se dokumentation om samtliga insamlade personuppgifter och de behandlingar som gjorts. Den exporterade datan ska skyndsamt gå att lämna ut elektroniskt. Det indikerar alltså att reglerna även gäller anteckningar om personer, exempelvis från intervju, omfattas av denna behandling. Det gäller oavsett om informationen finns i samma system eller om den finns utspridd på kalkylark, e-post och andra dokument.
- Personuppgifter och annan data ska gallras – Rutiner kring gallring och säkerställande att data raderas efter en viss tidsperiod. Det omfattar ansökningshandlingar, anteckningar i löpande text som är kopplade till individens personuppgifter samt annan profilinformation. På begäran från kandidat ska alla data raderas.
- Information till kandidat om insamling av personuppgifter – Strängare informationskrav gäller. Det innebär uppdaterade informationstexter och samtycke innan CV och personuppgifter mottas – något som kan vara knepigt att hantera om alla ansökningar tas emot per e-post.
- Tänk på intresseanmälan – Eftersom information bara får sparas en begränsad tid är det viktigt att sköta inkomna intresseanmälningar ordentligt. Även här gäller informationskrav och samtycke – och det underlättar att ha en löpande uppföljning för att inte mista intressanta kandidater.
Rekryteringsverktyg i verktygslådan
Med de ökade kraven på att ha fullständig kontroll över personuppgifterna och hanteringen av dem blir det allt viktigare att ha ett tillförlitligt system. För den som sköter sin rekrytering manuellt eller via ett rekryteringssystem som inte lever upp till de ökade kraven blir det en ännu större utmaning än tidigare att säkerställa att allt sköts korrekt.
