Hur påverkar GDPR rekryteringsprocessen?

Den nya dataskyddsförordningen (GDPR) och den nya svenska dataskyddslagen träder båda i kraft den 25 maj i år. I och med detta upphör också personuppgiftslagen (PUL). HR är ett område som berörs starkt och där många processer kan behöva ses över för att uppfylla det nya regelverket.

     

den 25 januari 2018 Victoria Ödlund

En personuppgift är ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras”. Exempel på personuppgifter är personnummer, namn och adress. Flera personuppgifter framkommer alltså redan i ansökningshandlingarna i en rekryteringsprocess. Att registrera och spara dessa uppgifter innebär att personuppgifterna behandlas.

Laglig grund för registrering krävs

För att en registrering ska vara tillåten måste det finns en laglig grund. En första fråga arbetsgivaren bör ställa sig – vid behandling av personuppgifter – är om registreringen överhuvudtaget är laglig? En grund, som kan förekomma i rekryteringssammanhang, är att behandlingen behövs för att kunna ingå ett avtal med den registrerade.

Det är vanligt att arbetssökande skickar in spontanansökningar till potentiella arbetsgivare. Arbetsgivare har då ett kandidatregister att hämta från då rekryteringsbehov uppstår. Inför framtida rekryteringar kan det vara både tidssparande och kostnadseffektivt att redan ha tänkbara kandidater. För att arbetsgivare ska få spara dessa spontanansökningar krävs dock samtycke från den sökande.

Om samtycke är inhämtat finns alltså en laglig grund för att spara handlingen. Det är dock en hel del att tänka på som arbetsgivare när det gäller samtycke. För att ett samtycke ska vara giltigt måste det bygga helt och hållet på frivillighet, och det måste även vara tydligt vad det är man samtycker till. Det ska framgå tydligt vad registreringen ska användas till, vilket innebär att olika behandlingar kräver separata samtycken. Det ska även vara enkelt för den sökande att när som helst kunna dra tillbaka sitt samtycke.

SE OCKSÅ: Onboarding – verktyget för att minska turnover och få nyanställda igång snabbare

Rätt till information

De nya reglerna innebär att alla som har sina personuppgifter registrerade har rätt att få information om hur deras personuppgifter behandlas. Denna rätt till information omfattar såväl redan anställda som kandidater.

I rekryteringssammanhang kan det vara enklast att informationen lämnas skriftligt. En lämplig tidpunkt för att informera kan vara när kandidaten registrerar sig på hemsidan eller i rekryteringssystemet.

I en rekryteringsprocess framkommer det – utöver ansökningshandlingarna – mängder av information om de sökande. Exempel på detta är anteckningar från anställningsintervju, testresultat, referenstagning, betyg, uppgifter från kreditupplysning och utdrag ur belastningsregister. Tänk på att även hanteringen av dessa uppgifter kräver efterlevnad på olika sätt enligt de nya regelverken.

 7 tips för att se över rekryteringsprocessen

  1. Se över laglig grund för registreringen
  2. Se över att inte fler uppgifter behandlas än vad som är nödvändigt (observera särskilt känsliga uppgifter)
  3. Tillse att uppgifter inte behandlas längre än vad som är nödvändigt (upprätta gallringsrutin)
  4. Säkerställ att inte fler personer än vad som är nödvändigt hanterar uppgifterna
  5. Ta fram samtyckestexter
  6. Upprätta rutiner för inhämtande av samtycke
  7. Ta fram informationstexter

Simployer HR system