EUs nye forordning for personvern GDPR, General Data Protection Regulation, trer i kraft 25. Mai 2018. GDPR vil da bli norsk lov og erstatter dagens regelverk for personvern i Norge. Om man ikke følger retningslinjene risikerer man bøter på opptil 4% av den totale omsetningen eller 100 millioner euro. Med under ett år igjen til loven trer i kraft er det fortsatt uklarheter for nøyaktig hvordan forordningen skal tolkes i Norge. Her går vi gjennom noe av det den nye reformen vil innebære for deg som jobber med rekruttering.
GDPR – de nye personvernreglene
De grunnleggende kravene som finnes i dagens personopplysningslov er også gjeldende med GDPR, som er en videreføring av dagens regelverk. Det vil si at om dere oppfyller dagens lovkrav vil overgangen til de nye reglene bli enklere. Kort fortalt innebærer GDPR nye rettigheter og bedre beskyttelse for hvert enkelt individ, og mer ansvar for virksomheter som samler inn og håndterer personopplysninger. Reglene for samtykke, informasjon om behandling av opplysninger, dokumentasjon av rutiner og tilgang til sensitive data blir blant annet strengere. Om retningslinjene ikke følges risikerer man bøter på 4% av virksomhetsens globale omsetning eller opp til 100 millioner euro.
Forberedelser i forkant av GDPR
Tiden frem til 25. mai 2018 går raskt, og det er på tide å begynne å utarbeide nye rutiner for behandling av personopplysninger. I tillegg til at hver virksomhet må utpeke en person som er ansvarlig for personvern, så er det en rekke retningslinjer og dokumentasjon som må forberedes:
- Virksomheter skal vurdere risiko og personvernkonsekvenser, og kunne vise til dokumentasjon av en konsekvensanalyse av systemene som brukes. Systemer skal blant annet kunne levere på innebygd integritet. Det vil si at det er begrenset tilgang til personopplysningene og at disse slettes etter en viss tidsperiode.
- Hvilke personopplysninger lagrer dere, har dere samtykke fra kandidaten for å håndtere opplysninger, og hva skal de brukes til? Om du kan svare på dette har du et godt grunnlag for videre arbeid.
- Rutiner for hvordan personopplysninger blir håndtert, tillatelser som er utdelt, behandling av data i e-poster og registrering i fritekst.
- Informasjonstekster om hvorfor opplysninger samles inn, hvem som vil ha tilgang og hvordan opplysningene kommer til å bli håndtert.
Rekruttering og personvernsforordningen
Til nå har det ikke blitt publisert spesifikke retningslinjer for GDPR og rekruttering. Basert på de generelle reglene som kommer med den nye personvernsforordningen, trekker vi her frem de punktene vi ser på som viktige for HR:
- Begrenset innsyn i innsamlede opplysninger – Kun de som absolutt trenger tilgang til opplysninger om kandidater skal ha det. Det betyr tilgangsnivåer som for eksempel begrenser innsynet til rekrutterende ledere om sensitiv informasjon.
- Dele informasjon om kandidaten – GDPR krever ettertanke før du deler en kandidats CV eller kommentarer om kandidaten mellom kollegaer. Dette sees på som behandling av personopplysninger.
Tips! Om dere deler søknader internt i et rekrutteringssystem er det mindre sannsynlig at CVer eller personopplysninger havner på avveie. Om du derimot kommuniserer med kollegaer og kandidater via e-post er det vanskeligere å sikre at informasjonen blir behandlet i samsvar med GDPR. - På forespørsel skal innsamlet data sendes til kandidaten - Kandidater har innsynsrett, det vil si rett til å kreve innsyn i informasjon som er lagret om seg selv. Vedkommende skal da få tilgang til alle innsamlede opplysninger og behandlinger som er gjort. Disse eksporterte dataene skal kunne samles og sendes raskt elektronisk. Det indikeres at dette også gjelder notater om kandidater, for eksempel notater fra et intervju. Dette gjelder uansett om informasjonen finnes i et system, i e-poster eller andre dokumenter.
- Personopplysninger og annen data skal slettes – Man må ha rutiner for å sikre at all kandidatdata slettes etter en viss tidsperiode som kandidaten samtykker til. Dette omfatter søknad, CV og andre notater eller opplysninger som er knyttet til kandidaten. På forespørsel fra kandidaten skal all data slettes. Med det nye regelverket får kandidater en tydeligere ”rett til å bli glemt”.
- Informasjon til kandidater om innsamling av personopplysninger – Med GDPR blir det strengere informasjonsplikt ovenfor kandidatene. Dette betyr oppdaterte informasjonstekster og samtykke fra kandidaten før vedkommende sender CV og søknad – noe som kan være vanskelig å håndtere dersom dere mottar søknader via e-post. Informasjonen skal være skrevet på en enkel måte og være lett tilgjengelig.
- Åpne søknader – Siden informasjon kun kan lagres i en begrenset tidsperiode er det viktig å håndtere åpne søknader på riktig måte. For åpne søknader gjelder også informasjonskrav og samtykke – noe som kan gjøre det enklere å følge opp og ikke miste interessante kandidater.