Når GDPR blir innført fra 25. Mai 2018 blir det strengere regler om håndtering av personvernsopplysninger. For HR og rekrutterere som sitter på store mengder personopplysninger i søknader og CVer blir det svært viktig å sette seg godt inn i de nye reglene. Samtykke og tydelig informasjon til kandidater blir en sentral del av den kommende forordningen. Som hjelp til overgangen har vi sammenfattet det som gjelder for samtykke og informasjon til kandidater i denne artikkelen og i en oversiktlig sjekkliste.
Rollen som rekrutterende bedrift
Vi har tidligere laget en introduksjon til EUs forordning GDPR der vi går gjennom hva GDPR vil bety for deg som jobber med rekruttering. En viktig grunn til å sette seg inn i regelverket er at det kan bli gitt store bøter dersom man ikke følger GDPR.
Forordningen bygger i stor grad videre på bestemmelser som allerede står i personopplysningsloven. Det nye regelverket innebærer derimot strengere krav for håndtering og lagring av personopplysninger. En viktig forutsetning for å følge loven er å ha gjennomtenkte og velfungerende prosesser for å datahåndtering.
Informasjon til kandidaten
Når GDPR trer i kraft blir det nødvendig å få samtykke av kandidater for å samle inn og behandle deres personopplysninger. Den rekrutterende bedriften er ansvarlig for å informere jobbsøkere om deres håndtering og lagring av kandidatdata, og må få samtykke fra kandidaten om dette. Samtykket skal være frivillig og gis med en aktiv handling fra kandidaten.
Tenk på!
- Informasjonen skal være lettlest og skrevet på en måte som kandidaten enkelt kan forstå
- Informasjonen presiserer hvilke opplysninger som samles inn og hvordan de behandles.
- Navngir eventuelle tredjeparter som får innsyn i opplysningene.
- Kandidaten skal få vite sine rettigheter når det gjelder sletting av data, å ta tilbake sitt samtykke samt å gjøre endringer i den dataen som er samlet inn.
Jobbsøkernes personopplysninger
En personopplysning er informasjon som direkte eller indirekte kan brukes til å identifisere en fysisk person, enten alene eller i kombinasjon med andre opplysninger. Eksempler er navn, telefonnummer, adresse, e-postadresse eller annen informasjon som kandidater legger igjen sammen med en jobbsøknad.
Å be om samtykke fra kandidater
Å be om samtykke i samsvar med GDPR handler om hvordan du som samler inn personopplysninger har fått tillatelse til å håndtere disse dataene. Samtykket skal være et aktivt valg, det vil si at når en kandidat sender inn sin søknad skal vedkommende aktivt krysse av en boks eller gjøre en lignende aktiv handling for å gi sitt samtykke. Med andre ord gir ikke kandidaten automatisk samtykke til lagring og håndtering når de sender inn søknaden.
Bedriften deres må kunne vise til at kandidaten har fått presentert samtykkeinformasjonen på en enkel måte, og deretter gitt sitt samtykke med en aktiv handling. Dette vil skape ekstra utfordringer for de som rekrutterer via mail, da det vil bli vanskelig å vise at kandidater har lest samtykkeinformasjonen og aktivt har gitt sitt samtykke til håndtering.
Registrering av samtykke
Samtykke handler ikke bare om at kandidatene som søker på en stilling blir oppmerksom på vilkårene for dataregistering- og behandling. For dere som bedrift er det også et krav om at man skal kunne bevise hva som ble kommunisert til kandidaten på det tidspunktet da kandidaten ga dere samtykke og tilgang til sine personopplysninger. Dermed må alle rekrutterende bedrifter ha oversikt over hvilken informasjon kandidaten fikk da vedkommende ga sitt samtykke, og tydelig vise hvordan samtykket ble gitt ved et aktivt valg.
- Det skal vises til når og hvordan kandidaten la igjen sitt samtykke.
- Det skal vises til hva slags informasjon som ble gitt da kandidaten ga sitt samtykke.
Håndtere samtykke
Dersom det blir gjort endringer i hvilken data som samles inn fra kandidater eller hvordan opplysningene behandles og lagres hos dere, skal informasjonen til kandidatene oppdateres. Dette innebærer at vilkår og informative tekster må korrigeres slik at de stemmer overens med den reelle håndteringen og lagringen i bedriften. Å håndtere samtykke innebærer også å oppdatere, rette eller slette data på forespørsel av kandidaten.
Gamle søknader og CVer
Kandidatinformasjon som er samlet inn i dag får ikke lagres eller behandles når GDPR trer i kraft dersom det ikke allerede er gitt tilstrekkelig samtykke i henhold til GDPR. Med andre ord må gamle søknader og CVer slettes eller oppdateres med nytt samtykke. En måte å holde kandidatbasen din relativt intakt på er å oppfordre interessante kandidater som du har liggende til å lese de nye vilkårene for datalagring og håndtering, og deretter sende inn sin søknad og CV på nytt dersom de samtykker til vilkårene for håndtering og lagring.
Ha oversikt over samtykket
Datatilsynet oppdaterer stadig sine nettsider og vi anbefaler at du er innom der for jevnlige oppdateringer. Mye er fortsatt uklart når det gjelder tolkningen av GDPR i Norge. Dersom du vil lese nøyaktig hva det står om samtykke i EUs forordningstekst kan du leser mer i artikkel 6, 7 og 9.