När PUL byts ut och GDPR, på svenska kallat Dataskyddsförordningen, börjar gälla blir det strängare regler kring hantering av arbetssökandes personuppgifter. Samtycke och tydlig information till kandidater är en central del i den kommande lagstiftningen. För att se till att du rekryterar rätt inom ramen för GDPR har vi sammanfattat vad som gäller för samtycke och information till kandidater.
Rollen som rekryterande företag
Vi har tidigare skrivit en översikt om EU:s dataskyddsreform GDPR och vad det innebär för rekryterare. En viktig anledning att bry sig om regelverket är att böter väntar för det företag som inte lever upp till förordningen, oavsett företagets storlek.
Dataskyddsförordningen bygger till stor del på bestämmelser som sedan tidigare funnits i Personuppgiftslagen. Det nya regelverket innebär strängare krav kring hantering och lagring av personuppgifter, där en förutsättning för att följa lagen betyder att företag måste ha genomtänkta och välfungerande processer för att hantera data. Ett företag som genomför en rekrytering och därför behandlar kandidatdata är Personuppgiftsansvarig.
Information till kandidaten
Det är av yttersta vikt att få medgivande från kandidater till att samla in och behandla deras personuppgifter. Det rekryterande företaget, i egenskap av personuppgiftsansvarig, är ansvarig att informera arbetssökande och få samtycke till hantering av kandidatdata.
Tänk på!
- Informationen ska vara specifik.
- Informationen preciserar vilka uppgifter som samlas in och hur de behandlas.
- Namnger eventuella tredjepartsföretag.
- Kandidaten ska få reda på sina rättigheter gällande att radera data, ta tillbaka sitt samtycke samt att ändra den data som samlats in.
- Villkoren eller integritetspolicyn ska vara skriven på ett enkelt språk så att kandidaten lätt kan förstå.
Arbetssökandes personuppgifter
En personuppgift är information som direkt eller indirekt kan identifiera en fysisk person, antingen enskilt eller i kombination med andra uppgifter. Exempel är namn, telefonnummer, bostadsadress, e-postadress eller annan information som kandidater lämnar i samband med att de skickar in en ansökan. Tänk på att även intervjuanteckningar och uppgifter från referenser kan räknas som personuppgifter. Minnesanteckningar från intervju eller referenstagning kan under vissa omständigheter ses som arbetsmaterial och omfattas då inte av lika stränga regler.
Persondata som inte får samlas in
Viss information anses som känslig och det är inte tillåtet att fråga efter och behandla uppgifter som berör: ras, etnicitet, politiska åsikter, religiös- eller filosofisk tillhörighet, genetiska uppgifter och biometrisk data, hälsa eller sexualitet. Vanligtvis är det inte heller tillåtet att fråga om medlemskap i fackförening. I dagsläget under PUL gäller ett undantag för HR på uppdrag arbetsgivare som måste registrera uppgifter om fackligt medlemskap för att fullgöra sina skyldigheter och rättigheter i enlighet med arbetsrätten. Det är troligt att regeln kommer att fungera på ett liknande sätt under GDPR.
Att be om samtycke
Att be om samtycke i enlighet med GDPR handlar om hur Personuppgiftsansvarige har fått tillåtelse att hantera persondata. Samtycke ska vara ett aktivt val. När en kandidat skickar in sina ansökningshandlingar ska de själva bocka för att de ger sitt medgivande. Med andra ord kan en kandidat inte automatiskt samtycka till lagring och hantering genom att skicka in en ansökan. Det måste gå att visa att de tagit del av samtyckesinformationen och gett sin tillåtelse. Det skapar bekymmer för de som sköter rekrytering helt per e-post då det kan vara svårt att visa att kandidater har tagit del av samtyckesinformationen och gett sitt medgivande till hantering.
Föra register om samtycke
Samtycke handlar inte bara om att den som söker en tjänst blir uppmärksammad om villkoren för dataregistrering och behandling. För er som företaget finns det också ett krav på att kunna bevisa vad som har kommunicerats till kandidater när de gett tillstånd till att lämna ifrån sig sina personuppgifter. Med andra ord ska rekryterande företag ha register eller uppgifter om vilken information kandidater fått när de lämnat sitt samtycke och tydligt visa hur kandidaten har gett sitt godkännande.
- Det ska gå att visa när kandidaten lämnat samtycke och på vilket sätt de gav sin tillåtelse.
- Det ska finnas underlag om vad den som har lämnat sitt samtycke har fått för information.
Hantera samtycke
Sker det några förändringar i vilken data som samlas in från kandidater eller hur den behandlas ska informationen till kandidaterna uppdateras. Det innebär att du behöver korrigera villkor, integritetspolicy och/eller informativa texter så att de överensstämmer med den datalagring och hantering som gäller för ert företag. Att hantera samtycke innebär också att behandla förfrågningar från kandidater om att uppdatera, radera eller rätta data.
Gammal data
En kandidatbank med gamla ansökningshandlingar eller intresseanmälningar behöver uppdateras då Dataskyddsförordningen börjar gälla. Kandidatinformation som samlats in med villkor som följer PUL får inte lagras och behandlas när GDPR träder i kraft. Med andra ord måste gammal data raderas eller uppdateras med nytt samtycke. Ett sätt att hålla kandidatbanken relativt intakt är alltså att uppmana de som skickat in spontanansökan eller andra intressanta kandidater att skicka in sin data på nytt och läsa igenom de nya villkoren för datalagring och hantering.
Få koll på samtycket
Datainspektionen har lagt upp hela Dataskyddsförordningen på sin webbplats. För den som är intresserad av samtycke finns det mer att läsa i artikel 6, 7 och 9.