De flesta har nu börjat inse den stora påverkan GDPR kommer att ha på hur de hanterar personuppgifter under pågående rekryteringar. En vanlig fråga vi stöter på är hur läget ser ut för search, sourcing och headhunting. Eftersom kontaktuppgifter, CV och annan data inte hämtas direkt från kandidaten blir frågan: får jag hantera sourcade kandidatuppgifter?
Att söka upp kandidatdata
Tar vi en titt på ett typiskt flöde för kandidatinformation är första steget att vi hittar kontaktuppgifter, CV eller annan personlig information om en potentiell kandidat online.
När vi väl tar beslutet att spara ner informationen och strukturera det i ett Excelark, spara ner CV på datorn eller i ett CRM-system har vi tagit steget att registrera data. Sällan kommer informationen direkt från kandidaten själv, de har alltså inte skickat in sitt CV direkt till oss och uttryckt intresse för att bli kontaktad, och då ses det som att informationen kommer från en annan källa.
Våra processer till och med det här steget är fortfarande okej enligt GDPR. Men sen kommer det knepiga – vi måste skyndsamt höra av oss till kandidaten och berätta att vi behandlar uppgifterna.
Tips! Lite osäker på det här med personuppgift? En personuppgift är all information som direkt eller indirekt i kombination med annan information kan identifiera en enskild person. Alltså: CV, namn, telefonnummer, e-postadress, bostadsadress, tidigare arbetsplats och titel etc.
Jag måste kontakta kandidater och berätta att jag behandlar deras data
Handen upp alla som känner sig träffade; det har ju hänt att jag sparat information om intressanta kandidater och inte kontaktat dem fören långt efteråt när ett passande uppdrag dykt upp. GDPR gör att det här inte längre är okej – det finns nu en inbyggd deadline.
Senast en månad från det att jag först registrerade uppgifterna, vid första tillfället jag tar kontakt med kandidaten, eller då jag delar kandidatens uppgifter med någon annan måste jag meddela personen i fråga. Det scenario som först inträffar styr alltså hur snabbt jag måste höra av mig.
Dessutom ska jag informera kandidaten om:
- Vilka personuppgifter jag behandlar eller har registrerat
- Var jag hittat dessa uppgifter
- Vem som är personuppgiftsansvarig och kontaktuppgifter dit
- Hur länge jag ämnar spara och behandla deras personuppgifter
- Kategorier av mottagare som jag ska dela eller har delat uppgifterna med
- Ändamål och rättslig grund med behandlingen
- Kandidatens rättigheter (rättelse, tillgång, dataportabilitet, glömd, informerad)
- Att kandidaten har rätt att motsätta sig behandlingen
Hantering av data måste fortfarande följa principerna för dataskyddsförordningen
Även om informationen som jag samlat in är offentligt tillgänglig ska den behandlas enligt GDPR. Jag behöver alltså inte ha samtycke innan jag samlar in kandidatens uppgifter om jag hittar dem på nätet, men får jag inte samtycke att fortsätta behandla uppgifterna när jag kontaktat måste allt jag samlat in om personen raderas.
Tänk också på att var data lagras och hur kandidaters personuppgifter skickas internt eller till uppdragsgivare också måste följa GDPR. Det är med andra ord mycket svårt att följa förordningen men excelark, dropbox eller data på system med otillräckliga säkerhetsåtgärder på plats.
Andra sätt att arbeta med search när GDPR gäller
GDPR betyder inte slutet för sourcing, headhunting eller search. Men i likhet med hur rekryteringsprocesser behöver förändras när kandidaten ansöker själv, kommer dataskyddsförordningen att kräva ändrade arbetsprocesser.
1. Lämna aldrig källan – LinkedIn Recruiter
Kravet att skyndsamt kontakta kandidater och överösa dem med information gäller enbart då du har sparat ner data från källan. Exempelvis om du har sourcat CV och kontaktinformation från LinkedIn och lagt in i ett rekryteringssystem.
LinkedIn har som bekant ett inbyggt verktyg för rekryterare, kallat LinkedIn Recruiter, där du kan jobba med att searcha kandidater, skapa listor och projekt över intressanta personer att ha i åtanke för kommande uppdrag. Jobbar du inne i Recruiter för du aldrig ut information från LinkedIn till en annan plats, och då måste du inte heller kontakta kandidaten med den långa listan av informationspunkter.
Att jobba med sourcing i LinkedIn Recruiter är alltså ett bra sätt att bygga en talent pipeline där du kan hålla koll på intressanta kandidater och uppmana dem att söka lediga jobb när rätt tillfälle ges.
2. Samtycke, intresse och direktregistrering i rekryteringssystem
Ett annat sätt att jobba med search är att ta kontakt med kandidaten så fort som möjligt och be dem att själva registrera sig direkt i ert rekryteringssystem. Innan du samlat in för mycket data, vid det här laget bara namn och kontaktuppgifter, blir det mindre information att gå igenom.
När de själva skriver upp sig får du samtycke till behandling, en tydlig indikation från kandidaten att den är intresserad av en ny tjänst och täcker alla krav på information i ett svep. En bonus är all information då kommer direkt från kandidaten.
Oavsett om du kör på den här taktiken för att slussa in kandidater direkt till ansökan till en specifik tjänst eller till en generell kandidatdatabas sparar du mycket tid.