GDPR: Sådan GDPR-sikrer du din rekrutteringsproces

9 min. læsetid
05. marts 2024

GDPR. General Data Protection Regulation. Den europæiske persondataforordning. Databeskyttelsesloven. Kært barn har mange navne og den man tugter, elsker man – næsten da. Du har hørt meget om GDPR. Og det har vi også.

I denne artikel vil vi fortælle, hvordan GDPR helt overordnet påvirker din rekrutteringsproces, og hvad du kan gøre for at GDPR-sikre din ansættelsesproces. Vi runder af med tre vaskeægte GDPR-dilemmaer, lidt bonus-GDPR-info til dig, der bruger LinkedIn i rekrutteringsprocessen, og ikke mindst to konkrete, GDPR-venlige mailskabeloner, du kan bruge, når du modtager en ansøgning på mail.

Se til sidst en oversigt over artikel 13 i databeskyttelsesforordningen, som fastlægger kravene til oplysningspligten som altid skal overholdes.

NB: Denne artikel kan naturligvis ikke erstatte juridisk assistance eller den direkte kontakt til Datatilsynet, så vi vil opfordre dig til at søge denne hjælp uanset hvad.

Ønsker du hjælp til rekruttering? Følg linket her.

Hvad er GDPR? Og hvad er formålet med GDPR?

GDPR, eller General Data Protection Regulation, er en lovgivning indført af EU den 25. maj 2018, der skal sikre, at virksomheder og organisationer behandler og beskytter den enkeltes persondata på en forsvarlig måde. Du kan læse hele GDPR-forordningen på dansk her.

Den helt store forskel mellem tiden før og efter GDPR’s ikrafttræden er derfor, at du som virksomhed nu skal kunne dokumentere, hvordan og hvorfor du behandler al persondata – både de almindelige personoplysninger og de følsomme personoplysninger (se beskrivelsen længere nede).

Derudover skal al indsamling af data have et relevant formål og bygge på et sagligt grundlag. Hver gang du som rekrutteringsansvarlig vælger at indsamle data om en kandidat, skal du derfor spørge dig selv:

  • Er denne data relevant eller irrelevant – set ud fra et sagligt synspunkt?
  • Kan jeg dokumentere, hvorfor og hvordan jeg har indsamlet denne data?
  • Har jeg oplyst kandidaten om, hvor og hvordan jeg opbevarer dennes data – og har jeg oplyst, hvad kandidaten skal gøre for at blive slettet igen, eller få indsigt i, hvad jeg har liggende?

OBS: Datatilsynet fastslog allerede den 30. maj 2018, at man gerne må modtage ansøgninger per mail, så længe de ikke indeholder følsom eller fortroligt materiale. Det ændrer dog ikke ved, at man stadig skal have styr på, HVORDAN man opbevarer data, herunder også ansøgninger.

Forskellen på almindelige personoplysninger og følsomme personoplysninger

Når du forholder dig til GDPR, er det vigtigt at skelne mellem to grupper af persondata, da der stilles særligt skrappe krav til din håndtering af gruppe 2 – de følsomme personoplysninger.  Du må f.eks. ikke behandle personfølsomme oplysninger, medmindre der foreligger et eksplicit samtykke fra den person, hvis oplysninger, du behandler.

Personoplysninger kan opdeles i to kategorier – almindelige personoplysninger og følsomme personoplysninger.

Almindelige personoplysninger

  • Navn
  • E-mail
  • Adresse
  • Pas, kørekort mv.
  • Ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon.
  • Oplysninger om økonomi, skat, gæld eller væsentlige sociale problemer
  • Sygedage
  • Tjenstlige forhold
  • Familieforhold
  • Bolig eller bil
  • Strafbare forhold (er særskilt reguleret i databeskyttelsesloven, men anses for at være alm. personoplysninger)
  • CPR-nummer (er særskilt reguleret i databeskyttelsesloven, og betragtes som fortrolig i dansk ret)

OBS: Et billede betragtes som en personoplysning, hvis det drejer sig om et billede af en genkendelig person. Det skriver Datatilsynet på deres hjemmeside.

Følsomme oplysninger

  • Race eller etnicitet
  • Politisk, religiøs eller filosofisk overbevisning
  • Helbredsmæssige eller seksuelle forhold/orientering
  • Genetiske og biometriske data
  • Medlemskab af fagforening 

Du kan læse mere om personoplysninger på Datatilsynets hjemmeside her.

Fire nye arbejdsgange til en GDPR-compliant rekrutteringsproces

Der er først og fremmest fire arbejdsgange, som du bør have ændret i din ansættelsesproces ifm. GDPR’s ikrafttræden:

1. Undgå printet materiale

Hvis en kandidat ønsker at blive slettet igen, så skal du kunne finde al data på vedkommende (se også punkt 3). Det er nemmest, hvis det ligger digitalt. Undgå at printe alm. personoplysninger, f.eks. CV’er og ansøgninger. Vi bruger selv funktionen, hvor vi indsætter noter i en PDF. De er også nemmere at læse bagefter.

Tip: Hvis du modtager udprintede CV’er så scan dem ind eller bed kandidaten sende dem på en mail, så du har alt samlet ét sted. Sørg for at makulere udprintede dokumenter med personoplysninger.

2. Få styr på behandlingsgrundlaget

Som udgangspunkt kan i indsamle ansøgninger og CV’er til en opslået stilling med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra f - interesseafvejningsreglen. Hvis i dog ønsker at beholde tidligere CV’er og ansøgninger til eventuelle senere relevante jobopslag, bør i indsamle et samtykke til opbevaring hos kandidaten.
Hvis I har et system som i samler ansøgninger op i, så sørg i praksis for, at kandidaten ved upload af sit CV og ansøgning i jeres HR-system giver samtykke til, at du må opbevare vedkommendes oplysninger til andre fremtidige stillinger, som I slår op.

Sørg også for at oplyse om, hvor og hvor længe I opbevarer oplysningerne, samt hvad kandidatens rettigheder er. Et godt udgangspunkt til opbevaringstidsrummet er 6 måneder, sørg derfor for, at kandidaten har mulighed for at forlænge sit samtykke hver 6. måned.

OBS: Hvis ikke du har en databasebliver det mere manuelt.

Hvis du f.eks. er et mindre firma, der modtager ansøgninger i en mailboks, så kan du vælge én person, der står for at modtage ansøgninger, arkivere dem og sørger for at overholde oplysningspligten. Når en ansøger skriver, kan du returnere en standardtekst, hvor du opfylder oplysningspligten i databeskyttelsesforordningens artikel 13. Både første og anden mail arkiveres i en undermappe.

Hvis du ønsker at opbevare ansøgning og CV’er i længere tid med henblik på senere stillinger eller modtager uopfordrede ansøgninger, skal du sørge for at kandidaten kan afgive et samtykke til opbevaring. Dette kan ske i en mail, som du arkiverer.

Hvis du, i samtykket, har skrevet at du opbevarer materialet i 6 måneder, så sørger den ansvarlige for at kontakte alle ansøgere for at forny deres samtykke efter 6 måneder. Det kan styres ved en fast ugentlig søgning i den pågældende undermappe eller ved at lægge opgaven ind i kalenderen.

3. Opbevar alle informationer om kandidaterne ét sted

Du skal kunne finde AL data om en kandidat, da kandidaterne har ret til at få slettet/rettet al data, som du har opbevaret om dem. Vi vil derfor anbefale, at du sørger for at opbevare denne data (inkl. dine noter om kandidaten, referencer mm.) ét samlet sted, f.eks. i dit HR-system eller i dit mailarkiv, så du gør livet nemmere for dig selv.

Vi vil anbefale jer at gøre jeres HR-system til omdrejningspunktet for al databehandling i rekrutteringsprocesserne fremover. Hver gang I skal i gang med en ny rekrutteringsproces, bør I således oprette et nyt ”projekt” i jeres HR-system – uanset om stillingen bliver slået op eller ej.

Hvis du ikke har et HR-system, kan du udnævne én i firmaet som ansvarlig for ansøgninger. Denne person kan så gemme alle henvendelser i én mappe i sin mailboks. Og så skal der sættes en rutine op, som matcher det, I har oplyst kandidaten. Hvis I har skrevet til dem, at I opbevarer data i 6 måneder, skal alle henvendelser ældre end 6 måneder enten slettes eller have mulighed for at forlænge ”opholdet” i den ansvarliges mailboks.

NB: Husk, at kandidaterne kan anmode om indsigt i al data fra rekrutteringsprocessen – også jeres notater. Og det betyder også, at alt I noterer om en kandidat, skal kunne ”tåle” at blive læst af kandidaten selv.

  • Husk det med småt, men af stor betydning:
    Hav styr på databehandleraftalerne med underleverandører, f.eks. leverandøren af jeres HR-system.

4. Slet automatisk data efter X måneder

Sørg for at jeres test- og mail-systemer har nogle automatiserede ”sletteregler” eller ”remindere” indbygget i deres system, således at data om de forskellige kandidater automatisk slettes efter eksempelvis 90 dage. Det kan eksempelvis være resultaterne af kandidaternes personlighedstests eller simple e-mailkorrespondancer med kandidaterne.

Vi har f.eks. opsat følgende sletteregler:

  • Alle mails slettes efter 6 måneder
  • Alle resultater af persontests slettes efter 3 måneder i det
    persontest-system, der genererer dem – og de slettes efter 6 måneder i vores HR-system.
  • Alle rekrutteringsprojekter i vores HR-system – herunder CV’er og ansøgninger – slettes automatisk, når projektet er afsluttet (dvs. når garantiperioden på processen er udløbet). CV’er og ansøgninger gemmes kun, hvis vi har fået en ny samtykkeerklæring fra kandidaten.

3 klassiske GDPR-dilemmaer – og vores forslag til en løsning

  1. En kandidat kigger forbi din virksomhed og afleverer sit CV fysisk til dig: Hvad gør du? 

    Vores forslag: Bed kandidaten pænt om at sende sit CV til dén mail, som I bruger til at modtage ansøgninger og CV’er på – eller bed kandidaten om at uploade CV’et i CV-databasen.

  2. Du modtager en ansøgning – opfordret eller uopfordret – på din arbejdsmail. Hvad gør du?

    Vores forslag: Svar kandidaten pænt, at I kun modtager CV og ansøgninger via CV-databasen eller på en bestemt mail. Sørg tillige for at opfylde oplysningspligten i artikel 13, selvom du sletter mailen efterfølgende. Herefter sletter du mailen i din indbakke og i slettet post.

  3. Du skal afholde interview med en kandidat og har printet vedkommendes CV ud samt medbragt det til interviewet. Du tager i løbet af interviewet nogle noter på CV’et. Hvad gør du med CV’et?

    Vores forslag: I princippet skal du scanne CV’et og sende det til dén mail, hvor du opsamler persondata (samme mail, hvor du modtager ansøgninger og CV’er). Hvis den pågældende kandidat nemlig vil slettes på et senere tidspunkt, skal du også kunne finde dette CV med notat. Retten til at blive slettet gælder nemlig både online og offline. CV’et skal makuleres når det ikke længere skal bruges.
 

Særlig GDPR-viden til dig, der bruger LinkedIn i rekrutteringsprocessen

Hvis du – ligesom 55% af arbejdsgiverne i Danmark – benytter dig af LinkedIn i rekrutteringsprocessen (Kilde: Rekrutteringsanalysen 2018), bør du huske følgende tre ting:

Når I kontakter kandidater via LinkedIn og ønsker et CV fra dem ift. en konkret stilling, skal I tilsende dem et link direkte fra det konkrete projekt/stilling i jeres HR-system. På denne måde opbevares kandidatens data kun inden for det pågældende projekt. I skal ligeledes sørge for at overholde oplysningspligten i artikel 13, dette kan i gøre ved at henvise til en persondatapolitik på hjemmesiden med et link.

Der må IKKE printes profiler fra LinkedIn, eller downloades profiler, som f.eks. gemmes i PDF og deles mellem jeres medarbejdere. Brug i stedet delingsfunktionen på LinkedIn til at videresende en kandidats link

Hvis I bruger LinkedIn Recruiter og skriver noter ved de enkelte kandidater, vil vi anbefale, at I IKKE skriver almindelige personoplysninger her (f.eks. lønønsker, barsel, antal børn mm.). Formulér det i stedet på en anden måde. Hvorfor? Fordi det er en ganske omstændig proces at håndtere. Det vil både kræve et samtykke fra kandidaten, da I kun må notere sådanne personoplysninger, hvis I har fået et samtykke fra vedkommende – og så skal I i øvrigt selv ind og bede LinkedIn om at slette oplysningen efter x antal måneder, da de ikke har en automatisk funktion til formålet.

Bonus-spørgsmål: Er jobansøgninger på mail GDPR-venlige?

Ja, det er de faktisk – sålænge ansøgningen ikke indeholder personfølsomme oplysninger.
Datatilsynet har selv skrevet en kort nyhed om det på deres hjemmeside, som du kan læse her.

Dog vil vi anbefale dig, at I altid beder ansøgere om at uploade deres ansøgninger i jeres HR-system, så I med sikkerhed kan finde alle ansøgerens oplysninger ved en senere lejlighed.

Specifikt ift. uopfordrede ansøgninger vil vi anbefale, at I opretter et eller flere særlige ”projekter” i jeres HR-system. De projekter skal udelukkende bruges til at modtage uopfordrede ansøgninger. Vi vil anbefale, at I benytter nedenstående mail-skabelon som svar på de uopfordrede og opfordrede ansøgninger, som I måtte få ind via mail.

  • Mail-tekst til dig, der modtager ansøgninger via mail

Tak for din ansøgning.

Vi vil bede dig om at uploade dit materiale via [Indsæt link til projektmappe for uopfordrede ansøgninger i jeres HR-system]. Vi opbevarer ikke ansøgninger i vores mailsystem og sletter derfor din mail inklusiv materialet umiddelbart efter denne er afsendt. Sørg ligeledes for at henvise til en persondatapolitik der opfylde oplysningspligten i artikel 13.

  • Mail-tekst til dig, der ikke har et HR-system til at håndtere de ansøgninger

Tak for din ansøgning.

Vi vil opbevare din mail og dit materiale i 6 mdr., hvorefter det slettes automatisk. I tilfælde af at du ønsker at korrigere materialet, eller du ønsker at blive slettet, så bedes du skrive på ’nn@mail.dk’ og oplyse den mailadresse, som dit materiale er sendt fra.

Materialet deles ikke med uvedkommende uden for firmaet og er kun tilgængeligt for ansættende ledere i firmaet.

Du kommer automatisk / ikke automatisk i betragtning til opslåede stillinger i firmaet. Sørg ligeledes for at henvise til en persondatapolitik der opfylde oplysningspligten i artikel 13.

Oplysningspligten i artikel 13

Artikel 13 bestemmer at en registreret mindst skal vide følgende når du modtager/indsamler data fra dem:

Identitet og kontaktoplysninger på din virksomhed og en eventuel repræsentant
  • Kontaktoplysninger for jeres databeskyttelsesrådgiver
  • Formålene med og retsgrundlaget for behandlingen
  • De legitime interesser, som forfølges af jer, dette vil ofte være jeres interesse i at finde en kandidat til det ledige job
  • Eventuelle modtagere eller kategorier af modtagere af personoplysningerne, dette kan være eventuelle HR-systemer eller jeres mailsystem
  • Hvis du overfører personoplysninger til et usikkert tredjeland, samt retsgrundlaget herfor, det kan f.eks. være hvis du anvender Outlook, som ligger i et tredjeland

Derudover er det en god idé yderligere at oplyse om følgende:

  • Tidsrummet for behandlingen og opbevaringen
  • Oplistning af den registreredes rettigheder
  • Retten til at trække samtykket tilbage (hvis der er afgivet samtykke)

Oplysningspligten skal som klart udgangspunkt opfyldes i alle tilfælde, hvor du kommer i kontakt med personoplysninger fra en jobsøger – også selvom vedkommende på eget initiativ sender oplysninger til dig.


 Download e-bog - 9 overvejelser, når du vælger rekrutteringspartner

 

Download tjekliste - 9 overvejelser, når du vælger rekrutteringspartner