GDPR: Sådan GDPR-sikrer du din rekrutteringsproces

Af |2019-01-18T12:15:38+00:0013 december, 2018|

GDPR. General Data Protection Regulation. Den europæiske persondataforordning. Databeskyttelsesloven. Kært barn har mange navne og den man tugter, elsker man – næsten da. Du har hørt meget om GDPR. Og det har vi også. I denne artikel vil vi fortælle, hvordan GDPR helt overordnet påvirker din rekrutteringsproces, og hvad du kan gøre for at GDPR-sikre din ansættelsesproces. Vi runder af med tre vaskeægte GDPR-dilemmaer, lidt bonus-GDPR-info til dig, der bruger LinkedIn i rekrutteringsprocessen, og ikke mindst to konkrete, GDPR-venlige mailskabeloner, du kan bruge, når du modtager en ansøgning på mail.

NB: Denne artikel kan naturligvis ikke erstatte juridisk assistance eller den direkte kontakt til Datatilsynet, så vi vil opfordre dig til at søge denne hjælp uanset hvad.

Hvad er GDPR? Og hvad er formålet med GDPR?

GDPR, eller General Data Protection Regulation, er en lovgivning indført af EU den 25. maj 2018, der skal sikre, at virksomheder og organisationer behandler og beskytter den enkeltes persondata på en forsvarlig måde. Du kan læse hele GDPR-forordningen på dansk her.

Den helt store forskel mellem tiden før og efter GDPR’s ikrafttræden er derfor, at du som virksomhed nu skal kunne dokumentere, hvordan og hvorfor du behandler al persondata – både de almindelige personoplysninger og de personfølsomme oplysninger (se beskrivelsen længere nede).

Derudover skal al indsamling af data have et relevant formål og bygge på et sagligt grundlag. Hver gang du som rekrutteringsansvarlig vælger at indsamle data om en kandidat, skal du derfor spørge dig selv:

  1. Er denne data relevant eller irrelevant – set ud fra et sagligt synspunkt?
  2. Kan jeg dokumentere, hvordan jeg har indsamlet denne data, eksempelvis med et samtykke?
  3. Har jeg oplyst kandidaten om, hvor og hvordan jeg opbevarer dennes data – og har jeg oplyst, hvad kandidaten skal gøre for at blive slettet igen, eller få indsigt i, hvad jeg har liggende?

OBS: Datatilsynet fastslog allerede den 30. maj 2018, at man gerne må modtage ansøgninger per mail, så længe de ikke indeholder personfølsom eller fortroligt materiale. Det ændrer dog ikke ved, at man stadig skal have styr på, HVORDAN man opbevarer data, herunder også ansøgninger.

Forskellen på almindelige personoplysninger og personfølsomme oplysninger

Når du forholder dig til GDPR, er det vigtigt at skelne mellem to grupper af persondata, da der stilles særligt skrappe krav til din håndtering af gruppe 2 – de personfølsomme oplysninger.  Du må f.eks. ikke behandle personfølsomme oplysninger, medmindre der foreligger et eksplicit samtykke fra den person, hvis oplysninger, du behandler.

Personoplysninger kan opdeles i to kategorier – almindelinge personoplysninger og personfølsomme oplysninger.

Almindelige personoplysninger

  • Navn

  • E-mail

  • Adresse

  • Pas, kørekort mv.

  • Ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon.

  • Oplysninger om økonomi, skat, gæld eller væsentlige sociale problemer

  • Sygedage

  • Tjenstlige forhold

  • Familieforhold

  • Bolig eller bil

  • Strafbare forhold (er særskilt reguleret i databeskyttelsesloven, men anses for at være alm. personoplysninger)

OBS: Et billede betragtes som en personoplysning, hvis det drejer sig om et billede af en genkendelig person. Det skriver Datatilsynet på deres hjemmeside.

Personfølsomme oplysninger

  • Race eller etnicitet

  • Politisk, religiøs eller filosofisk overbevisning

  • Helbredsmæssige eller seksuelle forhold/orientering

  • Genetiske og biometriske data

  • Medlemskab af fagforening

  • CPR-nummer

Du kan læse mere om personoplysninger på Datatilsynets hjemmeside her.

Fire nye arbejdsgange til en GDPR-compliant rekrutteringsproces

Der er først og fremmest fire arbejdsgange, som du bør have ændret i din ansættelsesproces ifm. GDPR’s ikrafttræden:

1. Undgå printet materiale

Hvis en kandidat ønsker at blive slettet igen, så skal du kunne finde al data på vedkommende (se også punkt 3). Det er nemmest, hvis det ligger digitalt. Undgå at printe alm. personoplysninger, f.eks. CV’er og ansøgninger. Vi bruger selv funktionen, hvor vi indsætter noter i en PDF. De er også nemmere at læse bagefter.

Tip: Hvis du modtager udprintede CV’er så scan dem ind eller bed kandidaten sende dem på en mail, så du har alt samlet ét sted.

2. Få kandidatens samtykke

Hvis I har et system som i samler ansøgninger op i, så sørg ALTID for, at kandidaten ved upload af sit CV og ansøgning i jeres HR-system giver samtykke til, at du må opbevare vedkommendes oplysninger til denne konkrete stilling og andre fremtidige stillinger, som I slår op.

Sørg også for at oplyse om, hvor og hvor længe I opbevarer oplysningerne, samt hvad kandidatens rettigheder er.

OBS: Hvis ikke du har en database, bliver det mere manuelt.

Hvis du f.eks. er et mindre firma, der modtager ansøgninger i en mailboks, så kan du vælge én person, der står for at modtage ansøgninger, arkivere dem og sørger for at indhente samtykke. Når en ansøger skriver, kan du returnere en standard-samtykketekst, hvor du beder dem om at bekræfte per mail, at de er indforstået med, at I opbevarer deres data. Både første og anden mail (med endeligt samtykke) arkiveres i en undermappe.

Hvis du, i samtykket, har skrevet at du opbevarer materialet i 6 måneder, så sørger den ansvarlige for at kontakte alle ansøgere for at forny deres samtykke efter 6 måneder. Det kan styres ved en fast ugentlig søgning i den pågældende undermappen eller ved at lægge opgaven ind i kalenderen.

3. Opbevar alle informationer om kandidaterne ét sted

Du skal kunne finde AL data om en kandidat, da kandidaterne har ret til at få slettet/rettet al data, som du har opbevaret om dem. Vi vil derfor anbefale, at du sørger for at opbevare denne data (inkl. dine noter om kandidaten, referencer mm.) ét samlet sted, f.eks. i dit HR-system eller i dit mailarkiv, så du gør livet nemmere for dig selv.

Vi vil anbefale jer at gøre jeres HR-system til omdrejningspunktet for al databehandling i rekrutteringsprocesserne fremover. Hver gang I skal i gang med en ny rekrutteringsproces, bør I således oprette et nyt ”projekt” i jeres HR-system – uanset om stillingen bliver slået op eller ej.

Hvis du ikke har et HR-system, kan du udnævne én i firmaet som ansvarlig for ansøgninger. Denne person kan så gemme alle henvendelser i én mappe i sin mailboks. Og så skal der sættes en rutine op, som matcher det, I har oplyst kandidaten. Hvis I har skrevet til dem, at I opbevarer data i 6 måneder, skal alle henvendelser ældre end 6 måneder enten slettes eller have mulighed for at forlænge ”opholdet” i den ansvarliges mailboks.

NB: Husk, at kandidaterne kan anmode om indsigt i al data fra rekrutteringsprocessen – også jeres notater. Og det betyder også, at alt I noterer om en kandidat, skal kunne ”tåle” at blive læst af kandidaten selv.

4. Slet automatisk data efter X måneder

Sørg for at jeres test- og mail-systemer har nogle automatiserede ”sletteregler” eller ”remindere” indbygget i deres system, således at data om de forskellige kandidater automatisk slettes efter eksempelvis 90 dage. Det kan eksempelvis være resultaterne af kandidaternes personlighedstests eller simple e-mailkorrespondancer med kandidaterne.

Vi har f.eks. opsat følgende sletteregler:

  • Alle mails slettes efter 6 måneder

  • Alle resultater af persontests slettes efter 3 måneder i det persontest-system, der genererer dem – og de slettes efter 6 måneder i vores HR-system.

  • Alle rekrutteringsprojekter i vores HR-system – herunder CV’er og ansøgninger – slettes automatisk, når projektet er afsluttet (dvs. når garantiperioden på processen er udløbet). CV’er og ansøgninger gemmes kun, hvis vi har fået en ny samtykkeerklæring fra kandidaten.

3 klassiske GDPR-dilemmaer – og vores forslag til en løsning…

  • En kandidat kigger forbi din virksomhed og afleverer sit CV fysisk til dig: Hvad gør du?

    Vores forslag: Bed kandidaten pænt om at sende sit CV til dén mail, som I bruger til at modtage ansøgninger og CV’er på – eller bed kandidaten om at uploade CV’et i CV-databasen.

  • Du modtager en ansøgning – opfordret eller uopfordret – på din arbejdsmail. Hvad gør du?

    Vores forslag: Svar kandidaten pænt, at I kun modtager CV og ansøgninger via CV-databasen eller på en bestemt mail. Herefter sletter du mailen i din indbakke og i slettet post.

  • Du skal afholde interview med en kandidat og har printet vedkommendes CV ud samt medbragt det til interviewet. Du tager, i løbet af interviewet, nogle noter på CV’et. Hvad gør du med CV’et?

    Vores forslag: I princippet skal du scanne CV’et og sende det til dén mail, hvor du opsamler persondata (samme mail, hvor du modtager ansøgninger og CV’er). Hvis den pågældende kandidat nemlig vil slettes på et senere tidspunkt, skal du også kunne finde dette CV med notat. Retten til at blive slettet gælder nemlig både online og offline.

Særlig GDPR-viden til dig, der bruger LinkedIn i rekrutteringsprocessen

Hvis du – ligesom 55% af arbejdsgiverne i Danmark – benytter dig af LinkedIn i rekrutteringsprocessen (Kilde: Rekrutteringsanalysen 2018), bør du huske følgende tre ting:

Når I kontakter kandidater via LinkedIn og ønsker et CV fra dem ift. en konkret stilling, skal I tilsende dem et link direkte fra det konkrete projekt/stilling i jeres HR-system. På denne måde opbevares kandidatens data kun inden for det pågældende projekt.

Der må IKKE printes profiler fra LinkedIn, eller downloades profiler, som f.eks. gemmes i PDF og deles mellem jeres medarbejdere. Brug i stedet delingsfunktionen på LinkedIn til at videresende en kandidats link

Hvis I bruger LinkedIn Recruiter og skriver noter ved de enkelte kandidater, vil vi anbefale, at I IKKE skriver almindelige personoplysninger her (f.eks. lønønsker, barsel, antal børn mm.). Formulér det i stedet på en anden måde. Hvorfor? Fordi det er en ganske omstændig proces at håndtere. Det vil både kræve et samtykke fra kandidaten, da I kun må notere sådanne personoplysninger, hvis I har fået et samtykke fra vedkommende – og så skal I i øvrigt selv ind og bede LinkedIn om at slette oplysningen efter x antal måneder, da de ikke har en automatisk funktion til formålet.

Bonus-spørgsmål: Er jobansøgninger på mail GDPR-venlige?

Ja, det er de faktisk – sålænge ansøgningen ikke indeholder personfølsomme oplysninger.
Datatilsynet har selv skrevet en kort nyhed om det på deres hjemmeside, som du kan læse her.

Dog vil vi anbefale dig, at I altid beder ansøgere om at uploade deres ansøgninger i jeres HR-system, så I med sikkerhed kan finde alle ansøgerens oplysninger ved en senere lejlighed.

Specifikt ift. uopfordrede ansøgninger vil vi anbefale, at I opretter et eller flere særlige ”projekter” i jeres HR-system. De projekter skal udelukkende bruges til at modtage uopfordrede ansøgninger. Vi vil anbefale, at I benytter nedenstående mail-skabelon som svar på de uopfordrede og opfordrede ansøgninger, som I måtte få ind via mail.

  • Mail-tekst til dig, der modtager ansøgninger via mail

    Tak for din ansøgning.

    Vi vil bede dig om at uploade dit materiale via [Indsæt link til projektmappe for uopfordrede ansøgninger i jeres HR-system]. Vi opbevarer ikke ansøgninger i vores mailsystem og sletter derfor din mail inklusiv materialet umiddelbart efter denne er afsendt.

  • Mail-tekst til dig, der ikke har et HR-system til at håndtere de ansøgninger

    Tak for din ansøgning.

    Vi vil opbevare din mail og dit materiale i 6 mdr., hvorefter det slettes automatisk. I tilfælde af at du ønsker at korrigere materialet, eller du ønsker at blive slettet, så bedes du skrive på ’nn@mail.dk’ og oplyse den mailadresse, som dit materiale er sendt fra.

    Materialet deles ikke med uvedkommende uden for firmaet og er kun tilgængeligt for ansættende ledere i firmaet.

    Du kommer automatisk / ikke automatisk i betragtning til opslåede stillinger i firmaet.

Kunne du tænke dig noget GDPR-venlig sparring på jeres rekrutteringsproces?

Så kontakt gerne vores direktør for rekruttering, Jens Yde, på jy@ballisager.com eller tlf. 26 76 76 44.

Opsamling: De 4 ½ trin til en GDPR-venlig rekrutteringsproces

1. Vælg én kanal til at modtage alle ansøgninger – både de opfordrede og uopfordrede.Brug gerne jeres HR-system til det formål.

2. Vælg ét arkiv (dvs. én projektmappe) pr. ansættelsesproces. I bør kunne finde alle informationer om kandidaterne, så det hele skal samles ét sted.

3. Sørg altid for at få kandidatens samtykke til at opbevare deres data.

4. Automatisér så vidt muligt jeres sletning af kandidaternes data.

½. Det med småt, men af stor betydning: Hav styr på databehandleraftalerne med underleverandører, f.eks. leverandøren af jeres HR-system

image_printUdskriv eller gem som PDF