GDPR: Sådan GDPR-sikrer du din rekrutteringsproces

Forskellen på almindelige personoplysninger og følsomme personoplysninger

Når du forholder dig til GDPR, er det vigtigt at skelne mellem to grupper af persondata, da der stilles særligt skrappe krav til din håndtering af gruppe 2 – de følsomme personoplysninger.  Du må f.eks. ikke behandle personfølsomme oplysninger, medmindre der foreligger et eksplicit samtykke fra den person, hvis oplysninger, du behandler.

Personoplysninger kan opdeles i to kategorier – almindelige personoplysninger og følsomme personoplysninger.

Almindelige personoplysninger

• Navn
• E-mail
• Adresse
• Pas, kørekort mv.
• Ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon.
• Oplysninger om økonomi, skat, gæld eller væsentlige sociale problemer
• Sygedage
• Tjenstlige forhold
• Familieforhold
• Bolig eller bil
• Strafbare forhold (er særskilt reguleret i databeskyttelsesloven, men anses for at være alm. personoplysninger)
• CPR-nummer (er særskilt reguleret i databeskyttelsesloven, og betragtes som fortrolig i dansk ret)

OBS: Et billede betragtes som en personoplysning, hvis det drejer sig om et billede af en genkendelig person. Det skriver Datatilsynet på deres hjemmeside.

Følsomme oplysninger

• Race eller etnicitet
• Politisk, religiøs eller filosofisk overbevisning
• Helbredsmæssige eller seksuelle forhold/orientering
• Genetiske og biometriske data
• Medlemskab af fagforening 

Du kan læse mere om personoplysninger på Datatilsynets hjemmeside her.

Fire nye arbejdsgange til en GDPR-compliant rekrutteringsproces

Der er først og fremmest fire arbejdsgange, som du bør have ændret i din ansættelsesproces ifm. GDPR’s ikrafttræden:

1. Undgå printet materiale

Hvis en kandidat ønsker at blive slettet igen, så skal du kunne finde al data på vedkommende (se også punkt 3). Det er nemmest, hvis det ligger digitalt. Undgå at printe alm. personoplysninger, f.eks. CV’er og ansøgninger. Vi bruger selv funktionen, hvor vi indsætter noter i en PDF. De er også nemmere at læse bagefter.

Tip: Hvis du modtager udprintede CV’er så scan dem ind eller bed kandidaten sende dem på en mail, så du har alt samlet ét sted. Sørg for at makulere udprintede dokumenter med personoplysninger.

2. Få styr på behandlingsgrundlaget

Som udgangspunkt kan i indsamle ansøgninger og CV’er til en opslået stilling med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra f - interesseafvejningsreglen. Hvis i dog ønsker at beholde tidligere CV’er og ansøgninger til eventuelle senere relevante jobopslag, bør i indsamle et samtykke til opbevaring hos kandidaten.
Hvis I har et system som i samler ansøgninger op i, så sørg i praksis for, at kandidaten ved upload af sit CV og ansøgning i jeres HR-system giver samtykke til, at du må opbevare vedkommendes oplysninger til andre fremtidige stillinger, som I slår op.

Sørg også for at oplyse om, hvor og hvor længe I opbevarer oplysningerne, samt hvad kandidatens rettigheder er. Et godt udgangspunkt til opbevaringstidsrummet er 6 måneder, sørg derfor for, at kandidaten har mulighed for at forlænge sit samtykke hver 6. måned.

OBS: Hvis ikke du har en database, bliver det mere manuelt.

Hvis du f.eks. er et mindre firma, der modtager ansøgninger i en mailboks, så kan du vælge én person, der står for at modtage ansøgninger, arkivere dem og sørger for at overholde oplysningspligten. Når en ansøger skriver, kan du returnere en standardtekst, hvor du opfylder oplysningspligten i databeskyttelsesforordningens artikel 13. Både første og anden mail arkiveres i en undermappe.

Hvis du ønsker at opbevare ansøgning og CV’er i længere tid med henblik på senere stillinger eller modtager uopfordrede ansøgninger, skal du sørge for at kandidaten kan afgive et samtykke til opbevaring. Dette kan ske i en mail, som du arkiverer.

Hvis du, i samtykket, har skrevet at du opbevarer materialet i 6 måneder, så sørger den ansvarlige for at kontakte alle ansøgere for at forny deres samtykke efter 6 måneder. Det kan styres ved en fast ugentlig søgning i den pågældende undermappe eller ved at lægge opgaven ind i kalenderen.

3. Opbevar alle informationer om kandidaterne ét sted

Du skal kunne finde AL data om en kandidat, da kandidaterne har ret til at få slettet/rettet al data, som du har opbevaret om dem. Vi vil derfor anbefale, at du sørger for at opbevare denne data (inkl. dine noter om kandidaten, referencer m.m.) ét samlet sted, f.eks. i dit HR-system eller i dit mailarkiv, så du gør livet nemmere for dig selv.

Vi vil anbefale jer at gøre jeres HR-system til omdrejningspunktet for al databehandling i rekrutteringsprocesserne fremover. Hver gang I skal i gang med en ny rekrutteringsproces, bør I således oprette et nyt ”projekt” i jeres HR-system – uanset om stillingen bliver slået op eller ej.

Hvis du ikke har et HR-system, kan du udnævne én i firmaet som ansvarlig for ansøgninger. Denne person kan så gemme alle henvendelser i én mappe i sin mailboks. Og så skal der sættes en rutine op, som matcher det, I har oplyst kandidaten. Hvis I har skrevet til dem, at I opbevarer data i 6 måneder, skal alle henvendelser ældre end 6 måneder enten slettes eller have mulighed for at forlænge ”opholdet” i den ansvarliges mailboks.

NB: Husk, at kandidaterne kan anmode om indsigt i al data fra rekrutteringsprocessen – også jeres notater. Og det betyder også, at alt I noterer om en kandidat, skal kunne ”tåle” at blive læst af kandidaten selv.

4. Slet automatisk data efter X måneder

Sørg for at jeres test- og mail-systemer har nogle automatiserede ”sletteregler” eller ”remindere” indbygget i deres system, således at data om de forskellige kandidater automatisk slettes efter eksempelvis 90 dage. Det kan eksempelvis være resultaterne af kandidaternes personlighedstests eller simple e-mailkorrespondancer med kandidaterne.

Vi har f.eks. opsat følgende sletteregler:

• Alle mails slettes efter 6 måneder
• Alle resultater af persontests slettes efter 3 måneder i det
  persontest-system, der genererer dem – og de slettes efter 6 måneder i vores HR-system.
• Alle rekrutteringsprojekter i vores HR-system – herunder CV’er og ansøgninger – slettes automatisk, når projektet er afsluttet (dvs. når garantiperioden på processen er udløbet). CV’er og ansøgninger gemmes kun, hvis vi har fået en ny samtykkeerklæring fra kandidaten.

3 klassiske GDPR-dilemmaer – og vores forslag til en løsning

1. En kandidat kigger forbi din virksomhed og afleverer sit CV fysisk til dig: Hvad gør du? 
   
   Vores forslag: Bed kandidaten pænt om at sende sit CV til dén mail, som I bruger til at modtage ansøgninger og CV’er på – eller bed kandidaten om at uploade CV’et i CV-databasen.
   
   
2. Du modtager en ansøgning – opfordret eller uopfordret – på din arbejdsmail. Hvad gør du?
   
   Vores forslag: Svar kandidaten pænt, at I kun modtager CV og ansøgninger via CV-databasen eller på en bestemt mail. Sørg tillige for at opfylde oplysningspligten i artikel 13, selvom du sletter mailen efterfølgende. Herefter sletter du mailen i din indbakke og i slettet post.
   
   
3. Du skal afholde interview med en kandidat og har printet vedkommendes CV ud samt medbragt det til interviewet. Du tager i løbet af interviewet nogle noter på CV’et. Hvad gør du med CV’et?
   
   Vores forslag: I princippet skal du scanne CV’et og sende det til dén mail, hvor du opsamler persondata (samme mail, hvor du modtager ansøgninger og CV’er). Hvis den pågældende kandidat nemlig vil slettes på et senere tidspunkt, skal du også kunne finde dette CV med notat. Retten til at blive slettet gælder nemlig både online og offline. CV’et skal makuleres når det ikke længere skal bruges.

Særlig GDPR-viden til dig, der bruger LinkedIn i rekrutteringsprocessen

Hvis du – ligesom 71 % af arbejdsgiverne i Danmark – benytter dig af LinkedIn i rekrutteringsprocessen (Kilde: Rekrutteringsanalysen 2023), bør du huske følgende tre ting:

Når I kontakter kandidater via LinkedIn og ønsker et CV fra dem ift. en konkret stilling, skal I tilsende dem et link direkte fra det konkrete projekt/stilling i jeres HR-system. På denne måde opbevares kandidatens data kun inden for det pågældende projekt. I skal ligeledes sørge for at overholde oplysningspligten i artikel 13, dette kan i gøre ved at henvise til en persondatapolitik på hjemmesiden med et link.

Der må IKKE printes profiler fra LinkedIn, eller downloades profiler, som f.eks. gemmes i PDF og deles mellem jeres medarbejdere. Brug i stedet delingsfunktionen på LinkedIn til at videresende en kandidats link

Hvis I bruger LinkedIn Recruiter og skriver noter ved de enkelte kandidater, vil vi anbefale, at I IKKE skriver almindelige personoplysninger her (f.eks. lønønsker, barsel, antal børn m.m.). Formulér det i stedet på en anden måde. Hvorfor? Fordi det er en ganske omstændig proces at håndtere. Det vil både kræve et samtykke fra kandidaten, da I kun må notere sådanne personoplysninger, hvis I har fået et samtykke fra vedkommende – og så skal I i øvrigt selv ind og bede LinkedIn om at slette oplysningen efter x antal måneder, da de ikke har en automatisk funktion til formålet.

Bonus-spørgsmål: Er jobansøgninger på mail GDPR-venlige?

Ja, det er de faktisk – sålænge ansøgningen ikke indeholder personfølsomme oplysninger.
Datatilsynet har selv skrevet en kort nyhed om det på deres hjemmeside, som du kan læse her.

Dog vil vi anbefale dig, at I altid beder ansøgere om at uploade deres ansøgninger i jeres HR-system, så I med sikkerhed kan finde alle ansøgerens oplysninger ved en senere lejlighed.

Specifikt ift. uopfordrede ansøgninger vil vi anbefale, at I opretter et eller flere særlige ”projekter” i jeres HR-system. De projekter skal udelukkende bruges til at modtage uopfordrede ansøgninger. Vi vil anbefale, at I benytter nedenstående mail-skabelon som svar på de uopfordrede og opfordrede ansøgninger, som I måtte få ind via mail.