Rekruttering

Et hurtigt overblik over per­son­da­ta­for­ord­nin­gen

Når du beskæftiger dig med rekruttering, beskæftiger du dig også med kandidaternes data – og så er du nødt til at have styr på persondataforordningen. Med denne artikel får du et hurtigt overblik over nogle af de indledende overvejelser, din virksomhed bør gøre sig.

Som en rekrutterende virksomhed slipper du ikke for at tage stilling til, om din virksomhed opfylder kravene i persondataforordningen, der træder i kraft den 25. maj 2018. For i rekrutteringsprocessen kommer du til at behandle data, som er omfattet af forordningen. Derfor er du nødt til at sikre, at I opbevarer og behandler – og kan slette al – data på en måde, der stemmer overens med kravene i forordningen.

Så hvad skal du gøre i din virksomhed? Tjah, det har noget at gøre med, hvad din virksomhed beskæftiger sig med. Visse virksomheder har krav på sig om, at de skal udpege en databeskyttelsesrådgiver (også kaldet Data Protection Officer, forkortet til DPO), og visse kan vælge.

Uanset om din virksomhed allerede er i gang med forberedelserne eller ej, og uanset om din virksomhed har krav om en DPO eller ej, er det vigtigt, at I får styr på jeres data, systemer og adfærden omkring både systemer og data.

1. Hvorfor er databeskyttelse vigtigt i en rekrutteringssammenhæng

En ansøgning og et CV indeholder personfølsomme oplysninger såsom navn, e-mail, adresse, telefonnummer og nogle gange også fx fødselsdato, familiære oplysninger eller strafferetslig historik. Det er data, der er omfattet af persondataforordningen.

Derfor skal I have styr på, hvor fx ansøgninger og CV’er lagres, for hvis en person ønsker sine data slettet, skal I kunne finde personens data overalt i jeres system – og slette data. Det gælder også, hvis data i fx et CV er blevet mailet rundt og gemt lokalt på en persons pc-skrivebord forud for en jobsamtale.

Hvis du er en del af en virksomhed, hvor al information om en medarbejder samles i et HR-system, kan der også være data om fx personlighedstestresultater, helbredsoplysninger, personlige produktionstal, der skal beskyttes.

2. Oplys, at du indsamler data!

Hvis du lever op til persondataloven i dag, er du allerede godt på vej. Dog er dokumentationskravene med forordningen højere, og udover kravene til håndhævelse og selvforvaltning har du nu pligt til at dokumentere, når Datatilsynet kommer på besøg, at du har styr på data og dens veje.

Desuden har du pligt til klart og tydeligt at oplyse, at du indsamler data over for brugere/kunder.

Derfor skal det fremgå klart og tydeligt, når man opretter sig eller indtaster sine bruger/kundeinformationer, at dataindsamling finder sted. Det skal være et samtykke, som tydeligt fremgår og som kræver, at brugeren skal vinge af. Men det kan du finde information om mange andre steder, så det uddyber vi ikke mere her.

3. Få styr på systemer OG mennesker

For at kunne leve op til forordningen skal der nu ikke alene være styr på systemerne, der skal også være styr på de mennesker, der arbejder med dataen. Adfærd og omgang med data skal dokumenteres på samme måde som selve systemet, der opbevarer data. Så med forordningen skal der være styr på både data og adfærd.

DPO: Skal din virksomhed have en, eller skal den ikke?

Alle offentlige virksomheder skal have en DPO. Private virksomheder kan vælge at have en. Dog er det ikke valgfrit, men derimod et krav, at private virksomheder skal have en DPO, såfremt:

  1. behandling af personoplysninger er virksomhedens kerneaktivitet
  2. der behandles personoplysninger i stort omfang
  3. behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører overvågning af personer eller behandlingen vedrører følsomme oplysninger, herunder oplysninger om strafbare forhold

Hvis virksomhedens produkt eller tjeneste består af behandling af personoplysninger, eller hvis virksomhedens produkt eller tjenester uløseligt er forbundet med behandling af personoplysninger, så betragtes det som kerneaktiviteten i virksomheden. Der er derfor en række virksomheder, der SKAL udpege en DPO. Det er virksomheder såsom:

  • rekrutteringsbureauer
  • hosting eller lagring af oplysninger, herunder cloud-udbydere
  • udbydere af marketingundersøgelser
  • forsikringsselskaber.

Alle virksomheder, der arbejder med persondata, har pligt til at overholde forordningen samt bevise, at de gør det – uanset om virksomheden har krav om at udpege en DPO eller ej. Derfor vil det for langt de fleste virksomheder være relevant at samle arbejdet med at sikre overholdelse af forordningen hos en DPO. Det behøver ikke være en intern ansat, det kan være en ekstern konsulent, virksomheden kan rådføre sig med på området.

Hvis du har for vane forud for en rekruttering at lave kopier af de mest relevante ansøgninger og CV’er og eventuelt rundsende til rekrutterende leder og de relevante personer i HR, så er det en adfærd, I skal have styr på i din virksomhed. For hvis en kandidat kræver at få sine data slettet, skal I finde alle de steder, personens data er lagret og slette det. Det er kort sagt uhensigtsmæssigt at benytte e-mail til at håndtere rekrutteringsinformation.

Måske er det fremover en procedure, I skal have knivskarpe regler for, hvis I vil fortsætte sådan. Det kunne fx være, at I beslutter, at I gerne vil fortsætte med muligheden for at maile hinanden CV’er og ansøgninger, eller opbevare dem i lokale mapper, så længe sagen pågår, men det sekund sagen er lukket, skal alle lokale kopier slettes – og hvis I bruger mail, skal mailen indeholdende CV eller ansøgning også slettes fra mailserveren og sendt post-mappen.

4. Pligt til at fremme sikkerheden i it-systemer

Endelig har du pligt til at indbygge databeskyttelse i jeres systemer. Så hvis der kan ændres på indstillinger i jeres eksisterende systemer, der kan beskytte data, skal der ændres på indstillingerne.

Kan der ikke ændres på indstillingerne, er der ikke krav om det.

Køber I nye it-systemer, skal de indstilles, så de fremmer dataminimering og formålsspecifik behandling.

Læs også