GDPR – Håndter persondata i din rekrutteringsproces

Den nye europæiske persondataordning (GDPR) træder i kraft den 25. maj 2018. Ordningen kommer til at påvirke alle forretningsområder, hvor man anvender persondata, fx marketing, analyse, strategi og HR og skærper kravene for, hvordan virksomheder og myndigheder på tværs af EU skal sikre og beskytte den personlige data.

Dette omfatter enhver form for information, der gør det muligt at identificere en person, fx navn, adresse, fødselsdato, e-mail-adresse, telefonnummer og stillingsbetegnelse.

For at give GDPR gennemslagskraft vil virksomheder, der sløser med persondata, idømmes en større bøde, der beløbsmæssigt går på op til 20 millioner Euro eller 4 % af den samlede omsætning for de største virksomheder. Bøden afhænger af virksomhedens størrelse, men vil have en markant betydning for alle typer virksomheder og bør derfor undgås.

Det er vigtigt at man som organisation forholder sig til den nye europæiske persondataforordning og sikrer sig, at man overholder alle fem principper. Vi anbefaler, at man som organisation læser flere artikler og rapporter om GDPR og herfra implementerer det i organisationen.

Et afgørende råd i en rekrutteringskontekst er, at man må sikre sig, at det ansøgningssystem, som man anvender til at håndtere ansøgere, gør én i stand til at omstille sig til GDPR. Det er nemlig udelukkende virksomhedens eget ansvar at leve op til kravene. Hvis man som organisation ikke anvender et ansøgningssystem, anbefaler vi jer at få et snarest muligt, da et sådant system gør det lettere at håndtere ansøgeres persondata.

De fem vigtigste principper i GDPR

1. “Fair and Lawful with Transparency”:

Det første princip ved GDPR, er, at virksomheden skal sikre sig, at databehandlingen er fair, legitim og gennemsigtig for ansøgere. For at sikre dette, forventes virksomheder at informere ansøgere, om hvilke data, som de ønsker at indsamle og hvordan de herfra vil bruge det fremadrettet. Som virksomhed er det vigtigt, at der nu skabes gennemsigtighed for brugerne omkring hele dataindsamlingen samt at man kan dokumentere brugernes samtykke til dataindsamling, fx at udsende en specifik “private policy”, som ansøgere herfra skal give deres samtykke til ved aktivt at krydse en boks af.

2. “Explicitly Specified”:

Det andet princip ved GDPR er, at virksomheder nu skal sikre, at databehandlingen kun bruges til det anvendte formål, der udtrykkeligt er blevet angivet til ansøgerne. Som rekrutterende virksomhed må man her være opmærksom på, at det kan være ulovligt at vende tilbage til en kandidat, som ikke fik jobbet, men som senere kan bruges til en fremtidig stilling. I grove træk tillader GDPR kun dette, hvis man på forhånd har informeret ansøgeren, at man også ønsker at bruge dataen til fremtidige rekrutteringsmuligheder.

3. “Only What Is Necessary”:

Det tredje princip i GDPR er, at virksomheder skal sikre, at persondataen bliver begrænset, så man kun indsamler de oplysninger ind, der er tilstrækkelige og nødvendige ift. til ens formål med dataindsamlingen. Dette betyder, at virksomheder nu må skabe en distinktion mellem data, som er “nice to have” og data, der er “need-to-have” og i højere grad overveje, hvilken data, der er legitim at indsamle, når man fx skal ansætte en ny kandidat. Ifølge GDPR må virksomheder kunne bevise, at de ikke har kunnet opnå deres rekruttering med en mindre indgribende dataindsamling – det er derfor vigtigt at vurdere persondataen i højere grad end tidligere.

4. “Current and Accurate”:

Det fjerde princip er, at virksomheder må sikre, at den personlige data er ajourført og korrekt. Dette betyder, at alt data må være opdateret og ikke mindst være korrekt – ellers bør det slettes. I en rekrutteringskontekst er der her en faldgrube, hvis man har en talentdatabase, der ikke kan følge med kandidaters omskiftelige virkelighed, fx hvor de er ansat. Det kan derfor kræve en større administrationsbyrde at skulle holde sin database opdateret for at rette fejl.

5. “Limited Retention”:

Det femte princip er, at virksomheder med GDPR ikke må have persondata indsamlet i en ubegrænset periode. Som virksomhed bliver det afgørende at kunne bevise, at der er en tidsbegrænsning på dataen og kunne forklare, hvorfor denne specifikke tidsbegrænsning netop er fastlagt på den måde. Et spørgsmål er her, hvor langt tid man må have data indsamlet? GDPR giver ikke et fastlagt svar på dette, men fortæller, at det afhænger af konteksten.

Brug YoungCRM til at håndtere GDPR

CompanYoungs har brugt den seneste tid på at integrere GDPR, så vores rekrutteringsplatform YoungCRM lever op til alle forventningerne.

Her er nogle eksempler:

– YoungCRM påminder dig automatisk om at slette data, der er blevet forældret

– Det er muligt at sætte egne regler og begrænsninger for at administrere personlig data

– Vi gør det muligt for kandidaten at tilbagekalde alle sine personlige oplysninger

– Vi har sikkerhedsprocedurer i tilfælde af datatyveri

– Vores funktioner “Live Profiles” og “Profil Mergers”  hjælper med at opdatere kandidatdata

– Virksomheder kan få et overblik over, hvilke kandidater, der har accepteret hvilke samtykker.