GDPR-lovverket innebærer utvidede rettigheter og bedre beskyttelse for hvert enkelt individ, og mer ansvar for virksomheter som samler inn og håndterer personopplysninger. Dersom retningslinjene ikke følges kan bøter ilegges inntil 20 millioner euro, eller inntil 4 % av virksomhetens globale omsetning.
Rekruttering og GDPR
For deg som jobber med rekruttering er det avgjørende å ha kontroll på personopplysninger. I en rekrutteringsprosess er det virksomheten som er ansvarlig for at håndtering av personopplysninger er i tråd med personvernordningen.
Med GDPR innebærer det en tydelig og transparent kommunikasjon til kandidater om hvordan personopplysninger håndteres. Dette omhandler ikke bare personalia, men også referanser, intervjusvar, CV-er og søknader.
I en rekrutteringsprosess skal kandidater informeres om hvilke opplysninger som samles inn, til hvilket bruk, og samtykke til dette. Kandidater skal også informeres om retten til å trekke tilbake samtykket og få personopplysninger slettet.
Det er i hovedsak fem prinsipper som er viktig i håndtering av persondata:
- Informere kandidaten om hvilke opplysninger som samles inn, til hvilket bruk og få kandidatens samtykke.
- Opplysninger skal kun brukes i den hensikt det er samlet inn til. Dersom informasjonen skal brukes til andre formål må det foreligge samtykke fra kandidaten.
- Det skal kun etterspørres og samles inn informasjon som er nødvendig for å kunne ta en informert beslutning av kandidaten. Det skal ikke samles inn informasjon og stilles spørsmål som krenker diskriminerende lovgivning.
- Informasjonen som er samlet inn kan kun brukes så lenge kandidaten er relevant og i en prosess. Så fort kandidaten ikke er relevant lenger, eller har fått avslag, skal all informasjon slettes.
- Informere kandidaten om hvor lenge personopplysninger vil bli lagret. Dersom en kandidat oppretter egen profil, kan kandidaten når som helst slette profilen.
Hva er virksomhetens ansvar?
Alle virksomheter som behandler personopplysninger må følge GDPR. Virksomheter som ber om kandidaters personopplysninger er vanligvis databehandlingsansvarlig. Behandlingsansvarlige kan sette bort behandling av opplysninger til en databehandler, men aldri ansvaret.
Det er virksomhetens ansvar å se til at lagring og håndtering av kandidaters personopplysninger behandles på riktig måte, og med rettslig grunnlag.
Som virksomhet er du ansvarlig for å:
- Revidere og oppdatere samtykkeskjema og informasjonstekster i henhold til oppdatert regelverk.
- Personvernerklæring skal være i skriftlig format, og tydelig og klart språk som er enkelt å lese.
- Sørge for at kandidatskjema kun etterspør informasjon som er relevant for databruk og i henhold til personvern.
- Sørge for at data som ikke blir brukt slettes.
Hva er kandidatens rettigheter?
Som nevnt tidligere er en tydelig og transparent kommunikasjon om hvordan personopplysninger håndteres et av de viktigste punktene.
GDPR-personvernordningen gir flere rettigheter og bedre beskyttelse, og som kandidat har man rett til å:
- Samtykke til all behandling av personopplysninger.
- Få informasjon om hvorfor data behandles, hvordan behandlingen skjer, og hvor dataene lagres.
- Få informasjon om hvem som har tilgang til dataen og hvor lenge opplysningene blir lagret.
- Informeres dersom opplysninger blir delt med en tredjepart.
- Vite sine rettigheter om å slette data, trekke sitt samtykke samt endre innsamlet data.
- Be om kopi av all personopplysninger som er samlet inn i et elektronisk format.
- Be om at personopplysninger oppdateres.
Hva er viktig å huske på?
Personvernordningen er et omfattende regelverk av retningslinjer som kan være vanskelig å få grep om.
Vi har laget en sjekkliste med oversikt over hva du må huske på i behandling av personopplysninger i forbindelse med rekruttering.