En GDPR-guide for din rekrutteringsprosess

Mina Gaarud Houge Rekruttering GDPR

GDPR

Hvordan påvirker GDPR rekrutteringsprosessen?

Siden EUs personvernforordning GDPR (General Data Protection Regulation) trådte i kraft i mai 2018, har virksomheter blitt påvirket på en rekke forskjellige måter. Alle virksomheter - enten det dreier seg om en offentlig myndighet, et privat selskap, en forening eller annen type virksomhet - er forpliktet til å overholde reglene i GDPR når de behandler personopplysninger.

Arbeidsgivere samler inn og behandler personopplysninger i en rekke forskjellige sammenhenger, fra lønnsregistre og adresselister til autorisasjonssystemer og kompetansedatabaser for de ansatte. GDPR fastslår at alle virksomheter skal ha et juridisk grunnlag for hvert formål de bruker personopplysninger for, for eksempel oppfyllelse av en avtale med personen det gjelder, gyldig samtykke eller en interesseavveining. Arbeidsgivere må også overholde de grunnleggende prinsippene i GDPR - blant annet at opplysningene skal være korrekte, oppdaterte og ikke for omfattende i forhold til formålet med behandlingen. Bestemmelsene i GDPR dekker dermed også i høyeste grad rekrutteringsprosessen og behandling av kandidatenes personopplysninger.

Det er dermed mange viktige overveielser å gjøre om juridisk grunnlag og de formålene man bruker personopplysningene for. Rekrutterende ledere må være oppmerksomme på hvordan de håndterer kandidaters personopplysninger og i hvilket formål de gjør det under hele rekrutteringsprosessen - og alt som skjer etterpå. I denne guiden planlegger vi å gi deg våre beste tips for hvordan du kan tilpasse din rekrutteringsprosess til GDPR, så fortsett å lese for å lære mer!

Og husk at vi i Jobylon alltid er en samtale eller melding unna hvis bedriften din trenger hjelp til å forenkle og tilpasse rekrutteringen din til GDPR!

Hva regnes som en personopplysning?

Ifølge GDPR er all informasjon som indirekte eller direkte kan knyttes til en fysisk person som er i live en personopplysning. Typiske personopplysninger er for eksempel:

  • Navn
  • Adresse
  • E-postadresse 
  • CV som i sin tur kan inneholde all informasjon ovenfor og mer

Personnummer, ID-kortnummer og telefonnummer kan knyttes til personen det gjelder, og kan derfor også regnes som personopplysninger. Også bilder av personer er personopplysninger. Lydopptak og stemmeopptak kan være personopplysninger, selv om ingen navn nevnes. I noen tilfeller regnes også elektroniske identiteter som personopplysninger, for eksempel hvis en person surfer på nettet og gir fra seg sin IP-adresse.


I GDPR er det også spesielle krav til såkalte spesielle kategorier av personopplysninger (sensitive personopplysninger), for eksempel opplysninger som avslører en persons etniske opprinnelse, politiske meninger, religiøse eller filosofiske overbevisning, samt opplysninger om en persons seksuelle legning. Opplysninger om personens helse eller medlemskap i en fagforening regnes også som sensitive.

GDPR Compliance in Recruitment

Hva er en behandling?

En behandling av en personopplysning kan virke som et diffust begrep, men i prinsippet omfatter det enhver handling som kan utføres med personopplysningene – dvs. innsamling, registrering, lesing, overføring eller lagring av opplysningene.

I GDPR beskrives behandling av personopplysninger som følger:

”En handling eller kombinasjon av handlinger som gjelder personopplysninger eller sett av personopplysninger, uavhengig av om de utføres automatisk eller ikke, som innsamling, registrering, organisering, strukturering, lagring, behandling eller endring, framkalling, lesing, bruk, utlevering ved overføring, spredning eller tilveiebringelse på annen måte, justering eller sammenføring, begrensning, sletting eller ødeleggelse.”

I rekrutteringssammenheng skjer den vanligste behandlingen av personopplysninger når en kandidat søker en stilling, en arbeidsgiver får en anbefaling, eller selv søker opp en potensiell kandidat, og når disse opplysningene samles inn eller registreres. Å justere, lagre eller slette personopplysninger er også behandlinger.

Slik tilpasser du rekrutteringsprosessen din til GDPR

Det er en del å tenke på som arbeidsgiver når det gjelder behandling av personopplysninger i rekrutteringsprosessen, blant annet følgende punkter:

  • Sørg for at lagring og håndtering av kandidaters personopplysninger skjer på en korrekt måte, og med juridisk grunnlag.
  • Du kan bare samle inn relevante opplysninger for formålet og dermed ikke en større mengde enn nødvendig, det vil si bare samle inn de opplysningene som trengs for å vurdere om kandidaten er egnet for den spesifikke stillingen
  • Data som ikke lenger er relevant for formålet må slettes.
  • Opplysninger må ikke lagres lenger enn nødvendig. Hvis arbeidsgiveren ønsker å lagre opplysningene for å bruke ved fremtidig rekruttering, kreves det at den søkeren samtykker til det, ifølge IMY.
  • Rekrutteringsverktøyet som benyttes skal være sikkert og hindre spredning av informasjon.

Tips! Sørg for å finne et system eller en leverandør som har god kunnskap om området og som har utviklet funksjoner for å lette deres GDPR-arbeid. Dette vil spare dere tid og være til stor hjelp for å sikre håndteringen av kandidaters personopplysninger.

For eksempel - å slette søknader manuelt en for en er like riktig som å ha et system som automatisk gjør dette etter instruksjonene deres. Det sistnevnte bidrar imidlertid til å sikre og effektivisere arbeidet ditt.

Husk! Kommunikasjonen med kandidaten i et GDPR-formål trenger ikke nødvendigvis å være tørr og kjedelig. Når du som arbeidsgiver trenger å nå ut til en kandidat for å innhente samtykke og/eller informere om den behandlingen som skjer, tørr å vise en menneskelig og omsorgsfull side og ikke vær redd for å være kreativ, mange kandidater setter pris på dette. Kontakten med kandidatene er tross alt en utmerket mulighet til å styrke deres employer brand.

Et eksempel på hvordan du kan formulere deg hvis du behandler data basert på samtykke: “Vi synes profilen din er interessant og vil gjerne samle inn informasjonen din for å foreslå relevante fremtidige stillinger. Hvem vet, kanskje er neste jobb perfekt for deg? Men ditt privatliv er viktig for oss, så for å gjøre det trenger vi først din godkjenning.”

  • Hovedpoeng: Sørg for at all kommunikasjon med kandidatene om hvordan deres personopplysninger håndteres i rekrutteringsprosessen er klar og transparent. Men glem ikke å kommunisere på en morsom, hyggelig og menneskelig måte. Og når det kommer til å lagre kandidatenes data etter rekrutteringsprosessen. En god tommelfingerregel å følge er "must have" - ikke "nice to have".

Hvordan vi på Jobylon kan hjelpe dere

I takt med at verden rundt oss blir stadig mer digital, påvirkes også måten vi rekrutterer på. Folk tilbringer en stor del av livene sine online, noe som betyr at det er en enorm mengde data og informasjon om kandidatene tilgjengelig for arbeidsgivere og rekrutterere, noe som i seg selv gir muligheter. Men med store muligheter kommer også et stort ansvar for å beskytte kandidatenes personvern.

GDPR kan være en vanskelig lov å tolke, og mange rekrutteringsverktøy er kompliserte å navigere og forstå. På Jobylon hjelper vi kundene våre med å håndtere kandidatenes data i samsvar med GDPR på en enkel og forståelig måte. Vi har flere funksjoner for både deg som arbeidsgiver og kandidater. For eksempel er det funksjoner for å be om sletting og tilgang. 

Hvis du velger Jobylon som ditt rekrutteringssystem, kan du være sikker på at det er GDPR-kompatibelt.

Nysgjerrig på å lære mer om funksjonene våre for å lette arbeidet rundt GDPR?

Ikke nøl med å kontakte oss!

GDPR Compliance in Recruiting

Sist oppdatert:

Get the latest updates

Subscribe to the blog to stay updated with the latest content on HR, recruiting, and the future of work

g2_spring_2023_website

Få en personlig demo

Se hvordan Jobylon kan hjelpe deg med å forenkle rekrutteringsprosessen
Bestill en demo