GDPR påverkar rekryteringen genom att ändra hur personuppgifter kan samlas in, lagras och användas. Det kommer att bli svårare att behandla stora volymer av kandidater utan att ha en faktisk relation med kandidaten. Hur ska du bäst hantera personuppgifterna för kandidater och när måste du radera uppgifterna? För att besvara dessa frågor, läs denna inledande text om hur GDPR påverkar rekrytering.
Lästid: 4 min
Behandling av personuppgifter vid rekrytering
Rekrytering omfattar ofta behandling av personuppgifter. Behandlingen sker i allmänhet när rekryteraren samlar in uppgifter om potentiella kandidater och utför en sökning bland dem. Rekryteringsprocessen kan innehålla kontaktinformation, betyg, certifieringar, CV, allmänna data, tester och andra dokument. Du kan bearbeta både tester av personlighet och färdigheter och dokumentera en intervju med kandidaten.
Uppdatera ditt personuppgiftsinventarie (register över behandlingar) så att de återspeglar dina rekryteringsmetoder. Respektera lagringsperioderna för olika datakategorier och se till att radera uppgifter om kandidater som inte går hela vägen så snart som praktiskt möjligt.
Ibland är det fördelaktigt att använda en extern part, till exempel ett specialiserat rekryteringsföretag. Det innebär att den externa parten kommer att dela personuppgifter med det anställande företaget. I den situationen måste således rekryteringsföretaget endast dela uppgifter om ett fåtal, utvalda kandidater. Avtalet med denna externa firma måste vara tydligt tillsammans med ett passande formulerat databehandlingsavtal.
GDPR påverkar olika typer av rekrytering
Det finns främst två olika sätt att utföra rekrytering. Först har du den traditionell utannonsering av enskilt jobb. För det andra, är genom att ansöka till en rekryteringsplattform. Beroende på hur du rekryterar skiljer sig både den rättsliga grunden för behandling och den information som ska tillhandahållas de registrerade. Därför i det följande beskriver vi den rättsliga grunden och den information som ska ge i båda situationerna. Därefter beskriver vi specialkategorirekryteringen av en extern sökning. Vi rundar den här artikeln upp med att beskriva hur man bearbetar två datatyper som är relevanta i rekryteringsprocessen.
Enskild jobbannons
En registrerad ansöker ett utannonserat jobb. Kandidaten skickar sin ansökan till antingen ett rekryteringsföretag eller det anställande företaget.
Den huvudsakliga rättsliga grunden för behandlingen är kontraktet för rekrytering. Men samtycke är också möjligt om det uppfyller de rättsliga kraven. Det vill säga, det måste vara t.ex. uttryckligen och frivilligt lämnat.
Det är också viktigt att ge den sökande relevant information om behandlingen. Denna information måste vara tydlig och du måste ge den på ett lämpligt och lättillgängligt sätt. Den information som lämnas till den registrerade bör råda att inte bifoga känsliga uppgifter till ansökan. Dessutom, om den rättsliga grunden för behandlingen är samtycke, måste du informera sökanden om rätten att återkalla samtycket när som helst.
Enligt GDPR måste den sökande informeras om att uppgifterna kommer att lagras för framtida rekryteringar och måste kunna återkalla sitt samtycke eller invända mot behandlingen.
GDPR:s effekt på rekryteringsplattformar
Som en del av rekryteringsföretag, eller för större organisationer, använder de rekryteringsplattformar för behandling av uppgifter om kandidater. Uppgifterna kan innehålla olika dokument, till exempel en meritförteckning och anteckningar från en intervju. Uppgifterna kan vara av mer eller mindre känslig natur. Ibland är det kombinationen av data som kan anses påträngande. Som en tumregel använder rekryteringsplattformar personuppgifter på sådana sätt som kräver att en konsekvensbedömning genomförs. Ofta finns det storskaliga datamängder och kandidater profileras, poängsatta och datamängder matchas från olika källor.
Rättslig grund för behandlingen kan vara antingen avtal, samtycke eller berättigat intresse.
Berättigat intresse är möjligt att använda när först det finns ett dokumenterat legitimt intresse. För det andra måste detta intresse väga tyngre än den sökandes intresse att inte få sina personuppgifter behandlas. Eftersom det ligger i den sökandes intresse att rekryteras är detta normalt sett inte ett problem. Detta eftersom kandidaten själv har ansökt om arbetet. Men du kan inte behandla mer data än du behöver för att uppfylla det intresse som identifierats: till exempel att ge en effektiv och målmedveten tjänst.
Som tumregel är avtalsenlig nödvändighet den lämpligaste rättsliga grunden för de flesta användningar av personuppgifter i en rekryteringsplattform. Tänk på att alla funktioner och användningar av data måste anges i villkoren och sekretesspolicyn för rekryteringsplattformen.
Headhunting (Extern Sökning)
Ibland utför ett anställande företag, antingen på egen hand eller genom hjälp av ett rekryteringsföretag, en extern sökning (även kallad headhunting). Denna sökning kan grundas på berättigat intresse, förutsatt att headhunter respekterar den potentiella kandidatens begränsningar när det gäller tillgänglighet till arbetsmarknaden. Det berättigade intresset kan t ex vara att hitta duktiga kandidater till rekrytering. Dessutom kan intresset omfatta att informera och förmedla ett erbjudande till dessa kandidater.
När en headhunter har samlat några kandidater genom att söka på webben, måste headhunter kontakta den enskilde och be om hennes eller hans samtycke att gå vidare. Kandidaten måste få information om exempelvis: Vilka personuppgifter som har samlats in, från vilka källor, lagringsperioder, mottagare för att få uppgifterna, syften och rättslig grund, kandidatens individuella rättigheter och att kandidaten kan invända mot ytterligare behandling.
En tumregel är att kommunicera inom samma kanal som du hittade CV : n – till exempel LinkedIn Recruiter, eller LinkedIn. Exportera inte uppgifterna till ditt eget CRM eller e-postprogram och fortsätt rekryteringsprocessen utan kandidatens samtycke.
För att en extern Sökning ska vara kompatibel med GDPR kan den inte inkludera mer data än vad som är absolut nödvändigt och relevant för jobberbjudandet. Du måste informera den registrerade om behandlingen. Också, du måste ge den registrerade möjlighet att invända mot det.
Särskilda kategorier av personuppgifter
Enligt dataminimeringsprincipen måste en personuppgiftsansvarig begränsa de uppgifter som den behandlar till vad som är nödvändigt. Du bedömer nödvändigheten med hänsyn till ändamålet med behandlingen. En rekryterare kan inte behandla särskilda kategorier av personuppgifter om de inte är relevanta för det specifika jobbutbudet och information om denna insamling måste lämnas vid första kontakten, dvs. Detta omfattar både hälsouppgifter och uppgifter om kriminalregister.
Hantera referenserna
I rekrytering är det vanligt att bearbeta data av referenser. Dessa referenser omfattar normalt bara ett namn och ett sätt att kontakta dem; ett telefonnummer. Det är den sökandes ansvar att berätta referensen om behandlingen av deras personuppgifter. Men, rekryteraren måste informera sökanden om sitt ansvar att prata med sina referenser.
Sammanfattningsvis hur GDPR påverkar rekrytering
- Uppdatera ditt personuppgiftsinventarium (register över behandling) för att återspegla dina rekryteringsrutiner;
- Om du använder en extern rekrytering företag – ange tydliga avtal inklusive en databehandling avtal;
- Respektera lagringsperioderna och radera uppgifter om misslyckade kandidater så snart som praktiskt möjligt. Enskilda Platsannonser – vara tydlig med någon specifik användning av data i platsannonser, be om kandidatens samtycke om du vill behålla ansökan för framtida användning;
- Rekryteringsplattformar – utföra en konsekvensbedömning för dataskydd innan du köper tjänsten eller utvecklar din egen för att uppfylla kraven i GDPR; alla funktionaliteter måste tydlig göras i villkoren och integritetspolicyn för plattformen;
- Extern sökning och sourcing – fråga alltid och dokumentera kandidatens samtycke när du önskar framsteg med kandidaten;
- Om du rekryterar för ledande platsannonser som kräver mer djupgående kontroll av eventuella livskraftiga kandidater, sedan inkludera någon sådan information i början, i själva jobbnoteringen; Och
- När du tar referenser, se till att den sökande vet hur du kommer att använda referensens uppgifter och få kandidaten att kontakta referensen innan kontakt tas.