Alla artiklar

Checklista: Personuppgiftshantering vid rekrytering

Denna checklista ger vägledning kring vad du behöver ta ställning till gällande personuppgiftsbehandling i rekryteringssammanhang.

Profilbild
Jan-Erik NilssonUtbildare & kursledare
·5 min läsning

Vid rekrytering behandlas personuppgifter, vilket innebär att du måste följa reglerna om personuppgiftsbehandling i dataskyddsförordningen. Att ha rättslig grund för behandling samt att lämna information till dem som söker tjänsten är krav. För att efterleva reglerna är det bra om du upprättar rutiner för hur rekryteringar skall gå till, denna checklistan ger vägledning kring vad du behöver ta ställning till gällande personuppgiftsbehandling i rekryteringssammanhang.

1. Inventera nuvarande personuppgiftsbehandling vid rekrytering

Kartlägg vilka personuppgifter som samlas in från de sökande, från vilka källor (Facebook, via webbplatsen, CV-databaser etc) ändamålen med personuppgifterna, hur uppgifterna används i rekryteringsprocessen samt vilka som får ta del av uppgifterna. Dokumentera.

  • Vilka typer av personuppgifter samlar ni in från sökandena? Det är oftast mer än bara CV och personligt brev som samlas in (referenser, dokumentation av intervjusamtalet, referenstagning etc kan vara personuppgifter)

  • Var lagrar ni personuppgifter från sökandena?

  • Hanterar ni några uppgifter utifrån missbruksregeln (tidigare PuL)? Tänk på att missbruksregeln inte gäller enligt dataskyddsförordningen.

  • Hur länge behåller ni personuppgifterna som samlats in? Finns rutiner för radering/gallring?

  • Vem eller vilka har tillgång till de personuppgifter som samlas in?

  • Hur tillgängliggörs personuppgifter mellan olika avdelningar i verksamheten, exempelvis mellan eventuell HR-avdelning och avdelningschefer eller dylikt?

  • Används de uppgifter som samlas in för andra ändamål än rekrytering (exempelvis för att kontakta sökande om framtida tjänster?)

2. Definiera ändamålet med behandlingen

Man får inte behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet med behandlingen, dvs. nyanställning i samband med rekrytering. Om man önskar behandla personuppgifterna för fler ändamål behöver man ha uttryckligt samtycke för vart och ett av ändamålen.

3. Säkerställ den rättsliga grunden för era behandlingar

Varje behandling av personuppgifter kräver att det finns åtminstone en rättslig grund. Den vanligaste grunden för behandling i rekryteringssammanhang är samtycke, dvs. att de sökande ges möjlighet att uttryckligen lämna sitt samtycke till var och en av de behandlingar ni avser att utföra.

4. Vidta säkerhetsåtgärder

Se till att ni skyddar de personuppgifter ni samlar in från spridning och obehöriga. Dataskyddsförordningen ställer höga krav på att ni som personuppgiftsansvarig verksamhet har kontroll över personuppgifterna, att ni vidtar tillräckliga säkerhetsåtgärder för att skydda uppgifterna samt att de behandlas i säkra system.

Undvik om möjligt att låta de sökande skicka in sina ansökningshandlingar per e-post. Det bör i möjligaste mån undvikas, eftersom e-post inte anses vara ett kommunikationsmedel med hög säkerhet för personuppgifter. Använd istället ett rekryteringsverktyg, dit den sökande kan logga in med egna behörighetsuppgifter och därefter ladda upp sina ansökningshandlingar.

Om ni använder rekryteringsverktyg, tänk då på följande:

  • Personuppgiftsbiträde krävs oftast om man använder rekryverktyg med extern lagring (ex molntjänst)

  • Hur lagras informationen i rekryteringsverktyget? Server, säkerhet, loggning?

  • Behörighetsstyrning. Vem eller vilka har tillgång till rekryteringsverktyget? Kryptering?

  • Intrång. Hur skyddas rekryteringsverktyget mot intrång?

5. Uppdatera era policyer och styrdokument samt ta fram rekryteringspolicy

Glöm inte uppdatera befintliga policyer och styrdokument utifrån de krav som gäller enligt dataskyddsförordningen. Det är ofta en god idé att ta fram en specifik policy kring rekrytering skall gå till och personuppgifter behandlas. Policyn bör tydligt ange vilka uppgifter som samlas in, ändamålet, lagringstiden, vilka som tar del av uppgifterna, den registrerades rättigheter till uppgifterna och hur ni skyddar dem.

6. Beakta informationsskyldigheten

Dataskyddsförordningen ställer höga krav på att ni ska informera de registrerade om hur deras personuppgifter behandlas. Ni bör informera de registrerade skriftligen, exempelvis när sökandena registrerar sig på hemsidan eller i eventuellt förekommande rekryteringsverktyg. Oavsett alternativ är det viktigt att ni lämnar informationen innan den registrerade lämnar in sin ansökan, tänk på att den registrerade ska ha möjlighet att få kännedom om hur ni avser att behandla dennes personuppgifter senast i samband med att ni inhämtar samtycke från den registrerade.

Se till att informera de registrerade på ett enkelt och lättillgängligt sätt.

7. Begränsa tillgång och behörigheter till uppgifterna

Säkerställ att enbart behöriga har tillgång till uppgifterna. exempelvis kan rekryterande chefer, HR etc.

8. Vad skall ske om ni tackar nej till sökande?

Alla får inte det jobb de sökt. Utgångspunkten är att ni i sådana situationer inte längre behöver behandla sökandenas personuppgifter och därför ska radera dem. Om ni ändå vill fortsätta behandla personuppgifterna, exempelvis för att kunna kontakta dem i samband med framtida rekryteringar, bör ni har tagit med det som ett speciellt ändamål och samtycke vid insamling, för att slippa dubbeljobb.

9. Radera/gallra de personuppgifter som inte behövs

Ni får inte behandla personuppgifter under en längre tid än vad som är nödvändigt för att uppnå ändamålen med behandlingen. Utgångspunkten är att ni inte kan spara ansökningshandlingar från sökanden som ni tackat nej till, om ni inte fått samtycke till det. Det bör finns rutiner på plats så att ni vet vem som ansvarar för det och när.

10. Se till att bygga in funktioner i era system så de registrerade kan ta tillvara sina rättigheter

Den registrerade har rätt att begära ut information om de behandlingar ni utför om denne. Denna rätt avser alla de personuppgifter ni behandlar om personen, såsom information du samlat in vid intervjuer, anteckningar om personen, information i e-post och andra dokument och liknande. Ni är skyldiga att lämna ut informationen skyndsamt och i ett skriftligt format. Om det finns funktioner i systemen som gör att den registrerade kan hantera denna process på egen hand sparar ni mycket tid, exempelvis rätta sina egna uppgifter, återkalla sitt samtycke etc.

11. Vad skall ske vid referenstagningar?

Det är inte ovanligt att arbetsgivare begär referenser i rekryteringssammanhang. Om ni vill kunna lämna en referens i samband med att en anställd slutar är det viktigt att ni inhämtar den anställdes uttryckliga samtycke för detta ändamål samt vilka personuppgifter ni kan komma att lämna ut.

Har du ytterligare frågor?

Mer från easy2perform

logo

Vi som jobbar med easy2perform fokuserar på att ge stöd och vägledning till företag, chefer och medarbetare. Oavsett om det sker genom våra gratislösningar på mobil & webb, kurser eller konsulttjänster, levererar vi kunskap som gör det enklare att prestera i yrkesrollen.

Sidor

Kontakta oss