GDPR-hovedpine på vej til rekruttering i 2018 - løst af Krzysztof Dzioba fra EY LAW

Udgivet: Sidst opdateret:

Internettet har ændret den måde, hvorpå folk søger job, og den måde, hvorpå virksomheder rekrutterer fagfolk. Kandidater udfylder enten formularer og afgiver frivilligt deres personlige oplysninger eller bliver identificeret af rekrutteringsfirmaer på baggrund af de oplysninger, de vælger at dele online. I nogle tilfælde bliver kandidaternes oplysninger, der er involveret i ansættelsesprocessen, behandlet forkert.

Den 25. maj 2018 træder en ny forordning om beskyttelse af privatlivets fred i kraft, som tager fat på dette spørgsmål. Den hedder den generelle forordning om databeskyttelse (GDPR).

Selv om maj 2018 kan synes langt væk, er der meget, der skal gøres, så du skal starte med det samme. Uret tikker, men organisationerne er stadig langt fra klar. Ifølge en undersøgelse fra 2017 fra TrustArc med titlen "Privatliv og EU's GDPR", rapporterede 61% af deltagerne i undersøgelsen, at de ikke har påbegyndt processen med at implementere GDPR. For at give dig en bedre forståelse af GDPR og dens konsekvenser for rekrutteringsprocessen taler vi med Krzysztof DziobaErnst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp.k.

Indholdsfortegnelse

1. Hvad er den generelle forordning om databeskyttelse (GDPR), og hvem gælder den for?

Den 4. maj 2016 blev GDPR efter fire års hårde forhandlinger nu offentliggjort i Den Europæiske Unions Tidende. Forordningen er en game changer for alle typer organisationer. Det endelige udkast introducerer strengere og mere normative udfordringer med hensyn til overholdelse af databeskyttelsesreglerne, understøttet af bøder på op til 4% af den globale årlige omsætning. Forordningen vil erstatte direktiv 95/46/EF, som har været grundlaget for den europæiske databeskyttelseslovgivning, siden den blev indført i 1995. GDPR træder i kraft i hele EU den 25. maj 2018 uden krav om gennemførelse i medlemsstaterne.

Forordningen vil få en betydelig indvirkning på virksomheder i alle industrisektorer og vil medføre både positive og negative ændringer for virksomhederne med hensyn til omkostninger og indsats. Organisationer vil sandsynligvis hilse harmoniseringen af lovgivningen i alle medlemsstater velkommen, hvilket vil gøre det komplekse databeskyttelseslandskab lettere at navigere i for multinationale organisationer. Indførelsen af nye rettigheder for enkeltpersoner, f.eks. retten til at blive glemt og retten til overførbarhed, samt indførelsen af obligatorisk anmeldelse af brud på databeskyttelsesreglerne vil sandsynligvis øge den lovgivningsmæssige byrde for organisationer.

Alle virksomheder og visse offentlige institutioner, der behandler personoplysninger (om kunder, ansatte eller kontrahenter), er forpligtet til at gennemføre persondataforordningen.

Det vigtigste er, at GDPR ikke kræver specifikke tekniske løsninger vedrørende databeskyttelse. Den fastslår, at sådanne løsninger skal tilpasses specifikke data og risici i forbindelse med brud på beskyttelsen af personoplysninger. Enheder, der behandler data, skal nu bevise, at de har vurderet risikoen og anvendt passende foranstaltninger.

Databeskyttelse blev meget mere kompliceret og blev en levende proces, som skal overvåges og udvikles konstant.

2. Hvordan påvirker GDPR rekrutteringsprocessen og rekrutteringsfolks arbejde i forhold til tidligere forordninger om beskyttelse af personoplysninger?

I de fleste tilfælde er personoplysninger om ansøgere og arbejdstagere beskyttet på grundlag af særskilte love i de enkelte medlemsstater.

På grund af artikel 88 i GDPR vil den samme regel gælde siden maj 2018. Medlemsstaterne fik ret til at fastsætte mere specifikke regler om beskyttelse af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstagernes personoplysninger i forbindelse med beskæftigelse. Derfor er reglerne på dette område endnu ikke fastlagt i de enkelte lande. Det forventes, at forskellene kan være ret betydelige, f.eks. med hensyn til biometriske data eller specifikke kategorier af personoplysninger.

GDPR vil tilføje flere nye privilegier for ansatte og kandidater, som kan blive yderligere tilpasset af nationale bestemmelser.

Der er også et par nye regler om samtykke til databehandling - som vil blive nævnt nedenfor.

3. Hvordan påvirker GDPR den første kontakt med kandidaten? Hvilken type samtykke er lovmæssigt påkrævet?

I henhold til motiv 32 i GDPR bør samtykke gives ved en klar bekræftende handling, der fastslår en frit givet, specifik, informeret og utvetydig angivelse af den registreredes samtykke til behandling af personoplysninger vedrørende den pågældende, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Tavshed, afkrydsede felter eller inaktivitet bør ikke udgøre et samtykke.

Som følge heraf bør arbejdsgiveren i ansættelsesprocessen bl.a. informere ansøgeren om:

  • formålet med behandlingen af personoplysninger,
  • den periode, i hvilken de skal opbevares,
  • modtagere af data,
  • retten til at indgive en klage til tilsynsorganet.

Formelt set bør alle kandidater informeres om reglerne for databehandling af arbejdsgiveren, enten ved hjælp af et dokument (vedlagt eller nævnt i jobtilbuddet) eller ved at angive de nødvendige oplysninger i den første kontakt.

4. Er der nogen forskelle mellem behandling af personoplysninger om en aktiv kandidat (som har sendt sit CV) og en passiv kandidat (hvis oplysninger er fundet på LinkedIn, GitHub, Twitter eller Facebook)?

Arbejdsgiveren bør behandle personoplysninger om potentielle arbejdstagere i overensstemmelse med principperne om pålidelighed, formålsbestemthed, tilstrækkelighed og tidsmæssighed.

Arbejdsgiveren bør tage hensyn til behovet for at opfylde informationsforpligtelsen over for den aktive ansøger. Omfanget af oplysningerne kan variere afhængigt af, om arbejdsgiveren får CV'et fra en tredjepart eller direkte fra kandidaten.

Behandling af oplysninger om passive kandidater kræver et bestemt retsgrundlag - f.eks. legitim interesse. Indsamling af oplysninger på sociale medier må kun ske i forbindelse med forretningsmæssige formål. Med andre ord må arbejdsgivere kun indsamle og behandle personoplysninger om kandidater, så længe disse oplysninger er nødvendige og relevante for udførelsen af jobbet.

Forskellen i behandlingen af kandidaternes personoplysninger skyldes i bund og grund retsgrundlaget for behandlingen. Aktive kandidater giver deres samtykke, mens passive kandidaters oplysninger behandles på grundlag af arbejdsgiverens legitime interesse. Den indledende kontakt med en sådan kandidat bør dog omfatte arbejdsgiverens informationsforpligtelser.

5. Hvad tæller som personoplysninger i henhold til GDPR?

I henhold til GDPR forstås ved "personoplysninger" alle oplysninger om en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, psykiske, økonomiske, kulturelle eller sociale identitet for den pågældende fysiske person.

Grundlæggende er alle oplysninger, der kan identificere en bestemt person, personoplysninger.

Mens en given information for en bestemt enhed vil fungere som personoplysninger, vil den ikke gøre det for en anden. Hvis det er for dyrt eller tager for lang tid at identificere en bestemt person, betyder det, at oplysningerne måske ikke kan betragtes som personoplysninger.

6. Har ansøgerne nogen rettigheder til at beskytte de oplysninger, der indsamles i forbindelse med ansættelsesprocessen? Hvad er deres rettigheder?

I henhold til GDPR vil kandidaterne have flere rettigheder i forbindelse med behandlingen af deres data i ansættelsesfasen, og arbejdsgiveren skal sikre, at de gennemføres. F.eks. kan en kandidats oplysninger behandles på grundlag af deres frivillige og bevidste viljetilkendegivelse. Samtykket kan ikke formodes at være givet, og brugerne vil have ret til at trække det tilbage, men det skal være en lige så nem proces som et samtykke.

Som nævnt ovenfor gennemfører GDPR rettigheder, som ikke er udelukket fra ansættelsesprocessen, f.eks:

  • retten til at blive informeret om, hvordan personoplysningerne vil blive anvendt,
  • retten til adgang,
  • retten til at få berigtiget oplysninger, der er unøjagtige eller ufuldstændige,
  • retten til at blive glemt under visse omstændigheder,
  • retten til at blokere eller afskaffe behandling af personoplysninger,
  • den nye ret til dataportabilitet.

Medlemsstaterne kan præcisere, hvordan disse rettigheder kan udøves af arbejdstagerne under ansættelsesprocessen.

7. Hvordan påvirker GDPR de kandidater, der deltager, men ikke bliver udvalgt? Kan deres data opbevares lovligt, og i givet fald i hvilket omfang?

Arbejdsgiverne bør ikke opbevare kandidatoplysninger (herunder CV) i en periode, der er længere end varigheden af en given ansættelsesprocedure.

Som det fremgår af det europæiske rådgivende organ for beskyttelse af personoplysninger - arbejdsgruppen art. 29 - i udtalelse 2/2017 om databehandling på arbejdspladsen, at "dOplysninger, der indsamles under ansættelsesprocessen, bør generelt slettes, så snart det står klart, at den pågældende person ikke vil få et tilbud om ansættelse eller ikke har accepteret det. Den enkelte skal også informeres korrekt om en sådan behandling, før vedkommende deltager i ansættelsesprocessen."

Husk, at personoplysninger ikke kun vedrører CV'er. Oplysninger, der er gemt om kandidater under interviewprocessen, skal også bortskaffes.

Hvis arbejdsgiverne ønsker at behandle sådanne oplysninger i en længere periode, f.eks. med henblik på efterfølgende rekruttering, skal de have et passende retsgrundlag - f.eks. kandidatens samtykke.

Behandlingen af oplysninger, der indsamles i forbindelse med ansættelsesprocessen, kan dog vare længere tid - i tilfælde af berettiget interesse (f.eks. for at forsvare sig mod krav om forskelsbehandling). Det bør nøje overvåges, at oplysningerne i sådanne tilfælde ikke anvendes til andre ansættelsesprocesser eller andre formål.

8. Kan ansøgerne lovligt kræve, at deres oplysninger, der er indsamlet i forbindelse med ansættelsen, slettes? Har de ret til at få udleveret deres personlige oplysninger?

I henhold til GDPR's ret til at blive glemt har ansøgeren ret til at kræve, at arbejdsgiveren sletter personoplysninger om ham/hende under visse omstændigheder. Det kan ske, når medarbejderen har tilbagekaldt sit samtykke.

GDPR udelukkede ikke retten til at få deres personoplysninger fra ansættelsesprocessen.

Yderligere regler eller krav i den henseende kan fremgå af de enkelte medlemsstaters retsakter.

9. Hvordan gælder GDPR for brugen af eksterne værktøjer (f.eks. ATS) i rekrutteringsprocessen? Hvilken part behandles som dataadministrator og databehandler?

Afhængigt af den type tjenester, der leveres, kan udvekslingen af oplysninger mellem arbejdsgiveren og rekrutteringstjenesteyderen tage form af et forhold mellem to administratorer eller en administrator og en person, der behandler personoplysninger på anmodning.

Svaret på spørgsmålet om, hvilken model der gælder i hvert enkelt tilfælde, kræver en analyse af de kontrakter, der er indgået med sådanne partnere. Et rekrutteringsbureau kan f.eks. kun videregive grundlæggende oplysninger om kandidaten til arbejdsgiveren (f.eks. erfaring og uddannelse og ikke identifikationsoplysninger) og derfor ikke videregive personoplysninger. I et sådant tilfælde vil arbejdsgiveren efter min mening ikke blive betragtet som dataansvarlig eller endog databehandler.

10. Er der lovmæssigt set behov for yderligere samtykker, efter at kandidaten er blevet ansat? Skal nyansatte have nogen uddannelse vedrørende de systemer, der anvendes i organisationen, og databeskyttelse i disse systemer?

I de fleste tilfælde reguleres det nøjagtige katalog over de personoplysninger, der er nødvendige for en ansættelseskontrakt, ved love i de enkelte medlemsstater. Der kræves intet samtykke, hvis arbejdsret, skattelovgivning eller andre generelle bestemmelser kræver behandling af visse personoplysninger.

Det anbefales, at arbejdsgivere kun behandler oplysninger, som ikke kræver de ansattes samtykke. Hvorfor?

For det første skal ethvert samtykke i henhold til GDPR, som nævnt ovenfor, gives frit og uden tvang. I enhver relation henvender arbejdsgiveren sig til medarbejderen fra en styrkeposition. Derfor er det betydeligt sværere at bevise, at medarbejderen blot kunne nægte eller tilbagekalde sit samtykke til behandling af personoplysninger, f.eks. deres billede til markedsførings- eller integrationsformål.

Selvfølgelig kan nogle af medarbejdernes fordele (f.eks. firmabil, sundhedsydelser) være forbundet med databehandling. Et sådant samtykke kan dog til enhver tid tilbagekaldes, og data bør kun behandles i det tidsrum, der er nødvendigt for det pågældende formål.

11. Hvordan finder GDPR anvendelse på afskedigelse af medarbejdere? Har arbejdsgiverne nogen forpligtelser, som skal opfyldes?

For det første, som nævnt ovenfor, hvis medarbejdernes samtykke er det eneste retsgrundlag for behandling af personoplysninger - kan medarbejderen tilbagekalde samtykket i forbindelse med afskedigelsen. Som følge heraf bør alle sådanne oplysninger slettes fra arbejdsgiverens systemer.

Hvis grundlaget for databehandlingen er defineret i en bestemt lov (vedrørende arbejdsret, social sikring, skat), er arbejdsgiveren stadig forpligtet til at opbevare disse oplysninger efter ansættelseskontraktens ophør.

Andre regler og krav kan pålægges arbejdsgiverne i de enkelte medlemsstaters retsakter.

12. I tilfælde af dataoverførsler uden for EU, hvem er juridisk forpligtet til at beskytte dataene og sikre, at alle procedurer er i overensstemmelse med GDPR?

Arbejdsgiveren bestemmer formålet med og midlerne til behandling af de ansattes personoplysninger. Derfor bør den betragtes som en dataansvarlig som anført i artikel 4, stk. 7, i GDPR. Den dataansvarlige er ansvarlig i tilfælde af brud på databeskyttelsen.

På grund af reglen om ansvarlighed vil manglende udøvelse af den fornødne omhu over for en enhed fra et tredjeland blive båret af arbejdsgiveren. Som følge heraf skal arbejdsgiveren sikre sig, at tredjelandsenheden har truffet passende sikkerhedsforanstaltninger, og på betingelse af, at der findes håndhævelige rettigheder for registrerede og effektive retsmidler for de registrerede - i henhold til artikel 46, stk. 1, i GDPR.

Hvis arbejdsgiveren vil lide økonomiske konsekvenser som følge af tredjelandsenhedens misligholdelse af kontrakten, kan den naturligvis gøre sine rettigheder gældende i retten og kræve erstatning.

13. Hvad er konsekvenserne af manglende overholdelse af GDPR?

For det første de indlysende og velkendte økonomiske konsekvenser (bøder på op til 20 000 000 EUR eller 4% af den samlede årlige omsætning på verdensplan i det foregående regnskabsår, alt efter hvad der er højest). For det andet civilretlige krav fra de registrerede. Og endelig - betydelige markedsføringsmæssige skader.

Del indlæg

Få mere at vide om ansættelse af teknologiske medarbejdere

Tilmeld dig vores Learning Hub for at få nyttig viden direkte i din indbakke.

Kontroller og udvikl kodningsevner uden problemer.

Se DevSkiller-produkterne i aktion.

Sikkerhedscertificeringer og overholdelse. Vi sørger for, at dine data er sikre og beskyttede.

DevSkiller-logo TalentBoost-logo TalentScore-logo