Mänskliga resurser Rekryteringstips Intervju med en expert

GDPR-huvudvärk vid rekrytering 2018 - löst av Krzysztof Dzioba från EY LAW

Publicerad: Senast uppdaterad:
Tom Winter

Webben har förändrat hur människor söker jobb och hur företag rekryterar personal. Kandidater fyller antingen i formulär och lämnar frivilligt sina personuppgifter eller identifieras av rekryterare på grundval av den information de väljer att dela med sig av på nätet. I vissa fall hanteras uppgifterna om de kandidater som deltar i rekryteringsprocessen på ett felaktigt sätt.

Den 25 maj 2018 träder en ny förordning om integritetsskydd i kraft som behandlar denna fråga. Den kallas den allmänna dataskyddsförordningen (GDPR).

Även om maj 2018 kan kännas långt borta finns det mycket som måste göras, så du måste börja genast. Klockan tickar, men organisationerna är fortfarande långt ifrån redo. Enligt en studie från 2017 av TrustArc med titeln "Integritet och EU:s dataskyddsförordning (GDPR)"61% av deltagarna i undersökningen rapporterade att de inte har börjat genomföra GDPR. För att ge dig en bättre förståelse för GDPR och dess konsekvenser för rekryteringsprocessen pratar vi med följande personer Krzysztof DziobaErnst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp.k.

Innehållsförteckning

1. Vad är den allmänna dataskyddsförordningen (GDPR) och vem gäller den?

Den 4 maj 2016, efter fyra år av hårda förhandlingar, offentliggjordes dataskyddsförordningen i Europeiska unionens officiella tidning. Förordningen är en spelförändring för alla typer av organisationer. Det slutliga utkastet inför strängare och mer normativa utmaningar för efterlevnad av dataskydd, med stöd av böter på upp till 4% av den globala årsintäkten. Förordningen kommer att ersätta direktiv 95/46/EG, som har utgjort grunden för den europeiska dataskyddslagstiftningen sedan den infördes 1995. Dataskyddsförordningen kommer att träda i kraft i hela EU den 25 maj 2018 utan krav på genomförande av medlemsstaterna.

Förordningen kommer att ha en betydande inverkan på företag inom alla industrisektorer och kommer att medföra både positiva och negativa förändringar för företagen i fråga om kostnader och ansträngningar. Organisationer kommer sannolikt att välkomna harmoniseringen av lagar i alla medlemsstater, vilket kommer att göra det komplexa dataskyddslandskapet lättare att navigera i för multinationella organisationer. Införandet av nya rättigheter för enskilda personer, såsom rätten att bli bortglömd och rätten till överförbarhet, samt införandet av obligatorisk anmälan av överträdelser kommer sannolikt att öka den rättsliga bördan för organisationer.

Alla företag och vissa offentliga institutioner som behandlar personuppgifter (om kunder, anställda eller entreprenörer) måste tillämpa GDPR.

Det viktigaste är att GDPR inte kräver några särskilda tekniska lösningar för dataskydd. Den anger att sådana lösningar bör anpassas till specifika uppgifter och risker i samband med brott mot skyddet av personuppgifter. Enheter som behandlar uppgifter måste nu bevisa att de har bedömt risken och vidtagit lämpliga åtgärder.

Dataskyddet blev mycket mer komplicerat och blev en levande process som ständigt måste övervakas och utvecklas.

2. Hur påverkar GDPR rekryteringsprocessen och rekryterarnas arbete jämfört med tidigare bestämmelser om skydd av personuppgifter?

I de flesta fall skyddas personuppgifter om kandidater och anställda genom separata lagar i varje medlemsstat.

På grund av artikel 88 i GDPR kommer samma regel att gälla från och med maj 2018. Medlemsstaterna har fått rätt att fastställa mer specifika regler om skydd. om rättigheter och friheter i samband med behandling av arbetstagares personuppgifter i samband med anställning. Reglerna i detta avseende måste därför fastställas i varje land. Det förväntas att skillnaderna kan vara betydande, t.ex. när det gäller biometri eller särskilda kategorier av personuppgifter.

Dataskyddsförordningen kommer att ge anställda och kandidater flera nya privilegier som kan anpassas ytterligare genom nationella bestämmelser.

Det finns också några nya regler om samtycke till databehandling - som kommer att nämnas nedan.

3. Hur påverkar GDPR den första kontakten med kandidaten? Vilka typer av samtycken krävs enligt lag?

Enligt motiv 32 i dataskyddsförordningen bör samtycke ges genom en tydlig bekräftande handling som fastställer en fritt given, specifik, informerad och otvetydig indikation på den registrerades samtycke till behandlingen av personuppgifter som rör honom eller henne, t.ex. genom ett skriftligt uttalande, även på elektronisk väg, eller ett muntligt uttalande. Tystnad, förkryssade rutor eller inaktivitet bör inte utgöra samtycke.

I rekryteringsprocessen bör arbetsgivaren därför informera kandidaten bland annat om följande:

  • ändamålen med behandlingen av personuppgifter,
  • den period under vilken de kommer att lagras,
  • mottagare av uppgifter,
  • rätten att lämna in ett klagomål till tillsynsorganet.

Formellt sett bör arbetsgivaren informera alla kandidater om reglerna för databehandling, antingen genom ett dokument (bifogat eller hänvisat till i jobberbjudandet) eller genom att ange den nödvändiga informationen i den första kontakten.

4. Finns det några skillnader mellan behandlingen av personuppgifter för en aktiv kandidat (som skickat sitt CV) och en passiv kandidat (vars uppgifter hittades på LinkedIn, GitHub, Twitter eller Facebook)?

Arbetsgivaren bör behandla personuppgifter om potentiella anställda i enlighet med principerna om tillförlitlighet, ändamålsenlighet, lämplighet och tidsmässighet.

Arbetsgivaren bör ta hänsyn till behovet av att uppfylla informationsskyldigheten gentemot den aktiva kandidaten. Omfattningen av informationen kan variera beroende på om arbetsgivaren får CV:t från en tredje part eller direkt från kandidaten.

Behandling av uppgifter om passiva kandidater kräver en viss rättslig grund - t.ex. legitimt intresse. Insamling av information på sociala medier får endast ske i samband med affärsändamål. Med andra ord får arbetsgivare endast samla in och behandla personuppgifter om kandidater så länge som dessa uppgifter är nödvändiga och relevanta för att utföra arbetet.

Skillnaden i behandlingen av kandidaternas personuppgifter beror i grunden på den rättsliga grunden för behandlingen. Aktiva kandidater ger sitt samtycke och passiva kandidater behandlas på grundval av arbetsgivarens legitima intresse. Den första kontakten med en sådan kandidat bör dock omfatta arbetsgivarens informationsskyldigheter.

5. Vad räknas som personuppgifter enligt GDPR?

Enligt GDPR avses med personuppgifter all information som rör en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.

I princip är all information som kan identifiera en viss person personuppgifter.

Medan en viss information för en viss enhet fungerar som personuppgifter, gör den det inte för en annan enhet. Om det kostar för mycket pengar eller tar för lång tid att identifiera en viss person innebär det att informationen kanske inte kan betraktas som personuppgifter.

6. Har kandidaterna någon rätt att skydda de uppgifter som samlas in under rekryteringsprocessen? Vilka är deras rättigheter?

Enligt dataskyddsförordningen kommer kandidaterna att ha fler rättigheter när det gäller behandlingen av deras uppgifter i rekryteringsfasen och arbetsgivaren måste se till att de genomförs. Till exempel kan kandidatens uppgifter behandlas på grundval av deras frivilliga och medvetna viljeyttring. Samtycke kan inte förutsättas och användarna kommer att ha rätt att återkalla det, men det måste vara en lika enkel process som samtycke.

GDPR innehåller som sagt rättigheter som inte är uteslutna från rekryteringsprocessen, till exempel:

  • rätten att få information om hur personuppgifter kommer att användas,
  • rätten till tillträde,
  • Rätt till rättelse av uppgifter som är felaktiga eller ofullständiga,
  • rätten att bli bortglömd under vissa omständigheter,
  • Rätten att blockera eller förhindra behandling av personuppgifter,
  • Den nya rätten till dataportabilitet.

Medlemsstaterna kan klargöra hur dessa rättigheter kan utövas av arbetstagarna under rekryteringsprocessen.

7. Hur påverkar GDPR kandidater som deltar men inte blir utvalda? Kan deras uppgifter lagras lagligt och i så fall i vilken utsträckning?

Arbetsgivare bör inte lagra uppgifter om kandidater (inklusive CV) under en längre tid än vad som krävs för ett visst rekryteringsförfarande.

Som det europeiska rådgivande organet för skydd av personuppgifter anger - arbetsgruppen art. 29 - i yttrande 2/2017 om databehandling på arbetsplatsen att "dUppgifter som samlas in under rekryteringsprocessen bör i allmänhet raderas så snart det står klart att ett anställningserbjudande inte kommer att ges eller inte accepteras av den berörda personen. Individen måste också informeras korrekt om sådan behandling innan de deltar i rekryteringsprocessen."

Kom ihåg att personuppgifter inte bara gäller CV:n. Information som lagras om kandidater under intervjuprocessen måste också bortskaffas.

Om arbetsgivare vill behandla sådana uppgifter under en längre tid, t.ex. för att rekrytera en ny person, bör de ha en lämplig rättslig grund - t.ex. kandidatens samtycke.

Behandling av uppgifter som samlats in under rekryteringsprocessen kan dock vara under en längre tidsperiod - om det finns ett legitimt intresse (till exempel för att försvara sig mot påståenden om diskriminering). Det bör övervakas strikt att uppgifterna i sådana fall inte används för andra rekryteringsprocesser eller andra ändamål.

8. Kan kandidater på laglig väg kräva att deras uppgifter som erhållits i samband med rekryteringen raderas? Har de rätt att få tillgång till sina personuppgifter?

Enligt GDPR:s rätt att bli bortglömd har kandidaten rätt att kräva att arbetsgivaren raderar personuppgifter om honom eller henne under vissa omständigheter. Det kan ske när den anställde har återkallat sitt samtycke.

Dataskyddsförordningen utesluter inte rätten att få tillgång till sina personuppgifter i samband med rekryteringsprocessen.

Ytterligare regler eller krav i detta avseende kan uppstå i varje medlemsstats rättsakter.

9. Hur tillämpas dataskyddsförordningen på användningen av externa verktyg (t.ex. ATS) i rekryteringsprocessen? Vilken part behandlas som dataadministratör och databehandlare?

Beroende på vilken typ av tjänster som tillhandahålls kan uppgiftsutbytet mellan arbetsgivaren och leverantören av rekryteringstjänster ske i form av ett förhållande mellan två administratörer eller mellan en administratör och en person som behandlar personuppgifter på begäran.

Svaret på frågan om vilken modell som gäller i varje enskilt fall kräver en analys av de avtal som ingåtts med sådana partner. En rekryteringsbyrå kan till exempel överföra endast grundläggande information om kandidaten till arbetsgivaren (t.ex. erfarenhet och utbildning och inte identifieringsuppgifter) och därför inte överföra personuppgifter. I ett sådant fall kommer arbetsgivaren enligt min mening inte att betraktas som registeransvarig eller ens registerförare.

10. Krävs det några ytterligare samtycken efter att kandidaten har anställts? Behöver nyanställda någon utbildning om de system som används i organisationen och dataskydd i dessa system?

I de flesta fall regleras den exakta katalogen av personuppgifter som krävs för ett anställningsavtal av varje medlemsstats lagstiftning. Inget samtycke krävs om arbetsrätt, skattelagstiftning eller andra allmänna bestämmelser kräver att vissa personuppgifter behandlas.

Det rekommenderas att arbetsgivare endast behandlar uppgifter som inte kräver arbetstagarnas samtycke. Varför?

För det första ska samtycke enligt GDPR, som nämnts ovan, ges frivilligt och utan tvång. I varje relation vänder sig arbetsgivaren till arbetstagaren från en stark position. Därför är det betydligt svårare att bevisa att arbetstagaren helt enkelt skulle kunna förneka eller återkalla sitt samtycke till behandling av personuppgifter, t.ex. sin bild för marknadsförings- eller integrationsändamål.

Naturligtvis kan en del av de anställdas förmåner (t.ex. tjänstebil, hälsovård) vara kopplade till databehandling. Ett sådant samtycke kan dock återkallas när som helst och uppgifterna bör endast behandlas under den tidsperiod som krävs för ändamålet.

11. Hur tillämpas dataskyddsförordningen på uppsägning av anställda? Har arbetsgivare några skyldigheter som måste uppfyllas?

För det första, som nämnts ovan, om arbetstagarens samtycke är den enda rättsliga grunden för behandling av personuppgifter - kan arbetstagaren återkalla samtycket när han eller hon sägs upp. Följaktligen bör alla sådana uppgifter raderas från arbetsgivarens system.

Om grunden för behandlingen av uppgifter definieras i en viss lag (arbetsrätt, socialförsäkring, skatt) är arbetsgivaren fortfarande skyldig att lagra uppgifterna efter det att anställningsavtalet har upphört.

Andra bestämmelser och krav kan ställas på arbetsgivare i varje medlemsstats rättsakter.

12. Vid överföring av uppgifter utanför EU, vem är juridiskt bunden att skydda uppgifterna och se till att alla förfaranden är förenliga med GDPR?

Arbetsgivaren bestämmer ändamålen och metoderna för behandling av arbetstagarnas personuppgifter. Därför bör arbetsgivaren betraktas som personuppgiftsansvarig i enlighet med artikel 4.7 i GDPR. Den personuppgiftsansvarige hålls ansvarig i händelse av brott mot dataskyddet.

På grund av ansvarighetsregeln kommer arbetsgivaren att få betala för underlåtenhet att iaktta den aktsamhet som krävs för en enhet i ett tredjeland. Följaktligen måste arbetsgivaren se till att enheten i tredjelandet har tillhandahållit lämpliga skyddsåtgärder, och under förutsättning att det finns verkställbara rättigheter för registrerade personer och effektiva rättsmedel för registrerade personer - enligt artikel 46.1 i dataskyddsförordningen.

Om arbetsgivaren kommer att drabbas av ekonomiska konsekvenser på grund av att enheten i tredje land har gjort sig skyldig till avtalsbrott kan den naturligtvis hävda sina rättigheter i domstol och kräva ersättning.

13. Vilka är konsekvenserna av att inte följa dataskyddsförordningen?

För det första de uppenbara och välkända ekonomiska konsekvenserna (straffavgifter på upp till 20 000 000 euro eller 4% av den totala världsomfattande årsomsättningen för det föregående räkenskapsåret, beroende på vilket som är högst). För det andra civilrättsliga krav från registrerade personer. Och slutligen - betydande marknadsföringsskador.

Dela inlägg

Tom Winter kolla fler artiklar av Tom

Läs mer om rekrytering av tekniker

Prenumerera på vår Learning Hub för att få nyttiga insikter direkt i din inkorg.

Kontrollera och utveckla kodningsfärdigheter utan problem.

Se DevSkillers produkter i praktiken.

Get a demo

Säkerhetscertifieringar och efterlevnad. Vi ser till att dina data är säkra och skyddade.

DevSkillers logotyp TalentBoost logotyp TalentScore-logotyp