Sådan overholder du GDPR i din rekrutteringsproces

June 12, 2019

Når din organisation skal ansætte en ny medarbejder, vil det betyde kontakt med personoplysninger.  Men har du tænkt over, om dine rekrutteringsprocesser matcher med det, som egentlig kræves af EU’s General Data Protection Regulation (GDPR)? Hvis ikke, så læs med her og få indblik i nogle af de elementer, som du skal forholde dig til for at overholde lovgivningen og sikre GDPR-compliance i din rekrutteringsproces.

Indhentelse af referencer

Du tænker måske; ”jeg vil gerne have en reference fra en tidligere arbejdsplads, men må jeg overhovedet modtage disse oplysninger?”. Dette er faktisk et rigtig godt spørgsmål, og svaret er ikke helt lige til.

Som udgangspunkt skal indhentelse af informationer fra tidligere - eller for den sags skyld nuværende - arbejdsgivere altid være under samtykke fra ansøgeren. Her skal det også understreges, at en organisation heller ikke må videregive informationen om, at ansøgeren søger en stilling - medmindre denne person selv har givet samtykke hertil.  

Der er som sådan ikke noget i vejen for at indhente offentlig tilgængelige informationer, ansøgeren selv har offentliggjort - f.eks. på en hjemmeside. I sådanne situationer skal arbejdsgiver dog stadig opfylde sin oplysningspligt. Det betyder, at ansøgeren skal oplyses om, hvilke oplysninger der indhentes samt formålet med dette.

Personlighedstest

Mange organisationer anvender personlighedstests i deres rekrutteringsproces for at være sikre på at finde den helt rigtige kandidat til stillingen. I disse tilfælde behøver man ikke at få et samtykke, da ansøgerne frivilligt selv vælger at udføre personlighedstesten. Resultaterne af testen skal dog stadig anses som data, og håndteringen af disse skal derfor altid være compliant med persondataforordnigen.

Indhentelse af straffe- og børneattester

Det kan også være relevant at få kendskab til ansøgerens strafbare forhold. I sådanne tilfælde er det vigtigt, at organisationen vurderer, om det er sagligt og proportionalt at indhente en straffeattest. Med andre ord: organisationen må kun anmode om oplysninger om strafbare forhold, hvis det er realistisk, at den pågældende person kan komme i betragtning til stillingen, og hvis det vurderes at være en relevant faktor at inddrage i rekrutteringsprocessen. Det kan således ikke være et krav i jobopslaget, at ansøgere skal indsende deres straffeattest.

I tilfælde af at stillingen indebærer direkte kontakt med børn under 15 år, vil det være obligatorisk at indhente en børneattest – dette skal dog altid ske med samtykke fra den pågældende ansøger.

Indhentelse af oplysninger fra sociale medier

I denne æra af sociale medier, findes der et hav af personoplysninger online og modsat manges tro, så må en organisation gerne indhente informationer fra disse platforme. Organisationens oplysningspligt gør dog, at man skal huske at oplyse ansøgeren om, at disse oplysninger indhentes. Samtidigt skal organisationen vurdere, om det er sagligt og proportionalt at gøre dette.

Ansøger som ikke ansættes: Opbevaring af deres personoplysninger

Når du er ved at nå til vejs ende i din rekrutteringsproces, skal du forholde dig til, hvad du gør med personoplysningerne på de ansøgere, som ikke blev ansat. Hvis du ønsker at beholde dem på grund af en mulig ansættelse i fremtiden, skal du sikre at få samtykke hertil. Får du det, kan du med fordel have faste slettefrister på indhentet persondata, da persondataforordningen kræver, at man ikke opbevarer personoplysninger længere end nødvendigt.

Sådan overholder du GDPR i din rekrutteringsproces_ GDPR-løsning
Dansk
Dansk