12. mars 2019

Hvem bryr seg om persondata og GDPR?


Vår erfaring er at flere bedrifter ikke tar dette alvorlig nok. Mange har ikke gode rutiner eller systemer for dette. De mottar søknader og personopplysninger på epost. Gjerne til flere forskjellige kontaktpersoner og epost-adresser. Dette gjør det vanskelig og ressurskrevende å etterleve reglene.

Hva er rutinene for å holde orden på innkommende søknader? Hvordan blir opplysningene håndtert? Blir de slettet når de skal? Hva kan søkeren forvente av bedriften og deres rutiner?

Hvilke regler gjelder?
Bedriften trenger ikke å motta samtykke fra kandidaten for å motta en søknad. Ettersom det ikke er mulig å søke på en jobb uten å sende fra seg en søknad har bedriften en "legitim interesse" i opplysningene. Også fordi det heller ikke er mulig å behandle søknaden uten slike opplysninger.

Men, søknader inneholder personopplysninger som bedriften må ha rutiner for å behandle. Innsyn i søknaden må begrenses til de som har "legitim interesse". Dvs. de som ha behov for å vurdere søknaden, ingen andre. Når bedriften ikke har behov for innsyn i søknadene og CVene, vanligvis 3-6 mnd etter at søknadsprosessen er avsluttet, skal alle søknader slettes.

Søkere har rett på å få innsikt i hvilke personopplysninger som er lagret av bedriften. Det har også rett til å få søknaden med alle vedlegg slettet.

For å etterleve reglene må bedriften ha en rutine som sikrer at kandidatens rettigheter er ivaretatt (innsyn, sikkerhet for lagring, sletting++).
Etterlevelse kan ordnes på flere måter. Alt fra rutiner rundt mottak, lagring og sletting via epost/post, eller et eget system for søknadsbehandling.

Kommer datatilsynet på razzia?
Nei, vi tror ikke at datatilsynet vil banke på døren din en tidlig morgen og kreve gjennomgang av deres interne rutiner. Overtrampene er ofte ikke grove nok, omfanget er ikke stort nok og de har større fisker å steke i første omgang.

Hvorfor skal du etterleve reglene?
De som vil kreve at dere har orden i sysakene er de som søker jobb, kandidatene. Bevisstheten rundt behandling og lagring av personopplysninger har økt, og vil øke enda mer. Kandidatene kommer til å stille spørsmål ved innlevering av søknaden, hvordan den blir behandlet, hvem har innsyn og også kreve at den skal bli slettet etter at jobben.

I dag tar kanskje mange dette for gitt, men med økt fokus på personopplysninger kommer også kravene og spørsmålene. 
- Er din bedrift sikker på at de kan svare uten ljugekors?

En bonus ved å ha orden og kontroll
Et annet poeng er at flere søkere forventer en bekreftelse på at søknaden er mottatt av den rette personen. De vil etterspørre hvor langt de har kommet i vurderingen, og holdes orientert om status frem til evt. ansettelse eller avslag. 
- Det er ikke alltid like lett via epost og manuelle rutiner. 

Se mer av det vi kan tilby bedrifter som ønsker å få mer oversikt over rekrutteringsprosessen. 

Gå til Karriere for Bedrifter