GDPR

- hva betyr det for din bedrift og som bruker av Karriere.no?

GDPR blir innført 25/5 - 2018. Det er en forordning fra EU som erstatter dagens regelverk for personvern i Norge. GDPR er en videreføring av dagens regelverk. Oppfyller du dagens krav blir overgangen enklere.

Målet med GDPR er å bedre beskyttelsen for brukere og legge mer ansvar på bedrifter som samler inn personopplysninger. Regler for samtykke, innsamling og behandling av data, dokumentasjon av rutiner og muligheter for sletting av data blir strengere.

Kort fortalt må du dokumentere hvilke personopplysninger du lagrer om hvem, hvor de er lagret, at sikkerheten er ivaretatt og at samtykke er innhentet. Du må kunne fortelle brukeren hvilke opplysninger som er lagret, du må kunne slette opplysningene, og dokumentere dette, om han/hun ønsker det

Hva er personopplysninger?

Personopplysninger er opplysninger som som omhandler en enkeltperson. Dette kan være navn, adresse, personnummer, telefonnummer, epost-adresse, ip-adresse, registreringsnummer, etc. Hvordan personen bruker en løsning (karriere.no, internett) inkludert logger er også regnet som personopplysninger. Noen opplysninger er regnet som sensitive; religion, politisk oppfatning, helseopplysninger, etc. (Vi etterspør eller lagrer ingen sensitive personopplysninger i Karriere.no).

Generelt - Forberedelser til GDPR

Bedriften må utarbeide rutiner for behandling av personopplysninger og dokumentasjon om hvordan dere oppfyller kravene. Det må også på plass noen avtaler med kunder og leverandører. Det handler om å være klar over og ha et bevisst forhold til hvordan ansatte i bedriften håndterer personopplysninger.

Oversikt

Få oversikt over hvilke personopplysninger dere har lagret. Dette må dokumenteres slik at dere kan svare for kunder, leverandører eller myndigheter (datatilsynet).

  • Hvordan er informasjonen innhentet?
  • Hva skal informasjonen brukes til? Hva er hensikten?
  • Har dere innhentet samtykke fra personen, eller har dere rettslig grunnlag for oppbevaring?
  • Hvordan oppbevares informasjonen? Har dere noe som er oppbevart fysisk?
  • Hvem har tilgang til de?
  • Hvor lenge skal informasjonen oppbevares?
  • Hva er rutiner for sletting av informasjon?
Hvis dere har opplysninger der det ikke er hentet inn samtykker eller det mangler rettslig grunnlag må det gjøres en jobb. Det kan enten innhentes samtykke fra personen det gjelder, eller informasjonen kan bli slettet. Om dere bedriften velger å slette informasjonen er det viktig å dokumentere hvordan dette er gjort.

Innhente samtykke

GDPR skal forbedre personers mulighet til å vite hva som lagret hvor, og gi de en mulighet til å bli “glemt” (les få slettet sine data). Derfor må den som etterspør og lagrer personopplysninger få samtykke fra personen det gjelder. Samtykke fra den som gir fra seg personopplysninger skal også være informert om, og forstå: hva lagres av opplysninger, og hvor de kommer fra (andre registre) er det frivillig å gi fra seg opplysninger hva opplysningene skal brukes til, og hvordan de blir behandlet/brukt hvordan de lagres, og hvor lenge de skal lagres hvordan personen kan få de endret eller slettet

Sikkerhet

Bedriften skal sørge for datasikkerheten for personopplysninger, og at dette kan dokumenteres. Opplysninger skal kun være tilgjengelige for de som skal tilgang, og du skal ha oversikt over hvilke personer som har tilgang. Ved brudd på sikkerheten eller brudd på rutiner (f.eks. utilsiktet bruk av opplysningene) skal det være rutiner for varsling til rette personer og myndigheter.

Hvis bedriften selv har ansvar for drifting av løsningen så har den ansvar for sikkerhetsrutiner som tilgangskontroll, oppdatering av programvare, eller andre tiltak som sikrer infrastruktur og systemer.

Har bedriften en avtale med en leverandør om å drifte løsningen eller har kjøpt en løsning (som Karriere.no) for å håndtere personopplysninger må det inngås en avtale som regulerer ansvaret mellom bedriften og leverandøren (databehandlingsavtale).

Dokumentasjon og ansvar

Bedriften må dokumentere hvordan de behandler personopplysninger og tilfredsstiller GDPR. Dette kalles også en personvernerklæring og personvern-system. Det som må gjøres er å lage en oppstilling av følgende: Hvordan, og fra hvor, blir personopplysninger innhentet

  • Hvordan blir samtykke innhentet
  • Hvilke personopplysninger er lagret, og hvor er de lagret (elektronisk og fysisk)
  • Datasikkerhet for egne løsninger og avtale med leverandører (databehandlingsavtale)
  • Hvordan varsler bedriften om brudd på rutiner eller data på avveie (OBS! Datatilsynet skal ha varsel innen 72 timer)

Rekruttering og GDPR

Basert på de generelle retningslinjene i forordningen vil vi trekke frem følgende momenter:

Samtykke fra kandidaten

Ved innlevering av CV og/eller søknad skal kandidaten samtykke til at opplysningene kan brukes i rekrutteringsprosessen. Kandidaten skal forstå hva de gir samtykke til og hvordan de skal gå frem for å få innsyn eller sine opplysninger slettet.

Innsyn i CV/søknader

Det skal være begrenset innsyn i opplysninger som er innsamlet om kandidaten. Det er kun de som trenger tilgang som skal ha tilgang. Dette gjelder også om man ønsker å dele informasjonen internt i bedriften. Det skal være mulig å holde orden på hvem som har hatt tilgang til opplysningene.

Kandidaten har rett til innsyn og bli “glemt”

Kandidaten kan kreve innsyn i hvilken informasjon bedriften har lagret om personen, i tillegg til CV og søknad gjelder dette også notater som er gjort. Eller hvis det er innhentet opplysninger fra andre steder eller registre. Husk; dette gjelder både elektronisk (systemer, epost, etc) og fysisk (utskrifter, notater, etc). Hvis kandidaten ønsker å få sine data slettet skal bedriften kunne gjøre dette, dokumentere at dette er gjort, og ha rutiner for å sikre at dette kan etterprøves.

Lagring av opplysninger

Bedriften er ansvarlig for at opplysninger ikke kommer på avveie, og ha rutiner for hvem og hvordan det skal varsles om det skjer avvik. Det skal også være rutiner for hvor lenge opplysninger skal lagres, og rutiner for sletting av data.

Hva gjør Karriere.no for deg som kunde/bruker?

Etter innføring av GDPR vil det være viktig for enhver bedrift å kunne tilfredsstille kravene i forordningen. Karriere.no leverer en løsning for rekruttering og spredning av jobbannonser. Vi er pliktet til å oppfylle kravene i GDPR.

Samtykke fra kandidaten

Når kandidater oppretter en profil på karriere.no gir de samtykke via brukervilkårene til at informasjon de gir fra seg kan benyttes til formålet med tjenesten. Hvis de sender inn et HINT og gir fra seg opplysninger i sin CV, eller sender inn en søknad, så er det med et samtykke om at opplysningene kan brukes av bedriften i rekrutteringsprosessen og hvordan går frem for å få innsyn i sine personopplysninger eller få informasjonen slettet.

Innsyn i CV/søknader

Bedriften i Karriere.no har oversikt over hvilke personer som har tilgang til hvilke søknader, og tilganger kan endres og fjernes.

For at informasjon ikke skal komme på avveie (i e-post, fysiske notater el.l.) oppfordrer vi bedriftene til å bruke Karriere.no i hele prosessen. Dette sikrer muligheten for innsyn og sletting av data for kandidaten.

Kandidaten har rett til innsyn og bli “glemt”

Har kandidaten sendt sin søknad via karriere.no, og bedriften har brukt løsningen i rekrutteringsprosessen (interne notater, status og meldinger), er det enkelt for bedriften å gi kandidaten innsyn. Dokumenter i interne notater hvilke eksterne opplysninger som innhentet i prosessen. OBS! Bedriften må ha rutiner for makulering av fysiske notater slik at man er sikre på at disse ikke kommer på avveie.

Kandidater kan selv slette søknader og HINT som er sendt bedriften. Hvis bedriften har brukt systemet slik vi anbefaler vil dette sikre kandidatens rett til å bli “glemt”.

Lagring av opplysninger

Bedrifter som bruker karriere.no har i avtalen også en databehandlingsavtale med Karriere.no. Denne avtalen sikrer bedriften av Karriere.no tar ansvar for sikkerheten i tilgang til data og lagring av data. Ved avvik fra sikkerheten i selve systemet er det Karriere.no som har ansvar for rutiner og varsling til rette myndigheter.

Nyttig informasjon fra datatilsynet


Har du spørsmål om hvordan du kan håndtere GDPR og rekruttering kan du kontakte oss på support@karriere.no, eller avtale et møte med oss her.