Husk GDPR under ansættelsesprocessen

Ansøgninger og cv’er fra kandidater er fyldt med persondata, og derfor er det nødvendigt at have styr på persondataforordningen under ansættelsesprocessen.

Dato:

I mange virksomheder modtager man i dag ansøgninger direkte i indbakken, hvorefter man enten sender dem videre til rette vedkommende eller gemmer dem på et drev til senere brug.

Den praksis kan dog være et problem i forhold til persondataforordningen, der trådte i kraft 25. maj 2018.

Ansøgerne skal sige ja til, at du opbevarer deres cv

”Når kandidater søger en opslået stilling, skal man faktisk have kandidaternes samtykke, for at kunne opbevare deres CV, hvis man f.eks. vil gemme det til evt. senere stilling. Men hvis man ikke har et rekrutteringssystem, der kan indhente samtykke automatisk, får virksomhederne sjældent gjort det, og dermed overholder de ikke GDPR-kravene,” fortæller Stine Amina Toft, grundlægger af virksomheden Ditaso, der hjælper virksomheder med at digitalisere deres rekruttering.

Selvom kandidaten accepterer, at virksomheden må opbevare persondata, må man maksimalt gemme disse i seks måneder – med mindre ansættelsesprocessen naturligvis trækker ud. Virksomheden skal derfor have en proces på plads, der sikrer, at data bliver slettet rettidigt.

Det kan dog være svært at holde rede på disse data, hvis ansøgninger og cv’er ryger frem og tilbage mellem indbakker og bliver gemt på forskellige computere.

”Man skal i det hele taget passe på med at sende data frem og tilbage. De må ikke bare cykle rundt i virksomheden. Det skal ske under ordnede forhold, der stemmer overens med, hvad kandidaten har accepteret, at vedkommendes data må bruges til,” udtaler Stine Amina Toft.

Fortrolige og følsomme data skal krypteres

Fra 1. januar 2019 er det desuden et krav fra Datatilsynet, at fortrolige eller følsomme persondata skal krypteres, hvis de sendes via e-mail.

Det betyder, at hvis man modtager ansøgninger, der indeholder informationer som f.eks. cpr-nummer, helbredsoplysninger og fagforeningsmæssige tilhørsforhold, så skal e-mail korrespondancen krypteres.

Krypteringen behøver ikke være end-to-end, men kan ifølge Datatilsynet blot være på transportlaget, hvor man f.eks. kan anvende en TLS-protokol. Datatilsynet har skrevet lidt mere om kravene på deres hjemmeside.

Få styr på ansøgningsprocessen

Heldigvis skal der ikke så meget til, før man som virksomhed overholder loven. Et CRM-system eller et rekrutteringssystem vil typisk kunne gøre 90% af det.

Har man ikke et sådant system i virksomheden, skal man have klare processer for, hvordan man:

  • Får accept til at opbevare ansøgninger og cv’er
  • Sender og gemmer ansøgninger hen internt
  • Sletter disse efter senest seks måneder
  • Krypterer e-mails der indeholder fortrolige eller følsomme persondata

Er man i tvivl om noget af dette, er man som medlem af IT-Branchen altid velkommen til at kontakte vores juridiske HR- og ledelseskonsulenter på 33 74 64 00.