GDPR (dataskyddsförordningen) innebär skärpta krav på rutiner och processer för en säker hantering av personuppgifter. Vilka skyldigheter har du som rekryterare för att genomföra referenstagningar enligt GDPR? Och hur kan digital referenstagning förenkla arbetet? Vi tog hjälp av Fredrik Roos, Partner på Setterwalls Advokatbyrå, för att räta ut några frågetecken.
Sedan 2003 har Fredrik Roos biträtt bolag med rådgivning vad det gäller teknologi, immateriella rättigheter, kommersiella avtal och dataskydd. Fredrik har lång erfarenhet av att arbeta med regulatoriska frågor avseende personuppgifter och är för närvarande projektledare i flera stora GDPR-projekt för både svenska och internationella klienter. Så inget kunde väl passa bättre än att låta honom svara på våra frågor om GDPR och referenstagning.
Är GDPR alltid tillämplig vid referenstagning?
— Ja, om referenstagningen sköts på ett professionellt sätt där svaren dokumenteras så är GDPR alltid tillämplig. Detta gäller oavsett om referenstagningen görs digitalt eller om du genomför referenstagningen över telefon och sparar anteckningar på datorn eller i någon annan form av sökbart register, förklarar Fredrik.
1. Säkerställa att du har en rättslig grund
— Först och främst behöver du en rättslig grund för personuppgiftsbehandlingen. Att samla in personuppgifter i samband med en referenstagning kan ofta ske med stöd av så kallad intresseavvägning. Detta förutsätter att du arbetar på ett bolag och inte en myndighet, samt att personuppgiftsbehandlingen är nödvändig och proportionerlig för ändamålet. Att samla in och behandla personuppgifter är avgörande för en lyckad rekryteringsprocess och du har därför, i de flesta fall, stöd av intresseavvägning, eftersom ditt intresse väger tyngre än kandidatens intresse av integritet för personuppgifterna. Intresseavvägningen gäller då som rättslig grund för både behandling av kontaktuppgifterna till referenserna och omdömena om kandidaten.När du använder dig av intresseavvägning behöver vissa förutsättningar vara uppfyllda. Bland annat behöver du tydligt motivera varför ditt intresse som personuppgiftsansvarig väger tyngre än kandidatens intresse och dokumentera din motivering samt avvägning, beskriver Fredrik. Man bör också ställa sig frågan om rekryteringsprocessen kan utföras på ett mindre integritetskänsligt sätt samt om den personuppgiftsbehandling som sker är utformad på ett sätt som överensstämmer med vad en kandidat typiskt förväntar sig.
Om du däremot arbetar på en myndighet är det normalt sett den rättsliga grunden ”allmänt intresse” som kan stödja din personuppgiftsbehandling i samband med rekrytering. Detta eftersom det inte är tillåtet för myndigheter att använda sig av intresseavvägning vid behandling av personuppgifter.
När man använder sig av allmänt intresse som rättslig grund är det viktigt att tänka på att det allmänna intresset ska grunda sig på stöd i:
- Lag eller annan författning,
- Kollektivavtal, eller
- Beslut som har meddelats med stöd i lag eller annan författning.
2. När behöver du ha samtycke för referenstagningen?
— I de flesta fall ska någon annan rättslig grund än samtycke användas för referenstagning, detta gäller särskilt vid behandling som sker av myndigheter. Det är dock tillåtet att inhämta kandidatens samtycke inför en referenstagning som en generellt integritetshöjande åtgärd, men lägg då märke till att det inte är samma sak som att använda sig av samtycke som rättslig grund, förklarar Fredrik.
Om ni önskar att lagra uppgifter under en längre period än vad som är nödvändigt för rekryteringsprocessen, exempelvis om en kandidat skulle vara aktuell att kontakta i framtiden, kan det göras med samtycke som rättslig grund. Var i detta fall vaksam med hur du ber kandidaten om samtycke, då endast helt frivilliga samtycken är giltiga. Se då även till att följa de övriga krav som ställs för att tillämpa samtycke som rättslig grund, såsom att ge skriftlig information till kandidaten bland annat om:
- Vem du (företaget/myndigheten) är som begär samtycket,
- Vilka personuppgifter du tänker behandla,
- Hur länge du tänker behandla personuppgifterna,
- För vilka ändamål du samlar in och behandlar uppgifterna,
- Att den registrerades samtycke är den lagliga grunden för behandlingen,
- Att den registrerade kan ta tillbaka sitt samtycke, och
- Hur länge du tänkt spara personuppgifterna.
Först då kan personen välja att samtycka i exempelvis en kryssruta.
Hur kan vi på Refapp hjälpa till? Om ni vill be om samtycke i era digitala referenstagningar kan vi hjälpa er med att be kandidaten och referensen om det via systemet.
3. Informera kandidaten och referensen
— Vid referenstagning är du skyldig att informera kandidaten eller referensen om hur du kommer behandla deras personuppgifter, vilket exempelvis innefattar vilken rättslig grund du tillämpar och med vem du kommer dela uppgifterna med.
Glöm heller inte att informera om under vilken tidsperiod som du avser att spara personuppgifterna. Det är normalt sett endast tillåtet att spara uppgifter under den tid det behövs för rekryteringsprocessen, men även annan lagstiftning eller en myndighets gallringsföreskrifter kan påverka den tillåtna lagringsperioden.
Det är lämpligt att du informerar kandidaten och referensen i skriftlig form i samband med att du samlar in uppgifterna. Tänk därför på att nämna referenstagningen i er integritetspolicy och att hänvisa till denna, förklarar Fredrik.
Hur kan vi på Refapp hjälpa till? Med Refapp kan du av kandidaten begära in referensernas kontaktuppgifter via systemet. I samband med detta får kandidaten automatiskt information om er personuppgiftsbehandling. Detsamma gäller för referensen när personen genomför den digitala referenstagningen. Du behöver därför inte skicka ut någon separat information utan kan vara trygg i att både kandidaten och referenserna tagit del av den. Vi har tillsammans med Fredrik också tagit fram en mall för informationstext som våra kunder kan använda i sin integritetspolicy för att beskriva personuppgiftsbehandlingen som utförs då du använder dig av Refapp.
4. Radera känsliga personuppgifter
— Om du vid referenstagningen får in omdömen som är kränkande eller känsliga så är du skyldig att direkt ta bort uppgifterna. Det är i de flesta fall inte tillåtet att behandla känsliga personuppgifter i samband med rekrytering. Exempel på känsliga personuppgifter är information om etniskt ursprung, hälsa, politiska åsikter och sexuell läggning, beskriver Fredrik.
En rekryteringsprocess kan generellt sätt vara känslig och det kan hända att du får del av uppgifter kring kandidater som är av en mer känslig karaktär, även om de inte utgör känsliga personuppgifter i dataskyddsförordningens mening. Exempelvis uppgifter kring personliga omständigheter. Du är inte hindrad att behandla dessa, men tänk på att denna typ av uppgifter kan påverka de krav som ställs på dig som personuppgiftsansvarig och om ni omfattas av offentlighetsprincipen kan det hända att ni behöver lämna ut uppgifterna.
Hur kan vi på Refapp hjälpa till? Om du skulle få in känsliga omdömen om en kandidat kan du enkelt gå in i den digitala referensrapporten i Refapp och radera dessa direkt.
5. Fundera på vilka uppgifter ni behöver vid rekryteringen
I samband med rekrytering är det bara tillåtet att behandla sådana personuppgifter som är nödvändiga för att bedöma om någon är en lämplig kandidat för den tilltänka tjänsten, vilket utgör ändamålet för behandlingen. Om det vid tillsättning av en särskild tjänst finns legitima skäl att behandla personuppgifter kring kandidaterna som är mer omfattande eller känsliga än vad som vanligtvis behandlas, kan det då därför (trots vad som sagts ovan) ändå vara tillåtet att behandla sådana uppgifter.
Det är även viktigt att förhålla sig till principen om uppgiftsminimering vid referenstagning. Du ska inte hämta in mer personuppgifter än vad som behövs för ditt ändamål att rekrytera en passande kandidat för tjänsten.
Vilka rättigheter har kandidaten och referensen?
— Utöver rätt till information om personuppgiftsbehandlingen har kandidaten och referenserna bland annat rätt att begära ut sina uppgifter samt att be dig korrigera dem. Om du jobbar på en myndighet kan uppgifter som du får del av genom referensintagningen omfattas av offentlighetsprincipen och därför kan ni bli skyldiga att lämna ut uppgifter som rör kandidater. Det är därför viktigt att se till att uppgifterna har lagrats korrekt och är uppförda på ett sakligt och professionellt sätt.
Se till att ha kontaktuppgifter och omdömen samlade på ett sätt som gör denna process enkel för dig om detta blir aktuellt! avslutar Fredrik.
Hur kan vi på Refapp hjälpa till? Eftersom alla personuppgifter du får in om kandidater och referenser samlas i Refapp är det enkelt att lämna ut dessa om ni som företag/myndighet blir ombedda att göra det. Dessutom lagras uppgifterna krypterat och raderas efter en given tid.
Hoppas att artikeln rätade ut ett par frågetecken kring hur du GDPR-anpassar dina referenstagningar! Vill du ha mer information om hur Refapp och digital referenstagning kan hjälpa dig, hör gärna av dig till oss!