Det är många saker att tänka på kopplat till GDPR, men det är ett engångsarbete som ska göras. Gör det enkelt för dig när du ska starta upp din rekrytering och börja med att säkra upp att ni som företag har koll på vad GDPR innebär.
Vilka krav ställer GDPR på rekryteringsverktygen?
Kraven på system som används är relativt omfattande när det handlar om att hantera personuppgifter – t ex CV’n och dylikt. Att hantera en rekryteringsprocess utan att använda sig av ett GDPR-säkert rekryteringsverktyg är något vi avråder starkt ifrån. Att till exempel ta emot och hantera ansökningar via e-post strider mot regelverket som omfattas av GDPR.
Har ni ett egenutvecklat rekryteringsverktyg så kan ni använda den här checklistan för att säkerställa att verktyget uppfyller de nya kraven:
- Server och säkerhet – hur ser den fysiska servern ut och hur är säkerheten kring denna? Vilka har tillgång till den och varför? Det är viktigt att företaget tar ansvar för säkerheten och kan dokumentera detta.
- Vilken säkerhet har verktyget mot intrång? Det måste finnas dokumentation kring säkerheten.
- Finns det loggning av de som arbetar mot verktyget? Vem som gör vad och när? Man ska alltid kunna uppvisa vilken information som visas för vem och när detta skedde. För att säkra upp detta bör det finnas någon form av dubbelauktorisering vid inloggning, det vill säga att inloggning inte kan göras enbart med epost-adress och lösenord utan det krävs ytterligare en auktorisering, till exempel en SMS-kod, bank-ID eller annat.
- Är databasen krypterad? Om det skulle ske ett intrång så måste databasen som hanterar personuppgifter vara krypterad. Det ska också finnas en dokumenterad rutin för hantering av intrånget. Intrånget ska rapporteras till Dataskyddsinpektionen inom 72 timmar och i vissa fall måste man även informera de personer som påverkas av intrånget.
- Uppfyller systemet kraven på pseudonymisering, exportering av data och radering? GDPR innebär att varje enskild person har rätt att kräva att personuppgifter som avser honom eller henne ska raderas, d v s bli helt borttagen ur systemet (inkl back upp’er) samt att kunna begära ut sin information. Det måste även finnas ett automatiskt system som pseudonymiserar kandidatens information när den inte längre är aktuell kopplat till grunden för insamlingen.
Använder ni ett externt rekryteringsverktyg så ska de här kriterierna självklart uppfyllas och leverantören av rekryteringsverkstyget bör bistå med ett Personuppgiftsbiträdesavtal. Givetvis uppfyller Roi Rekryterings rekryteringsverktyg samtliga kriterier och erbjuder även stöd och support, kostnadsfritt i processen mot att GDPR-säkra er rekryteringsprocess.
Har du frågor eller funderingar?
Vill du veta mer?
Läs även GDPR-säkra dina rekryteringsprocesser