I över 20 år har PUL (personuppgiftslagen) styrt hur personuppgifter får hanteras. Nu är det över. Från och med den 25 maj 2018 träder GDPR – General Data Protection Regulation i kraft och påverkar samtliga länder inom EU. GDPR kan ses som en utökning av det som innefattas av PUL och ersätter helt och hållet PUL i Sverige.
Syftet med GDPR är enkelt – som privatperson ska man ha full kontroll över sina personuppgifter och kontrollen ska sträcka sig utanför det egna landet. Nytt är även rätten att ”bli glömd” av ett företag och databaser, till exempel sökmotorer. GDPR påverkar all form av behandling av information som direkt eller indirekt kan knytas till en person. För myndigheter, företag och organisationer kan detta komma att betyda en hel del förändringar.
I grunden betyder det att ni som företag behöver se över hur ni hanterar, förvarar och behandlar personuppgifter och framför allt varför ni har uppgifterna, dvs i vilket syfte ni sparar uppgifterna. I förordningen kallas detta för privacy by default vilket i korthet betyder att ni måste känna er data och de system ni har som hanterar informationen. Det ansvaret ligger på er som organisation och kan inte outsourcas till en tredje part. För att säkerställa att ni har koll på GDPR så bör ni kunna svara på följande:
Sanktionerna om man bryter mot GDPR är avsevärda… Hur hög sanktionsavgiften blir beror bland annat på vilken bestämmelse som överträds. Sanktionsavgiften kan som mest uppgå till 20 000 000 EUR eller 4% av koncernens årsomsättning.
GDPR säger att man får lov att spara personuppgifter så länge som det är relevant för den gällande aktiviteten. Det innebär att man får lov att samla in personuppgifter i form av CV och annat så länge en rekrytering pågår. Det är alltså adjöss med CV-databaser och kandidatregister. Man måste dokumentera hur data kommer in och det måste hanteras av säkra system vilket betyder att man inte längre kan ta emot ansökningar per e-post eller liknande. Kort och gott, det finns en hel del arbete som företag måste förbereda sig på relaterat GDPR och det viktigaste är att man har översikt och koll på sina affärssystem och i de fall de underhålls av en tredje part, att man har ett personuppgiftsbiträdesavtal på plats.
Väljer du att låta oss hantera er rekrytering så kommer ni att få ett personuppgiftsbiträdesavtal som säkerställer att vi gör vår del, samt att rekryteringsverktyget, som hanterar all data, är säkert och stabilt. Skulle det mot förmodan ske intrång kommer vi att återkoppla till er direkt och skulle en kandidat vilja bli glömd, raderad eller förflyttad så bistår vi givetvis med detta. När kandidaterna inte längre är aktuella kommer de att anonymiseras enligt GDPR – vi hanterar detta automatiskt åt dig. Vill du veta mer så är du välkommen att höra av dig till oss.
Har du några frågor eller funderingar så tvekan inte att kontakta oss!