⇐ | Få mere inspiration |
GDPR og jobansøgninger – Har din virksomhed styr på det?
- Udgivet den.
Du har brug for en ny medarbejder. Ansøgningerne tikker ind på din mail, du printer et par CV’er ud til samtalen, videresender de mest interessante til din kompagnon, og gemmer et par stykker i en mappe på skrivebordet “bare hvis der dukker andre stillinger op”.
Lyder det bekendt?
Så er der desværre dårlige nyheder. Din virksomhed bryder højst sandsynligt GDPR-reglerne. Og selv om du ikke har hørt om danske virksomheder der er blevet ramt af bøder specifikt for håndtering af jobansøgninger endnu, er det kun et spørgsmål om tid.
Den usynlige risiko i din rekruttering
Når du modtager en jobansøgning, behandler du personoplysninger. Nogle gange endda følsomme personoplysninger. Fra det øjeblik ansøgningen lander i din indbakke, starter klokken, og dine forpligtelser begynder at tårne sig op.
Mange små virksomheder tror, at GDPR primært handler om nyhedsbreve og cookiebannere. Men virkeligheden er, at håndtering af jobansøgninger er et af de områder, hvor små virksomheder oftest begår GDPR-fejl uden at vide det.
Datatilsynet har allerede uddelt bøder til danske virksomheder for andre typer GDPR-overtrædelser kan udløse bøder der i teorien kan gå helt op til 20 millioner euro eller 4 procent af virksomhedens årsomsætning. For en lille virksomhed kan selv en mindre bøde på 5.000 kr. være katastrofal.
Men bøder er kun en del af historien. Tænk på tidsspildet når Datatilsynet kommer på tilsyn, omdømmetabet hvis der kommer en sag i medierne, og den stress det skaber at skulle dokumentere processer, du ikke har styr på. For en virksomhed med 1-5 ansatte kan det blive decideret lammende.
Hvad de fleste små virksomheder gør forkert
Ansøgninger på den forkerte mailadresse.
Måske har du en info@firmanavn.dk hvor ansøgninger tikker ind. Måske sender kandidater ansøgninger direkte til dig personligt. Måske har I flere forskellige mailadresser, hvor forskellige personer modtager ansøgninger. Det lyder praktisk, men det er et GDPR-problem.
GDPR kræver, at du kan slette alle personoplysninger på én gang, når formålet er opfyldt eller når ansøgeren beder om det. Hvis ansøgninger ligger spredt i fem forskellige indbakker, på forskellige computere, i forskellige mail-tråde, hvordan sletter du så ALT med sikkerhed?
Print og kopier.
Du printer CV’er ud til samtalen. Det giver god mening. Men hvad sker der med det papir bagefter? Ligger det i en bunke på skrivebordet? I en arkivmappe? Bliver det smidt i papirkurven uden makulering?
GDPR kræver, at både digitale og fysiske kopier behandles ens. Du kan ikke have både en digital version i din mail og en printet version i et skab. Enten det ene eller det andet. Og når ansøgningen skal slettes, skal ALLE kopier væk.
Deling på tværs.
“Hej Mette, kan du lige kigge på de her tre CV’er og give din mening?” Du videresender lynhurtigt tre ansøgninger til din kollega. Måske til en eksternt konsulent. Måske til en ven, der kender branchen.
Hver gang ansøgningen deles, skabes en ny kopi. En ny placering data skal håndteres og eventuelt slettes fra. Og spørgsmålet er om Mette overhovedet havde et legitimt behov for at se de personlige oplysninger?
Glemte ansøgninger
Du ansatte Peter for seks måneder siden. Fantastisk medarbejder. Men de 23 andre ansøgninger, I modtog dengang? De ligger stadig i din mail. Måske har du endda tænkt “det er da smart at have dem liggende, hvis vi skal ansætte igen”.
Men GDPR siger klart, at personoplysninger ikke må opbevares længere end nødvendigt. Når stillingen er besat, skal de andre ansøgninger slettes med det samme, medmindre du har indhentet eksplicit samtykke til at gemme dem.
Manglende information til ansøgerne.
Har du fortalt ansøgerne, hvordan deres data bliver behandlet? Hvor længe du gemmer deres CV? Hvem der har adgang til det? At de har ret til at få det slettet? At de kan klage til Datatilsynet?
Det skal du. Det hedder oplysningspligten, og den er ikke valgfri.
Hvad du faktisk skal have på plads når du modtager jobansøgninger
Lad os gøre det konkret. Når du modtager en jobansøgning, skal følgende være i orden.
En dedikeret proces for modtagelse:
Du skal have én klar kanal for modtagelse af ansøgninger. Enten en specifik mailadresse, et rekrutteringssystem, eller en ansøgningsformular på hjemmesiden. Ikke fem forskellige steder men 1 eneste sted.
Oplysningspligt fra starten:
Ansøgeren skal vide, hvad der sker med deres data, allerede når de sender ansøgningen. Det betyder, at du skal have et dokument, der informerer om hvordan I behandler personoplysninger i rekrutteringsprocessen.
Dette dokument skal indeholde en række specifikke oplysninger. Ansøgerens navn skal naturligvis registreres. Dine virksomhedsoplysninger skal fremgå tydeligt. Hvis I har en databeskyttelsesrådgiver (DPO) i virksomheden, skal dennes navn og kontaktinfo stå der. Og I skal oplyse, hvor længe I vil gemme deres CV og ansøgning.
Begrænset adgang:
Kun de personer, der er direkte involveret i rekrutteringen, må have adgang til ansøgningerne. Ikke hele kontoret. Ikke “bare for sjov”. Kun dem der har et sagligt behov.
Korrekt opbevaring:
Data skal opbevares ét sted. Ikke i kopier, ikke både digitalt og på papir (medmindre begge håndteres efter samme regler og slettes samtidig). Ét centralt sted, hvor du har styr på, hvem der har adgang.
Klar slettefrist:
Du skal have en politik for, hvornår ansøgninger slettes. For de kandidater, der ikke får jobbet, anbefales sletning kort efter rekrutteringsprocessen er afsluttet. Maksimalt kan uopfordrede ansøgninger gemmes i 12 måneder, men kun hvis du har informeret ansøgeren om det.
Håndtering af følsomme oplysninger:
Nogle ansøgere nævner måske helbredsforhold, graviditet, fagforeningsmedlemskab eller andre følsomme oplysninger i deres ansøgning. Disse oplysninger kræver ekstra beskyttelse. Du bør faktisk opfordre ansøgere til IKKE at inkludere sådanne oplysninger, medmindre de er direkte relevante for stillingen.
Dokumentation af samtykke:
Hvis du vil gemme en ansøgning længere end nødvendigt (for eksempel til fremtidige stillinger), skal du have ansøgerens eksplicitte samtykke. “Vi gemmer din ansøgning i vores system” er ikke nok. Det skal være en aktiv handling fra ansøgeren – et link de klikker på, en boks de afkrydser, en mail de besvarer bekræftende.
Respons på anmodninger:
Ansøgere har ret til at få indsigt i deres data, få dem rettet hvis de er forkerte, og få dem slettet. Du skal kunne håndtere disse anmodninger hurtigt og effektivt. Typisk inden for en måned.
Hvorfor er det så svært at holde styr på GDPR?
Du driver en lille virksomhed og du er alene om det meste. Du har travlt med at levere det bedste til dine kunder. Du står for at styre økonomien og holde hjulene i gang. Du har ikke en HR-afdeling, eller en masse ansatte der kan tager sig af GDPR. Du har ikke en jurist på lønningslisten, da det simpelthen lyder alt for dyrt. Du har ikke tid eller overskud til at sætte dig ind i 261 sider EU-forordning.
DET er helt forståeligt.
GDPR er kompliceret. Selv advokater og databeskyttelseseksperter kan være uenige om fortolkningen af visse regler. Datatilsynet har indstillet virksomheder til millionbøder, som domstolene efterfølgende har skåret ned til en brøkdel. Det viser, hvor komplekst området er.
For dig der er lille virksomhed, er udfordringen ikke mangel på vilje til at gøre det rigtigt. Det er mangel på tid, ressourcer og overblik.
Netop derfor er det så farligt. For selvom du ikke MENER at bryde reglerne, gør du det måske alligevel. Uvidenhed er desværre ikke en undskyldning, som Datatilsynet accepterer.
Den gode GDPR nyhed...
Her er den gode nyhed til dig. Selvom GDPR er komplekst, er løsningen faktisk ret simpel når først nogen har gjort benarbejdet for dig.
- Du behøver ikke at være jurist.
- Du behøver ikke at læse hele forordningen.
- Du behøver slet ikke at opfinde den dybe tallerken.
Det du har brug for, er en klar skabelon, der fortæller ansøgerne præcis det, de skal vide. 1 dokument, der sikrer, at du lever op til din oplysningspligt. Noget du kan bruge fra dag ét, hver gang du rekrutterer eller får en uopfordret jobansøgning.
Et sådant dokument skal indeholde alt det nødvendige. Ansøgerens ret til at få indsigt i deres data. Information om hvem der er dataansvarlig i din virksomhed. Kontaktoplysninger på eventuelt DPO. Hvor længe I gemmer ansøgninger. Hvad formålet med behandlingen er. Ansøgerens ret til at få data slettet eller rettet. Muligheden for at klage til Datatilsynet.
Med det rigtige dokument på plads behøver du ikke at bekymre dig om, hvorvidt du har glemt noget. Du behøver ikke at gennemlæse lovtekster eller gætte dig frem til, hvad der er rigtigt.
Prisen for at vente eller udsætte GDPR løsningen.
Mange små virksomheder tænker “det har jo gået fint hidtil”. Måske har det gået fint uden problemer til nu, men bare fordi Datatilsynet ikke er kommet forbi endnu, betyder det ikke, at de ikke kan komme.
Datatilsynet prioriterer deres indsats. Indtil videre har de fokuseret på store databrud, manglende sikkerhed og grove overtrædelser. Datatilsynet kigger heletiden på nye områder. Rekruttering er et oplagt sted at starte, fordi så mange virksomheder håndterer det helt forkert.
Derudover kan en utilfreds ansøger klage til Datatilsynet. Måske er det en kandidat, der ikke fik jobbet og føler sig forkert behandlet, som får Datatilsynet til at komme forbi hos dig. Måske en tidligere medarbejder, der vil gøre livet surt. Det er ikke sandsynligt, men det kan ske.
Så er der omdømmet, noget der kan koste endnu mere. I en tid hvor kandidater er kræsne, og hvor din online synlighed betyder alt, vil du virkelig risikere en historie om, at din virksomhed ikke respekterer folks persondata? Måske venter den store “shit storm” på de sociale medier lige om hjørnet. Forestil dig hvordan en utilfreds ansøger kan blæse dit afslag op på et opslag der går viralt….
Sådan kommer du i gang
Du behøver ikke at lave det hele om i morgen. Men du bør tage de første skridt nu. Start med at få styr på oplysningspligten. Få et dokument på plads, der informerer ansøgere korrekt.
Det er vigtigt at du kommer i gang med GDPR
Dernæst, kig på hvordan I modtager og opbevarer ansøgninger. Kan I samle det på ét sted? Kan I lave en simpel procedure for, hvornår ting slettes?
Endelig, tal med dine medarbejdere om det. Hvis I er tre personer i virksomheden, skal alle tre vide, hvordan I håndterer ansøgninger korrekt. Det tager 10 minutter at gennemgå. Men det kan spare jer for enorme problemer senere.
Den nemme løsning
Hos GDPR Mentor ApS har vi lavet det enkelt. Vi tilbyder GDPR-dokumenter specifikt designet til små virksomheder som din. Dokumenter der opfylder alle krav, skrevet i et klart sprog, og som du kan tage i brug med det samme.
Her er ingen dyre konsulenter, lngen lange bindinger, bare relevante dokumenter, der er til at forstå.
Du får præcis de informationer, du skal give videre til ansøgerne. Med GDPR Mentor får du hjælpen og strukturen på plads uden at du står med alt arbejdet selv. Du får ro i maven og tid til, at du gør det du er bedst til samtidig med at du bliver compliant.
Vi ved, at du har travlt. Vi ved, at GDPR ikke er derfor, du startede din virksomhed. Men vi ved også, at GDPR er for vigtigt til at ignorere.
Besøg GDPR Mentor og se, hvordan vi kan hjælpe dig med at få styr på GDPR. Enkelt, overkommeligt og uden bøvl.
For din GDPR mentor hjælper dig med at få styr på dokumenterne, så du kan lave det, du er bedst til – at drive din virksomhed.
