GDPR for rekrutterere: den praktiske versjonen

Hvorfor rekrutteringsdata er noe for seg selv

En rekrutteringspipeline er et av de mest personlige datasettene et selskap sitter på: CV-er, lønnsforventninger, intervjunotater, noen ganger helse- eller familieopplysninger kandidater deler uoppfordret. Folk gir det fra seg i et sårbart øyeblikk, i håp om en jobb.

GDPR behandler dataene deretter, og det gjør kandidatene også. Å slurve med dem er ikke bare en juridisk risiko; det er akkurat den typen historie som sprer seg. De praktiske kravene er likevel langt mer overkommelige enn forkortelsen antyder.

Kjenn behandlingsgrunnlaget ditt

Du trenger en juridisk grunn til å behandle kandidatdata. For en aktiv søknad er det enkelt: behandlingen er nødvendig for å vurdere kandidaten til rollen de søkte på. Du trenger ingen samtykkeboks for å lese CV-en noen har sendt deg.

Samtykke betyr noe i ytterkantene. Å beholde en avvist kandidat i talentbasen for fremtidige roller er et annet formål enn den opprinnelige søknaden, så be om det eksplisitt, og gjør det helt greit å si nei. Kandidater du har funnet selv og som aldri har søkt, fortjener å få vite hvor dataene deres kommer fra første gang du tar kontakt.

Lagringstid: bestem den, automatiser den

Den vanligste GDPR-glippen i rekruttering er ikke ond vilje, det er drift: CV-er fra fire år tilbake som fortsatt ligger på en delt disk fordi ingen eier slettingen. Data du ikke lenger trenger, har ikke noe behandlingsgrunnlag for å bli liggende.

Velg en lagringstid for kandidater som ikke fikk jobben, seks måneder er et vanlig og forsvarlig valg i EU, og skriv den ned. Automatiser den deretter. En policy som avhenger av at noen husker å rydde, er ikke en policy, det er en intensjon. Systemet ditt bør slette etter planen, uten et menneske i loopen.

Gjør kandidatrettigheter enkle, ikke motvillige

Kandidater kan spørre hvilke data du har om dem, be om en kopi og be om sletting. Behandle dette som produktfunksjoner, ikke juridiske trusler. Selskapene som sliter med slike henvendelser, er de der kandidatdataene er spredt utover innbokser, regneark og tre verktøy som ikke snakker sammen.

Hvis rekrutteringsdataene dine bor i ett system, tar et innsyns- eller slettekrav minutter. Hvis det tar deg uker med arkeologi, er ikke det et GDPR-problem, det er et organisasjonsproblem som GDPR tilfeldigvis avslører.

Hold dataene der de hører hjemme

Vit hvor kandidatdataene dine fysisk ligger, og hvem som behandler dem på dine vegne. Hvis du ansetter i EU, fjerner datalagring i EU en hel kategori spørsmål om overføring til tredjeland, og databehandleravtalene dine bør navngi hver eneste underdatabehandler som er borti kandidatdata.

Dette er også i ferd med å bli et salgsargument den andre veien: kandidater og tillitsvalgte spør stadig oftere. Å kunne svare "servere i EU, her er listen over databehandlere" i én setning bygger mer tillit enn en personvernerklæring på førti sider.

Den korte sjekklisten

• Ett system som hjem for kandidatdata, ikke innbokser og regneark
• Behandlingsgrunnlag på plass: søknadsbehandling som standard, eksplisitt samtykke for talentbase
• En nedskrevet lagringstid som håndheves automatisk
• Innsyns- og slettekrav som kan besvares innen dager, fra ett sted
• Kjent datalagring, underdatabehandlere listet opp, databehandleravtaler signert
• Intervjunotater skrevet som om kandidaten kommer til å lese dem, for det kan skje

Ingenting av dette krever en juridisk avdeling. Det krever at du velger standarder én gang og lar verktøyene dine håndheve dem. (Dette er praktisk veiledning, ikke juridisk rådgivning; spør en fagperson om grensetilfellene.)