GDPR för rekryterare: den praktiska versionen

Därför är rekryteringsdata speciell

En rekryteringspipeline är en av de mest personliga datamängder ett företag har: CV:n, löneanspråk, intervjuanteckningar, ibland uppgifter om hälsa eller familj som kandidater delar utan att någon frågat. Människor lämnar ifrån sig det i ett sårbart läge, i hopp om ett jobb.

GDPR behandlar den datan därefter, och det gör kandidaterna också. Att hantera den slarvigt är inte bara en juridisk risk; det är precis den sortens historia som sprids. De praktiska kraven är dock betydligt mer hanterbara än förkortningen antyder.

Ha koll på din lagliga grund

Du behöver en rättslig grund för att behandla kandidatdata. För en aktiv ansökan är det enkelt: behandlingen är nödvändig för att bedöma kandidaten för rollen de sökt. Du behöver ingen samtyckesruta för att läsa CV:t någon har skickat till dig.

Samtycke spelar roll i kanterna. Att spara en kandidat som fått avslag i din talangpool för framtida roller är ett annat syfte än den ursprungliga ansökan, så be om det uttryckligen, och gör det helt riskfritt att tacka nej. Kandidater du har sourcat och som aldrig sökt har rätt att få veta var deras uppgifter kommer ifrån första gången du hör av dig.

Gallring: bestäm den, automatisera den

Det vanligaste GDPR-misstaget i rekrytering är inte ond vilja, det är drift: fyra år gamla CV:n som fortfarande ligger på en delad disk för att ingen äger raderingen. Data du inte längre behöver har ingen laglig grund att finnas kvar.

Välj en gallringstid för kandidater som inte gick vidare, sex månader är ett vanligt och försvarbart val i EU, och skriv ner den. Automatisera den sedan. En policy som hänger på att någon kommer ihåg att städa är ingen policy, det är en ambition. Ditt system ska radera enligt schema utan att en människa behöver agera.

Gör kandidaters rättigheter enkla, inte motvilliga

Kandidater kan fråga vilka uppgifter du har om dem, be om en kopia och be om radering. Behandla det som produktfunktioner snarare än juridiska hot. Företagen som kämpar med rättighetsförfrågningar är de vars kandidatdata ligger utspridd i inkorgar, kalkylark och tre verktyg som inte pratar med varandra.

Om din rekryteringsdata finns i ett enda system tar ett registerutdrag eller en raderingsbegäran några minuter. Tar det veckor av arkeologi är det inte ett GDPR-problem, det är ett organisationsproblem som GDPR råkar synliggöra.

Håll datan där den hör hemma

Vet var din kandidatdata fysiskt lagras och vem som behandlar den för din räkning. Rekryterar du i EU tar datalagring inom EU bort en hel kategori frågor om tredjelandsöverföringar, och dina personuppgiftsbiträdesavtal med leverantörer ska namnge varje underbiträde som rör kandidatdata.

Det här börjar också bli ett säljargument åt andra hållet: kandidater och fackliga företrädare frågar allt oftare. Att kunna svara "EU-servrar, här är listan på biträden" i en enda mening bygger mer förtroende än en fyrtiosidig integritetspolicy.

Den korta checklistan

• Ett enda system för kandidatdata, inte inkorgar och kalkylark
• Laglig grund på plats: ansökningshantering som standard, uttryckligt samtycke för talangpoolen
• En nedskriven gallringstid som upprätthålls automatiskt
• Registerutdrag och raderingar som kan besvaras inom dagar, från ett ställe
• Känd datalagring, listade underbiträden, signerade biträdesavtal
• Intervjuanteckningar skrivna som om kandidaten kommer att läsa dem, för det kan hända

Inget av det här kräver en juristavdelning. Det kräver att du väljer standardinställningar en gång och låter dina verktyg upprätthålla dem. (Det här är praktisk vägledning, inte juridisk rådgivning; fråga en expert vid gränsfall.)