Det krävs gedigen kunskap för att följa dataskyddsförordningen. Ofta behöver du som rekryterare någon form av juridisk utbildning. Det är inte alltid enkelt att veta vad du får lagra och dela. Enligt Carl Berg, juristrekryterare på Legal Career Rekrytering & Interim, är efterfrågan och behovet av kunskap inom GDPR stort och trycket på gedigen utbildning inom området ökar.
Legal Career är specialister på juristrekrytering och interimslösningar. Innan rekryteringen leder till en anställning har kandidaten genomgått en omfattande rekryteringsprocess, under vilken det är viktigt att ha koll på hur personuppgifter ska hanteras enligt GDPR.
– Vi måste ha en strukturerad process, annars finns risken att det kommer in personliga dokument från olika håll vilket skulle göra det otroligt svårt, eller nästintill omöjligt, att följa lagen. Idag har vi ett rekryteringssystem där kandidaten samtycker till lagring av personuppgifter och anger hur vi får kontakta dem redan innan de skickar in ansökan. På så sätt kan vi enkelt radera uppgifter på begäran och även gallra personuppgifter automatiskt, förklarar Carl Berg.
Personuppgifter i rekryteringsprocessen
I en rekrytering förekommer en hel del personuppgifter och för att du ska få spara och dela dem krävs laglig grund. En laglig grund du kan stödja dig på i rekryteringsprocessen är intresseavvägning. Personuppgifter är till exempel namn, adress och e-postadress. I rekryteringsprocessen räknas även kandidatens personliga brev, CV, referenser, foto, ljud- och bildinspelning samt kunskaps- och personlighetstester som personuppgifter.
– Det är viktigt att de sökande inte skickar fler uppgifter än vad som efterfrågas. Vi är till exempel inte intresserade av ålder och personnummer. Det kan också hända att kandidater skickar känsliga uppgifter som sexuell läggning eller etniskt ursprung. Detta får vi inte lagra vilket ställer till problem. Samtidigt måste deras CV lagras en viss tid för att kunna påvisa att rekryteringen har skett på ett korrekt och rättvist sätt och för att vi ska kunna matcha kandidaten mot andra jobb, säger Carl Berg.
Tänk på tredjelandsöverföring vid lagring
Som arbetsgivare kan du hantera personuppgifter så länge de är nödvändiga för att avgöra om personen du överväger att anställa är lämplig för tjänsten. Det finns dock undantag där du behöver samtycke. Sådana uppgifter är till exempel personlighetstest. De flesta servrar ligger utanför Europa och enligt GDPR får du i de flesta fall inte överföra personuppgifter till ett land utanför EU/EES.
– Schrems II-domen innebär att tredjelandsöverföring och bland annat användning av amerikanska molntjänster fått stora konsekvenser. Även lagring i mejl-inkorgen en svår fråga och kan bero på den tekniska lösningen och mejlservrarna. Det bästa är att helt enkelt inte ta emot ansökningar via mejl, menar Carl Berg.
Kunskaper inom GDPR är efterfrågade
Att ha uppdaterade och aktuella kunskaper inom GDPR är nödvändigt både som arbetsgivare och när du arbetar med rekryteringar, personal och HR. Du ska helst kunna de lagliga grunderna och hur du kan och får dela samt lagra personuppgifter på dina fem fingrar. Dataskyddsombud, Data Protection Manager samt gedigna kunskaper inom GDPR efterfrågas i allt högre grad.
– Vi gör många rekryteringar inom området och många företag väljer att ta in en extern konsult på tjänsten som dataskyddsombud. Detta eftersom det ofta inte är en heltidstjänst och för att dataskyddsombudet ska vara så oberoende som möjligt. En annan tydlig trend är att också ha en Data Protection Manager som är mer operativ och arbetar ute i verksamheten.
Efterfrågan på bolagsjurister
När det kommer till rekrytering av bolagsjurister efterfrågas i regel alltid kompetens inom GDPR. Du förväntas ha kunskaper inom området, annars är det svårt att arbeta proaktivt med de grundläggande delarna som kontroll, granskning, riskanalys och åtgärder. GDPR kan uppfattas som krångligt, vare sig du är jurist eller jobbar med HR. BG Institute erbjuder därför kurser och webbinarier som håller dig uppdaterad om GDPR med Sveriges främsta experter på området.
– Det är svårt att hitta riktigt bra bolagsjurister. Företag vill ha en jurist som förstår affären och arbetar proaktivt med ett riskbaserat synsätt, vilket inte minst gäller inom dataskyddsfrågor. Juristen måste ha många kontaktytor och dessutom kunna förmedla sin kunskap på ett enkelt sätt så de som arbetar ute i verksamheten själva kan utföra enklare juridiska uppgifter. Det är också viktigt för bolagsjurister att hålla sig uppdaterade inom det senaste. Se till att du har aktuella kunskaper inom GDPR så att du kan se över rutiner och flagga för risker i ett tidigt stadium, avslutar Carl Berg.
