Det er innført nye internasjonale regler om personvern – GDPR. På samme måte som for EU-landene, gjelder reglene for norske virksomheter. Samtidig som de viktigste prinsippene fra dagens regelverk er videreført, er det nye regelverket langt mer detaljert. Enkelte av endringene får direkte betydning i rekrutteringsprosesser.
Den virksomheten som skal ansette noen, regnes som behandlingsansvarlig i personvernrettslig sammenheng. Den behandlingsansvarlige er det primære pliktsubjektet i forhold til GDPR, og står ansvarlig for å følge reglene og dokumentere at reglene følges.
Dette gjelder også dersom virksomheten bruker eksterne rekrutterere. Eksterne rekrutteringsselskap kan som regel anses som databehandlere, med egne selvstendige plikter etter regelverket. Den enkelte jobbsøker regnes som registrert, med omfattende personvernrettigheter.
Du kan for eksempel ikke innhente helseopplysninger om den du skal ansette. Du må forholde deg til nye personvernregler i arbeidsmiljøloven. Likestillings- og diskrimineringsloven forbyr også arbeidsgiver å innhente opplysninger om graviditet og familieplanlegging.
De nye personvernreglene gir ikke alltid direkte forbud, men opplysningene som skal hentes inn må være relevante og begrenset til det som er nødvendig for formålet. Før en ansettelse er formålet ditt å finne den personen som passer best til stillingen. Indirekte vil derfor dette formålet sette grenser for hvilke opplysninger som kan innhentes.
De nye personvernreglene stiller krav til informasjon som skal gis jobbsøkere før innhenting av personopplysninger. De stiller også krav til virksomhetens behandling av opplysningene. Kan arbeidsgiver bruke de samme opplysningene til andre formål underveis i ansettelsesforholdet? Hva med søkere som ikke blir ansatt, men som kan vurderes ved neste rekruttering?
Det er viktig å ha klart for seg hvordan opplysningene skal lagres, hvor lenge de kan lagres, og hvem som skal ha tilgang til opplysningene.
Underveis i rekrutteringsprosessen kan jobbsøkerne be om innsyn i de opplysninger arbeidsgiver har lagret om vedkommende. Selv om hovedregelen er at de registrerte har innsynsrett, er det flere unntak fra dette.
Ved GDPR videreføres likevel ikke dagens unntak om at virksomheten kan holde tilbake opplysninger i tekst som er utarbeidet for intern saksforberedelse. Det vil si at innsynsretten utvides ved GDPR, noe det er viktig å være klar over i rekrutteringsprosesser.
Du kan få en veileder som gjør jobben enklere!
Vi har utarbeidet en veileder som gjør det enklere for din virksomhet å tilpasse dere det nye regelverket Veilederen tar for seg ulike typer personopplysninger som er relevant for de aller fleste virksomheter, både i privat og offentlig sektor.
Veilederen hjelper deg å få oversikt over hva du bør ha kontroll på innen følgende områder:
- rekruttering (f.eks. lagring av CVer og tester)
- informasjon om den ansatte (f.eks. lønnshistorikk, timelister, helseopplysninger og advarsler)
- informasjon om tidligere ansatte
Mange virksomheter, både store og små, har hatt stor nytte av veilederen. Den leder deg gjennom de ulike punktene som du må ta stilling til, og gir deg anbefalinger og tips til hvordan du vurderer hva som er riktig for din virksomhet.
Nå får du tilgang til en revidert versjon av GDPR-veilederen!
