Fyra vanliga personuppgiftsfunderingar kring CV:n och rekrytering

Fyra vanliga personuppgiftsfunderingar kring CV:n och rekrytering

Den som arbetar med rekrytering, personalfrågor eller som ansvarig för personal hanterar en stor mängd personuppgifter. Och goda rutiner och långsiktigt arbete kräver kunskap om hur vi får hantera personuppgifter. Vi tänkte därför dela med oss av fyra vanliga GDPR-frågor vi brukar få kring CV:n och rekrytering: 

På vilket sätt får CV:n lagras och vilka på företaget får ha tillgång till dessa? 

Eftersom ett CV med all sannolikhet innehåller information om personnummer ska dessa inte ligga i någon mejlkorg utan flyttas till exempelvis en digital lagringsyta med begränsad tillgång så att endast de personerna som ska ha tillgång till den här informationen faktiskt har det. Denna ytan ska alltså inte vara tillgänglig för alla på företaget. Vill man spara CV:n analogt, exempelvis i en pärm, så gäller samma sak. Pärmen ska inte placeras i kafferummet utan i ett rum som går att låsa och på så sätt begränsa tillgängligheten till. 

 

Hur ska en CV-bank hanteras? 

Det absolut första steget här är att ställa frågan: ”Finns behovet av att ha en CV-bank?”. Blir svaret ja får ni behålla de CV:n där ni har (1) ett samtycke från den sökande, (2) informerat den sökande om hens rättigheter som registrerad, samt att hen kan ta tillbaka sitt samtycke till lagringen när som helst. Kommer ni fram till ett nej så är det bara att börja radera. 

 

Hanteras mottagna CV:n på olika sätt om de är svar på en jobbannons eller en spontanansökan? 

Om personuppgifter ska sparas eller inte regleras inte enbart av GDPR utan av ett antal olika lagar och detta är ett sådant exempel. Ansökan som svar på en jobbannons ska i sin helhet lagras i 2 år enligt diskrimineringslagen eftersom beslutet i rekryteringsprocessen är överklagbart under den här tiden. 

En spontanansökan däremot ska hanteras enligt företagets styrdokument. I och med att en person skickar in en spontanansökan och uppger att dokumenten får sparas kan detta tolkas som ett samtycke till att spara ansökan inför framtida rekryteringar. Men företag måste i ett sådant fall återkomma och informera sökanden om dess rättigheter, gallring, samt att sökanden när som helst kan ta tillbaka sitt samtycke. 

 

Får jag kontakta personer som jag skulle vilja rekrytera till företaget?
Ja, absolut. Företag får ta en första kontakt baserat på den lagliga grunden intresseavvägning. Vill personen som blir kontaktad inte bli kontaktad framöver måste rekryteraren respektera detta och ta bort personuppgifterna som man har, och fortsättningsvis inte behandla personens personuppgifter.

Qnister

Ophelia Wigström,
Jurist på Qnister