GDPR-anpassad bakgrundskontrollprocess. Del 1 av 4

Ingen har väl missat att GDPR-vågen är över oss. Den nya Dataskyddsförordningen (GDPR) börjar gälla som lag i samtliga EU:s medlemsländer från och med den 25 maj 2018. Vi på ToFindOut får nästa varje dag frågan huruvida vår verksamhet är GDPR-anpassad. För att klargöra så är detta dock i grunden ingen ny lag! Förenklat skulle man kunna säga att det är gamla PuL fast med tänder. Tänder för att utdela kännbara sanktioner och tänder för att kunna utkräva ansvar av samtliga parter, vilket bla betyder att man inte längre kommer att kunna outsourca dataskyddsansvaret.

Hantering av personuppgifter är själva grunden för vår verksamhet och utgör därför en central del av våra affärsprocesser. ToFindOut har därför varit tvungna att tänka GDPR från dag ett. Men har man inte haft PuL och integritetsfrågan i åtanke som grundkriterium när man designar och bygger sagda processer så blir det problematiskt.

Vi förstår att GDPR-anpassningen blir komplex så låt dela upp frågan från vårt perspektiv i 4 delmoment som är centrala för bakgrundskontrollprocessen, såsom ToFindOut utför den idag.

Vi börjar med själva samtycket. Ni kunder som arbetar med oss känner till ToFindOuts samtyckesprocess och hur central den är från beställning till slutlig leverans. Utan samtycke börjar ingen bakgrundskontrollprocess hos oss. Följ med så kan ni se hur vår process är anpassat till GDPRs krav på samtycket.

GDPR: s krav på ett korrekt samtycke är följande:

  • Ett samtycke skall vara frivilligt och aktivt, inte passivt, godkänt.
  • Det skall närsomhelst under processens gång kunna tas tillbaka av kandidat.
  • Samtycket skall vara otvetydig i sin utformning, det skall inte finnas något tvivel i vad det innebär.
  • Det skall vara specifik utformat för syftet och klart ange vad som ska insamlas.

Ovan betyder att en kandidat inte kan anses ha samtyckt till en bakgrundskontrollprocess bara för man som arbetsgivare har nämnt detta i platsannonsen eller att man kan anse att kandidaten genom sin ansökan har samtyckt till hela processen. När man väl är framme vid den slutprocess där själva kontrollen ska ske så måste hen samtycka. Det betyder dock inte heller att en arbetsgivare kan vänta till sista stund med att informera om att en bakgrundskontroll kommer genomföras. Tvärtom är det bättre att informera och ha en dialog så tidigt som möjligt med kandidaten om att en bakgrundskontroll kommer att ske.

Samtycke kan inte anses som frivilligt om en kandidat får frågan för sent i rekryteringsprocessen, hur tydligt sagda samtyckesdokument än är utformat. Med för sent menar vi i oftast att man väntar tills man konkret har börjat diskutera villkoren kring en anställning eller ett uppdrag. För att underlätta för våra kunder tillhandahåller ToFindOut därför också kommunikationsverktyg för hela processen. Dessutom följer vi alltid upp frågan med våra kandidater i en enkät som skickas till alla som genomgår en bakgrundskontroll via vår process.

Ett samtycke måste som sagt också kunna återtas och då måste rutiner och kommunikation vara på plats för vad som händer vid ett återtaget samtycke. Kandidatens rättigheter är A och O i kommande GDPR-anpassning och vår process inkluderar därför möjligheter för kandidaten att ta tillbaka sitt samtycke.

Tydlighet i vad som avses kontrolleras är också ett krav. I samtyckestexten i våra processer redogörs alltid för vilka källor som kommer att användas. I de fall då ett CV ska verifieras specificerar vi i samtycket exakt vilka uppgifter i CV: t som avses.

Man skall även vara tydlig med vilken tidsperiod som samtycket avser. Ett begärt samtycke kan inte lagras för att sedan genomföra kontrollen vid något annat tillfälle. Detta är viktigt att ha i åtanke, i synnerhet för exempelvis rekryteringsbolag som ju ofta jobbar med flera parallella uppdrag där en kandidat kan vara aktuell för flera potentiella arbetsgivare.

Sist och egentligen viktigast: vad syftet med bakgrundskontrollen? Detta är något vi alltid frågar dels i vår avtalsdialog med våra kunder men även redogör för i själva samtycket som ges till kandidaten som skall genomgå bakgrundskontroll. Vi assisterar alltid våra kunder med att ställa och svara på de GDPR-relaterade frågor som kommer upp.

Och vad händer sedan…

Samtyckesprocessen som beskriven ovan kan av vissa ses som onödigt komplex men vi vill visa hela processen då både ToFindOut och våra kunder vet att både själva samtycket i sig och alla de delmoment och processer kring denna är nyckeln till GDPR-anpassning. Vi kommer prata mer om kandidatens rättigheter i del två för att sedan ta upp hur man bygger in integritetsperspektivet i persondatahanteringen i del tre. Avslutande del fyra kommer att ta upp lagring och radering av persondata. Kul, eller hur?