Vad är dataskyddsförordningen – GDPR?

Den 28:e maj 2018 träder en ny personuppgiftslag i kraft i EU/EES-området – oftast förkortat GDPR (General Data Protection Regulations). GDPR är en förordning, i motsats till ett ”direktiv” som dagens svenska personuppgiftslag bygger på. Det innebär att GDPR kommer att blir en gällande lag i alla medlemsländer i enlighet med egna nationellt överenskomna lagar. Medan ett EU-direktiv ger riktlinjer och rekommendationer för vilka nationella lagar ska eller bör innehålla och reglera, blir det nu samma lagstiftning för alla medlemsstater – samtidigt.

Varför GDPR?

Det är två huvudsakliga skäl till att man nu har antagit GDPR

  • Personuppgifter har blivit en handelsvara (Commodity) och big business – på tvärs överlandsgränserna. 
  • Gällande direktiv och nationella lagar har blivit föråldrade och något harmoniserade, i och med att utbudet av tjänster via nätet har exploderat. 

Datalagring och hantering påverkar två av EUs fyra grundläggande friheter:

  1. fritt flöde av varor och tjänster. Det är därför viktigt att reglera detta i GDPR så att leverantörer i alla medlemsstater kan konkurrera på lika villkor över nationsgränserna.
  2. att medborgarna ska känna samma trygghet när det gäller lagring och rätten till sin egen data.

Vad betyder det för min leverantör?

Leverantören av nätbaserade tjänster kallas vanligen ”Databehandlare” (ägaren av datan/kunden omtalas oftast som ”behandlingsansvarig”).

För det första – rekryteringsverktyg lagrar inte det som vanligen kallas ”känsliga personuppgifter”, det är information om etnicitet, religion, brott, politiska åsikter/medlemskap i fackförbund eller sexuell läggning.

Däremot sparas det som kallas personliga uppgifter – vanligtvis namn, adress, bilder, CV, födelsedatum. Desstom lagras den enskilda jobbsökarens historik. Vilka tjänster man har sökt, referat från intervjuer, avslagsbrev och liknande.

För en leverantör av rekryteringsverktyg är detta det viktigaste förändringarna:

  • Leverantören är skyldig att dokumentera att de ämnar att efterleva förordningens krav
  • Striktare tillämpning av reglerna ger nya sanktionsmöjligheter, böter på upp till 4% av omsättningen
  • Solidariskt ansvar mellan datahanterare och hanteringsansvarig
  • Det måste tillsätta ett dataskyddsombud
  • Alla måste ge tydlig och förståelig information om hur man behandlar personuppgifter
  • Leverantörerna bör samarbeta för att säkra uppgiftsportabilitet
  • Strängare regler för bristande efterlevnad och varningar
  • Utför riskbedömningar

Vad betyder GDPR för mig som kund?

De flesta som är kunder hos en leverantör av rekryteringsverktyg, har många andra system eller lösningar som behandlar personuppgifter, så som kund- och säljsystemer, filservers, intranät, lön- och personalsystem, etc. Gemensamt för alla dessa är att de i en eller annan form lagrar eller behandlar personuppgifter. Rekryteringslösningen blir därför vanligtvis bara en av många lösningar som individen måste förhålla sig till för att säkerställa att man efterlever GDPR.

Större verksamheter hyr gärna in tjänster från leverantörer som EVRY eller PwC för att få alla sina leverantörer, underleverantörer och system utvärderade, samt säkra att man efterlever de kommande reglerna. Vanligtvis är det frågeformulär som underleverantörerna (databehandlaren) måste svara på för att hitta eventuella avvikelser. Både databehandlare och behandlingsansvarig är skyldiga genomföra riskbedömningar.

Leverantören måste självklart ta ansvar för sina egna lösningar där data lagras och behandlas ”i molnet”. Alla leverantörer måste därför ändra eller upprätta ett databehandlingsavtal med den enskilda kunden så att de överenstämmer med de nya reglerna.

Med de nya reglerna kan arbetssökare välja att kontakta databehandlare eller behandlingsansvarig vid överträdelse eller misstanke om brott mot reglerna för GDPR.

Vad betyder GDPR för jobbsökaren?

För den enskilda privatpersonen är det en del större förändringar som berör rättigheter relaterade till den egna datan:

  • ”Rätten till att bli glömd” och kräva radering av data
  • Alla individer ska ha rätt att hämta ut all data de har registrerat i ett så kallat maskinläsbart format, ofta kallad dataportabilitet
  • Personer har rätt till information om hur deras data behandlas – på ett lättförståeligt sätt
  • Enskilda personer har rätt till information om säkerhetsöverträdelser
  • Privatpersoner kan välja att vända sig till antingen databehandlare eller behandlingsansvarig vid brott mot regelerna för GDPR

Vad gör Webcruiter?

Webcruiter har kartlagt de ändringar som införandet av GDPR medför och arbetar aktivt med att bli ”compliant” i god tid till maj 2018 – det vill säga att säkra att både lösning, verksamhet och rutiner är på plats för att efterleva reglerna på bästa möjliga sätt.

Detta innebär bland annat att vi ser på möjligheten till att bli ”certifierade” genom att en opartisk tredjepart granskar vår verksamhet mot GDPRs krav.

Alla Webcruiters kunder och jobbsökare som använder våra tjänster ska känna sig säkra och trygga med att vi efterlever de nya reglerna på bästa sätt och med höga krav.

 

Søk blant tusenvis av ledige stillinger!