• Emelie Dahl

GDPR & referenstagning: Vad behöver du tänka på och vilka är fördelarna med digital referenstagning?

Uppdaterad: 13 dec 2019



GDPR (dataskyddsförordningen) innebär skärpta krav på rutiner och processer för en säker hantering av personuppgifter. Vilka skyldigheter har du som rekryterare för att genomföra referenstagningar enligt GDPR? Och hur kan digital referenstagning förenkla arbetet?

Vi tog hjälp av Fredrik Roos, Partner på Setterwalls Advokatbyrå, för att räta ut några frågetecken.


Sedan 2003 har Fredrik Roos biträtt bolag med rådgivning vad det gäller teknologi, immateriella rättigheter, kommersiella avtal och dataskydd. Fredrik har lång erfarenhet av att arbeta med regulatoriska frågor avseende personuppgifter och är för närvarande projektledare i flera stora GDPR-projekt för både svenska och internationella klienter. Så inget kunde väl passa bättre än att låta honom svara på våra frågor om GDPR och referenstagning.


Är GDPR alltid tillämplig vid referenstagning?

— Ja, om referenstagningen sköts på ett professionellt sätt där svaren dokumenteras så är GDPR alltid tillämplig. Detta gäller oavsett om referenstagningen görs digitalt eller om du genomför referenstagningen över telefon och sparar anteckningar på datorn eller i någon annan form av sökbart register, förklarar Fredrik.


Vilka skyldigheter har du som rekryterare?


1. Säkerställa att du har en laglig grund

— Först och främst behöver du en laglig grund för personuppgiftsbehandlingen. Att samla in personuppgifter i samband med en referenstagning kan ofta ske med stöd av så kallad intresseavvägning. Detta förutsätter att du arbetar på ett bolag och inte en myndighet, samt att personuppgiftsbehandlingen är nödvändig och proportionerlig för ändamålet. Att samla in och behandla personuppgifter är avgörande för en lyckad rekryteringsprocess och du har därför, i de flesta fall, stöd av intresseavvägning, eftersom ditt intresse väger tyngre än kandidatens intresse av integritet för personuppgifterna.


Intresseavvägningen gäller då som laglig grund för både behandling av kontaktuppgifterna till referenserna och omdömena om kandidaten.

Intresseavvägningen innebär att du får behandla personuppgifter utan den registrerades samtycke, beskriver Fredrik.


2. Informera kandidaten och referensen

— Även om du inte behöver ha ett samtycke från kandidaten eller referensen så är du skyldig att informera dem om hur du kommer behandla deras personuppgifter, och på vilken laglig grund. Det är lämpligt att du gör detta i skriftlig form i samband med att du samlar in uppgifterna. Tänk därför på att nämna referenstagningen i er integritetspolicy och att hänvisa till denna, förklarar Fredrik.


Hur kan vi på Refapp hjälpa till? Med Refapp kan du av kandidaten begära in referensernas kontaktuppgifter via systemet. I samband med detta får kandidaten automatiskt information om er personuppgiftsbehandling. Detsamma gäller för referensen när personen genomför den digitala referenstagningen. Du behöver därför inte skicka ut någon separat information utan kan vara trygg i att både kandidaten och referenserna tagit del av den.


Vi har tillsammans med Fredrik också tagit fram en mall för informationstext som våra kunder kan använda i sin integritetspolicy för att beskriva personuppgiftsbehandlingen som utförs då du använder dig av Refapp.


3. Radera känsliga personuppgifter

— När du genomför referenstagningen (baserad på intresseavvägning) och får in omdömen som är kränkande eller känsliga så är du skyldig att direkt ta bort uppgifterna. Exempel på känsliga personuppgifter är information om etniskt ursprung, hälsa, politiska åsikter och sexuell läggning, beskriver Fredrik.


Hur kan vi på Refapp hjälpa till? Om du skulle få in känsliga omdömen om en kandidat kan du enkelt gå in i den digitala referensrapporten i Refapp och radera dessa direkt.



När behöver du ha samtycke för referenstagningen?

— I de fall när du inte kan stödja din personuppgiftsbehandling för referenstagningen på annan laglig grund eller om du ska behandla känsliga personuppgifter så behöver du den registrerades samtycke. Ett samtycke innebär att den registrerade uttryckligen har sagt ja till personuppgiftsbehandlingen. Du behöver även här ge skriftlig information till den registrerade bland annat om:

  • Vem du (företaget/myndigheten) är som begär samtycket

  • Vilka personuppgifter du tänker behandla

  • Hur du tänker behandla personuppgifterna

  • För vilka ändamål du samlar in och behandlar uppgifterna

  • Att den registrerades samtycke är den lagliga grunden för behandlingen

  • Att den registrerade kan ta tillbaka sitt samtycke

  • Hur länge du tänkt spara personuppgifterna

Först då kan personen välja att samtycka i exempelvis en kryssruta, och du kan genomföra dina referenstagningar, förklarar Fredrik.


Hur kan vi på Refapp hjälpa till? Om ni behöver be om samtycke i era digitala referenstagningar kan vi hjälpa er med att be kandidaten och referensen om det via systemet. Detta kan exempelvis gälla om du arbetar på en myndighet och därför inte kan stödja er personuppgiftsbehandling på intresseavvägning.



Vilka rättigheter har kandidaten och referensen?

— Utöver rätt till information om personuppgiftsbehandlingen har kandidaten och referenserna bland annat rätt att begära ut sina uppgifter samt att be dig korrigera dem. Se till att ha kontaktuppgifter och omdömen samlade på ett sätt som gör denna process enkel för dig om detta blir aktuellt!, avslutar Fredrik.


Hur kan vi på Refapp hjälpa till? Eftersom alla personuppgifter du får in om kandidater och referenser samlas i Refapp är det enkelt att lämna ut dessa om ni som företag/myndighet blir ombedda att göra det. Dessutom lagras uppgifterna krypterat och raderas efter en given tid vilket innebär att ni själva slipper hålla ordning på gallringstider för enskilda personuppgifter.


Hoppas att artikeln rätade ut ett par frågetecken kring hur du GDPR-anpassar dina referenstagningar! Vill du ha mer information om hur Refapp och digital referenstagning kan hjälpa dig, hör gärna av dig till oss!

Sverige

Info@refapp.se

Talentwise AB

Östra Larmgatan 13

411 07 Göteborg

  • White LinkedIn Icon
  • Vit Facebook Ikon
  • Vit Instagram Ikon

Norge

christian@refapp.no

Verket Ø Moss/ M: 6Elisabeth von Hubschs gate 6NO-1534 Moss, Norway