Kandidater som söker en tjänst, registrerar en intresseanmälan eller en prenumeration på lediga tjänster behöver enligt GDPR lämna ett aktivt samtycke för hantering av persondata. Inställningar för samtycke och automatisk rensning för kandidater kan ni läsa om i vår guide till GDPR-säkra inställningar.
Men alla kandidater söker inte på detta sätt. I vissa fall kan ansökningar komma in via brev, i många fall letar ni upp tänkbara kandidater, och dessa kandidater lägger ni kanske in i projekten manuellt. Även för dessa kandidater behöver ni säkerställa att ni har ett samtycke från kandidaten att hantera deras personuppgifter och ni behöver hålla koll på var ni har hämtat kandidatens uppgifter. Ni kan välja mellan tre sätt att hantera kandidater som inte söker via karriärsidan:
- Ni som kund tar ansvar för att säkerställa samtycke utanför ReachMee
- Alla kandidater som läggs till manuellt får lämna aktivt samtycke via ReachMee
- Ni hänvisar alla kandidater till karriärsidan och stänger av funktionen för att lägga till kandidater manuellt
Samtycke utanför ReachMee
Om ni vill kunna lägga till kandidater manuellt och samtidigt säkerställa att inkomna handlingar inte kan tas bort av kandidat eller rekryterare måste ni själva inhämta samtycke från kandidaten innan ni registrerar kandidatens information i ReachMee. Att ni har samtycke (eller annan rättslig grund för er databehandling) innan är av största vikt eftersom kandidaten inte själv kan välja att radera sin ansökan.
När en kandidat väl är tillagd kommer ReachMee utgå från att ni som kund säkerställt samtycke eller att det finns en annan rättslig grund för behandlingen. Kandidatens information kommer då att hanteras och raderas enligt samma policy som gäller för projektet i övrigt.
Välj denna inställning i GDPR-inställningar om ni vill arbeta enligt detta alternativ.
Kandidaten ger aktivt samtycke via ReachMee
För det fall kandidaten inte själv sökt en tjänst är det viktigt att säkerställa godkännande innan man börjar behandla och dela kandidatens information. GDPR specificerar att ni behöver få godkännande från kandidaten att fortsätta behandla deras data inom 30 dagar från registreringstillfället, när kandidatens information delas med en annan mottagare eller det första tillfället då ni tar kontakt med kandidaten.
Ett sätt att få fortsätta arbeta med kandidatens data är därför att be om samtycke från manuellt tillagda kandidater. När ni lägger till en kandidat manuellt kommer ni att kunna lägga till kandidatens information, till exempel namn och e-post. I dialogen kommer ni också att få specificera var kandidatens information har hämtats, till exempel om ansökan med kandidatens persondata inkom via e-post eller om rekryterare hittade kandidaten via LinkedIn. Denna information kommer sedan att visas i registerutdraget, om kandidaten ber om ett sådant, eftersom det måste vara tydligt var informationen har hämtats.
I samband med att kandidaten läggs till manuellt kommer ni att kunna formulera och skicka ett personligt email till varje kandidat som ni lägger till, med en länk till karriärsidan där de kan lämna samtycke.
Fördelaktigt är om ni skapar en brevmall för detta under ADMIN > MALLAR som ni kan använda.
I emailet måste ni berätta för kandidaten om:
- Var ni hittat de manuellt tillagda uppgifterna
- Vilka personuppgifter det gäller
- Mottagare du ska dela/har delat uppgifterna med
Kandidaten ska även få veta vem som är personuppgiftsansvarig, hur länge uppgifterna sparas och vad den har för rättigheter. Alltså, samma information som finns i samtyckestexten. Be kandidaten läsa texten och samtycka om de godkänner vidare behandling.
Om kandidaten inte lämnat samtycke inom 14 dagar skickas ett email till den ReachMee-användare som lagt till kandidaten. Om kandidaten fortfarande inte lämnat samtycke efter 30 dagar tas kandidaten bort och ett nytt email skickas till ReachMee-användaren.
Så länge det inte finns samtycke går det inte att dela kandidaten, hitta den vid sökningar, se den i kandidatbanken eller lägga till kandidaten i andra projekt. Kandidater som inte lämnat samtycke än markeras med en varningstriangel.
För att ytterligare begränsa åtkomst till kandidater innan det finns samtycke rekommenderar vi att ni dessutom lägger manuellt tillagda kandidater i en särskild processmapp där tillgången begränsas till så få personer som möjligt och inte flyttas vidare i processen förrän samtycke finns.
Om ni vill arbeta enligt detta alternativ behöver ni bara se till att "Samtycke för att lägga till kandidater manuellt har givits utanför ReachMee" är urbockat.
Hänvisa kandidater till karriärsidan
Det absolut säkraste sättet att leva upp till kraven i GDPR är att inte lägga till kandidater manuellt alls, eller att så långt det går minimera användningen av denna funktion. Istället får ni då be kandidater som hör av sig genom andra kanaler att gå in via er annons och klicka på ansök. Då får ni dessutom in en komplett ansökan inklusive svar på urvalsfrågor.
Ni kan stänga av möjligheten att lägga till kandidater manuellt genom att ta bort behörigheten ”Lägga till kandidater manuellt”. Ni bestämmer själva om ni vill ta bort behörigheten från samtliga användare eller om några roller ska ha möjlighet att använda funktionen.