2018-03-20

GDPR försvårar för bakgrundskontroller

Henrik Carlbark, VD på Valida.

Få branscher är lika orienterade kring personuppgifter som företag inriktade på bakgrundskontroller. Hur kommer GDPR, som träder i kraft den 25 maj, att påverka möjligheterna att utvärdera kandidater i en rekryteringsprocess?

– Jag gör bedömning att det kommer att vara svårt att göra elektronisk rapportering i framtiden, säger Henrik Carlbark, VD på Valida, som arbetar med bakgrundskontroll och är en av talarna på konferensen #Trygghetnu på Clarion Hotel Stockholm den 21 mars.

Från och med den 25 maj kommer EU:s nya dataförordning börja gälla som lag. Syftet med lagen är att låta samtliga EU-länderna anamma ett och samma regelverk samt stärka individens rätt till sina personliga data. Men hur kommer den nya lagstiftningen påverka företag, myndigheter och organisationer som ska rekrytera?

På #Trygghetnu ska Henrik Carlbank tala om hur den nya dataförordningen kommer att påverka hur vi hanterar personuppgifter i samband med rekrytering.

Trots att det finns stora likheter med personuppgiftslagen (PUL) menar han att det är fyra saker som skiljer när det kommer till rekryteringar:

– Först måste du vara tydligare gällande vilken information du ska hämta in och ha fått ett medgivande om att du får samla in informationen kring kandidaten. Tidigare fanns det inte något sådant krav, utan det var mer ett moraliskt krav att meddela kandidaten i samband med en bakgrundskontroll. I GDPR kommer det behöva göras tydligt vilken information man avser att hantera, säger Henric Carlbark till SecurityUser.

En annan del är ändamålsprövningen. Inför varje hantering av personuppgifter måste den som rekryterar analysera sitt behov av personuppgifter och hur man ska hantera den informationen som samlas in. För att säkerställa att det inte samlas in personuppgifter som man inte har ett faktiskt behov av.

– Det tredje är säkerheten kring informationen. Oavsett om den information du hämtat landar i ditt datasystem eller någon annans. Det funkar inte att i egenskap av personuppgiftsbiträde att mejla personuppgifter utan den nya lagen gör mig ansvarig över att din IT-säkerhet kommer att uppfylla vissa krav, säger han.

Slutligen har du straffavgifterna. Det nya regelverket kommer att innebära att den som bryter mot hanteringen av personuppgifter riskerar höga böter som i värsta fall kan motsvara fyra procent av ett företags årsomsättning upp till 20 miljoner euro.

Även om han anser att straffavgifterna är höga kan han ändå se det rimliga med att man vill avskräcka företag att hantera personuppgifter på ett felaktigt sätt.

– Det är extremt höga avgifter. Men begår du ett rejält brott där du samlar in information och bygger databaser som de här personerna inte vet om eller som används i ett tvivelaktigt syfte så tycker jag ändå att det är ganska rimligt.

Henrik Carlbank är övertygad om att GDPR kommer påverka hans bransch.

– Det påverkar definitivt hur vi sparar informationen och hur vi förmedlar informationen mellan varandra; i vårt fall hur vi förmedlar bakgrundskontrollen till våra kunder. Jag gör bedömning att det kommer att vara svårt att göra elektronisk rapportering i framtiden. Jag kommer inte att göra det. I vart fall inte via okrypterade mejl eller databaser.

Fotnot: Henrik Carlbank talar på konferensen #Trygghetnu den 21 mars på Clarion Stockholm Hotel. 


Leverantörer
Ändra marknad
Till toppen av sidan