Nyhed

Sociale netværk til rekruttering

Med de sociale netværks konstante udvikling flyttes grænserne for, hvad der opfattes som acceptabelt at benytte disse netværk til.

I dag er det relativt almindeligt, at arbejdsgivere benytter sociale netværk til at understøtte deres søgen efter potentielle nye medarbejdere. De enorme mængder af data, som efterhånden er offentligt tilgængelige på de sociale netværk, kan nemlig give arbejdsgiveren en fordel i jagten på den rigtige kandidat. Spørgsmålet er dog, om virksomheden er berettiget til at indsamle data på medarbejderen på dennes sociale netværksprofiler.

Nutidens teknologi giver mulighed for hurtig adgang til oplysninger om adfærd og præferencer. Dette er sociale netværk et tydeligt eksempel på. Profiler på eksempelvis Facebook eller LinkedIn giver et omfattende billede af en persons privatliv, og man støder ofte på personoplysninger, der er af en følsom karakter, fx oplysninger om helbred, religion, fagforeningsforhold og seksuel orientering.

Når en virksomhed vælger at benytte de sociale netværk som kilde til indsamling af oplysninger på en potentiel ny medarbejder med henblik på fx at vurdere personens karaktertræk og dermed danne et beslutningsgrundlag i forhold til den videre proces, kan virksomheden hurtigt komme til at overtræde regler i Databeskyttelsesforordningen.

Forordningen indeholder en række krav til, hvornår og hvordan en virksomhed må behandle persondata. Det vil blandt andet være relevant for en virksomhed at vurdere karakteren af den oplysning, der indsamles via det sociale netværk, om den pågældende oplysning er offentliggjort af den registrerede selv eller af andre fx ”venner”, om information indsamles til legitime formål, samt om og i hvilket omfang virksomheden har pligt til at informere om behandlingen.

Rekrutteringsprocessen

Da brugen af sociale netværk er omfattende, og da brugerprofiler ofte er offentligt tilgængelige, kan man som arbejdsgiver blive fristet til at tro, at det er berettiget at indsamle og behandle disse oplysninger til egne formål. Dette er dog langt fra altid tilfældet, idet en sådan behandling blandt andet kræver et retligt grundlag, fx et samtykke eller en legitim interesse, ligesom de øvrige bestemmelser i Databeskyttelsesforordningen, fx at indsamling skal ske til legitime formål, også skal være opfyldt. Det vil i den forbindelse først og fremmest være nødvendigt at vurdere karakteren af den pågældende oplysning, der indsamles via det sociale medie.

Det retlige grundlag for behandlingen

Brugerprofiler på sociale netværk indeholder typisk almindelige personoplysninger såsom navn, adresse, fødselsdato, køn, telefonnummer, e-mailadresse, ægteskabelig status, uddannelse, karrierehistorik, generelle og specifikke kompetencer.

Når der er tale om behandling af almindelige personoplysninger, som en virksomhed indsamler via sociale netværk, kan det retlige grundlag (ud over samtykke) være, at en interesseafvejning i den enkelte situation falder ud til virksomhedens fordel. Benytter virksomheden sig af interesseafvejning, skal der ske en konkret afvejning af interesser, hvor virksomhedens interesse på den ene side skal vejes op mod den registreredes interesser på den anden.

Hvor der er tale om indsamling af følsomme personoplysninger, som den registrerede selv har offentliggjort, er udgangspunktet, at virksomheden kan behandle oplysningerne uden et samtykke fra den registrerede. Det samme princip må antages at være gældende for almindelige personoplysninger.

Virksomheden bør herefter overveje hvilken hjemmel, der er mest hensigtsmæssig at anvende. I denne situation vil det forhold, at medarbejderen selv har offentliggjort de pågældende oplysninger klart være at foretrække frem for en interesseafvejning henset til blandt andet, at den registrerede til enhver tid kan gøre indsigelse mod en behandling af personoplysninger, der er baseret på en interesseafvejning.

Hvor det er nødvendigt for den pågældende stilling, at virksomheden indhenter oplysninger om en potentiel medarbejder på de sociale netværk, fx for at vurdere, om der er specifikke risici forbundet med den pågældende medarbejders bestridelse af stillingen, kan virksomheden således anvende såvel almindelige som følsomme personoplysninger offentliggjort af medarbejderen selv, uden at skulle indhente medarbejderens samtykke.

Ved at anvende sociale netværk til at understøtte virksomhedens søgning efter potentielle medarbejdere kan virksomheden dermed undgå at stille spørgsmål vedrørende blandt andet religion, helbred og seksuel orientering, idet svaret kan være indlysende, når medarbejderens brugerprofil vurderes.

Virksomhedens behandling af oplysninger, som derimod ikke er offentliggjort af medarbejderen selv, vil efter omstændighederne alene være muligt efter en interesseafvejning, som falder ud til virksomhedens fordel, for så vidt der er tale om almindelige persondata. Følsomme personoplysninger kan ikke behandles ud fra en interesseafvejning.

Hvornår er personoplysninger offentliggjort?

Hvornår der foreligger offentliggørelse af personoplysninger beror på en konkret vurdering af, om oplysningerne er bragt til kendskab hos en bredere kreds af personer.

Ved en udbredelse af oplysninger gennem sociale netværk, hvor der er tale om en ”åben” profil, giver dette begreb normalt ikke anledning til tvivl, da en oplysning betragtes som offentliggjort, når enhver, der måtte ønske det, kan få adgang.

Det samme kan efter omstændighederne være tilfældet, hvor en person har en ”lukket” profil med et meget stort antal ”venner”, og hvor der kan være tale om en ukontrollerbar spredning af personoplysninger. Her vil det være nærliggende at betragte oplysningerne som offentliggjort.

Behandling af følsomme oplysninger kræver tillige, at det er den registrerede selv, der har offentliggjort oplysningen eller, at offentliggørelse er sket på vegne af den registrerede eller med viden fra den registrerede. Virksomheden kan således ikke uden den registreredes samtykke indsamle følsomme personoplysninger på de sociale medier, hvis oplysningen er offentliggjort af andre end den registrerede selv.

Det anbefales, at virksomheden i tvivlstilfælde sikrer sig dokumentation for, at det er den registrerede selv, der har offentliggjort de følsomme oplysninger.

Overholdelse af grundlæggende principper

Virksomheden skal altid sikre sig, at de grundlæggende principper for behandling af personoplysninger overholdes. Det medfører blandt andet, at indsamling af personoplysninger skal ske til udtrykkeligt angivne og legitime formål.

I en rekrutteringssituation betyder det blandt andet, at det ikke er tilladt for virksomheden at indsamle oplysninger om potentielle medarbejdere, i det omfang det ikke er nødvendigt og relevant for den stilling, som virksomheden ønsker besat. Hvis der blot er en forventning om, at der senere hen kan vise sig at være et aktuelt behov for oplysningerne, er det heller ikke berettiget, at virksomheden behandler oplysningerne.

Oplysningspligten

Uanset om oplysningerne er offentliggjort af den registrerede selv eller af andre, skal virksomheden som udgangspunkt sikre, at den registrerede bliver behørigt informeret om virksomhedens indsamling af oplysninger.

Oplysningsforpligtelsen kan i mange tilfælde standardiseres fx ved afgivelse af information om indsamlingen i jobopslaget, i en politik for håndtering af personoplysninger eller i en bekræftelse for modtagelsen af en ansøgning.

Der er dog visse undtagelser til denne oplysningspligt fx i tilfælde, hvor oplysningerne er indsamlet fra andre end den registrerede, eksempelvis andre dataansvarlige eller offentligt tilgængelige kilder, og hvor afgivelse af information om behandlingen til den registrerede sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af formålene med behandlingen.

Hvor en virksomhed i forbindelse med søgningen efter den rette kandidat til en konkret stilling indsamler data på sociale netværk, kan en konkret vurdering efter omstændighederne lede til, at virksomheden kan undlade at informere den registrerede. Dette vil være tilfældet, hvor det kan tillægges særlig vægt, at informationen sandsynligvis vil hindre virksomheden i at vurdere, om den registrerede har en profil, der passer ind i virksomheden og i den konkrete stilling.

For at påberåbe sig undtagelsen til oplysningspligten skal virksomheden godtgøre, at afgivelse af informationen til den registrerede ville medføre, at opfyldelse af formålene med behandlingen blev hindret.

VIL DU VIDE MERE?
Vil du holdes opdateret?
Skal vi løse dit problem?