HR Manager är redo för GDPR

Vi är redo

I maj 2018 träder den nya dataskyddsförordningen i kraft, vilket påverkar väldigt många verksamheter. Den nya förordningen handlar i stora drag om att behandla data med god praxis och att följa de befintliga och nya kraven. Det är också viktigt att alla certifikat är på plats, se till att alla data är krypterade och mycket annat. HR Manager uppfyller alla dessa krav, eftersom vi som leverantör erbjuder mjukvarusystem som följer de villkor som gäller för HR- och rekryteringsbranschen.

Vad betyder egentligen GDPR?

GDPR är den engelska förkortningen av General Data Protection Regulation, EU:s nya dataskyddsförordning som träder i kraft den 25 maj 2018.

God praxis och respekt för data

Numera är digitala data nödvändiga för våra verksamheter och det är viktigt att alltid uppmärksamma god databehandlingspraxis när det gäller personuppgifter – vilket tyvärr inte alltid respekteras.

Men vad är god databehandlingspraxis

Här följer några beskrivande exempel:

  • Inhämta enbart nödvändig information för specificerade och sakliga ändamål – det måste finnas ett syfte med informationen, och detta ska kunna dokumenteras.
  • Behandlingen av personuppgifter måste vara relevant för de ändamål för vilka uppgifterna har samlats in.
  • Registrera data korrekt och radera dem när det inte längre är nödvändigt att lagra dem.

Är det någon skillnad på olika sorters data?

En åtskillnad kan göras mellan tre typer av personuppgifter som övergripande beskrivs här:

  • Icke-känsliga data (kan ofta behandlas utan samtycke):
    • Namn, kontaktuppgifter, kön, ålder, intressen, utbildning etc.
  • Känsliga uppgifter (kräver vanligtvis en särskild rättslig grund eller ett tungt vägande intresse):
    • Ras, religion, medlemskap i fackföreningar, hälsoinformation etc.
  • Privata förhållanden/upplysningar (ska i regel behandlas med samtycke):
    • Kriminella förhållanden, personlighetstester, referenser

Kom t.ex. ihåg att uppgifter från belastningsregistret endast får inhämtas om det är relevant för tjänsten och att det sällan är meningsfullt att lagra dem. Du kan därför be den sökande att själv ta med detta till intervjun, och sedan registrera att du har sett ett utdrag från belastningsregistret.

Fler rättigheter som individen har

Personuppgiftslagen ger individen ett antal rättigheter, bland annat:

  • Rätt att få veta i vilket syfte informationen samlas in
  • Rätt att få tillgång till den information som är registrerat om den egna personen
  • Rätt att få alla insamlade persondata raderade eller felaktig information borttagen eller korrigerad

Vilka konsekvenser får det om jag inta agerar?

Det kan ha stor inverkan på din verksamhet om du inte agerar på detta, t.ex:

  • Böter på 20 milj. euro eller upp till 4 % av den globala årliga koncernomsättningen
  • Negativ medial uppmärksamhet
  • Minskad trovärdighet hos kunder, partner, leverantörer etc.

Ska jag anställa ett dataskyddsombud?

Kontrollera om du befinner dig inom de tre kategorierna nedan. Om svaret är “ja” ska du utnämna eller anställa ett dataskyddsombud för att säkerställa att behandling och skydd av personuppgifter sker på rätt sätt.

De tre kategorierna är:

  1. Alla offentliga myndigheter (bortsett från domstolar)
  2. Om din affärsverksamhet i huvudsak består av att behandla personuppgifter
  3. Om din affärsverksamhet i huvudsak består av att behandla känslig information i stor skala eller information om kriminella förhållanden

Utarbeta en compliancerapport

Du måste ha utarbetat en allmän compliancerapport. Vanligtvis baseras denna på en gap-analys mellan nuvarande och framtida verksamhetsområden i relation till personuppgiftslagen.

Rapporten ska bland annat beskriva hur data lagras i verksamheten, vilka data som är relevanta att lagra, vem som har tillgång till vilka uppgifter, hur data raderas, etc. Det kan vara en fördel att ha en projektgrupp som är sammanställd från olika avdelningar, så att perspektiven på dataflödet automatiskt blir fler.

Dataansvarig vs. databehandlare

Verksamheter kommer att åläggas att ha översikt och kontroll över alla data, samt följa de olika krav och lagar som gäller från 25 maj 2018. I regel kommer det att vara verksamhetens dataskyddsombud som ska kartlägga och beskriva de olika delarna av verksamhetens databehandling. Om ett dataskyddsombud inte är anställt kommer uppgiften i regel att ligga hos IT och HR, som tillsammans måste ha kontroll på alla data i verksamheten och se till att verksamheten följer förordningen.

Det finns två viktiga begrepp som du bör känna till:

  • Dataansvarig
    • En ”dataansvarig” är den som avgör i vilket syfte och hur data får behandlas.
      T.ex. en myndighet som är skyldig att behandla personuppgifter, eller en arbetsgivare som behandlar personuppgifter om sina anställda och kunder
  • Databehandlare
    • En ”databehandlare” är den som behandlar informationen på den dataansvarigas vägnar. Databehandlaren behandlar aldrig personuppgifter för sina egna syften och får endast använda den information som har överenskommits med den dataansvariga.
      Det kan t.ex. handla om en verksamhet som har hand om en annan verksamhets IT-system. Det kan också vara en leverantör av webbhotelltjänster eller en inkassobyrå

Databehandlingsavtal

Ett databehandlingsavtal är ett skriftligt avtal mellan dig som dataansvarig och den leverantör som lagrar/behandlar dina data åt dig. Du måste ha ett databehandlingsavtal med alla dina leverantörer som lagrar/behandlar dina data.

Naturligtvis erbjuder vi databehandlingsavtal till alla våra kunder för att följa förordningen.

Förodningen i praktiken – Visuella dataflöden och checklistor!

Det viktigaste är till att börja med att rita upp ditt dataflöde från rekrytering till uppsägning; ”från vaggan till graven”, som det också kallas. Det kan göra stor skillnad för dig att visualisera vilka data verksamheten arbetar med. Här hjälper vi dig gärna om du behöver bollplank och input.

En bra idé är att upprätta en serie checklistor från vardagsverkligheten i syfte att skapa en överblick över vad det i praktiken innebär att säkerställa att förordningen efterlevs.

Nedan har vi skapat exempel på checklistor inom tre olika områden: rekrytering, onboarding och HR-administration. Denna checklista är till för inspiration, och allt som nämns kan vi bidra med via vår fullständiga HR-plattform.

Checklista för rekrytering

  1. Undvik att ta emot dokument och information om den sökande via Excel eller e-post – men se till att processen är digital
  2. Både de som söker till en annonserad tjänst och de som söker på eget bevåg ska godkänna att du behåller deras uppgifter, och de har rätt att få veta vilka data du använder, för vilket ändamål, vem som har tillgång till informationen och hur länge den kommer att lagras
  3. Kom ihåg att den sökande ska kunna återkalla sitt godkännande/samtycke närhelst så önskas
  4. Det är fördelaktigt om den sökande själv kan logga in på sin profil och där har möjlighet att komma åt och radera information
  5. Alla sökandes information måste raderas vid den angivna periodens slut (inklusive all säkerhetskopierad information)
  6. Resultat från testverktyg/referenser är i vissa fall känsliga data
  7. Var noga med vilka uppgifter du frågar om i ansökningsprocessen, såsom kön, nationalitet, etc., då dessa kan ha landspecifika regler
  8. Kom ihåg att uppgifter från belastningsregistret endast får inhämtas om det är relevant för tjänsten och att det sällan är meningsfullt att lagra dem
  9. Se till att du har en registrerad logg över aktiviteter så att du alltid kan gå tillbaka och hålla koll på vem som har gjort vad och när
  10. Skicka anställningsavtal, försäkran om samtycke etc. säkert, eventuellt med digital signatur
  11. Det kan vara en god idé att ha säkerhetsregler när du loggar in, överväg t.ex. tvåfaktorsautentisering. Kravet på att verifiera sin identitet som detta inloggningsalternativ har kan skapa medvetenhet om säkrandet av alla data som finns på de olika datorerna

Checklista för onboarding:

  1. Inhämta enbart nödvändig information för specificerade och sakliga ändamål – det måste finnas ett syfte med informationen, och detta ska kunna dokumenteras.
  2. Ta helst emot den nya medarbetarens känsliga information digitalt och gärna från den anställda själv
  3. Personuppgifter får endast lämnas ut till externa parter (t.ex. leverantörer av pension och lön) i ett säkert format
  4. Undvik Excel, e-post och att många internt anställda måste involveras genom att strukturera din onboardingprocess digitalt
  5. Skicka anställningsavtal, försäkran om samtycke etc. säkert, eventuellt med digital signatur

Checklista för HR-administration:

  1. En medarbetare har rätt att få insikt i alla data som lagras i verksamheten. Dessa ska vara lätta att skicka till medarbetaren
  2. Försäkran om samtycke vid lagring av medarbetarens data i verksamheten, vem som har tillgång till dessa data, samt vid användning av medarbetarens bild
  3. Säkerställ säker lagring av HR- och medarbetardokument
  4. Skicka anställningsavtal, försäkran om samtycke etc. säkert, eventuellt med digital signatur
  5. Dela upp åtkomstnivåer för den/de som har tillgång till medarbetarens data (IT-roller, löneroller, dataskyddsombudsroller, etc.)
  6. Hämta gärna medarbetarens information direkt från ditt rekryterings- eller onboardingsystem för att undvika dubbelregistrering och felaktig registrering
  7. Bli t.ex. bekvämt meddelad via e-post om någons körkort, belastningsregisterutdrag etc. måste förnyas, så att du alltid kan få den senaste informationen om den enskilda medarbetaren
  8. Lagra dina medarbetarsamtal och ev. tillhörande utvecklingsplaner digitalt för att undvika tvivel om var dessa kan hittas
  9. När lagringen av medarbetarens data inte längre är relevant måste den upphöra eller informationen avidentifieras
  10. Det kan vara en god idé att ha säkerhetsregler när du loggar in, överväg t.ex. tvåfaktorsautentisering. Kravet på att verifiera sin identitet som detta inloggningsalternativ har kan skapa medvetenhet om säkrandet av alla data som finns på de olika datorerna

Vårt framtida arbeta med GDPR

Med våra tre system som kan integreras i en enhetlig HR-plattform; Talent Recruiter, Talent Onboarding och Talent Manager, erbjuder vi funktioner som uppfyller behoven för HR-arbetet med GDPR.

Vi har redan nu utarbetat ett tillgängligt IT-dokument som beskriver vad vi utvecklingsmässigt fokuserar på. Dessutom har vi formulerat en FAQ om HR Manager och GDPR för de kunder som efterfrågar detta. Här svarar vi på de vanligaste frågorna om var och hur vi lagrar data samt vilken säkerhet vi har, så att våra kunder kan känna sig trygga med att vi som leverantör följer den nya dataskyddsförordningen.

I början av det nya året mottog alla våra 900 kunder en inbjudan till webbinarier med fokus på hur man kan dra nytta av alla de möjligheter som utvecklats i systemen för HR-arbetet med GDPR.

Vi vill gärna tala med dig

Vi på HR Manager berättar gärna mer om hur vi kan bidra till din efterlevnadsprocess för rekrytering, onboarding och HR-administration med en och samma lösning – och med möjlighet att integrera plattformen med dina andra system, såsom tester, löner, tidsrapportering, arbetspassplanering, etc.

Vi svarar gärna på dina frågor, och vi vill också gärna vara en del av din efterlevnadsprocess. Vi erbjuder dig ett samtal helt utan förpliktelser, för att professionellt kunna tala med dig om dina utmaningar och ge dig råd baserat på din verksamhets behov.

Du är varmt välkommen att kontakta ditt lokala kontor i Sverige, Danmark eller Norge – det är ett nöje för oss att få visa dig hur vi kan bidra till ditt dagliga arbete.