GDPR i sista minuten – tips till HR-avdelningen

En vecka kvar, sedan måste rutinerna vara klara. Jobbar du inom HR och inte satt dig in i vad GDPR betyder är det dags att se över vad du behöver göra. Här får du några sista-minuten-tips.

Att hantera personuppgifter är vardagsmat för dig som jobbar med HR eller rekrytering. Men när GDPR träder i kraft blir det inte lika lätt som tidigare. Som arbetsgivare måste man naturligtvis inhämta och behandla personuppgifter, annars kan inte verksamheten fungera. Men vilka personuppgifter får du då lagra och behandla efter 25 maj?

– Egentligen borde man fråga sig, vad är inte en personuppgift? Det är all information som direkt eller indirekt kan hänföras till en fysisk person. Bilder och ljudupptagningar kan också vara personuppgifter även om inga namn nämns. Dessutom kan krypterade uppgifter och elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer, säger Fredrik Eivhammar, produktchef Office Solutions på Canon.

En grundregel är att bara ska lagra och behandla personuppgifter som du är säker på att organisationen behöver och har rätt att hantera. Spara inte personuppgifter som du inte skulle vilja visa för den som de gäller, då den platssökande har rätt till en kopia av dem. Den som uppgifterna gäller har även rätt att bli raderad om det inte finns lagliga skäl att spara dem. Till exempel så bör du radera platsansökan för dem som inte fick jobbet. Tänk på att det ofta finns stöd i lag för att spara dessa uppgifter för arkiverings–ändamål, exempelvis kan du spara CV:n upp till 2 år för att skydda dig mot ersättningsanspråk från platsansökande med stöd av diskrimineringslagen.

1. Det krävs en laglig grund för behandling av personuppgifter

Det måste alltid finnas en laglig grund för behandling av personuppgifter (ex. lagring). Det kan exempelvis vara ett samtycke från den platssökande, men det kan även vara för ett avtal eller i enlighet med en lag, till exempel för att betala in skatter eller för bokföring. Du måste också kunna förklara varför och hur länge du vill lagra och behandla just dessa uppgifter och visa att principerna följs. Ingen ska behöva lämna ifrån sig personuppgifter mot sin vilja, vilket kräver tydliga rutiner inom HR och rekrytering.

Frivillighet är en känslig sak när det gäller rekrytering och anställning. Några tumregler att följa är att bara begära information som är nödvändig för rekryteringen, som exempelvis betyg.

Samtycke kan tas tillbaka och det omfattar även personuppgifter ni sparat sedan tidigare. Kort sagt gäller det att ni måste skapa rutiner för hur ni samlar in godkännande för de personuppgifter ni behandlar och ni även har möjlighet att bevisa samtycket i fråga. Det ska även finnas rutiner för att gallra ut gamla uppgifter som inte är relevanta att spara längre.

2. Personaldataskydd måste finnas

Personuppgifter får bara vara åtkomliga för personer som har en legitim anledning att behandla dem. Datorer och servrar som hanterar personuppgifter måste vara skyddade mot dataintrång. Om ett utomstående företag sköter persondataskyddet är det ändå din organisation som i första hand har ansvaret om skyddet brister.

3. Två nya termer: personuppgiftsansvarig och personuppgiftsbiträde

Allt hänger inte på dig inom HR. Det är den som är personuppgiftsansvarig som ansvarar för att Data–skyddsförordningen följs. Personuppgiftsansvarig är den som använder uppgifterna i sin verksamhet, vanligtvis organisationen som helhet. Det ska finnas riktlinjer och rutiner som organisationens högsta ledning står bakom. Det ska inte gå för ledningen att skylla på att någon på lägre nivå har slarvat.

Din uppgift är att se till så att du har koll på era policys, att du kan svara på frågor om era rutiner under till exempel arbetsintervjuer och att du vet hur ditt företag går till väga för att radera någons personupp–gifter om den ber om det.

Personuppgiftsbiträde är en annan viktig roll att ha koll på. Det är ett företag eller en person som hanterar personuppgifter för den personuppgiftsansvarigas räkning. De kan tex handla om de molntjänster som HR ofta använder. Detta behöver regleras i kontrakt eftersom det är den personuppgiftsansvarigas ansvar att se till att personuppgiftsbiträdet följer Dataskyddsförordningen.

4. Så får du använda automatiska program för urval inom rekrytering

Program som automatiskt bedömer platssökande eller utvärderar anställdas insatser får användas, men de får inte användas om den berörda inte vill. Och ett nej får inte hållas emot den som det gäller. Det måste finnas en reell möjlighet att säga nej utan att det får negativa följder.

Det är en god utgångspunkt att vara försiktig med olika typer av system som automatiserat sätter betyg eller andra typer av bedömning, eller till exempel maskininlärnings-stödda analyser av inspelade intervjuer. I dessa fall behöver bl.a. information om logiken bakom det automatiserade beslutet ges till den platsansökande.

Låter det krångligt? Det är det egentligen inte, det gäller bara att tänka till ordentligt. Och ett sätt att försäkra sig om att alla regler följs är att använda sig av Canon Digital HR – en integrerad lösning för alla som hanterar dokument och processer inom personaladministration. Canon Digital HR ger de som jobbar inom HR möjligheten att effektivt sköta administrativa uppgifter, ta del av konfidentiell information i enlighet med lagar och bestämmelser och att automatisera och styra dokumentintensiva arbetsuppgifter, allt från en gemensam plattform. Det gör det enklare att följa regler, höjer datasäkerheten och bidrar till sänkta kostnader.

Tipsen från Canon är sammanfattade råd och ska inte användas som juridisk rådgivning.