GDPR, der trådte i kraft den 25. maj 2018, er et sæt regler i EU, der har til formål at beskytte personlige data og give enkeltpersoner mere kontrol over brugen af dem. Det har en betydelig indvirkning på HR-afdelinger, da de indsamler og administrerer store mængder personlige data i virksomheder. GDPR gælder for forskellige aspekter af HR-aktiviteter, lige fra virksomhedspolitikker til håndtering af kontaktoplysninger gemt i Excel-filer.
GDPR for enkeltpersoner
I henhold til GDPR har enkeltpersoner, herunder slutbrugere, medarbejdere og partnere, ret til at få adgang til deres personlige data i et forståeligt format. De kan anmode om at få deres data slettet permanent, at få dem overført til et andet system og at få besked om eventuelle brud på datasikkerheden. Compliance indebærer at sikre integriteten og tilgængeligheden af HR-datasystemer, at holde data ajour og at begrænse adgangen til autoriseret personale.
GDPR for virksomheder
GDPR fordeler ansvaret for sikker datahåndtering mellem den dataansvarlige (typisk HR) og databehandleren (f.eks. softwareleverandører). Den dataansvarlige udvælger leverandører, der overholder reglerne, og giver dem instruktioner vedrørende datahåndtering. Leverandører skal garantere datakryptering og -sikkerhed under opbevaring og overførsel af data, føre fortegnelser over databehandlingen og udpege en databeskyttelsesansvarlig (DPO) for at sikre, at reglerne overholdes.
GDPR for HR-medarbejdere
I bund og grund regulerer og beskytter GDPR behandlingen af personlige data. HR-medarbejdere skal have følgende nøglepunkter i tankerne:
- Personlige data henviser til oplysninger, der kan knyttes til en identificerbar person.
- GDPR regulerer direkte databehandlere, herunder leverandører, som HR bruger til behandling af persondata.
- Arbejdsgivere skal straks rapportere databrud til myndighederne og berørte medarbejdere.
- Virksomheder, der regelmæssigt overvåger medarbejderes persondata, skal udpege en databeskyttelsesansvarlig.
- GDPR giver medarbejderne mere kontrol over deres egne data, herunder adgang, berigtigelse, sletning og tilbagetrækning af samtykke.
HR-medarbejdere kan kun bruge data til det specifikke formål, der er angivet, og de skal indhente udtrykkeligt samtykke fra medarbejderne. GDPR gælder for alle arbejdsgivere med medarbejdere baseret i EU, uanset deres placering. Offshoring af HR-funktioner kræver korrekt datatilknytning, og at medarbejdernes informeres, hvis deres data overføres til lande uden tilstrækkelige love om beskyttelse af personlige oplysninger. Arbejdsgivere skal sikre, at der er etableret og foretaget tilstrækkelige foranstaltninger og risikovurderinger til sikring af sådanne overførsler.
Medarbejdernes fortrolighedspolitik har afgørende betydning for HR, da den informerer medarbejderne om databehandling. Den er obligatorisk i henhold til GDPR og lægger vægt på fair og transparent behandling af HR-relaterede data.
Vil du gerne vide, om din virksomhed er på rette vej til at overholde GDPR? Sørg for at downloade vores GDPR-tjekliste, som hjælper dig med at identificere alle datalagringssteder, så du kan sikre, at databehandlerne overholder reglerne ved at inddrage leverandørerne og kontrollere, om de er ISO-certificerede