Hva er GDPR– og hvordan påvirker det HR?

GDPR, som trådte i kraft 25. mai 2018, er et sett med forskrifter i EU som tar sikte på å beskytte personopplysninger og gi enkeltpersoner mer kontroll over bruken av dem. Det har en betydelig innvirkning på HR-avdelinger, ettersom de samler inn og administrerer store mengder personopplysninger i organisasjoner. GDPR gjelder for ulike aspekter av HR-drift, fra bedriftens retningslinjer til håndtering av kontaktinformasjon lagret i Excel-filer.

GDPR for enkeltpersoner

I henhold til GDPR har enkeltpersoner, inkludert sluttbrukere, ansatte og partnere, rett til å få tilgang til personopplysningene sine i et forståelig format. De kan be om permanent sletting av dataene sine, overføre dem til et annet system og bli varslet om eventuelle databrudd. Samsvar innebærer å sikre integriteten og tilgjengeligheten til HR-datasystemer, holde data oppdatert og begrense tilgangen til autorisert personell.

GDPR for organisasjoner

GDPR deler ansvaret for sikker databehandling mellom behandlingsansvarlig (vanligvis HR) og databehandler (f.eks. programvareleverandører). Behandlingsansvarlig velger kompatible leverandører og gir dem instruksjoner for datahåndtering. Leverandører må garantere datakryptering og sikkerhet under lagring og overføring, vedlikeholde behandlingsregister og utnevne en databeskyttelsesansvarlig (DPO) for å sikre samsvar.

GDPR for HR-ansvarlige

I hovedsak regulerer og beskytter GDPR behandlingen av personopplysninger. HR-ansvarlige må vurdere følgende hovedpunkter:

  1. Personopplysninger er all informasjon knyttet til en identifiserbar person.
  2. GDPR regulerer direkte databehandlere, inkludert leverandører som brukes av HR til behandling av personopplysninger.
  3. Arbeidsgivere må raskt rapportere datainnbrudd til myndigheter og berørte ansatte.
  4. Bedrifter som regelmessig overvåker ansattes personopplysninger må utpeke et personvernombud.
  5. GDPR gir ansatte mer kontroll over dataene sine, inkludert tilgang, retting, sletting og tilbaketrekking av samtykke.

HR-ansvarlige kan bare bruke data til det spesifikke formålet som er gitt og må innhente uttrykkelig samtykke fra ansatte. GDPR gjelder for alle arbeidsgivere med EU-baserte ansatte, uavhengig av hvor de befinner seg. Offshoring av HR-funksjoner krever riktig datakartlegging og informering av ansatte hvis dataene deres overføres til land uten tilstrekkelig personvernlovgivning. Arbeidsgivere må sørge for tilstrekkelige tiltak og risikovurderinger for å sikre slike overføringer.

Personvernerklæringen for ansatte er avgjørende for HR. Den informerer ansatte om databehandling. Den er obligatorisk under GDPR og legger vekt på rettferdig og transparent behandling av HR-relaterte data.

Er du nysgjerrig på å finne ut om din bedrift er på rett spor for etterlevelse av GDPR? Sørg for å laste ned GDPR-sjekklisten vår, som vil hjelpe deg med å identifisere alle datalagringsplasseringer, slik at du kan sikre at databehandlerne er i samsvar ved å kontakte leverandører og bekrefte ISO-sertifisering.

Videre lesning