GDPR trädde i kraft 25 maj 2018 och är en uppsättning föreskrifter i EU som syftar till att skydda personuppgifter och ge individer mer kontroll över hur de används. Detta har stor påverkan på HR-avdelningar eftersom de samlar in och hanterar stora mängder personuppgifter i sina organisationer. GDPR gäller olika aspekter av HR-funktionerna, från företagspolicyer till hantering av kontaktuppgifter som lagras i Excel-filer.
GDPR för individer
Enligt GDPR har individer, inklusive slutanvändare, anställda och samarbetspartner, rätt att få tillgång till sina personuppgifter i ett begripligt format. De kan begära att deras uppgifter raderas permanent, överförs till ett annat system och att de informeras om eventuella dataintrång. Efterlevnad inkluderar att säkerställa att HR-datasystem är intakta och tillgängliga, att uppgifter hålls uppdaterade och att tillgång till uppgifterna begränsas till behörig personal.
GDPR för organisationer
GDPR delar upp ansvaret för säker datahantering mellan personuppgiftsansvarig (vanligtvis HR) och personuppgiftsbiträde (t.ex. programvaruleverantörer). Personuppgiftsansvarig väljer leverantörer som efterlever kraven och ger dem instruktioner gällande datahantering. Leverantörer måste garantera kryptering och säkerhet för data vid lagring och överföring, upprätthålla bearbetningsregister och utse en dataskyddsansvarig för att säkerställa efterlevnad.
GDPR för HR
Kortfattat kan man säga att GDPR reglerar och skyddar hanteringen av personuppgifter. HR måste ha följande viktiga punkter i åtanke:
- Personuppgifter avser all information som rör identifierbara individer.
- GDPR reglerar direkt personuppgiftsbiträden, inklusive leverantörer som anlitas av HR för bearbetning av personuppgifter.
- Arbetsgivare måste skyndsamt rapportera eventuella dataintrång till myndigheterna och berörd personal.
- Företag som regelbundet övervakar anställdas personuppgifter måste utse ett dataskyddsombud.
- GDPR ger anställda mer kontroll över sina uppgifter, inklusive tillgång, korrigering, radering och återkallande av medgivande.
HR får endast använda uppgifterna för det ändamål som beviljats och måste erhålla uttryckligt medgivande från anställda. GDPR gäller för alla arbetsgivare med anställda baserade i EU, oavsett var företaget är baserat. Att flytta HR-funktioner utanför EU kräver korrekt datamappning och information till anställda om deras uppgifter överförs till länder utan fullgod sekretesslagstiftning. Arbetsgivare måste se till att tillräckliga åtgärder har vidtagits och att riskbedömningar har utförts för att säkerställa sådana överföringar.
Personuppgiftspolicyn är viktig eftersom den informerar medarbetare om hur data hanteras. Den är obligatorisk enligt GDPR och syftar till rättvis och transparent bearbetning av HR-relaterade data.
Vill du veta om ditt företag är på rätt väg när det gäller efterlevnad av GDPR? Ladda ner vår GDPR-checklista som hjälper er att identifiera alla dataförvaringsplatser så att ni kan säkerställa att personuppgiftsbiträden uppfyller kraven och ger er stöd inför kartläggning av era leverantörer.
Läs mer om effekterna av GDPR på HR
Ladda ner vår enkla och lättlästa guide som hjälper er med grunderna i GDPR och datasäkerhet. Vi förklarar varför HR måste känna till dessa krav, samt ger tips på hur ni ser till att era HR-verktyg uppfyller kraven, håller era persondata säkra och gör arbetet så enkelt som möjligt för er.