Sedan slutet av maj förra året har alla europeiska organisationer varit tvungna att sätta sig in i den nya dataskyddsförordningen. I media har vi kunnat läsa om hur olika företag jobbat med GDPR och olika guider och tips har presenterats. Gemensamt är att fokus ofta legat på hur man som organisation skyddar sina kunders personliga information. Men har du tänkt på att förordningen även omfattar dina medarbetare och deras data? Lever din organisation upp till kraven när det gäller insamling och lagring av data om befintliga och tidigare medarbetare?
GDPR och digitalisering
I mitt arbete som Global Privacy Officer på Cornerstone OnDemand upplever jag att för många företag var GDPR det som fick vågen att tippa över när gäller digitalisering av HR. Vi är bra på digitalisering i Norden, men för större företag, med verksamhet på många marknader, har det inte alltid lönat sig att digitalisera personaldata. Kraven på att uppfylla GDPR blev i många fall ett bra business case för HR-digitalisering.
GDPR har också lett till att fler organisationer nu är mer försiktiga med vilken medarbetarinformation de samlar in och sparar. HR har historiskt samlat in stora mängder data om medarbetare. Inte för att det varit nödvändigt, utan för att datan eventuellt kan bli användbar i framtiden. I och med GDPR måste man ha goda skäl till att samla in medarbetares data. Det innebär att man nu hela tiden måste tänka efter hur, varför och när man samlar in olika typer av personaldata.
Om man till exempel ska anställa en busschaufför är det både relevant och viktigt att be om en kopia av den sökandes körkort tidigt i rekryteringsprocessen. Däremot kan man vänta med att kontrollera belastningsregistret tills man valt ut den man vill rekrytera. Kort sagt, tänk noga efter om du kan argumentera för varför du samlat in och sparat viss data om medarbetare och jobbsökande.
När ska man radera data?
Ett av de viktigaste budskapen i GDPR har varit att man bara ska spara data så länge det är nödvändigt. Det har lett till att många organisationer raderat allt de kan, så fort det kan. Men det är faktiskt inte nödvändigt – eller smart. Om man kan argumentera för varför viss data sparas är det OK att behålla den också under längre tid. Det kan vara nödvändigt att behålla data av till exempel skatteskäl. Den som raderar datan för snabbt för att leva upp till GDPR går dessutom miste om potentialen i att kunna analysera. När HR blir alltmer digitaliserat behövs data-analyser för att jobba med relationer till medarbetare, som karriärplaner till exempel, och för att förutse framtida kompetensbrister.
I mitt jobb med att vägleda nordiska företag inom GDPR, ser jag också att många har varit alltför långsamma med att anställa Data Protection Officers. Ofta letar de efter personer med lång erfarenhet och med en examen inom både IT och juridik. Men man måste komma ihåg att GDPR handlar om att skydda personer, inte verksamheten. Juridik och IT-säkerhet handlar båda om att skydda verksamhetens intressen och tillgångar. En DPOs roll är att skydda den enskilda individen. En DPO måste kunna leverera både en så kallad ”privacy impact assessment” och skapa processer för en ”subject access request”. Det kräver särskild DPO-utbildning, något som tack och lov erbjuds allt oftare.
Om en anställd vill se all data arbetsgivaren har om dem, måste en bra DPA kunna bedöma vad som ska lämnas över. Risken finns att genom att tillgodose en persons ”subject access request” bryter man mot en annans, eftersom det kan handla om blandad information. HR-medarbetare och HR-chefer är redan idag hårt pressade och ofta involverade i större digitaliseringsprojekt. Därför väger GDPR-kraven extra tungt på just denna redan utsatta grupp. Det är därför viktigt att verksamhetens ledare och IT-ansvariga hjälper till med att säkra att även medarbetarsidan lever upp till alla aspekter av GDPR.
