Riskerar ditt företag böter för sin hantering av personaldata?

Sedan PWC Grekland bötfällts för sin hantering av personaldata undrar många juridiska ansvariga på företagen nu vilka HR-rutiner de bör införa för att undvika böter.

PWC i Grekland bötfälldes nyligen för felaktig hantering av personaldata, något som lett till en markant ökning av frågor kring GDPR från HR-avdelningar. Många företag med verksamhet i Europa, och inte minst i Norden, undrar nu vilka HR-rutiner de bör införa för att undvika böter. GDPR-praxis inom HR-området är inte lika tydlig som när det gäller till exempel kunddata och de flesta organisationer har inte hunnit införa rutiner ännu. Men det hindrar inte nordiska datainspektioner från att börja dela ut böter.

Ett område där det råder oklarheter, är vilken rättslig grund organisationer bör hänvisa till när det gäller hantering information om medarbetare eller jobbsökande.

Hantering av personaldata

Europeiska myndigheter har publicerat riktlinjer som tydligt säger att ”medgivande” enligt beskrivningen i artikel 6, inte rekommenderas som rättslig grund för hantering av personaldata. Att PWC nu bötfälls för att ha använt medarbetares medgivande som argument för sin hantering av jobbdata, understryker detta ytterligare.

Danska datainspektionen, å andra sidan, har liksom övriga EU-länder, godkänt och antagit en egen lag om skydd av personuppgifter i linje med GDPR 2018. Men i motsats till EUs riktlinjer om hantering av jobbdata, har Danmark i sin egen lag sagt att ”medgivande” kan användas som rättslig grund för hantering av HR-data. Frågan är hur en HR-ansvarig i Danmark ska veta hur de ska agera? Särskilt med tanke på att medgivande för hantering av personaldata har varit det traditionella förhållningssättet i Danmark också innan introduktionen av GDPR.

Ge oss vägledning

I Sverige har Datainspektionen delat ut sina första böter till en skolledning för användning av ansiktsigenkänning för registrering av närvaro. I Sverige finns det två punkter som kan ge oss vägledning vad gäller HR-data: Skolledningen sökte medgivande från dem vars ansikten de registrerade. Men svenska myndigheter argumenterade att de som går i skolan, eller de som är beroende av skolan, inte kan ge ett ”giltigt medgivande” enligt GDPR. Det här är tongivande i Sverige. Om personer är beroende av skolan, eller av ett jobb, innebär det inte alltid att medgivande som rättslig grund räcker.

Den andra punkten handlar om registrering av individer, eller vad som inom HR oftast benämns Time-and-Attendance (T&A). Datainspektionen ansåg att de nya, teknologierna som användes för kontroll; video, ansiktsigenkänning, loggning och övervakning, var så exakta att de utgjorde ett intrång på integriteten. Den konstanta övervakningen av en kamera som registrerar närvaro varje dag och kontinuerligt hela dagen bröt mot individernas, i det här fallet barnens, integritet. Datainspektionen ansåg att kontroll av närvaro kan göras på ett mer måttfullt sätt. Deras beslut och de utmätta böterna är tydliga varningsklockor för HR-avdelningar över hela Norden när det gäller hur medarbetares ankomst och närvaro kontrolleras och registreras.

Användarnamn och lösenord

I maj i år delade också Norges datainspektion ut böter kopplat till medarbetare och elever. I det norska fallet handlade det om en kommun som Datainspektionen ansåg inte hanterade användarnamn och lösenord för anställda och elever på ett säkert sätt, något som ledde till att en stor mängd personliga uppgifter blev offentliga.

En av de viktigaste faktorerna här var att myndigheterna varnade kommunen redan i december, månader innan böterna delades ut, att deras system, inklusive den digitala plattform för lärande som användes, inte skyddade persondatan tillräckligt väl. Det här är förstås direkt relevant för alla HR-, och talent-team, som använder olika former av plattformar för lärande i syfte att utveckla medarbetarna. Men det öppnar även upp för diskussioner kring andra applikationer som hanterar HR-data. De flesta HR-avdelningar har tiotals, om inte hundratals, lösningar som hanterar allt från närvaro, som nämns i det svenska exemplet, till lön, performance, lärande, rekrytering, succession och expenses. 

Avsevärd påverkan

Trenden hittills i Norden har varit för Datainspektionen att skydda de mest utsatta. Elever och anställda är därför de som först och främst uppmärksammats och där böter delats ut. Men det handlar inte bara om att datalagen ser medarbetares och barns integritet som särskilt känsligt. Det handlar också om att allmänheten, enskilda individer, anställda och visselblåsare är mest aktiva när det gäller att göra myndigheter uppmärksamma på organisationer som de upplever inte respekterar integriteten. Om du jobbar som HR-ansvarig, är det viktigt att du inser att GDPR har avsevärd påverkan på din organisation. Använd ditt sunda förnuft. Du bör se över och kanske helt tänka om hur delar av verksamheten bedrivs.

Som HR-chef och representant för din organisation och dina medarbetare bör du bara använda IT-lösningar som innebär att du kan leva upp till GDPR-kraven. Du bör validera HR-processerna och be din Data Protection Officer och ditt juridiska team se över processerna om du är osäker. Din avdelning bör också publicera en dokumenterad och detaljerad HR-integritetspolicy, som hela verksamheten bör införa. PWC:s böter har visat att till och med globala konsulter och GDPR-experter kan ha fel, och HR-avdelningar ska inte tro att de är undantagna kraven på att ha bra GDPR-rutiner som skyddar medarbetarnas integritet.

Thyronne Winter
About Thyronne Winter 2 Articles
Global Privacy Officer, Cornerstone OnDemand