GDPR er lovpligtigt, men det giver faktisk også god mening, for det handler om at passe på hinandens data; GDPR handler om mennesker. At have styr på persondata er at have styr på sin forretning, så ansøgere, medarbejdere og alle andre kan have tillid til jeres håndtering af deres data.
Grundlæggende er der indenfor HR tre hovedområder, hvor det er vigtigt at have styr på GDPR, hvis I vil leve op til loven – før, under og efter en ansættelse.
Rekruttering og GDPR
Ved rekruttering af nye medarbejdere er der typisk mange persondata på bordet – både ifm selve ansøgningen med CV, men også ved indhentning af referencer og attester, anvendelse af tests samt brug af data fra de sociale medier. For ikke at nævne den færdige ansættelseskontrakt.
Her skal du huske jeres oplysningspligt, så ansøgeren ved hvilke data, I indhenter, hvorfor I gør det, hvor længe, I beholder data, samt hvordan I indsamler og behandler disse. Desuden kan det nogle gange være relevant at indhente samtykke til fx længere opbevaring af data. Endelig er det vigtigt at have en politik for sletning af data efter brug – og ikke mindst leve op til denne!
Ansættelse og GDPR
Når vedkommende er blevet ansat, er der en lang række daglige rutiner, der også kræver fokus på GDPR. Det gælder både løn og ferie, men kan også omfatte medarbejdersamtaler, publicering på website og sociale medier, whistleblower-ordninger samt ikke mindst den netop indførte lovpligtige tidsregistrering, der også indeholder elementer af GDPR.
Her er det vigtigt at have rutiner for, hvem og hvor mange, der både internt og eksternt har adgang til fx løndata. Desuden skal der være styr på opbevaringen af data samt evt. behandling heraf hos en databehandler som fx jeres lønsystem. I den forbindelse er det vigtigt at have styr på databehandleraftalen med den eksterne leverandør, ligesom det også er vigtigt at have fokus på kryptering af fortrolige og følsomme personoplysninger ifm. overførsler og sletning.
Fratrædelse og GDPR
Ved opsigelse eller afskedigelse skal der også være styr på hvilke persondata, der skal gemmes – og hvilke der ikke skal. Vurderingen heraf kan afhænge af skatteretlige regler omkring fx løn, men kan også afhænge af behov for data, der skal bruges til dokumentation, som fx en pågående personalesag med tilhørende mulige retskrav. I den forbindelse er det også vigtigt at være forberedt på både ønsker om indsigt og indsigelser, som hvis fx en tidligere ansat ønsker at vide, hvilke data, der ligger på vedkommende – og måske kræver, at disse slettes. Er der ikke styr på dette, kan en sådan henvendelse hurtigt føre til en anmeldelse hos Datatilsynet, og så er det ikke kun medarbejderdata, der stilles skarpt på…
Usikkerhed får flere til at tøve
I mange virksomheder er der god fokus på persondata i alle faser, men der er stadig mange, der enten håber på at gå under radaren, eller som bare ikke er kommet i gang.
Typiske udfordringer handler om, hvor længe data må opbevares og hvordan – men også hvem, der må se hvad hvornår. Endelig er oplysningspligt, den registreredes rettigheder og slettepolitik temaer, der hersker en del usikkerhed om i mange HR-afdelinger.
GDPR handler også om sund fornuft
Heldigvis kan man komme langt med sund fornuft. Der skal være en god grund til at gemme og behandle persondata, og hvis du kan argumentere fornuftigt, er der faktisk ret vide rammer for, hvordan du håndterer data.
Her er medarbejderinstruksen central, da alle medarbejdere dermed ved, hvordan de skal forholde sig til GDPR. Desuden er det en god idé at arbejde med et årshjul, hvor du regelmæssigt sikrer dig, at alle data til enhver tid er up to date.
HR er en af de vigtigste afdelinger i virksomheden, når det handler om GDPR. Her registreres der mange og både fortrolige og måske ligefrem følsomme personoplysninger. Den gode nyhed er, at det faktisk ikke er så svært at få styr på det, som mange måske tror…
