EU:s (Europeiska unionens) förordning2016/679, även kallad den allmänna dataskyddsförordningen (GDPR), trädde i kraft maj 25, 2018 efter en tvåårig övergångsperiod. Förordningen kräver att alla företag som är verksamma i EU antar nya policyer, processer och praxis samtidigt som de hanterar personuppgifter om sina kunder, användare, leverantörer och anställda.
Allmänna dataskyddsförordningen (GDPR) har en enorm inverkan på HR-avdelningar, eftersom de måste anpassa sina processer för att uppfylla kraven i denna förordning.
Syftet med Allmänna dataskyddsförordningen (GDPR) är att standardisera och stärka europeiska invånares rättigheter i förhållande till deras personuppgifter. Detta innebär att alla organisationer som hanterar personuppgifter om EU-invånare måste följa de nya standarderna för transparens, säkerhet och ansvarsskyldighet.
Hur påverkar GDPR mänskliga resurser?
Allmänna dataskyddsförordningen (GDPR) kräver att företag endast lagrar väsentliga, korrekta och uppdaterade personaluppgifter. Den kräver även att företag tydligt kommunicerar hur, var och hur länge en anställds personuppgifter kommer att lagras. På samma sätt kan anställda använda sin information när som helst, samt begära en kopia av den lagrade informationen och be om att den raderas.
HR-team måste förstå risken och ansvaret med att hantera information om anställda för att undvika sanktioner, eftersom bristande efterlevnad kan leda till böter på upp till miljoner EUR20 eller 4 procent av årsomsättningen.
Viktiga faktorer för GDPR i HR
För att följa Allmänna dataskyddsförordningen (GDPR) måste HR-team justera och förbättra sina personalhanteringsprocesser för att garantera anställdas rättigheter och följa dataskyddsriktlinjerna.
Här är de mest kritiska faktorerna som HR-team bör ta hänsyn till:
1. Insamling av personuppgifter
Att samla in och behandla personuppgifter är legitimt och begränsat till relevant information för fullgörandet av anställningsavtalet (t.ex. tid och närvarosystem), eller information som är nödvändig för att uppfylla en rättslig förpliktelse (t.ex. löner).
Samtycke är nödvändigt när det inte finns någon annan rättslig grund som validerar behandlingen av uppgifter (t.ex. ett personligt e-postkonto).
2 Anställdas rätt att bli informerade
Företag är skyldiga att informera de anställda om syftet och den rättsliga grunden för databehandlingen och under vilken period personuppgifter kommer att bevaras. Denna information måste uppges vid den tidpunkt då den anställdes personuppgifter erhålls.
3. Nya rättigheter för anställda
Allmänna dataskyddsförordningen (GDPR) introducerade nya anställdas rättigheter, såsom rätten till dataportabilitet, som gör det möjligt för anställda att skaffa och återanvända sina personuppgifter för sina egna ändamål inom olika tjänster. Den reglerar också specifika rättigheter, såsom rätten att bli bortglömd, vilket gör det möjligt för anställda att begära radering av sina personuppgifter och rätten till rättelse, vilket ger anställda rätt att få rättelse av felaktiga personuppgifter.
Rätten att motsätta sig profileringsaktiviteter hindrar företag från att fatta beslut som enbart baseras på automatiserad bearbetning, vilket kommer att ha en viktig inverkan på implementeringen av programvara för artificiell intelligens inom området mänskliga resurser.
4. Dataskyddsombud
Företag måste utse ett dataskyddsombud (Data Protection Officer, DPO) som agerar oberoende med nödvändiga resurser för att utföra sina uppgifter. DPO är ansvarig för att övervaka företagets dataskyddspolicy och dess implementering för att se till efterlevnad av Allmänna dataskyddsförordningen (GDPR).
5. Konsekvensanalyser och säkerhetsintrång
Företag måste genomföra konsekvensbedömningar för att identifiera verksamhet som utgör en betydande risk för arbetstagarnas rättigheter eller ett säkerhetsintrång. Vid ett personuppgiftsintrång måste företag meddela myndigheterna senast 72 timmar efter identifieringen.
6. Telematik och uppförandekoder
För att anpassa sig till de nya dataskyddskraven måste företag granska sina interna policyer och uppförandekoder för användningen av telematik. Företag måste även anpassa sitt innehåll till domen från Europeiska domstolen för mänskliga rättigheter (ECHR), såväl som till effekterna av ny teknik på arbetsplatsen.
7. Videoövervakning
Företag måste även se över sina rutiner för installation och användning av videoövervakning. Europakonventionen slår fast att för installation av fasta kameror måste arbetstagare i förväg och tydligt informeras om sitt syfte, i enlighet med bestämmelserna i Allmänna dataskyddsförordningen.
8. Internationell överföring av data utanför EU
Att överföra anställdas personuppgifter till länder utanför EU utgör en enorm risk, eftersom det inte finns någon garanti för skydd. Allmänna dataskyddsförordningen (GDPR) har infört vissa begränsningar för att begränsa ett företags möjlighet att överföra sådan data och för att upprätthålla anställdas rättigheter.
9. Tredjepartsleverantörskontrakt
Det är nödvändigt att uppdatera avtal med leverantörer eller entreprenörer som har tillgång till företagets personuppgifter för att se till att kraven i Allmänna dataskyddsförordningen (GDPR) efterlevs. Detta inkluderar kontrakt med löne- och rekryteringsleverantörer.
På grund av mängden personuppgifter som ett företag hanterar under alla sina processer är HR-avdelningens bidrag till efterlevnad av Allmänna dataskyddsförordningen (GDPR) avgörande. Det är därför viktigt att överväga alla delar av Allmänna dataskyddsförordningen (GDPR) för att implementera en effektiv handlingsplan.
Vad kan HR-team göra för att följa GDPR?
Allmänna dataskyddsförordningen (GDPR) kräver att företag är proaktiva och ansvariga för genomförandet av tekniska och organisatoriska åtgärder som säkerställer behandlingen av klagomålsdata.
Företag måste analysera vilken typ av uppgifter de bearbetar, syftet med det och hur de gör det. Här är några tips för att hjälpa HR-team att följa Allmänna dataskyddsförordningen (GDPR):
1. Anställa ett dataskyddsombud (DPO)
Enligt artikel 37 i Allmänna dataskyddsförordningen (GDPR) är det avgörande att anlita en dataskyddsombud. Ett dataskyddsombud ansvarar för att övervaka företags dataskyddsstrategier och säkerställer efterlevnad av kraven i Allmänna dataskyddsförordningen (GDPR).
2. Inventera behandlingen av personuppgifter.
Att inventera viktiga uppgifter gör det lättare att spåra och bearbeta det och hjälper till att verifiera efterlevnad. Här är några viktiga överväganden när du spårar ditt företags information:
- Identifiera personuppgifter och känsliga uppgifter, samt befintliga behandlingar och verifiera efterlevnad.
- Ta reda på vem (anställda, entreprenörer eller leverantörer) som har tillgång till uppgifterna och varför.
- Övervaka anställda, entreprenörer och leverantörer som arbetar med företagets data och granska kontrakt.
- Verifiera att all databehandling som genomförs av entreprenörer och leverantörer följer Allmänna dataskyddsförordningen (GDPR).
- Analysera arkiveringsmetoder och lagringstid för HR-personuppgifter.
- Se till att HR-lösningar och ditt Human Resources Information System (HRIS), om tillämpligt, är kompatibla med Allmänna dataskyddsförordningen (GDPR).
3. Vidta åtgärder
När du har gjort en inventering och identifierat de korrigeringar som behövs är det viktigt att skapa och implementera en handlingsplan där du definierar stegen som ska följas.
Se till att du:
- Granska data
- Genomför konsekvensanalyser
- Granskar över dina skydds- och säkerhetsåtgärder
- Granskar dina processer och procedurer.
4.Genomförande av en kommunikationsplan
Det är viktigt att implementera en intern kommunikationsplan så att alla anställda vet hur de ska få tillgång till sin information och vad de ska göra om någon förändring i denna process uppstår. En del av den nya förordningen kräver att företag tydligt kommunicerar hur, var och hur länge en anställds personuppgifter kommer att lagras.
5. Se till att lagrade uppgifter är korrekta
Företag måste se till att endast behålla korrigerade och uppdaterade data. De måste även identifiera vilka uppgifter de behöver behålla och vilka som måste raderas. Ju mindre uppgifter du har, desto lättare blir det att följa Allmänna dataskyddsförordningen (GDPR).
6. Granska sekretesspolicyer
Företag måste vara transparenta med de uppgifter de hanterar. Att granska sekretessavtal skapar transparens och bygger förtroende. Uppdatera datasäkerhetspolicyer och -rutiner med ett tydligt och enkelt språkbruk, och se till att dessa policyer är lättillgängliga.
7. Upprätthålla anställdas rättigheter
Som vi nämnde etablerar Allmänna dataskyddsförordningen (GDPR) nya rättigheter för anställda. Det är mycket viktigt att se till att dessa rättigheter upprätthålls för att undvika sanktioner.
8. Anta Allmänna dataskyddsförordningen (GDPR) som en del av företagskulturen
Det är viktigt att företag gör regelverket till något som känns till i hela organisationen. Genom att integrera dem i företagskulturen säkerställer du att alla anställda är medvetna om och förstår dem.
9. Förbättra säkerheten
Se till att uppgifter är säkra och undvik läckt information. I händelse av ett dataintrång måste de berörda parterna informeras inom 72 timmar. För att undvika att information läcks bör du anlita pålitliga datalagringstjänster, utöver att upprätta uppdaterade säkerhetspolicyer.
10. Erhåll medarbetarens samtycke
Det är viktigt att du informerar anställda om de åtgärder och förfaranden som äger rum och att få deras samtycke till behandlingen och överföringen av deras uppgifter. Samtycke måste vara ett fritt, informerat och ett tydligt uttryck för samtycke.
Utöver den skyldighet som den representerar kan Allmänna dataskyddsförordningen (GDPR) bidra till att förbättra ditt företags prestation och de anställdas förtroende och välbefinnande. Detta är dock bara om din data och säkerhet, verktyg, metoder och processer är strömlinjeformade.
Dessa nya utmaningar ger HR-avdelningar möjlighet att vara drivkrafter för sina företags internationalisering, vilket stärker kvaliteten på deras samarbete med sina leverantörer och entreprenörer. Att ha en tydlig policy för personuppgiftshantering förbättrar även företagens rykte och gör dem attraktiva som arbetsgivare.
