Fortfarande, snart 3 år efter att den nya dataskyddsförordningen (GDPR) infördes, finns en stor osäkerhet kring vad som gäller.
Enligt en undersökning som Simployer har genomfört under hösten 2020 känner sig så många som hälften av HR-ansvariga och IT-chefer otrygga när det gäller säkerhet och GDPR.
Digitaliseringen och pandemin har samtidigt ställt ytterligare krav på HR. HR som funktion har blivit mer affärskritisk, – det ställer högre krav på data och analys, men också på användarupplevelsen för ledare och medarbetare. Framåt kommer verksamheter att vara mer beroende av medarbetarnas data samtidigt som GDPR-kraven ska uppfyllas och som följd av GDPR ser man en ökad förflyttning av persondata från lön till HR.
I och med att situationen har förändrats är det viktigt att ta ett kliv tillbaka för att se över processerna och säkerställa att dessa matchar det nya normala. Natalia Björkman Szklarska, HR-expert på Simployer, pekar på ett antal viktiga frågor att ställa sig för att få bättre koll på om ens verksamhet arbetar i enlighet med dataskyddsförordningen:
- Vilka personuppgifter lagras om de anställda, hur lagras uppgifterna och vem är ansvarig för dem?
- Hur tillvaratas de anställdas rätt till insyn och möjlighet att korrigera i personuppgifterna som lagras om dem?
- Hur säkerställs det att personuppgifterna raderas/anonymiseras när det inte längre är aktuellt att behandla upplysningarna?
- Det finns stora säkerhetsrisker med att använda e-post, uppgifterna kan var dåligt skyddade och efterlevnaden av radering vara svårare. Känsliga personuppgifter bör som huvudregel inte skickas via e-post alls, poängterar Natalia.
Anställda ska veta var uppgifterna om dem lagras
Man ser också ett skifte i vem som äger ansvaret över personuppgifterna i organisationen.
-HR ska äga medarbetarnas data, säger Henrik Sandström, kundansvarig på Simployer. Han har daglig kontakt med Simployers kunder och har märkt att detta är något många arbetsgivare tänker på.
– Att se till att bara de som har behov av personuppgifterna i arbetet får insyn i dem är ett krav enligt GDPR. Därför behöver HR äga masterdata. Eftersom HR redan är delaktig i medarbetarprocesserna och använder nyckeltal för att dra slutsatser om medarbetarupplevelsen delas personuppgifterna i mindre utsträckning på det här sättet, understryker Henrik.
Genom att se till så att alla vet hur och var personuppgifterna lagras blir det enklare att undvika att de flyter fritt i verksamheten. Det ger också arbetsgivaren en central översikt, något som kan ge trygghet i GDPR-arbetet. Genom att ge HR ägandeskapet av persondata och samla den på ett ställe under hela medarbetarens tid på företaget, från anställningen och framåt, kommer det vara enkelt att rensa bort den när anställningen avslutas.
– Många av våra kunder har redan lagt mycket tid och pengar på att GDPR-säkra sin hantering av personuppgifter, säger Natalia Björkman Szklarska. Det här arbetet har inte varit förgäves och för det mesta behöver vi därför bara hjälpa dem att förankra hanteringen till hundra procent bland medarbetarna.
Ta kontroll genom digitalisering
-Det är inte ovanligt att man använder e-post för att skicka personuppgifter vid bland annat nyanställningar, säger Natalia. Och vi får ofta frågor om hur e-post ska användas.
Att se över och digitalisera fler processer är ett bra sätt att komma ifrån e-post. Det går att digitalisera fler delar av medarbetarresan, exempelvis anställning, onboarding och medarbetarsamtal, för att se till att det inte finns någon anledning att skicka dokument fram och tillbaka eller att lagra kopior lokalt. Detta ger kontroll över var personuppgifterna lagras och vem som har tillgång till dem.