HR Manager er klar til den nye persondataforordning

By 2. marts 2018Nyhedsarkiv:

Vi er klar

I maj ’18 vil den nye persondataforordning træde i kraft samt påvirke rigtig mange virksomheder. Det handler i store træk om at behandle data med god skik samt efterleve eksisterende og nye krav i denne forordning. Det er ydermere vigtigt at have sine certifikater på plads, sikre at sin data er krypteret og meget andet.

HR Manager efterlever alle disse krav, da vi som leverandør tilbyder software systemer, som er compliant til HR- og rekrutteringsbranchen.

Hvad betyder GDPR egentlig?

GDPR ”General Data Protection Regulation” er den engelske forkortelse for den nye EU Persondataforordning, der træder i kraft den 25. maj 2018.

God skik og respekt for data

Digitale data er i dag nødvendige for vores forretning, og det er vigtigt altid at være opmærksom på god databehandlingsskik, når det handler om persondata – hvilket desværre ikke altid bliver overholdt.

Men hvad er god databehandlingsskik?

Her er et par eksempler, som er beskrevet:

  • Indhent kun nødvendige oplysninger til angivne og saglige formål – der skal være en mening med oplysningerne, og det skal kunne dokumenteres
  • Behandling af personoplysninger skal være relevante for det formål, hvortil oplysningerne er blevet indsamlet
  • Registrér data korrekt og slet data, når det ikke længere er relevant at opbevare dem

Er der forskel på data? 

Der kan skelnes mellem tre former for personoplysninger, som er beskrevet her i overordnede træk:

  • Ikke-følsomme data (kan oftest behandles uden samtykke): 
    • Navn, kontaktoplysninger, køn, alder, interesser, uddannelser mv.
  • Følsomme data (kræver typisk særligt retsgrundlag eller vægtig interesse):
    • Race, religion, fagforeningsforhold, helbredsoplysninger mv.
  • Private forhold/oplysninger (skal typisk behandles med samtykke):
    • Strafbare forhold, persontest, referencer mm.

Husk eksempelvis at straffeattest kun må indhentes, hvis det er relevant for stillingen, og det giver sjældent mening at opbevare dem. Derfor kan du f.eks. bede kandidaten medbringe denne til selve jobsamtalen, hvorefter du digitalt kan registrere, at du d.d. har set straffeattesten.

Flere rettigheder som individ

Persondataloven giver personer en række rettigheder, herunder:

  • Ret til at få information om, til hvilket formål der indsamles oplysninger
  • Ret til indsigt i de oplysninger, der er registreret om personen
  • Ret til at få slettet alle sine persondata eller rettet urigtige oplysninger

Konsekvenser hvis jeg ikke handler? 

Det kan have store konsekvenser for virksomheden, hvis du ikke handler på dette, som bl.a.:

  • bøde på 20 million EURO / eller op til 4 % af den globale årlige koncern omsætning
  • mediefokus, i form af dårlig omtale
  • tab af troværdighed hos kunder, partnere, leverandører mv.

Skal jeg ansætte en DPO? 

Undersøg om du er inden for de tre nedenfor nævnte kategorier. Hvis ”ja” skal du udpege/ansætte en DPO (data protection officer), som skal sikre, at behandling og beskyttelse af personoplysninger bliver overholdt.

De tre kategorier:

  1. Alle offentlige myndigheder (bortset fra domstole)
  2. Hvis din virksomheds kerneaktivitet består i at behandle personoplysninger
  3. Hvis din virksomheds kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold

Udarbejd en compliance-rapport

Du skal have udarbejdet en generel compliance-rapport typisk baseret på en gap-analyse mellem nuværende og fremtidige indsatsområder i henhold til persondataloven.

Denne rapport skal blandt andet beskrive, hvordan data bliver opbevaret i virksomheden, hvilken data der er relevant at opbevare, hvem der har adgang til hvilket data, hvordan data bliver slettet mv. Det kan være en fordel, hvis der er sammensat en projektgruppe fra forskellige afdelinger, så der automatisk bliver bidraget med flere perspektiver af dataflowet.

Dataansvarlig vs. Databehandler

Virksomheder vil blive pålagt at have styr og kontrol på al data samt efterleve de forskellige krav og lovgivninger, der kommer helt på plads til maj ’18. Typisk vil det være virksomhedens DPO, som skal kortlægge og beskrive de forskellige områder inden for virksomhedens databehandling. Hvis ikke der er ansat en DPO, vil opgaven typisk ligge hos IT og HR, som sammen skal efterse data i firmaet samt sørge for firmaet er compliant.

Der er to vigtige begreber, som du bør kende:

  • Dataansvarlig
    • En ”dataansvarlig” er dén, der afgør til hvilket formål, og hvordan der må foretages behandling af oplysninger
      Det kan f.eks. være en myndighed, der er blevet pålagt at behandle personoplysninger, eller en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder
  • Databehandler
    • En ”databehandler” er dén, der behandler oplysninger på den dataansvarliges vegne. Databehandleren behandler aldrig personoplysninger til egne formål og må kun bruge de oplysninger, som er aftalt med den dataansvarlige
      Det kan f.eks. være en virksomhed, der varetager en anden virksomheds IT-systemer. Det kan også være en udbyder af et webhotel eller et inkassobureau

Databehandleraftale

En databehandleraftale er en skriftlig aftale mellem dig som dataansvarlig og den leverandør, som opbevarer/behandler dine data for dig. Du skal have en databehandleraftale med alle dine leverandører, som opbevarer/behandler dine data.

Vi tilbyder selvfølgelig databehandleraftaler til alle vores kunder for at imødekomme forordningen.

Forordningen i praksis – dataflows og tjeklister

Det vigtigste er til at starte med at tegne dit dataflow fra rekruttering til afskedigelse; ”fra vugge til grav”, som man også kalder det. Dette kan visuelt gøre en stor forskel for dig, at du kan se hvilket data, I arbejder med i virksomheden. Vi vil også gerne hjælpe dig her, hvis du har brug for sparring og inputs.

En god idé er at opstille en række tjeklister fra hverdagens virkelighed med dét formål at skabe overblik over, hvad det betyder rent praktisk at sikre compliance.

Nedenfor har vi lavet eksempler på tjeklister inden for tre forskellige områder; rekruttering, onboarding og HR-management. Denne tjekliste er til inspiration, og alt nævnte kan vi bidrage med via vores samlede HR-platform.

Tjekliste for rekruttering:

  1. Undgå at modtage dokumenter og kandidat informationer via excel eller e-mails – men gør processen digital
  2. Kandidater og uopfordrede ansøgere skal acceptere, at du opbevarer deres data, og de har ret til at vide, hvilket data du anvender, til hvilket formål, hvem har adgang til det samt hvor lang tid, at det bliver opbevaret
  3. Husk at kandidaten til enhver tid skal kunne trække deres accept/samtykke tilbage
  4. Kandidaten kan med fordel selv logge ind på egen profil med mulighed for indsigt og sletning af informationer
  5. Alle kandidaternes informationer skal slettes efter den angivne periode (også backup filerne)
  6. Resultater fra testværktøjer/referencer er i visse tilfælde følsomme data
  7. Vær opmærksom på hvilket data du spørger om i ansøgningsprocessen, såsom køn, nationalitet mv., som kan have landespecifikke regler
  8. Husk at straffeattest kun må indhentes, hvis det er relevant for stillingen og sjældent giver det mening at opbevare dem
  9. Sørg for at have en registreret log af aktiviteter, så du altid kan gå tilbage og følge med, hvem der har gjort hvad og hvornår
  10. Send ansættelseskontrakter, samtykkeerklæringer mv. sikkert evt. via digital signatur
  11. Det kan være en god idé at have sikkerhedsregler ved login; evt. overvej 2-faktor login. Denne login-mulighed kan skabe awareness omkring beskyttelse af alle de data, som ligger på de forskellige computere ved at skulle bekræfte ens identitet

Tjekliste for onboarding:

  1. Indhent kun nødvendige oplysninger til angivne og saglige formål – der skal være en mening med oplysningerne, og det skal kunne dokumenteres
  2. Modtag helst den nye medarbejders personfølsomme oplysninger digitalt og gerne fra medarbejderen selv
  3. Person oplysninger må kun videregives til eksterne (eksempelvis pensionsleverandører og lønleverandører) i sikkert format
  4. Undgå excel, e-mails og masse-involvering af adskillige interne ansatte ved at strukturere din onboarding proces digitalt
  5. Send ansættelseskontrakter, samtykkeerklæringer mv. sikkert evt. via digital signatur

Tjekliste for HR-management:

  1. En medarbejder har ret til at få indsigt til alt data, der er opbevaret i virksomheden. Dette skal være nemt at kunne sende til medarbejderen
  2. Samtykkeerklæring ved opbevaring af medarbejderens data i virksomheden, hvem der har adgang og samtidigt ved brug af medarbejderens billede
  3. Sørg for en sikker opbevaring af HR- og medarbejderdokumenter (med styring af brugeradgange)
  4. Send ansættelseskontrakter, samtykkeerklæringer, skriftlige advarsler mv. sikkert – evt. via digital signatur
  5. Opdel adgangsniveauer ift. hvem der har adgang til medarbejderens data (IT-roller, løn-roller, DPO-roller mfl.)
  6. Modtag gerne medarbejders information direkte fra dit rekrutterings- eller onboarding system, så du undgår dobbelt indtastning og fejl registreringer
  7. Få evt. nemt e-mail notifikationer ved udløb af kørekort, børneattest, straffeattest mv., så du altid kan få registreret den nyeste information på den enkelte medarbejder
  8. Opbevar dit MUS-skema og din udviklingsplan digitalt, så der ikke opstår tvivl om, hvor disse kan findes
  9. Opbevaring af medarbejderens data skal slettes eller gøres anonymt, når det ikke længere er relevant at opbevare
  10. Det kan være en god idé at have sikkerhedsregler ved login; evt. overvej 2-faktor login. Denne login-mulighed kan skabe awareness omkring beskyttelse af alle de data, som ligger på de forskellige computere ved at skulle bekræfte ens identitet

Vores fremtidige arbejde med GDPR

Med vores tre systemer, der kan integreres til én samlet HR-platform; Talent Recruiter, Talent Onboarding og Talent Manager, tilbydes der funktionaliteter, som imødekommer HR’s arbejde med GDPR.

Vi har også allerede nu udarbejdet et it-dokument, som beskriver, hvad vi udviklingsmæssigt allerede har udviklet samt hvad vi har fokus på før maj 2018. Tilmed har vi også formuleret en FAQ om HR Manager og GDPR til de kunder, der efterspørger dette. Her beskriver vi de oftest stillede spørgsmål om, hvor vi lagrer data, hvordan vi lagrer den samt hvilke sikkerhedsforanstaltninger vi har, så vores kunder kan være sikre på, at vi som leverandør er compliant.

I starten af det nye år modtog alle vores mere end 800 kunder en invitation til GDPR webinars med fokus på, hvordan de kan udnytte alle de muligheder, der er udviklet i systemerne til HR’s arbejde med GDPR.

Vi vil gerne tale med dig

Her i HR Manager fortæller vi gerne mere omkring, hvordan vi kan bidrage til din compliance-proces med både rekruttering, onboarding og HR-management i én samlet løsning – og hvordan der er mulighed for at integrere HR-platformen med dine andre systemer, såsom test, løn, tidsregistrering, vagtplanlægning mv. Best of breed løsninger er i dag populære, og derfor vil vi også gerne fortælle dig mere om, hvordan vi kan levere en best of breed løsning til dig.

Vi vil meget gerne besvare dine spørgsmål, og tilmed vil vi også gerne være en del af din compliance-proces. Vi tilbyder dig en uforpligtende professionel snak omkring dine udfordringer, hvor vi rådgiver dig ud fra din virksomheds behov.

Du er meget velkommen til at kontakte dit lokale kontor i Danmark, Norge eller Sverige – vi glæder os til at vise dig, hvordan vi kan bidrage til en optimering af dine daglige HR-processer, så du også kan sikre dig at blive compliant.