GDPR til frokost.

Sist uke deltok jeg på Virke sitt frokostmøte om GDPR og HR. Det var en positiv opplevelse for en GDPR interessert som meg. Tydelig at dette tema treffer da det var andre runde ila en drøy uke de gjennomførte arrangementet.

Det var en god gjennomgang og introduksjon til hva GDPR er og hvordan dette treffer HR delen av virksomheter. Som det ble sagt på arrangementet er det innen HR naturlig nok allerede god fokus på behandling av personopplysninger, det har det alltid vært. Prosesser og ansvar har vært en viktig del av denne delen i en bedrift lenge. I relasjon til et ansettelsesforhold så samles det inn mye personlig informasjon. Informasjon som er vesentlig fra tidlig i rekrutterings prosessen, i fast ansettelse og også etter at forholdet opphører.

Men, GDPR bringer jo noe nytt til bordet, som utfordrer HR.  Og der kommer Virke sin 7-trinns modell inn som et godt virkemiddel.  Virke og Personvern

Denne gir en god og strukturert tilnærming til hva man skal og bør gjøre.

Hva har vi og hvorfor?

En stor utfordring for mange er å få kontroll på hva man samler av data, hva er grunnlaget, hvilke systemer/mottakere er involvert, tilgangskontroll m.m. Det er gjerne der man starter, nettopp fordi man har en innsikt i bl.a systemer etc. God dokumentasjon og rutiner her sikrer kontroll og oversikt også fremover.

Fortell hva du gjør.

Et viktig prinsipp er at individer skal bli godt informert, på et språk som er lettfattelig. Litt selvmotsigende er nok GDPR, der det også kreves at de registrerte skal bli informert om mye relatert til databehandlingen. Det danske Datatilsyn har nettopp lansert en veileder for Ansettelsesforhold og GDPR som jeg anbefaler å lese.  Datatilsynet Danmark

«Når en arbejdsgiver behandler oplysninger om en ansøger eller medarbejder, skal arbejdsgiveren som dataansvarlig kunne dokumentere, at den pågældende har fået informationerne. Det kan derfor være en god idé at give skriftlig information. Hvad enten information gives mundtligt eller skriftligt, skal der informeres på en tydelig og letforståelig måde.» (utdrag fra avsnitt 4.1)

De ansattes rettigheter.

Uavhengig om behandlingen av de ansattes personopplysninger skjer på bakgrunn av avtale, juridiske krav, berettiget interesse eller samtykke, har de registrerte rettigheter. Ansatte skal for eksempel kunne be om innsyn i sine data, de som er relevante og kan leveres ut. De skal kunne korrigere uriktige opplysninger og kunne klage på en behandling.  Som arbeidsgiver må man både gjøre disse mulighetene tilgjengelige, men også dokumentere oppfølgingen av det i etterkant.

Løpende GDPR etterlevelse.

Som med mange andre regelverk er det ikke nok å gjøre tiltak én gang og så ta det med ro. Som ansvarlig for databehandlingen må man administrere dette fortløpende. Det betyr å holde dokumentasjonen oppdatert, ha kontroll på forespørsler fra de ansatte, oppfølging av disse, registrere eller fjerne systemer, og være trygg på at hvis noen spør så har man kontroll og kan dokumentere.

Hva gjør andre?

Selskapet Hermes Executive Search er avhengig av å innhente samtykker fra sine kandidater for å kunne lagre CV og annen relevant informasjon. Dette sikrer både at kandidatene forblir en relevant for nye stillinger, samt Hermes sine muligheter til å tiltrekke seg nye oppdrag. ICONFIRM sin samtykke funksjon er verdifull for bedriften.

Hos Vestfoldmuseene hadde IT Sjefen gjort en god jobb med å kartlegge interne og eksterne systemer/leverandører som håndterer personopplysninger. De valgte å benytte ICONFIRM som system for å dokumentere alt relatert til databehandlingen av ansattes personopplysninger.

Personalsjefen hos For Men så etter et system som kunne bidra til tydelig kommunikasjon mot de ansatte og sikre løpende dokumentering av aktiviteter. ICONFIRM leverte en løsning og maler som gjorde implementeringen enkel og effektiv.

ICONFIRM er en løsning som kan støtte HR og personalansvarlige gjennom alle 7 stegene som Virke peker på.

  • Dokumentere – behandlings aktiviteten.
  • Informere – de ansatte på en god måte.
  • Administrere – automatisk loggføring for god kontroll og etterlevelse.