EU (Europeiska unionen) förordningen 2016/679, även känd som allmänna dataskyddsförordningen (GDPR) (allmänna dataskyddsförordningen (GDPR)), trädde i kraft den 25 maj, 2018 efter en tvåårig övergångsperiod. Förordningen kräver att alla företag som är verksamma i Europeiska unionen ska anta nya policyer, processer och praxis samtidigt som de hanterar personuppgifter för sina kunder, användare, leverantörer och arbetstagare.
Allmänna dataskyddsförordningen (GDPR) har en enorm inverkan på HR-avdelningar, eftersom de måste anpassa sina processer för att uppfylla kraven i denna förordning.
Syftet med Allmänna dataskyddsförordningen (GDPR) är att standardisera och stärka europeiska invånares rättigheter i förhållande till deras personuppgifter. Detta innebär att alla organisationer som hanterar personuppgifter om EU-invånare måste följa de nya standarderna för transparens, säkerhet och ansvarsskyldighet.
Hur påverkar Allmänna dataskyddsförordningen (GDPR) mänskliga resurser?
Den allmänna dataskyddsförordningen (GDPR) kräver att företag endast lagrar väsentlig, korrekt och aktuell anställd data. Företag måste också tydligt kommunicera hur, var och hur länge en anställds personuppgifter kommer att lagras. På samma sätt kan anställda när som helst använda sin information, samt begära en kopia av de lagrade uppgifterna och beställa radering.
HR team måste förstå risken och ansvaret som är förknippat med hantering av anställd information för att undvika sanktioner, eftersom bristande efterlevnad kan leda till böter på upp till 20 miljoner euro, eller 4 procent av den årliga omsättningen.
Nyckelfaktorer av Allmänna dataskyddsförordningen (GDPR) inom Human Resources
För att följa Allmänna dataskyddsförordningen (GDPR) måste HR-team justera och förbättra sina personalhanteringsprocesser för att garantera anställdas rättigheter och följa dataskyddsriktlinjerna.
Här är de mest kritiska faktorerna som HR-team bör ta hänsyn till:
1.Insamling av personuppgifter
Att samla in och behandla personuppgifter är legitimt och begränsat till relevant information för fullgörandet av anställningsavtalet (t.ex. tid och närvarosystem), eller information som är nödvändig för att uppfylla en rättslig förpliktelse (t.ex. löner).
Samtycke är nödvändigt när det inte finns någon annan rättslig grund som validerar behandlingen av uppgifter (t.ex. ett personligt e-postkonto).
2. Anställdas rätt att bli informerad
Företag är skyldiga att informera de anställda om syftet och den rättsliga grunden för databehandlingen och under vilken period personuppgifter kommer att bevaras. Denna information måste uppges vid den tidpunkt då den anställdes personuppgifter erhålls.
3. Nya rättigheter för anställda
Allmänna dataskyddsförordningen (GDPR) införde nya anställdas rättigheter, såsom rätten till dataportabilitet, vilket gör det möjligt för anställda att hämta och återanvända sina personuppgifter för egna ändamål inom olika tjänster. Det reglerar också specifika rättigheter, såsom rätten att bli bortglömd som gör det möjligt för anställda att begära radering av sina personuppgifter, och rätten till rättelse, som ger anställda rätt att få rättelse av felaktiga personuppgifter.
Rätten att motsätta sig profilering hindrar företag från att fatta beslut enbart baserade på automatiserad behandling, vilket kommer att ha en betydande inverkan på implementeringen av programvara för artificiell intelligens inom personalfrågor.
4. Dataskyddsombud
Företag måste utse ett dataskyddsombud (DPO) som agerar självständigt med de resurser som krävs för att utföra sina uppgifter. Dataskyddsombudet ansvarar för att övervaka företagets dataskyddspolicy och dess genomförande för att säkerställa efterlevnad med allmänna dataskyddsförordningen (GDPR).
5. Konsekvensanalyser och säkerhetsintrång
Företag måste genomföra konsekvensbedömningar för att identifiera verksamheter som utgör en betydande risk för arbetstagarnas rättigheter eller ett säkerhetsöverträdelse. Vid personuppgiftsbrott måste företag meddela myndigheterna senast 72 timmar efter identifiering.
6. Telematik och uppförandekoder
För att anpassa sig till de nya dataskyddskraven måste företagen granska sina interna policyer och uppförandekoder för användning av telematik. Företagen måste också anpassa sitt innehåll till Europadomstolens dom och till effekterna av ny teknik på arbetsplatsen.
7. Videoövervakning
Företag måste även se över sina rutiner för installation och användning av videoövervakning. Europakonventionen slår fast att för installation av fasta kameror måste arbetstagare i förväg och tydligt informeras om sitt syfte, i enlighet med bestämmelserna i Allmänna dataskyddsförordningen.
8. Internationell överföring av data utanför EU
Överföring av arbetstagares personuppgifter till länder utanför EU utgör en enorm risk, eftersom det inte finns någon garanti för skydd. allmänna dataskyddsförordningen (GDPR) har infört vissa begränsningar för att begränsa ett företags möjlighet att överföra sådana uppgifter, och för att upprätthålla anställdas rättigheter.
9. Tredjepartsleverantörsavtal
Det är nödvändigt att uppdatera avtal med leverantörer eller entreprenörer som har tillgång till företagets personuppgifter för att se till att kraven i Allmänna dataskyddsförordningen (GDPR) efterlevs. Detta inkluderar kontrakt med löne- och rekryteringsleverantörer.
På grund av mängden personuppgifter som ett företag hanterar under alla sina processer är HR-avdelningens bidrag till efterlevnad av Allmänna dataskyddsförordningen (GDPR) avgörande. Det är därför viktigt att överväga alla delar av Allmänna dataskyddsförordningen (GDPR) för att implementera en effektiv handlingsplan.
Vad kan HR-team göra med Allmänna dataskyddsförordningen (GDPR)?
Allmänna dataskyddsförordningen (GDPR) kräver att företag är proaktiva och ansvariga för genomförandet av tekniska och organisatoriska åtgärder som säkerställer behandlingen av klagomålsdata.
Företag måste analysera vilken typ av uppgifter de bearbetar, syftet med det och hur de gör det. Här är några tips för att hjälpa HR-team att följa Allmänna dataskyddsförordningen (GDPR):
1. Anlita ett dataskyddsombud (DPO)
Enligt artikel 37 i allmänna dataskyddsförordningen (GDPR) är det avgörande att anlita en dataskyddsansvarig. En DPO ansvarar för att övervaka företagens dataskyddsstrategier och säkerställer efterlevnad med allmänna dataskyddsförordningen (GDPR) krav.
2. Inventera behandlingen av personuppgifter.
Att inventera viktiga uppgifter gör det lättare att spåra och bearbeta det och hjälper till att verifiera efterlevnad. Här är några viktiga överväganden när du spårar ditt företags information:
- Identifiera personuppgifter och känsliga uppgifter, samt befintliga behandlingar och verifiera efterlevnad.
- Ta reda på vem (anställda, entreprenörer eller leverantörer) som har tillgång till uppgifterna och varför.
- Övervaka anställda, entreprenörer och leverantörer som arbetar med företagets data och granska kontrakt.
- Verifiera att all databehandling som genomförs av entreprenörer och leverantörer följer Allmänna dataskyddsförordningen (GDPR).
- Analysera arkiveringsmetoder och lagringstid för HR-personuppgifter.
- Se till att HR-lösningar och ditt Human Resources Information System (HRIS), om tillämpligt, är kompatibla med Allmänna dataskyddsförordningen (GDPR).
3. Vidta åtgärder
När du har gjort en inventering och identifierat de korrigeringar som behövs är det viktigt att skapa och implementera en handlingsplan där du definierar stegen som ska följas.
Se till att du:
- Granskar uppgifterna
- Genomför konsekvensanalyser
- Granskar över dina skydds- och säkerhetsåtgärder
- Granskar dina processer och procedurer.
4.Implementera en kommunikationsplan
Det är viktigt att implementera en intern kommunikationsplan så att alla anställda vet hur de ska få tillgång till sin information och vad de ska göra om någon förändring i denna process uppstår. En del av den nya förordningen kräver att företag tydligt kommunicerar hur, var och hur länge en anställds personuppgifter kommer att lagras.
5. Se till att lagrade uppgifter är korrekta
Företag måste se till att endast behålla korrigerade och uppdaterade data. De måste även identifiera vilka uppgifter de behöver behålla och vilka som måste raderas. Ju mindre uppgifter du har, desto lättare blir det att följa Allmänna dataskyddsförordningen (GDPR).
6. Granska sekretesspolicyer
Företag måste vara transparenta med de uppgifter de hanterar. Att granska sekretessavtal skapar transparens och bygger förtroende. Uppdatera datasäkerhetspolicyer och -rutiner med ett tydligt och enkelt språkbruk, och se till att dessa policyer är lättillgängliga.
7. Upprätthåll anställdas rättigheter
Som vi nämnde etablerar Allmänna dataskyddsförordningen (GDPR) nya rättigheter för anställda. Det är mycket viktigt att se till att dessa rättigheter upprätthålls för att undvika sanktioner.
8. Anta Allmänna dataskyddsförordningen (GDPR) som en del av företagskulturen
Det är viktigt att företag gör regelverket till något som känns till i hela organisationen. Genom att integrera dem i företagskulturen säkerställer du att alla anställda är medvetna om och förstår dem.
9. Förbättra säkerheten
Se till att uppgifter är säkra och undvik läckt information. I händelse av ett dataintrång måste de berörda parterna informeras inom 72 timmar. För att undvika att information läcks bör du anlita pålitliga datalagringstjänster, utöver att upprätta uppdaterade säkerhetspolicyer.
10. Erhåll medarbetarens samtycke
Det är viktigt att du informerar anställda om de åtgärder och förfaranden som äger rum och att få deras samtycke till behandlingen och överföringen av deras uppgifter. Samtycke måste vara ett fritt, informerat och ett tydligt uttryck för samtycke.
Utöver den skyldighet som den representerar kan Allmänna dataskyddsförordningen (GDPR) bidra till att förbättra ditt företags prestation och de anställdas förtroende och välbefinnande. Detta är dock bara om din data och säkerhet, verktyg, metoder och processer är strömlinjeformade.
Dessa nya utmaningar ger HR-avdelningar möjlighet att vara drivkrafter för sina företags internationalisering, vilket stärker kvaliteten på deras samarbete med sina leverantörer och entreprenörer. Att ha en tydlig policy för personuppgiftshantering förbättrar även företagens rykte och gör dem attraktiva som arbetsgivare.
