Talentsoft giver her et bud på, hvordan HR-afdelinger kan imødekomme de nye krav fra den kommende persondataforordning.

De fleste virksomheders håndtering af personoplysninger, ændres betydeligt når den nye EU persondataforordning, (GDPR) træder i kraft i maj 2018. Reformen vil i særlig grad påvirke HR-afdelinger, da de i særdeleshed behandler persondata.Virksomheder skal nemlig fremover påvise, at de beskytter deres medarbejderes personlige oplysninger og at de har medarbejdernes samtykke til at behandle  data.

For tyve år siden trådte et tilsvarende direktiv i kraft, men nu forbereder den Europæiske Union så at øge beskyttelsen af personoplysninger. Disse massive ændringer fører helt nye principper med sig, men også en del tvetydige udtryk, der kan fortolkes på flere forskellige måder – og i visse tilfælde skade virksomheders retssikkerhed.

De grundlæggende principper (Artikel 5) 

Kort sagt forudsætter forordningen at virksomheder fuldstændigt ændrer deres virksomhedskultur. De nye forpligtelser er primært baseret på indledende formaliteter (Artikel 5) og på at indføre rapporterings- og kontrolmekanismer. Forpligtelserne anvender en tilgang baseret på ansvarlighed og transparens. Med andre ord, så indebærer de at:

  • Databeskyttelse som udgangspunkt indarbejdes i designet af en service eller et produkt
  • Der udvikles interne systemer, foranstaltninger og mekanismer for at sikre optimal databeskyttelse, for de folk, hvis data behandles.

Hvad betyder det for HR-afdelinger 

I praksis betyder det at HR-afdelinger skal:

  • Udarbejde en liste over deres databehandlingsaktiviteter
  • Vurdere deres praksisser og etablere visse procedurer (notifikationer om brud på datasikkerheden, administration af klager, etc.)
  • Identificere risici i forbindelse med databehandlingsaktiviteter og tage de nødvendige forholdsregler til at forhindre dem

For at gøre det, skal HR-afdelinger anvende disse værktøjer:

  • Et register over persondatabehandling, såvel som intern dokumentation
  • Konsekvensanalyser (Personal Impact Assessments) for højrisikodata

Foranstaltninger, der sikrer at GDPR-retningslinjerne overholdes 

De følgende anbefalinger er fremsat af den franske Databeskyttelses Kommission (CNIL):

2) Udpeg en data beskyttelses officer 

Enhver privat virksomhed, der løser kerneopgaver som involverer at føre tilsyn med persondata, skal udpege en data beskyttelses officer. En data beskyttelses officers rolle indebærer at:

  • Føre tilsyn med at virksomheden overholder alle bestemmelser
  • Rådgive virksomheden i konsekvensanalyser (Personal Impact Assessments, herefter PIA)
  • Samarbejde med tilsynsmyndigheder
  • Udarbejde en liste over virksomhedens databehandlingsaktiviteter

 2) Mapping 

Dette forudsætter en ret præcis identifikation af, hvad din virksomhed bruger dets medarbejderes persondata til. Virksomheden kan i den forbindelse føre en fortegnelse over dens behandlingsaktiviteter. En sådan fortegnelse bør indeholde:

  • Oplysninger om hvilket formål personoplysningerne tjener
  • Målsætninger
  • Navnet på gruppen, eller grupperne af databehandlere, f.eks. tjenesteudbydere og underleverandører
  • Personoplysningernes oprindelse og bestemmelsessted (kan være udenfor EU)
  • En dato for, hvor længe personoplysningerne opbevares
  • Stedet hvor personoplysningerne opbevares
  • De sikkerhedsforanstaltninger der er foretaget, for at beskytte personoplysningerne

 3) Prioriteter i forhold til risici 

Persondatabehandlingsaktiviteterne som udføres af din virksomhed, medfører systematisk og omfattende overvågning af dine medarbejderes personoplysninger. Det er derfor vigtigt at:

  • Sikre at det kun er det data der er strengt nødvendigt, som opbevares
  • Sikre at dataet indeholder hver enkel medarbejders uforbeholdne og informerede samtykke
  • Fastlægge regler der forenkler udøvelsen af den registreredes rettigheder, f.eks. retten til at få indsigt i og berigtige persondata, retten til dataportabilitet og retten til at tilbagetrække sit samtykke.

 4) Risikostyring 

Konsekvensanalyser (PIA) muliggør risikoidentificering og risikostyring. En konsekvensanalyse (PIA) indeholder:

  • En beskrivelse af persondatabehandlingsaktiviteter og formålet med behandlingen
  • En vurdering af behandlingsaktiviteternes nødvendighed og proportionalitet
  • En risikovurdering

5) Dokumenteret kravopfyldelse 

Din virksomhed skal kunne bevise at dens interne retningslinjer overholder forordningen. Disse dokumenter skal fremvises i tilfælde af, at tilsynsmyndighederne foretager en inspektion:

  • En fortegnelse over behandlingsaktiviteterne
  • Konsekvensanalyser (PIA)
  • Retningslinjer der omhandler organiseringen af dataoverførsler udenfor EU
  • Formulartemplates til medarbejdersamtykke (og bevis på samtykke)
  • De procedurer der er implementeret til at facilitere udøvelsen af de registreredes rettigheder
  • Aftaler med underleverandører
  • Interne procedurer, der omhandler brud på persondatasikkerheden

Vil du vide mere om hvordan din HR-afdeling kan blive klar til GDPR, så deltag gratis i Talentsofts webinar: Bliv Klar til GDPR – Sådan Kan HR Forberede Sig! onsdag d. 25 april kl. 10.00 – 10.30.

 

Tilmeld dig gratis her

Webinar: Bliv Klar til GDPR - Sådan Kan HR Forberede Sig!

d. 25 april kl. 10.00 - 10.30