Mange overveielser skal gjøres i forberedelsene til den nye personvernforordningen (GDPR), og det er lett å se seg blind på all tilgjengelig informasjon. Så hvor begynner man? HR bør starte med å kartlegge hvor de står i forhold til sine ansattdata.
Du vet hva GDPR er og trolig også konsekvensen av å ikke være i samsvar med den nye personvernforordningen. Med så mye informasjon om hvordan personvernet skal sikres fremover er det lett å gå seg bort i alle fakta som presenteres. Men GDPR handler dessverre ikke om hvor mye du vet om dette, men om hvordan du vil klare å tilpasse deg fundamentale endringer i hvordan organisasjoner håndterer data om kunder, partnere og medarbeidere.
Med GDPR vil individer - slik som ansatte - få langt større rettigheter til data som omhandler dem. De kan kreve tilgang til dataene, de vil ha rett til dataportabilitet, rett til å bli slettet osv. Organisasjoner må derfor ha på plass prosesser for alle sine ansatt- og HR-data som krever at de har en detaljert oversikt over hvordan dataene håndteres og lagres.
De som jobber med HR må håndtere informasjon som ofte er sensitiv av natur. I tillegg til adresser, og kontaktpersoner inneholder HR-systemer mye spesifik data om hver enkelt ansatt, for eksempel lønn og informasjon fra medarbeidersamtaler. GDPR endrer kravene til hvordan man håndtere denne typen data på, helt fra den samles inn til den blir slettet igjen. "Liten skrift" og indirekte samtykker er ikke lenger nok. Samtykke om å hente inn og bruke data må være spesifikt, godt informert og kan kun gis ved en aktiv handling.
Ansatte vil eie egen informasjon
Hva skjer når en ansatt slutter? I dag bruker du kanskje en manuell sjekkliste for å sikre at nøkkelkort, PC, mobiltelefon og kredittkort leveres inn. Med nye personvernregler vil den ansatte ha rett til å be om at all data, unntatt data som rapporteres inn til myndighetene (for eksempel skatt) skal slettes. De kan også be om å få ta med seg alle dataene.
Retten til tilgang, eller innsyn, kan benyttes av en ansatt når som helst, selv uten å ha planer om å forlate selskapet. Dette betyr at en ansatt til enhver tid kan be om å få se all den informasjonen organisasjonen har om dem. Dette kan virke krevende, men konsekvensene av å ikke være i samsvar med reguleringen kan bli betydelige. Det anbefales at du sikrer at de rette prosessene er på plass i tide.
For å komme i gang med GDPR-arbeidet anbefaler vi deg, i samarbeid med interessenter som finans- og lønnsavdelingen, å gjennomføre en omfattende kartlegging av ansattdata. Kartleggingen må omfatte all data fra alle kilder, inkludert forskjellige IT-systemer, regneark, tekstdokumenter og såkalte ustrukturerte data, som for eksempel håndskrevne notater.
En detaljert kartlegging vil gjøre det mulig å identifisere hvor det er rom for forbedringer og hvor dere allerede har kontroll og prosesser på plass. Basert på gjennomgangen er dere bedre posisjonert for å planlegge implementeringen av GDPR..
