Sammenhængen mellem GDPR og HR er en kunst i sig selv. Det bliver lettere at overskue HR, hvis vi opdeler vores HR aktiviteter i:
- Rekruttering
- Under ansættelsen
- Fratrædelse
I hver af disse områder kan du have et hav af processer, som du skal have styr på ift. GDPR.
Rekruttering
Når du er heldig at få en ansøger til en ledig stilling, så begynder du også at behandle deres personoplysninger.
Derfor skal du gøre dig klart hvordan du efterlever persondataforordningen. Du har eksempelvis en oplysningspligt til ansøgerne i det øjeblik, at du indsamler deres oplysninger.
Du skal også oplyse om hvorlænge, at du opbevarer jobansøgningerne, og sørge for at bortskaffe disse sikkert når du ikke længere har grund til at opbevare dem. Hvis du ønsker at opbevare jobansøgningen til en eventuelt kommende ledig stilling, så kan det være en god idé at indhente et samtykke hertil.
Der er flere andre aktiviteter i forbindelse med rekruttering, hvor du ift. persondataforordningen bør være opmærksom på behandlingen af personoplysninger fx
- indhentning af referencer
- personlighedstest
- indhetning af straffe og børneattester
- anvendelse af oplysninger fra sociale medier
- begrænsning af adgang til jobansøgernes personlige oplysninger.
Når du er heldig at have ansatte til at hjælpe din virksomhed, så har du løbende personaleadministrative opgaver, som naturligvis kræver at du behandler den ansattes personoplysninger.
Under ansættelse
Under ansættelse skal du blandt andet være opmærksom på følgende aktiviteter:
- Lønkørsel
- Tidsregistrering
- Medarbejdersamtaler
- Ansættelseskontrakt
- Kontaktoplysninger på intranet og hjemmeside
Der findes mange forskellige aktiviteter indenfor HR i en normal virksomhed, og det kræver derfor grundighed at komme hele vejen omkring behandlingen af medarbejderes personoplysninger ift. GDPR og den øvrige lovgivning på HR-området.
Fratrædelse
Når en medarbejder fratræder sin stilling, så kan du stadig have et administrativt behov for at opbevare medarbejderens oplysninger efterfølgende. Du skal naturligvis have en god grund til at opbevare medarbejderens personoplysninger efterfølgende, og du skal stadig forholde dig til persondataforordningens principper i artikel 5.
Følgende begrundelser kan i nogle tilfælde bruges til at fortsætte en behandling af tidligere medarbejderes personoplysninger:
- Hvis du har behov for at dokumentere historikken i en personalesag
- Hvis skatteretlige regler kræver at lønoplysninger opbevares i et vist tidsrum, så arbejdsgiveren kan indberette oplysninger til SKAT.
- Ved afskedigelse af en medarbejder kan man i nogle tilfælde have behov for at opbevare oplysninger, hvis disse er nødvendige ift. et eventuelt retskrav pga. afskedigelsen.
Nu har vi gennemgået de 3 overordnede behandlinger af personoplysninger i HR, og disse behandlinger skal naturligvis holdes sikre.
Datasikkerhed i HR
Du skal passe på de personoplysninger, som du behandler, og nogle personoplysninger skal du passe bedre på end andre. Det handler om informationssikkerhed.
Kravene til sikkerheden skal altid bestemmes ud fra en risikovurdering, og en risikovurdering af behandlingen af personoplysninger i HR vil oftere medføre en høj risiko.
Et par gode råd til at øge sikkerheden i forbindelse med personaleadministrationen:
- Beskriv hvordan, at personoplysninger skal behandles i HR fx via en retningslinje, og oplær de relevante medarbejdere i denne retningslinje.
- Adgangen til personoplysningerne skal begrænses til de relevante medarbejdere, og så få medarbejdere som muligt.
- Opbevar personoplysningerne aflåst i skab eller bag passwordbeskyttelse.
- Bortskaf filer og papirer, så de ikke kan genskabes.
- Fortrolige og følsomme personoplysninger skal sendes krypteret.
Vær opmærksom på, at dette ikke er en fyldestgørende opsummering, men blot en god start.