Ett transparent arbetsliv

I detta andra blogginlägg i vår bloggserie om GDPR i relation till HR, djupdyker vi i en av grundprinciperna för dataskydd, nämligen öppenhetsprincipen, och vad det innebär för er HR-funktion i praktiken. För att ta del av vårt första inlägg i serien, som ger en överblick över digitaliseringen av HR, klicka här. 

En gemensam grundpelare i det internationella dataskyddsregelverket är tankarna kring öppenhet och transparens. Dessa tankar har dessutom materialiserats genom flera artiklar i GDPR. Öppenhetsprincipen handlar för HR om att återge kontrollen över personuppgiftsbehandlingen till den vars uppgifter det handlar om, nämligen era anställda och era arbetssökande. 

En Privacy Policy dedikerad till HR 

Ansvaret för att upprätthålla de anställdas nya rättigheter till sin personliga information har landat på HR som även ska formalisera dessa till organisationens kontext och tydligt beskriva dem för de anställda. Det innebär att de allra flesta HR-funktioner, med största sannolikhet, kommer att behöva en separat integritetsskyddspolicy och en dedikerad process för att kommunicera den till de anställda och/eller arbetssökande. 

Integritetsskyddspolicyn för HR ska bland annat ange information om den ansvariges identitet, kontaktuppgifter till eventuellt Dataskyddsombud, vilka personuppgifter som kommer att behandlas under anställningen, på vilket sätt samt varför. Denna information ska tillhandahållas med jämna mellanrum och på ett enkelt sätt. 

Privacy Policies i all ära… 

Så har ni utformat er interna Privacy Policy och integrerat den i er övriga onboarding. I teorin har ni därmed uppfyllt det absoluta informationskravet i GDPR. Verkligheten ser dock annorlunda ut: få är de som läser dessa policys, och de som gör det begriper antagligen ändå inte vad som där står. Kravet på information har utvecklats och innebär numer att informationen ska lämnas i lager och kommuniceras på olika sätt; genom pop-ups på intranätet, utbildning för de anställda eller en interaktiv chatt/fråge-funktion. 

Förutom en intern integritetsskyddspolicy publicerad på intranätet bör anställdas GDPR-träning göras i hur organisationen behandlar deras uppgifter och av vilka anledningar. 

”Tydlighet” är en tolkningsfråga 

Många HR-system erbjuder utökade analysmöjligheter på sätt som den anställde kanske inte är medveten om – och som åtminstone inte är uppenbart utifrån typen av system. En arbetsgivare som använder ett sådant system måste försäkra sig om att de anställda förstår hur och varför personuppgifter behandlas i systemet. Beskrivningen ska vara tillräckligt specifik för att den anställde ska förstå vad behandlingen innfattar. Dåliga beskrivningar är till exempel "IT-säkerhetsändamål" och ”kompetensutveckling”. Bättre är det att beskriva ändamålet som att ”spåra och motverka phishing-attacker på arbetsmailen” och att ”följa upp och planera kommande arbete”. 

Sammanfattningsvis gäller att uppgifter om anställda och arbetssökande i princip inte får behandlas utan att denne känner till detta. Att smyga in villkor om behandling av personuppgifter i anställningsavtalet för att maximera möjlig insamling och användning av personuppgifter är inte okej. 

I nästa del av denna bloggserie om GDPR och HR, bekantar vi oss med ytterligare processer som HR behöver känna till för att efterleva GDPR.