Digital HR

GDPR-samarbete mellan företag, kommuner och myndigheter - går det?

Dags att damma av kunskaperna om lagstiftning och tillämpning inom HR-området. Det blir också tydligt att vi behöver reda ut begreppen när vi diskuterar vad det innebär att den registrerades rättigheter förstärks, enligt den nya dataskyddsförordningen General Data Protection Regulation (GDPR).

Oavsett organisation förenas vi i gemensamt intresse för att fördjupa oss i det nya regelverkets möjligheter. Vi som jobbar med HR-frågor har en god grundläggande förståelse för vad personuppgifter är och vilka som klassificeras som känsliga, men det hjälper ändå med en påminnelse ibland från Datainspektionen.

GDPR-samarbetet inleddes den 15 november i HR-analysnätverket. Här träffas specialister som dagligen jobbar med att ta ut statistiska underlag för analys till olika grupper. Deltagarna kommer från flera sektorer och representerar sina organisationer. Det vi alla har gemensamt är viljan att dela med sig av kunskaper och erfarenheter. Vi är överens om att vi träffas för att dra nytta av varandra och lära oss tillsammans. Det jobb som någon redan gör riktigt bra hjälps vi åt att göra till Best Practice. Exempel på misstag identifierar vi gärna för att hjälpa nästa person att undvika samma situation. Genomgående stöttar vi varandra för att hela tiden bli bättre.

Efter en enkel nulägesanalys fick vi en kort föredragning från en av Knowits jurister, Lisa Lundin, inom styrkeområdet Digital Law. Vi gick igenom förhållandet mellan insamling av data och statistikuttag. Vi diskuterade hur HR och lön behöver kravställa systemleverantörer. Vi pratade om behovet av att gå igenom personuppgiftsbiträdesavtal för att bedöma och nå kvalitet för att kunna hantera en ev. personuppgiftsincident. Diskussioner om olika former för samarbeten internt inom organisationerna mellan HR-/lön, kommunikation, registratur/arkiviering, it, ekonomi och juridik tog oss vidare under dagen. Vår slutsats är att tidig involvering av flera funktioner och personer med rätt kompetens är en viktig framgångsfaktor.

Var börjar GDPR-arbetet?
Vi behöver se till att vi har ett register för behandling av personuppgifter innan den 25 maj 2018. Det ska finnas dokumenterat att vi har en tydlig rättslig grund som beskriver att vi bara behandlar de personuppgifter som är nödvändiga samt har en rutin för incidentrapportering. Flera har redan kommit igång med sin kartläggning. Det initiala arbetet ska syfta till att ta fram ett register över personuppgiftsbehandling som behövs för att säkerställa laglig hantering. Men har man inte kommit igång behöver det inte vara avskräckande. De som tar extern konsulthjälp kommer snabbt i fas, de kan antingen driva själva efter konsultation och rådgivning eller köper en extern projektledare under en begränsad tid. Ju mer vi delar med oss till varandra desto lättare blir det att bryta ned jobbet i aktiviteter som går att hantera, trots komplexiteten i mängden data.

Varför är det viktigt att förtydliga roller och ansvar?
Det hjälper oss att förstå förhållandet mellan den registrerades rättigheter och arbetsgivarens vilja att fullfölja sin plikt att säkerställa det fria flödet av personuppgifter inom EU, både mellan organisationer och länder.

En registrerad person kan vara en arbetstagare (medarbetare) eller arbetssökande, villkoret är att det är en fysisk person som är i livet. Arbetsgivaren är alltid personuppgiftsansvarig och motsvaras av den juridiska person (till exempel aktiebolag eller förening) kommun eller myndighet som använder data i register och dagligen hanterar personuppgifter.

Måste jag ha ett register för behandling av personuppgifter?
Ett register över personuppgiftsbehandling behövs för att säkerställa laglig hantering. Kraven på dokumentation är högre än i Personuppgiftslagen. Genom att lära oss att skilja på data vi behandlar i olika syften och identifiera grunden till varför vi gör det kan vi bilda oss en uppfattning om nuläget. Det behövs för att veta vad som behöver åtgärdas och hur vi ska gallra på ett lagligt sätt. Med hjälp av en inledande kartläggning kan vi göra behandlingen känd inom organisationen, det i sig är en värdefull läroprocess. Syftet är att säkerställa att det i en revision går att följa upp att alla som dagligen arbetar med personuppgifter kan svara för att dessa behandlas på ett lagligt, korrekt och öppet sätt. Dokumentationen ska också svara på ett antal frågor.

  • Vilka personuppgifter lagras och var finns dessa?
  • Vilket är ändamålet? Är det beskrivet tillräckligt väl?
  • På vilket sätt gallrar vi vilken data?
  • Laglig grund och beskriva hanteringen är inte en engångsföreteelse. Hur gör vi dokumentationen levande i organisationen?

Den registrerades rättigheter förstärks
Knowits jurist Lisa Lundin påminner oss om att arbetstagare (medarbetare) är en skyddsvärd grupp. Rättighetslagstiftningen finns till för att skydda vårt privatliv och det är en rättighet att ha kontroll över sina egna personuppgifter. Det kommer finnas bestämmelser om hur det fortsatt ska regleras via kollektivavtal. Det arbetet pågår och det finns mycket mer att utveckla inom nationell lagstiftning för att ge svar på många av våra frågor i dagsläget.

Nätverksledarnas sammanfattning:

  • I anställningsförhållanden kan man inte förlita sig på samtycke eftersom det finns ett beroendeförhållande mellan arbetstagare och anställd.
  • Mallar för personuppgiftsbiträdesavtal mellan kund och systemleverantörer efterfrågas. Rekommendationen är att varje organisation behöver utgå ifrån sina förutsättningar i avtalad överenskommelse och efterfråga juridiskt stöd där det behövs. 
  • Tolkningsutrymmet om vad som faktiskt håller behöver fördjupas med den som har juridisk kompetens att vara rådgivare i flera frågor inom olika HR- och Löneprocesser.
  • Integritetsintresse för den enskilda personen väger tyngre än arbetsgivarens ekonomiska intresse. Nya bedömningar kommer behövas regelbundet i samband med dataskyddsreformen.
  • Statistik är inte ett ändamål i sig i GDPR, utan ett sätt (verktyg) för att behandla personuppgifter.
Samarbete i GDPR-frågor fungerar utmärkt över gränserna. 

Tack till alla nätverksdeltagare för relevanta frågor och intressanta inspel i diskussionerna! 

Carina Andersson
Nätverksledare och konsult inom digital HR