I egenskap av en, för verksamheten, kritisk funktion, är en välfungerande, GDPR-compliant, HR-funktion ett viktigt steg i rätt riktning mot en, överlag, hygienisk personuppgiftshantering. Den enorma mängd data som anställda genererar och som organisationen ska samla in, bearbeta och spara på ett korrekt sätt, gärna i ett nytt system, innebär nya typer av svårigheter. I denna bloggserie om GDPR och HR-system kommer vi att belysa några av de största juridiska hinder som digitaliseringen av er HR-funktion stöter på och förklara hur ni kan ta er förbi dem.
Den allmänna dataskyddsförordningen (GDPR) trädde i kraft för snart fyra år sedan och sätter spelreglerna för personuppgiftsbehandlingar. En personuppgift är, som vi har belyst i många av våra tidigare blogginlägg, varje uppgift som kan härledas till en levande person. De flesta åtgärder du vidtar i närhet av en personuppgift utgör en personuppgiftsbehandling och kommer att träffas av GDPR. Varje personuppgiftsbehandling måste dels ha en laglig grund, dels ett berättigat ändamål. Det innebär att den som behandlar personuppgifter måste känna till vilka personuppgifter denne har, hur denne behandlar dessa och varför.
När det kommer till personuppgifter som rör anställda, betraktar GDPR dem som en särskilt utsatt kategori av personer, som därmed förtjänar ett extra skydd. Det innebär att GDPR i princip ställer högre krav på hur organisationen behandlar sina anställdas personuppgifter än hur man behandlar sina kunders. Det är delvis av denna anledning som det heller inte är rekommenderat att använda samtycke som laglig grund för att behandla anställdas uppgifter. I regel anser man att det alltid går att ifrågasätta frivilligheten i ett samtycke från en person som befinner sig i beroendeställning till den personuppgiftsansvarige (som i ett anställningsförhållande).
Nya arbetssätt inkluderar nya risker
De flesta moderna HR-system behandlar mer än enbart uppgifter om lön och arbetstid och erbjuder stora analysmöjligheter för HR. Det kan t.ex. röra sig om mer avancerade HCM system som används för värdering av anställdas kompetenser eller utvärdering av kandidater i en anställningsprocess. Många system har moduler som riskerar att inkludera känsliga personuppgifter i GDPR:s mening, såsom uppgifter om sjukfrånvaro, rehabiliteringsprogram etc. (hälsouppgifter). En behandling som involverar stora mängder känsliga personuppgifter om anställda som behandlas på ett, för organisationen, innovativt sätt leder inte sällan till hög risk för den enskilde. Dessa risker kan handla om obehörig tillgång till uppgifterna men även till diskriminering eller en känsla av minskad kontroll för den enskilde.
Genom GDPR infördes ett krav på en ny riskbedömning, en s.k. konsekvensbedömning eller en DPIA (Data Processing Impact Assessment) för högriskbehandlingar. En DPIA är en omfattande analys av riskerna förknippade med en specifik personuppgiftsbehandling, vilka säkerhetsåtgärder som kan vidtas och utrymme för ett ställningstagande avseende om den återstående risken är acceptabel för organisationen att ta. GDPR kräver uttryckligen att organisationen ska utföra och dokumentera en DPIA innan man påbörjar en behandling som kan leda till hög risk för den enskildes fri- och rättigheter. IMY har listat exempel på när konsekvensbedömningar måste utföras.
Ett annat kriterium i GDPR som talar för att organisationen behöver utföra och dokumentera en DPIA är att många HRM och HCM-system erbjuds i form av molntjänster.
Användning av molntjänster för HRM-system
Att erbjuda HR-system ”i molnet” är en affärsmodell som alltmer ersätter den traditionella on-prem-lösningen men som innebär en ny organisatorisk lösning – och därmed nya risker som behöver analyseras och dokumenteras. I vissa fall i form av en DPIA.
En annan riskbedömning som användningen av de molnbaserade HR-systemen ofta förutsätter är en överföringsanalys, till följd av den s.k. Schrems II-domen från sommaren 2020.
I korthet innebar Schrems II-domen att ogiltigförklara den tidigare flitigt använda mekanismen för dataöverföringar till USA. Detta avgörande renderade en lavinartad drös med vägledningar, metoder och analyser för att möjliggöra fortsatt användning av molntjänster som helt eller delvis stödjer sig på de amerikanska supermolnen (t.ex. AWS, Azure, Google Cloud). Redan under hösten 2020 stod det klart att en ytterligare analys är möjlig att göra för att rättfärdiga riskerna med dataöverföring till USA. Läs mer om användningen av Google Analytics i vårt blogginlägg här. Om vad Schrems II-domen innebär mer konkret för molnbaserade HR-system återkommer vi till i ett senare blogginlägg.
Ställ rätt krav på HR-systemet
Med hjälp av rätt HR-system blir det enklare att möta de krav som GDPR ställer på bland annat tydlig information till de anställda, utarbetade och dokumenterade rutiner och förhöjd säkerhet i förhållande till de risker som finns förknippade med behandlingen.
För oss på Knowit är det självklart att smidigheten och vinsterna med implementeringen av ett nytt HR-system även ska inkludera att systemet är lagligt.Sammanfattningsvis; vi vet att den senaste tekniken är ett hjälpmedel och inte ett hinder för vare sig HR eller GDPR-efterlevnad. Bägge handlar ju i grund och botten om att värna om företagets i särklass viktigaste resurs – människorna.