GDPR: Har du styr på dine medarbejderdata?
EU's persondataforordning (GDPR) omfatter også data om dine medarbejdere. Derfor er det en god ide at overveje, om du opbevarer ansøgningsskemaer og andre data om dine medarbejdere forsvarligt. Har din virksomhed et intranet, bør du også holde øje med, hvad der bliver opbevaret og delt her.
Uanset om du kun har en enkelt medarbejder ansat, eller om du har en stor HR-funktion til at håndtere hundredvis af medarbejdere, skal du opbevare dine medarbejderdata i overensstemmelse med GDPR. Kan data tilbageføres til et individ, hører de i reglen under GDPR. Alligevel kommer mange virksomheder til at tage lidt for lempeligt på reglerne:
En mindre virksomhed med nære familierelationer på lønningslisten vil eksempelvis ikke nødvendigvis anse data som følsomme. Det kan også være i tilfælde, hvor en medarbejder selv har registreret data og ved ansættelsens ophør ønsker at slette alle data. Her kan det gå op for virksomheden for sent, at den ikke har en procedure for håndtering af medarbejderdata.
Begræns mængden, og begræns adgangen
Som arbejdsgiver må du naturligvis gerne behandle personoplysninger, der er nødvendige for ansættelsesforholdet – eksempelvis et kontonummer til udbetaling af løn. Men du har pligt til at begrænse adgangen til disse data for andre end relevante personer i din organisation. Og du skal især være opmærksom på, om du har lov til at gemme de konkrete personoplysninger om dine medarbejdere.
"GDPR kommer til at udfordre virksomhederne på deres håndtering af medarbejderdata. Mange virksomheder benytter ikke et personale- eller HR-system og skal derfor eksempelvis være særligt opmærksomme på at begrænse adgangen til ansøgninger i deres organisation og huske, at ansøgningerne skal slettes inden for seks måneder. Der er altså behov for at indføre procedurer for sletning – også fra den mailboks, ansøgningerne stiles til," siger direktør Jesper Dudahl, der har udviklet intranetløsning "intras".
Vidensdeling udfordrer GDPR
Mange virksomheder har et intranet. Fordi et intranet er kendetegnet af en decentral struktur, hvor alle kan lægge data og hermed persondata op, kræver det, at den enkelte medarbejder har særligt fokus på GDPR. Derfor kan være en god idé at opstille nogle procedurer eller sågar politikker, der sikrer, at medarbejderdata håndteres korrekt.
"Når vi ser på et intranet i forhold til GDPR, kan der opstå et paradoks i, at vi som virksomhed ønsker at fremme vidensdeling og gøre vores data så tilgængelige som muligt, men samtidig skal sikre, at vi efterlever principperne i GDPR om at begrænse persondata. Det gælder naturligvis for data om kunder og samarbejdspartnere, men i lige så høj grad for data om andre ansatte og data om medarbejderens egen person," siger direktør Jesper Dudahl.
Han fortæller, at han lige nu er ved at tilføje en funktion til sin egen intranetløsning, der gør det muligt for administratoren at søge en tidligere medarbejders data frem med henblik på at slette eller anonymisere alle opslag og data på vedkommende ved endt ansættelse.
GDPR på agendaen
Når der er styr på brugerstrukturen og adgange, kan intranettet omvendt også bruges som en effektiv måde at begrænse adgangen til medarbejderdata til kun de relevante medarbejdere. På mange måder kan intranettet også være en måde at få GDPR på agendaen og understøtte princippet om, at medarbejderne løbende forholder sig til risikobilledet og er opmærksomme på sikkerhed og procedurer for persondata.
"Et intranet er jo ideelt som debatforum, så en GDPR-tråd må blive obligatorisk fremover. Jeg forventer også, at vi som systemleverandør får en tættere dialog med brugerne om deres eksisterende procedurer for medarbejderdata. Når vi designer vores systemer, tænker vi jo også GDPR ind, og jeg forestiller mig eksempelvis, at vi kan lægge hjælpetekster ind, der minder brugerne om GDPR-principperne, i forbindelse med at de lægger informationer ud," siger Jesper Dudahl.
Kortlæg din interne databehandling
GDPR omfatter meget af det indhold, du har liggende på dit intranet. Derfor er det en god idé at gå igennem de seneste opdateringer, webstatistikker, konkurrencer, kommentarfelter etc. på dit intranet og overveje, om din virksomheds procedurer skal strammes op:
- Har medarbejderen givet samtykke til, at du behandler data? Har du ret til at indsamle data?
- Kan du slette data, hvis en medarbejder siger op?
- Gemmer du data forsvarligt?
- Gemmer du kun de medarbejderdata, som er nødvendige, og ikke flere?
- Bruger du kun data til det bestemte formål?
- Gemmer du data i den periode, det er tilladt, og ikke længere?