GDPR-lovgivningen og HR’s centrale rolle

GDPR-loven har som formål at beskytte EU-borgernes personoplysninger ved at fastsætte regler for, hvordan virksomheder indsamler, behandler og opbevarer disse oplysninger. Selv om GDPR-loven i 2023 fylder 5 år, var 2022 alligevel rekordår for GDPR-bøder¹. Det fortæller os, at vi fortsat skal gøre en indsats for at sikre, at alle personoplysninger behandles og beskyttes korrekt.

De fleste virksomheder håndterer personoplysninger i et vist omfang, og HR-afdelinger spiller en afgørende rolle i forbindelse med overholdelse af databeskyttelseslovgivningen. De behandler personoplysninger fra det øjeblik, de modtager en ansøgning fra en potentiel medarbejder, til den dag, hvor medarbejderen ikke længere arbejder for virksomheden.

Nedenfor kan du læse vores guide til, hvordan HR-afdelinger kan sikre, at alle oplysninger forbliver compliant gennem hele deres livscyklus og samtidig også kan optimere deres processer:

Ansættelsesprocessen udgør den første risiko - lige fra når I modtager nye ansøgninger, til når I skal slette ansøgninger, der ikke længere er relevante.

Mange virksomheder er gået over til at bruge en sikker online-formular, hvilket vi anbefaler af flere årsager. Hvis du i stedet vælger at modtage ansøgninger via e-mail og håndtere dem manuelt, er der en række risici, som du skal være opmærksom på. En almindelig fejl er, at ansøgninger ved et uheld opbevares i længere tid, end GDPR-loven tillader. Du tror måske, at det er nok at slette ansøgningen i din e-mail-indbakke, men husker du derefter også at slette ansøgningen i papirkurven? Og når ansøgningerne ikke længere er relevante, husker du så at slette dem efter den lovbestemte periode?

Samtidig er din e-mail generelt en usikker kommunikationskanal. Der er risiko for, at den kan blive udsat for et hackerangreb, som resulterer i datalækage og uautoriseret adgang, hvilket kan resultere i en overtrædelse af GDPR-lovgivningen.

Der findes mange forskellige onlineformularer, som både sikrer ansøgningerne, f.eks. ved at kryptere indholdet, og som automatisk sletter indholdet, når de ikke længere er relevante.

Det er afgørende at have et velorganiseret og sikkert system til opbevaring og administration af medarbejderdata. Først og fremmest for at du altid har overblik over, hvilke data du har gemt på dine medarbejdere og for, at du kan være sikker på, at når dataene skal slettes, så har du ikke flere oplysninger liggende i f.eks. en e-mailindbakke eller en tilfældig mappe eller enhed.

Alle medarbejdere har ret til at blive informeret om, hvilke data virksomheden har gemt på dem og hvad formålet med disse er, så det er vigtigt at kunne give et konkret overblik over dette. Det gælder naturligvis også, hvis Datatilsynet skulle komme forbi til en kontrol.

Det er virksomhedens ansvar at sikre, at uvedkommende ikke kan få adgang til personlige oplysninger.

Først og fremmest er det nødvendigt at udforme en sikkerhedsprotokol, der forhindrer databrud og minimerer konsekvenserne i tilfælde af et brud på sikkerheden.

Ved at tillade og begrænse adgangen, som bl.a. kan bestemmes på baggrund af de ansattes roller, kan uautoriseret adgang forhindres. For at få adgang til oplysningerne kræves der et password, og vi anbefaler derudover altid, at I også anvender multifaktor-autentifikation på alle logins. Når dataene opbevares i virksomheden, skal de også krypteres for at gøre dem ulæselige, hvis en hacker eller en anden uautoriseret person får adgang.

Hvis din organisation ikke allerede har et SIEM-værktøj (Security Information and Event Management), anbefaler vi, at I anskaffer jer et. Værktøjet har mange funktioner, men en af kernefunktionerne er, at det overvåger og registrerer alle adgange og kan reagere, hvis der er mistanke om et databrud.

Det er nødvendigt at forstå risiciene ved at udskrive og scanne personlige dokumenter. Det er let at glemme et dokument, der er blevet udskrevet, og måske har en kollega allerede været hurtigere end dig og ved en fejltagelse kommet til at tage dokumentet med sig. Og hvis du skal scanne et dokument, er det også nemt at komme til at glemme dokumentet i enhedens papirbakke, så det er synligt for andre.

For at optimere dokumentsikkerheden i forbindelse med jeres printer og scanner er det en god idé at anvende en Follow Me-løsning. Den fungerer således, at medarbejderen sender dokumentet til sin personlige printkø, hvorefter dokumentet frigives på printeren eller scanneren ved hjælp af sin personlige adgangskode eller sit adgangskort. På den måde kan udskrivning eller scanning kun finde sted, når medarbejderen er ved printeren - klar til at modtage dokumentet.

Et af de vigtigste elementer i GDPR-loven er, at alle har ”ret til at blive glemt”. Det betyder, at når oplysningerne ikke længere bruges til det formål, som de oprindeligt blev indsamlet til, skal de slettes. Når det kommer til administrering af oplysninger i HR-afdelingen, gælder det helt tilbage til rekrutteringsforløbet frem til den dag, hvor medarbejderen ikke længere arbejder for virksomheden.

Det kan være vanskeligt og tidskrævende at håndtere denne opgave manuelt, men der findes heldigvis løsninger til dokumenthåndtering, der håndterer denne proces helt automatisk. Disse løsninger gør det muligt at fastsætte en dato for, hvornår oplysningerne automatisk skal slettes, eller at minde HR-medarbejdere om at vurdere, om oplysningerne stadig er relevante, samt om organisationen fortsat har lov til at beholde dem.