EU Databeskyttelsesforordningen (GDPR): Er du klar til fire store forandringer i personaleadministrationen?

Den 25. maj 2018 træder den nye EU Databeskyttelsesforordning (GDPR) i kraft i alle medlemslande. Det er en dato, I bør sætte i kalenderen og fremhæve med neonfarvet sprittusch.
Datoen er for det første en reminder om de forberedelser, I skal nå at gøre inden forordningen træder i kraft. Og datoen markerer for det andet en overgang til fremtidens større krav til ansvarlig omgang med persondata. Det skifte bør alle – både borgere og virksomheder – hilse velkomment.

Det kommer vi tilbage til. Først skal vi have et overblik over, hvor og hvordan EU Databeskyttelsesforordningen præsenterer jer for de største forandringer i hverdagen.

Fire forandringer i personaleadministrationen

I Visma Enterprise arbejder vi med personaleadministrative data. Så selvom EU Databeskyttelsesforordningen indeholder mange andre aspekter, koncentrerer vi os her kun om persondata relateret til løn- og personaleopgaver.

Her er de største forandringer i overskrifter:

  • Nyt dokumentationskrav. I skal kunne dokumentere behandlingen af alle jeres medarbejderoplysninger, og I skal sikre, at I har et såkaldt lovligt behandlingsgrundlag. Et lovligt behandlingsgrundlag for behandling af medarbejderdata er jeres ansættelseskontrakter. I nogle tilfælde kan det være nødvendigt at indhente et samtykke fra jeres medarbejdere
  • Indsigtsret. Alle jeres medarbejdere har fra den 25. maj 2018 ret til at vide, hvilke data I behandler om dem. Det kan eksempelvis være persondata som oplysninger i elektroniske eller papirbaserede personalemapper eller persondata relateret til adfærd (GPS-data)
  • Databehandleraftaler. Som dataansvarlige har I ikke bare ansvaret for, hvordan I selv håndterer jeres persondata. I har også ansvaret for, hvordan jeres databehandlere håndterer jeres data. De formelle omstændigheder omkring databehandlerens dataudveksling og dataopbevaring skal skrives ind i en databehandleraftale, som I til enhver tid skal kunne fremvise til myndighederne
  • Uddannelse af medarbejdere. De medarbejdere i jeres virksomhed, der håndterer persondata, skal have såkaldt ’tilstrækkelig’ viden om Databeskyttelsesforordningen. Eksempelvis via kurser, uddannelse eller intern træning.

Sov bedre med nye procedurer

Vi kan ligeså godt sige det, som det er. Disse nye tiltag vil mange virksomheder opfatte som en byrde, der pludselig bliver pålagt dem. Og det er også rigtigt, at det i en opstartsperiode vil kræve ekstra ressourcer at leve op til kravene i EU Databeskyttelsesforordningen.

Men når først I får et overblik over persondataene i jeres virksomhed, og når først I får udarbejdet en procedure for, hvordan I dokumenterer og håndterer persondataene i fremtiden, så vil hverdagen hurtigt vende tilbage. Og I vil forhåbentlig sove lidt bedre om natten, velvidende at persondata fra jeres virksomhed om jeres medarbejdere eller jeres kunder ikke bliver misbrugt.

Og så er vi tilbage ved hele baggrunden for den nye EU Databeskyttelsesforordning, og hvorfor den set med vores øjne er et rigtigt og vigtigt tiltag.

EU Databeskyttelsesforordningen opdaterer loven

Den nuværende lovgivning er baseret på et direktiv fra 1995. Det vil sige en tid før Facebook, før Google, før e-handel osv. Kort sagt før den gennemgående digitalisering af vores samfund, som vi kender i dag.

Det er godt, at lovgivningen vedrørende persondata bliver opdateret, så den flugter med den måde, vi anvender persondata på i dag. Det er også i orden, at sanktionsmulighederne i den nye forordning flugter med den værdi, persondata har fået, fordi disse data fortæller noget om vores personlige præferencer, holdninger, adfærd osv. Det er og skal være en privat sag, man som individ har ret til at værne om.

Jeres tilgang til EU Databeskyttelsesforordningen bør derfor ikke være drevet af frygt for de store bødestraffe i forordningen – selvom det kan være en udmærket motivationsfaktor. Jeres tilgang bør snarere være drevet af en grundlæggende forståelse for, at vi som samfund skal kunne stole på, at en virksomhed gør alt, hvad den kan, for at passe på de persondata, den håndterer. De er nemlig kun til låns og tilhører retmæssigt den enkelte borger.

Læs også Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration.

Ønsker du mere information om Databeskyttelsesforordningen holder vi kurser, som kunne have din interesse:

Bliv klar til den nye Databeskyttelsesforordning

Lær den nye Databeskyttelsesforordning at kende

Andreas Mosegaard Villumsen er leder af Marketing & Business Partner-teamet hos Visma Enterprise i Danmark. Han har bl.a. ansvaret for Vismas faglige løn- og HR-kommunikation.
Kontakt Andreas: