Vanor försvårar GDPR-arbete

Invanda beteenden stor utmaning i GDPR-arbetet 

För dig som arbetar inom HR och lön, där hanteringen av personuppgifter utgör en väsentlig och mycket viktig del av arbetet, har nya GDPR stor betydelse. För att säkerställa en långsiktigt god regelefterlevnad är det flera komponenter som behöver samspela, både hårda och mjuka. Camilla Campelo, HR-direktör på Randstad, pekar på vikten av beteendeförändring i det dagliga arbetet.

I och med nya GDPR ökar kraven på att ha kontroll över vilka personuppgifter som hanteras, varför de finns sparade och var dessa uppgifter finns att hitta. Dessutom är organisationen skyldig att veta vem som har tillgång till informationen och vilka förutsättningar som gäller för olika typer av data.

Bakom dessa skärpta krav på kontroll när det gäller hantering och lagring av personuppgifter ligger framförallt tre viktiga syften: 1. Att minimera mängden personuppgifter som hanteras. 2. Att minimera tiden som personuppgifter sparas utan att de längre finns något syfte. 3. Att säkerställa tillförlitligheten i personuppgifterna.

Systemstöd och dokumenterade processer inte hela lösningen

Sedan beskedet om en ny lagstiftning kom har de flesta företag lagt mycket tid och engagemang på att förstå vad de kraven i GDPR innebär för just dem. Mycket fokus har lagts på att kartlägga och säkra upp system, flöden och processer för att framöver kunna hantera personuppgifter korrekt. Många av de regelmässiga kraven på exempelvis lagring, spårbarhet, rensning, rapportering går att styra upp i systemen i kombination med uppdaterade och nya processer. Det är logiskt att börja i den änden för att få en klar bild av vilka system och vilken information som påverkas av GDPR. För HR och lön handlar det bland annat om att gå igenom alla fält i lönesystemet för att definiera om det avser en personuppgift eller inte för att bestämma hur data ska hanteras. Men för att kunna skapa en långsiktigt god efterlevnad av det nya regelverket krävs mer än så.

– Vi känner oss trygga med att vi i våra HR- och lönesystem kan hantera och spåra data enligt vad som krävs av GDPR. Där jag ser den absolut största utmaningen framöver är den förändring i beteende som måste till i organisationen, säger Camilla Campelo, HR-direktör på rekryterings- och bemanningsföretaget Randstad.

Det är viktigt att alla företag är medvetna om och skapar förutsättningar för denna beteendeförändring. I längden är det avgörande hur var och en tänker och agerar i det dagliga arbetet för att GDPR-kraven ska kunna följas. Det handlar till exempel om hur personuppgifter används i mail, eller vanemönster och rutiner för att spara information vid sidan de ordinarie processerna.

– Det finns så mycket information sparad i så många organisationer. Inte sällan sparas den också automatiskt i systemen utan att vi tänker på det, eller tillfälligt och lokalt hos enskilda medarbetare för att det upplevs som en genväg i det dagliga arbetet.

Här betonar Camilla vikten av att alla som hanterar personuppgifter hela tiden måste vara mer uppmärksamma och löpande rensa de uppgifter som inte tjänar något syfte.

Beteendeförändring allas ansvar

På Randstad står GDPR högt upp på dagordningen. Genom en etablerad projektmetodik och en lång vana av att arbeta i projekt som spänner över flera funktioner, föll det sig naturligt att skapa en projektgrupp med representanter från flera delar av företaget. GDPR-projektet har letts av Legal tillsammans med IT. Företaget anställde också i början av 2018 en Data Protection Officer (DPO), med ansvar att tillsammans med organisationens chefer långsiktigt driva och följa upp GDPR.

– När regelverket väl har trätt i kraft är det viktigt att det upplevs som business-as-usual och inte något som läggs utöver de ordinarie arbetsuppgifterna. Det är lätt att bli skrämd av GDPR och allt ”det nya” det för med sig, och risken kan då bli att man inte vågar eller tvekar att agera. Ingen kan vara expert på allt från början det kommer att dyka upp nya saker vi behöver beakta. Hos oss kommer medarbetarna också att kunna vända sig till vår DPO. Men det är också viktigt att inse att skillnaden inte är så stor som man kanske tror – vi har ju trots allt hanterat personuppgifter även tidigare, säger Camilla.

Den stora skillnaden, vilket kräver ett nytt förhållningssätt, är att det blir en mer levande del i arbetet än tidigare. Det är också det som gör det svårt att hantera.

– Beteendeförändringen är allas ansvar! Om vi lär oss gemensamt och tar stöd av varandra, blir det lättare att gå igenom denna förändring. Det är viktigt att var och en förstår att de själva måste agera, ställa frågor och ta ett eget ansvar i sitt dagliga arbete. Sedan kan vi alltid stötta med ”huret” i form av systemstöd, processer och allmänna rutiner.

Hur arbetar ni på ditt företag med att säkerställa GDPR i det dagliga arbetet ute i organisationen? Dela gärna med dig av dina erfarenheter. Vill du veta mer om hur vi hjälper våra kunder att säkerställa GDRP i deras HR- och löneprocesser?

Kontakta oss gärna eller läs mer om hur du som arbetar inom lön och HR efterlever kraven i vår GDPR-guide.

 

 

White paper GDPR inom HR och lön

Ladda ner vårt white paper ”GDPR inom HR och lön – så lever du upp till kraven”

 

 

 

Leave a comment

E-postadressen publiceras inte. Obligatoriska fält är märkta *