<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=129294691104950&amp;ev=PageView&amp;noscript=1">

Förberedelser inför GDPR – inventera personuppgifter

GDPR är en ledningsgruppsfråga, men mycket av det faktiska förarbetet hamnar på olika avdelningar inom företaget. Exempelvis finns det inventeringar av system, arbetsprocesser och rutinbeskrivningar att ta itu med innan frågan kan bollas vidare. En av dessa förberedande uppgifter är att inventera de personuppgifter som ni lagrar.

Att inventera vilka personuppgifter ni i dagsläget har och skapa ett register är ett första steg i förberedelsen för Dataskyddsförordningen

Grundbulten i arbetet med GDPR: inventera personuppgifter

Att inventera personuppgifter innebär att skapa ett register över de personuppgifter som på något sätt lagras eller behandlas. Det innebär att upprätta ett dokument över alla typer av personuppgifter och att kartlägga när de inhämtas och hur de förvaras. Registret är en bra utgångspunkt för att uppdatera era interna processer, se över leverantörer och system och se till att företagets rekryteringar och HR-funktioner efterlever GDPR. Inventeringen ska svara på fem grundfrågor: Varför, Vem, Vad, När och Var.

Ladda ner mall för att inventera personuppgifter inför GDPR

Vad är en personuppgift?

Personuppgifter är information som enskilt eller i kombination med andra uppgifter kan identifiera en person. Namn, personnummer, bostadadress och kontaktuppgifter är typexempel på vad som räknas som personuppgifter. Eftersom information om tidigare arbetsplatser tillsammans med arbetstitel eller någons namn kan användas för att identifiera en person kan också de räknas som personuppgifter. Även bilder, videoinspelningar eller ljudupptagningar räknas som personuppgifter.

Varför behandlar vi personuppgifterna?

Frågan ställs för att förstå vad syftet är med att samla in och behandla personuppgifter. HR-specifikt kan det röra sig om rekrytering, personaladministration, lagliga skyldigheter för exempelvis arbetstillstånd eller utbetalning av lön och skatt.

Vems data lagras och behandlas?

Kopplat till varje anledning att persondata behandlas, första frågan, kommer en specificering av olika typer av personer. Alltså vems data du lagrar/behandlar som ett resultat av anledningen till att du måste samla någon typ av personlig information.

Kategorier av personer inkluderar:

  • Arbetssökande
  • Tidigare anställda
  • Nuvarande medarbetare
  • Intresseanmälningar
  • Talangpool av kandidater från search

Vad för personuppgifter behandlar vi?

Inventeringen ska inte bara ge svar på frågan om vilken typ av personuppgift som ni lagrar och syftet med att samla in uppgifter. Det är också viktigt att få koll på vilket rättsligt stöd det finns för att ha denna typ av uppgift. GDPR är noga med att det inte är okej att lagra information för "bara för att", det ska alltid finnas ett legitimt intresse och en tydlig anledning till varför ni måste ha koll på vissa uppgifter. Den data som samlas in måste vara nödvändiga för ändamålet. Den så kallade regeln om uppgiftsminimering innebär att du med inventeringen i hand, och inför förändringsarbetet, ska kunna svara på frågan behöver vi faktiskt lagra detta? 

  • Behöver ni veta en kandidats bostadsadress, eller räcker det med ort? 
  • Samlar ni in personnummer för att föra statistik över kandidater, när det skulle räcka med födelseår och kön?

Anteckna också källan till informationen (från vem?), om det exempelvis kommer direkt från en person eller från tredje part, för att lättare reda ut hur du ska hantera radering eller uppdatering av uppgifter.

Obs! Vid frågetecken om laglig grund för att samla vissa uppgifter är bolagsjuristen alltid din bästa informationskälla.

Tänk på! GDPR har krav på informerat samtycke för att lagra exempelvis kandidatdata. Det går att samla in många typer av personuppgifter så länge som kandidaten blir tydligt informerad om varför de ska lämna denna information och hur den kommer att behandlas.

När sker behandlingen?

Du kan se denna punkt som ett register över hur personuppgifter lagras, hanteras, delas, uppdateras och raderas. Få koll på vilken tidpunkt information om en viss uppgift registreras eller behandlas (exempelvis i samband med ansökning eller från intervju), ifall den uppdateras, vad som gäller med lagring och radering samt vem som har tillgång till informationen. Det ger en övergripande koll på när databehandlingar sker och vem som har möjlighet till det.

Personer med tillgång till informationen kan inkludera:

  • HR-chef
  • Rekryteringsansvarig
  • Avdelningschef
  • Medarbetare
  • Extern rekryterare
  • Ekonomiavdelningen

Obs! Tillgång gäller inte bara vem som kan hantera informationen, det berör också personer och roller som kan ha tillgång att läsa informationen. 

Tänk på! Det kan krävas att du måste skapa ett helt separat dokument för varje personuppgift för att få ordentlig koll på vem som har tillgång till vad under vilka omständigheter. Tänk på att inventeringen ska visa vem som faktiskt har tillgång till informationen. En del av förändringsarbetet med GDPR är att se till att enbart de som borde se/lagra/behandla informationen kan göra det, så missa inte att kartlägga ”obehöriga” som i nuläget kanske råkar ha insyn där de inte borde. För enkelhets skulle är det bra att skilja på den som har tillgång från den som ska ha tillgång. Det gör det lättare att föra register över den typ av behandlingar av personuppgifter de olika rollerna kan göra. Det kan också vara intressant att skilja på vad olika personer kan göra med informationen, exempelvis läsa eller ändra.

Var och hur lagras informationen?

Dataportabilitet, gallring av gamla uppgifter, begränsad insyn och åtkomstkontroll… det finns mycket att ta hänsyn till för den data som behandlas. För att kunna upprätta en handlingsplan, alltså vad ni måste göra när någon ber er att exempelvis radera deras information, behöver ni få en samlad bild över de olika lagringsplatserna.

Exempel på lagringsplatser är:

  • Mailsystemet
  • Excelfil
  • Word-dokument
  • Molntjänst med förvaring
  • Papperskopior
  • HR-system
  • Arkivskåp

Tänk på! Du behöver inte bara få en uppfattning om var ni på HR förvarar informationen, det gäller också att kartlägga var de som har tillgång till personuppgifterna i sin tur förvarar datan. Använder de några ytterligare system?

Inventera personuppgifter med hjälp av mall

För att underlätta arbetet med att inventera de personuppgifter ni förvaltar i dagsläget i samband med rekrytering eller HR-arbete har vi sammanställt en mall. Mallen är en bra utgångpunkt för att få översikt på den persondata som lagras, hur den hanteras och potentiella frågetecken som behöver utredas innan GDPR börjar gälla.

Ladda ner mall för att inventera personuppgifter

GDPR-säkra rekryteringar

Vi på ReachMee arbetar för att våra kunder ska känna sig trygga med vetskapen om att de har rätt systemstöd för att leva upp till GDPR:s krav i sina rekryteringar. Vill du veta mer om ReachMee rekryteringsverktyg och hur vi kan hjälpa dig och ditt företag? 

Boka en demo eller lämna dina kontaktuppgifter så hör vi av oss till dig och berättar mer.

Publicerat 2017-09-28

Ämnen: HR, GDPR

Rekryteringsblogg

I ReachMees blogg hittar du allt du vill och behöver veta om rekrytering. Lär dig mer om allt ifrån karriärsidor till att attrahera kandidater, arbeta med employer branding och att lyckas med er jobbannonsering. Självfallet hittar du även information om rekryteringsprocessen, metoder för urval och att praktisk genomföra lyckade rekryteringar.

Prenumerera på vår blogg så får du varje vecka hem de senaste artiklarna direkt till din inkorg.

Prenumerera på bloggen

Populära artiklar

Ämnen

Se alla