De anställdas personuppgifter är lika viktiga som kundernas
I motsats till vad många tror, så gäller inte GDPR bara kundernas personuppgifter. Utan även de anställdas personuppgifter omfattas av GDPR och ska tas i beaktande när man informerar om personuppgifter och alla sätt som man använder anställdas personuppgifter (både enligt lagkrav och enligt interna rutiner) ska listas i företagets behandlingsregister. Behandlingsregistret är, som bekant, det interna register man enligt lagen ska föra över alla typer av personuppgiftsbehandlingar inom organisationen.
Alla anställda måste förstå GDPR
Det är viktigt att se till att det inte bara är VD, HR eller ledning som förstår vad GDPR ställer för krav på en organisation. Utan det är företaget i sin helhet som ska följa GDPR. Lika viktigt som det är att bolagets CRM-system följer de krav och rutiner som satts upp i enlighet med lagen är det att den som hanterar en plocklista på lagret eller bokar in kundbesök, eller sköter löneadministration förstår kraven enligt GDPR. Samtidigt är det också viktigt att försäkra sig om att alla inom organisationen som kan få en GDPR-förfrågan vet hur de ska hantera den, för att oavsett hur den når bolaget så måste man enligt lag försäkra att rättigheterna uppfylls.
De anställdes anhöriginformation är också personuppgifter
Om ni samlar in information om de anställdas anhöriga för kontakt i nödfall, så är dessa också individer vars personuppgifter ni behandlar. Dessutom är det individer som kanske inte nödvändigtvis vet om att deras personuppgifter behandlas hos er. Se till att ni har bra rutiner som säkrar även dessa personuppgifter och att även den här behandlingen listas i ert behandlingsregister.
Slutligen, tänk på att GDPR är lika viktigt gentemot de anställda som mot kunder. Bra GDPR-arbete är en kvalitetsstämpel på din verksamhet och något som alltfler arbetstagare efterfrågar eller undersöker innan de söker sig till en arbetsgivare. Om de inte tycker att arbetsgivaren följer lagens krav har de rätt att lämna in ett tips eller klagomål till IMY, antingen självständigt eller med hjälp av facket.
Den information som ingår i arbetsplatsens HR-system är i många fall extra skyddsvärd enligt GDPR och information som facktillhörighet etc. måste tillförsäkras extra starkt skydd.
Charlotte Brännström
Diplomerad dataskyddsspecialist & Jurist
GDPR-Hjälpen