GDPR i praktiken inom HR

Digitalisering av HR handlar mycket om att effektivisera, men det får aldrig ske på bekostnad av säkerheten. Därför finns det några områden du behöver hålla lite extra koll på. Här går vi igenom hur du håller koll när du hanterar dina HR-processer digitalt. Som alltid, när det gäller juridik, är det klokt att ta hjälp av en jurist. 

Vanliga frågor om lagring och gallring från HR-avdelningen:

Får jag spara jobbansökningar?

Hur länge får du som arbetsgivare spara ansökningar efter att rekryteringen har avslutats? GDPR har principer om uppgifts- och lagringsminimering. Det innebär att du aldrig ska spara information i onödan. Du ska bara spara uppgifter du faktiskt behöver, under så kort tid som möjligt. Å andra sidan, kan en kandidat väcka talan i upp till två år efter att en tjänst har blivit tillsatt, om personen upplever sig ha blivit utsatt för diskriminering under rekryteringsprocessen. 

• Spara information som behövs för att visa hur er bedömning har gått till i den specifika rekryteringsprocessen, som kompetenser, utbildning och arbetslivserfarenhet
• Spara inte information som adress och personnummer
• Minska riskerna genom att förvara ansökningarna extra säkert efter avslutad rekryteringsprocess
• Låt bara 1–2 personer ha tillgång till uppgifterna

Vad gäller för anteckningar från medarbetarsamtal?

Precis som alla andra personuppgifter, får anteckningar från medarbetarsamtal sparas så länge det behövs utifrån syftet med insamlingen av uppgifterna. 

• Låt det tydligt framgå hur länge ni sparar anteckningar och varför
• Informera alla anställda om att informationen finns lagrad

Vad ska jag tänka på kring gallring?

Då och då kommer du som HR-anställd nå en punkt då du behöver gallra personuppgifter. Sätt i system att gå igenom vilka personuppgifter ni lagrar, och gallra regelbundet för att alltid ligga i linje med GDPR. 

Frågan du alltid ska ställa inför gallringen är:

"Finns det fortfarande någon laglig grund eller syfte med att lagra den här personuppgiften?"

Om svaret är nej – radera, anonymisera eller pseudonymisera. 

Radering

Radera de personuppgifter som du inte längre har, och inte kommer att ha, användning för mer. 

Anonymisering

I de fall du vill spara vissa personuppgifter i forskningssyfte, eller för att föra statistik, kan du anonymisera personuppgifterna. 

Att anonymisera personuppgifter är oåterkalleligt. Det ska vara omöjligt, eller extremt svårt, att identifiera den fysiska personen som uppgifterna tillhör. Anonymiserade uppgifter klassas inte längre som personuppgifter och omfattas därför inte av GDPR. 

Men, för att genomföra en anonymisering räcker det inte att ta bort namnet på personen. I ett HR-system där andra uppgifter om personen finns lagrade, kan du ibland ändå lista ut vem personen är. Anonymiseringen kan också försvagas i takt med den tekniska utvecklingen.

Pseudonymisering

När du gallrar personuppgifter genom pseudonymisering krävs det någon form av kompletterande uppgifter för att kunna räkna ut vem personen bakom uppgifterna är. Ofta skapas en kod eller nyckel som krävs för att ta del av uppgifterna, och denna lagras sedan på en säker plats som bara ett fåtal personer har tillgång till.