I maj 2018 trädde en ny dataskyddsförordning, GDPR (General Data Protection Regulation) i kraft vilket innebär ökade krav om dataskydd för alla verksamheter i EU/EES som hanterar personuppgifter i någon grad.
Den nya förordningen ställde inte bara högre krav på din verksamhet, IT och HR. Även leverantörer av HR-system påverkades av de förhöjda dataskyddskraven och behövde till olika grad vidta åtgärder för att själva kunna svara upp mot GDPR. Att systemleverantörer ytterligare stärker sin datasäkerhet är förstås positivt ur ett dataskyddsperspektiv och inte minst för dig som tänkt investera i ett HR-system. Det finns samtidigt några viktiga aspekter att tänka på när det kommer till dataskydd och HR-system med hänsyn till GDPR:
GDPR och HR-system:
Olika leverantörer är olika väl rustade för att kunna svara upp mot GDPR och garantera tillräcklig säkerhet för din verksamhets känsliga data. För dig som inte redan har ett HR-system men har planer på en investering bör utvärdering av leverantörer ske med särskild hänsyn till dess förmåga att tillhandahålla tillräckliga garantier och rutiner för datasäkerhet.
- Du som anlitar en HR-systemleverantör är personuppgiftsansvarig vilket innebär att du som kund till en systemleverantör behöver bedöma vilka säkerhetsåtgärder som måste vidtas för att skydda de personuppgifter som behandlas.
- En HR-systemleverantör och alla dess underleverantörer som anlitas för databehandling, är den personuppgifts-ansvariges personuppgiftsbiträden. Den personuppgiftsansvarige måste i regel se till att det finns ett personuppgiftsbiträdesavtal som lever upp till kraven i GDPR.
- I samband med GDPR förändrades och utökades kraven för utformning av personuppgiftsbiträdesavtal. Detta gör att de flesta personuppgiftsbiträdesavtal som tidigare tecknats under de gamla reglerna bör ha skrivits om för att uppfylla kraven i GDPR.
- Om man anlitar eller använder en (SaaS) HR-systemleverantör med säte utanför Europa är det inte omöjligt att din verksamhets personuppgifter kan komma att behandlas utanför EU/EES. I sådant fall måste den personuppgiftsansvarige se till att något av undantagen från GDPRs förbud mot överföring till tredje land kan tillämpas.
- Med hänsyn till GDPRs krav om fullständig datakontroll (Privacy by design, ändringshistorik, exporter, radera mig-funktionalitet etc.) kan en verksamhet komma långt genom att minska på mängden system där personuppgifter lagras och behandlas. Genom att nyttja ett HR-system där flertalet processer kan hanteras och masterdata i tillägg kan lagras och behandlas, undgår verksamheten att sprida lagringen av personuppgifter i för många olika system.
Om du vill lära dig mer om hur vi kan automatisera dina HR-processer, stödja arbetsflöden och säkra dina anställdas data, kan du börja ladda ner vår gratis e-bok här nedan!