CatalystOnes HR blogg

Nedräkningen inför GDPR är igång - Hur går det med datakartläggningen?

Skriven av Micaela Tärnhamn | 08 december 2017

Med så många saker att tänka på kopplat till att göra din verksamhet redo för GDPR, är det lätt att fastna i ett absorberande av all information som finns tillgänglig. Vid det här laget är det dock hög tid för HR att börja kartlägga status och överblick vad gäller de anställdas data.


Du vet högst troligt vad GDPR är och känner förmodligen också till dess konsekvenser vid bristande efterlevnad. Med så mycket information om den nya dataskyddsförordningen som finns tillgänglig, är det samtidigt lätt att drunkna i fakta. GDPR är dessvärre inte ett flervalsprov som du kan bli godkänd på genom att känna till all fakta. Det kräver snarare ett förändrat och betydligt mer kontrollerat arbetssätt och hantering av all data som rör kunder, partners och anställda under överskådlig framtid.

Med GDPR får dataregistrerade personer, såsom anställda, betydligt starkare rättigheter. De kan bland annat kräva rätten att få tillgång till sin registrerade data, de får rätten till dataportabilitet och rätten att bli raderad. Organisationer behöver därmed ha tydliga och fungerande processer på plats för att kunna möta de anställdas rättigheter. Detta kräver i sin tur en detaljerad översikt över data.

HR hanterar data och uppgifter som många gånger är mycket känslig. Förutom datafält såsom hemadress och närmast anhörig är ett HR-system ”host” för en hel del uppgifter om enskilda anställda, som rör allt från lön till prestationsbedömning och dokumentation från utvecklingssamtal. GDPR styr hur denna typ av data får hanteras, vilket börjar redan från själva insamlingen av data. Finstilta texter eller indirekt samtycke är inte längre tillräckligt, utan samtycke måste vara mycket specifikt, tillgängligt och tydligt informerat.

Anställda äger sin egen data

Vad sker framöver när en anställd slutar? Idag har du förmodligen en checklista att utgå från för att se till att nycklar eller accesskort, dator och mobiltelefon, företagskreditkort och programlicenser avslutas. Enligt GDPR har en anställd rätt att begära att du raderar dennes data (undantag: data som rapporteras till myndigheter, till exempel skatt). De kan också begära att få med sig lagrad data (till exempel på en USB-sticka – som dock ska nämnas inte är det säkraste sättet att lagra känslig data).

Rätten till åtkomst till sin egen data kan användas av en anställd när som helst, även utan planer på att lämna företaget. Det innebär att en anställd kan begära att få se den data som är lagrad av verksamheten. Eftersom konsekvenserna av bristande överensstämmelse med GDPR kan vara allvarliga, är det lämpligt att se till att du har rätt process på plats för att kunna möta dessa data-rättigheter som tex. en anställd har.

För att starta din resa mot GDPR-compliance rekommenderar vi att du börjar med att identifiera status på din nuvarande beredskap och genomföra en omfattande kartläggning av verksamhetens lagrade personuppgifter. Detta bör ske i samverkan med funktioner som ekonomi och lön. Kartläggningen ska innehålla data från samtliga källor, inklusive olika IT-system, kalkylblad, textdokument och så kallad ostrukturerad data, som exempelvis kan vara en chefs handskrivna anteckningar i en anteckningsbok.

En detaljerad översikt gör att du kan identifiera bristfälliga områden samt få koll på de punkter som du redan har i ordning. Utifrån denna kartläggning är du bättre rustad till att planera ditt GDPR-arbete vidare för att bli compliant.

Lycka till!

Om du vill lära dig mer om hur vi kan automatisera dina HR-processer, stödja arbetsflöden och säkra dina anställdas data, kan du börja ladda ner vår gratis e-bok här nedan!