Arbetsrätt Kompetens- och organisationsutveckling

Ge och ta kontrollen med GDPR!

Nathalie Berthelius, Chief People and Culture Officer, Wise Group 2018-03-15

GDPR ersätter PuL och från den 25 maj gäller nya regler för hur personuppgifter får hanteras inom EU. Sällan har företag jagats upp så mycket av såväl media, konsultföretag som av sig själva. 4 procent av globala årsomsättningen i sanktionsavgift får de flesta att darra. Men vad ska man egentligen göra och hur förbereder man sig bäst?

Inom Wise Group arbetar vi med rekrytering, konsultuthyrning och HR-tjänster, vilket innebär att samtliga av våra anställda dagligen hanterar personuppgifter. Vi startade GDPR-arbetet cirka 1 år före lagen träder i kraft, men den riktiga kraftansamlingen har skett de senaste månaderna och för såväl oss som övriga företag kommer arbetet att fortsätta över mållinjen den 25 maj.

Följande tycker vi är viktigt att fokusera på:

  1. Förstå syftet och välj ansats
    Syftet med GDPR är att skydda din integritet som individ, inte att försvåra för företagen; låt oss börja där. Att få kontroll över sin persondata och välja var, när och hur den ska kunna behandlas tror jag få emotsätter sig. Timingen känns relevant med tanke på den digitala utvecklingstakten som bara ökar. Att förbereda sig och sina kollegor inför GDPR tryggar individerna vars persondata du behandlar, men det bygger också trovärdighet och skapar konkurrensfördelar. Men hur navigerar man såväl praktiskt som retoriskt internt och externt?

    Du som med denna artikel hoppas på en nyckelfärdig, one-size-fits-all lösning kommer tyvärr bli besviken. Likaså du som hoppats på rådet att köpa sig GDPR-säker genom konsulthjälp (många knackar säkerligen på dörren). Du och dina kollegor känner just ert bolag och ert tjänst- och/eller produktutbud allra bäst, det är ni (förvisso ofta med kunniga externa experters och juristers hjälp) som kommer behöva analysera GDPR utifrån er verksamhet.

  2. Tillsätt dataskyddsombud
    Från och med den 26 mars kan du registrera ditt företags dataskyddsombud hos Datainspektionen. Inom Wise Group har vi utsett vårt digitala affärsstöd Christian till dataskyddsombud, vilket känns logiskt eftersom han har djup förståelse för våra erbjudanden och kunskap om systemen vi arbetar i.

    Se till att tidigt involvera ert utsedda dataskyddsombud i frågor om GDPR-implementeringen, det är trots allt han/hon som ska följa upp att ni efterlever GDPR och besvara frågor kring GDPR framgent.

  3. Kartlägg och inventera
    Det var genom att kartlägga och inventera vår verksamhet som vi påbörjade det praktiska GDPR-arbetet, vilket har tagit tid med tanke på vårt breda utbud (7 dotterbolag och 12 affärsområden). Jag skulle bäst beskriva denna inledande analys som en handövning med Rubiks kub av varje erbjudande vi tillhandahåller och vilken GDPR-relation vi därmed intar gentemot kund och andra motparter. Ett tips för att hålla tempo i arbetet, men också för att stötta intern kommunikation, är att involvera ett antal nyfikna och affärsinsatta nyckelpersoner från företagets olika avdelningar i ett tidigt skede.

  4. Upprätta avtal och anpassa kunskapsspridning
    När kartläggningen är klar så behöver gällande avtal, samtycken med mera ses över. Vi har tagit fram så kallade personuppgiftsbiträdesavtal för de bolag som blir biträde eller ansvarig gentemot kund. Vi har också anpassat våra anställningsavtal, kundavtal samt leverantörsavtal till GDPR

    Att sätta avtal i händerna på anställda förutsätter också utbildning i materialet, för även om vi vridit på och löst Rubiks kub för våra befintliga erbjudanden så är det mycket att begära av alla kunder att kunna (och hinna) göra samma analys av oss och övriga leverantörer. Med andra ord behöver du hjälpa såväl dina anställda som kunder att förstå vad GDPR innebär för er affär och er relation till dem. Vi har valt att ta fram allmänna beskrivningar om hur vi gjort vår tolkning och producerat en film om GDPR som både kan användas i framtida utbildning av nyanställda internt men också externt gentemot kunder, kandidater och nyfikna generellt. Alla dotterbolag har fått ventilera sina tankar och funderingar och vi har skapat handböcker som konkret hjälper våra anställda att anpassa sig till nya rutiner. Ett tips är att ställa sig (eller kund) frågan vad era kunder proaktivt behöver veta för att samarbeta med er och vilket sätt som är mest effektivt att göra det på.

  5. Sätt rutiner och följ upp
    GDPR är ett projekt utan slut, det handlar om efterlevnad och att anpassa sig även framgent (även efter det som många upplever är mållinjen 25 maj). Sätt upp rutiner som passar ert bolag och förankra internt och externt, men anpassa också dessa allteftersom. Vi kommer kontinuerligt omvärldsbevaka praxis, uppdateringar etcetera och har satt rutiner även kring hur det praktiskt ska ske.

 

Checklista för GDPR-arbetet

Ta gärna hjälp av den här checklistan för att ta tempen på er GDPR-status och kom framåt!

  • Vilken sorts data behandlar ni?
  • Vet individen om att personuppgifterna samlas in och varför?
  • Är alla personuppgifter som ni samlar in och sparar relevant?
  • Var lagras personuppgifterna och vad gör ni för att skydda dem?
  • Vem har tillgång till dem?
  • Hur hanterar ni risken att dela vidare personuppgifter med tredje part?
  • Har ni byggt in skydd för personuppgifter i era it-system?
  • Kan uppgifterna kopieras och lagras på annat håll? Hur påverkar detta "rätten att bli bortglömd"?
  • Vad gör ni vid en personuppgiftsincident?
  • Med vilket rättligt stöd behandlar ni personuppgifter?
  • Har ni verksamhet i flera länder?
  • Har ni utsett ett dataskyddsombud?


GDPR ger individen kontroll över sina personuppgifter och ger företag (som gjort sin hemläxa) ökad kontroll och förståelse för sin egen och motparters verksamhet på köpet.

Vill du veta mer och är nyfiken på filmen vi spelat in?  Den 20 mars lanserar en 15-minuters-film som besvarar många frågor kring GDPR generellt och även specifikt kopplat till Wise Group’s tjänster/produkter. Här är ett kort smakprov:

Relaterat

TILL TOPPEN AV SIDAN