Företagens data om anställda en tickande GDPR-bomb

Att GDPR-omställningen blir stor för företag som samlar in data om kunder, både konsumenter och företagskunder, är känt. Och insikten att även myndigheter och andra offentliga organisationer påverkas börjar slå rot ordentligt.

Men hur påverkar GDPR företag och andra organisationer i deras roll som arbetsgivare?

En hel del. Det enkla sättet att beskriva det är att det inte är någon skillnad mellan att hantera data om kunder och data om anställda. Principerna, och reglerna, som definieras av GDPR gäller fullt ut även för arbetsgivare.

Om man drar det till sin spets så har en anställd rätt att kräva att arbetsgivaren raderar data om honom eller henne. Det är ett extremt exempel, men så här innan tillämpningen har kommit i gång så finns det åtskilliga sådana här konsekvenser som är oklara.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Och data om anställda medför en del ytterligare problem, eller åtminstone frågeställningar. Det konstaterar Thyronne Winter, integritetsansvarig (privacy officer) på Cornerstone Ondemand, och stationerad i Stockholm.

Amerikanska Cornerstone Ondemand, som inte ska förväxlas med det svenska utbildningsföretaget med liknande namn, är en global leverantör av molntjänster för hanteringen av hela livscykeln för anställda. Det inbegriper rekrytering, utbildning, hr och annat som rör ett företags förhållande till sina anställda. Man har alltså haft all anledning att fundera på hur GDPR påverkar arbetsgivare.

Thyronne Winter lyfter fram följande speciella omständigheter vad gäller GDPR för arbetsgivare:

• Företag är vana vid att samla in data om anställda hur de vill, ibland med motiveringen att data kan visa sig bli bra att ha vid ett framtida tillfälle. GDPR innebär att det är slut med det, det måste finnas ett tydligt syfte med att lagra data om anställda.
• HR-avdelningar har ofta agerat efter principen att det är bättre med för mycket data, än för lite, om anställda. Samma sak här som i föregående punkt, det måste finnas ett syfte med att lagra en viss uppgift. Eller som Thyronne Winter uttrycker det: ”HR-avdelningen måste inse att de inte behöver alla data”.
• De som jobbar med juridiska uppgifter kommer att behöva engagera sig mer i hanteringen om data om anställda, för att säkerställa att man följer GDPR.
• Det är inte bara anställda och arbetsgivare som kan ha åsikter om hur data om anställda hanteras. Fackföreningar och andra externa organisationer kan mycket väl ha synpunkter.
• GDPR öppnar möjligheter till bråk. Det är tänkbart att anställda som är arga ser en chans att obstruera. Det är självklart svårt att avgöra vad som är rimligt och inte, helt klart är att det finns potential för problem.
• Allt är inte glasklart vad gäller hur GDPR ska fungera för data om anställda.

Thyronne Winter påpekar också att den globala aspekten kan ställa till det:

– Kulturen är olika i olika länder. På en del amerikanska företag finns till exempel inställningen att skydda det man ser som sina egna data, men inte data om anställda, exemplifierar han.

Läs också: 30 miljarder skäl för it-branschen att älska EU:s nya dataskyddslag

Företag som verkar i EU blir tvungna att anpassa sig till GDPR och det kan bli tufft för vissa.

– Om någon kund har svårt att förstå vitsen med GDPR brukar jag fråga hur de vill att data om deras barn ska hanteras. Då brukar de förstå bättre.

Att ett företag som Cornerstone Ondemand engagerar sig i GDPR är naturligt. Om man gör ett bra jobb så blir det ett försäljningsargument för företagets molntjänster. Men Thyronne Winter är noga med att påpeka att man inte har en fullständig lösning att erbjuda.

– Vi kan underlätta, men kunderna måste göra jobbet själva.