KUNDENYHEDSBREV SEPTEMBER 2022: GDPR, Persondataforordningen, datasikkerhed, databehandleraftale, privatlivspolitik
Overholdelse af Persondatafordningen (GDPR)
GDPR står for General Data Protection Regulation (på dansk: Persondataforordningen). Loven indebærer bl.a., at virksomheder og organisationer skal beskytte persondata og privatliv for alle EU-borgere og personer, der bor i EU. GDPR regulerer også eksporten af persondata uden for EU’s grænser. I er underlagt GDPR-reglerne, hver gang I har med EU-borgere eller personer, der bor i EU, at gøre, uanset om jeres virksomhed har adresse i EU eller ej.
Dette nyhedsbrev indeholder overordnet vejledning om overholdelse af GDPR-reglerne i forbindelse med jeres brug af Predictive Index-værktøjerne, men vi opfordrer jer til også at søge professionel, juridisk rådgivning.
Sorter og anonymiser data i PI-systemet
Det er jeres ansvar at sikre, at PI-data behandles i overensstemmelse med Persondataforordningen. Data bør sorteres i en mappestruktur, hvor brugere kun har adgang til de data, de har behov for. Hvordan denne struktur bør være, afhænger bl.a. af virksomhedens struktur og antallet af brugere. Systemadministratorer kan begrænse adgangen til data via mappestrukturen og brugernes adgang til mapperne i administrationsmodulet i PI-systemet. Gammel data bør anonymiseres (slettes) fra PI-systemet: Dette kan gøres manuelt eller ved at sætte systemet op til automatisk at anonymisere kandidatdata, der er ældre en et vist antal dage, som I selv bestemmer (anbefales). De data, der behandles i PI-systemet, er kategoriseret som persondata men ikke personfølsommme data.
Løbende proces for overholdelse af GDPR
Alle systembrugere bør sikre, at personer er kategoriseret korrekt i PI-systemet i forbindelse med ansættelser og fratrædelser; dvs. at kandidater bør kategoriseres som sådan, og at kategorien bør ændres til medarbejder, når en person bliver ansat. Ligeledes bør fratrådte medarbejderes data anonymiseres, enten manuelt eller ved at ændre status til “kandidat” eller “andet”, så de automatisk bliver anonymiseret af systemet. Systemadministratorer er ansvarlige for at informere nye brugere om, hvor lang tid data gemmes i systemet, og hvordan de skal kategorisere data korrekt. Administratorer bør desuden sikre, at adgang til PI-systemet fjernes, når en bruger forlader organisationen eller den rolle, hvor de havde brug for adgang.
GDPR-guides og yderligere information
Klik HER for at hente vores GDPR-guides for eksisterende kunder med anbefalinger og vejledning til opsætning i PI-systemet. Hvis I har yderligere spørgsmål er I meget velkomne til at skrive til os på gdpr@humanostics.com.
PRIVATLIVSPOLITIK
Jeres virksomhed er forpligtet til at have en privatlivspolitik. I den forbindelse skal I beslutte, hvor lang tid I gemmer PI-relaterede data, informere kandidater og medarbejdere om, at I gemmer deres data, hvordan og hvor længe I opbevarer det og til hvilke formål. Det er muligt at indsætte et link til jeres privatlivspolitik i de e-mails, I sender ud fra PI-systemet.
DATABEHANDLERAFTALE
Det amerikanske firma The Predictive Index er den primære databehandler. Humanostics er, som jeres PI-leverandør, underdatabehandler. Jeres virksomhed er dataansvarlig. I bør have en underskrevet databehandleraftale på plads mellem The Predictive Index (databehandler) og jeres virksomhed (dataansvarlig). Databehandleraftalen beskriver bl.a., hvordan data opbevares og håndteres, og hvad The Predictive Index gør for at leve op til alle de regler og retningslinjer, EU har udstukket (de såkaldte “New Standard Contractual Clauses” fra 2021). Humanostics tager kontakt til jer i nærmeste fremtid, hvis I ikke allerede har en opdateret databehandleraftale på plads.
