Den 25 maj – dagen då databaserna exploderade och alla personuppgifter i Europa försvann. Eller? Nej, så blev det ju inte. Vi har pratat med Joakim Karlsson som är Poolias dataskyddsombud (DPO), för att höra mer om förberedelserna inför den nya dataskyddslagen, hans uppdrag samt de bästa tipsen till andra dataskyddsombud.
Vad har Poolia gjort för att förbereda verksamheten inför GDPR?
– Det största arbetet har handlat om att granska hela organisationen och kartlägga i vilka system som vi behandlar personuppgifter. Det är både ett lagkrav, men också väldigt bra för oss själva eftersom det gett en komplett lista på vilka system vi har och vilka personuppgifter som finns i dessa. Det är viktigt att kunna ha som stöd när en kandidat hör av sig, och även när vi framöver har den nya tillsynsmyndigheten att ta hänsyn till.
För att gå igenom verksamheten på ett effektivt sätt samarbetade vi med företaget Qnister, vars arbetsmetodik utgick från IT-systemen som vi varje dag arbetar i och därmed har väldigt lätt att relatera till. Qnisters GDPR-verktyg guidar användaren genom de egna systemen, och kommer, genom att ställa ett antal frågor, i slutändan fram med rekommendationer för det specifika systemet. Någon från HR hanterade HR-systemet och någon från lön gick igenom lönesystemet – vilket var ett bra sätt att sprida GDPR i organisationen på ett naturligt sätt och få många att känna sig delaktiga.
Vad är ditt främsta uppdrag som dataskyddsombud?
– Rollen i sig innebär att jag ska se till att Poolia följer och jobbar efter den nya dataskyddsförordningen, kort och gott! En av mina obligatoriska uppgifter är även att ge information och råd och övervaka strategier, till exempel. Dessutom ska jag även på begäran kunna ge konsekvensbedömningar om vi ska införa ett nytt system, till exempel. Samtidigt är det också mitt uppdrag att samarbeta med tillsynsmyndigheten och vara kontaktperson om någonting skulle hända. I mitt uppdrag ingår också att vara kontaktperson för våra registrerade kandidater – de ska alltid kunna vända sig till mig för att kontrollera och se till att deras personuppgifter hanteras på rätt sätt. Samtidigt ingår flera mer löpande uppgifter, som att hantera olika biträdesavtal med våra kunder och leverantörer, bland annat. Till exempel är vår leverantör av rekryteringstester personuppgiftsbiträde – vilket innebär att de måste kunna redovisa hur länge de sparar kandidatens personuppgifter, vad de ska användas till och vad de gör ifall något händer med dessa.
Vad är ditt tips till andra dataskyddsombud?
– Många som har samma roll som jag tycker nog precis samma sak: det var ingenting som brakade ihop helt den 25 maj, utan det var då allting började! Eftersom det inte finns någon praxis än så sneglar alla fortfarande mycket på varandra – vilket jag tycker är bra. Själv har jag inför GDPR nätverkat en hel del med kollegor som har liknande roller inom andra bemanningsföretag. Tillsammans har vi stött och blött och kunnat få fram svar på krångliga frågor som rör oss allihop. Ett bra tips är också att gå med i kompetensnätverk, t.ex. Forum för Dataskydd, som är ett nätverk för personer som arbetar med dataskyddsfrågor. Det är otroligt givande att få träffa folk från helt olika branscher och ta del av nya infallsvinklar på samma utmaningar.
En av de största utmaningarna – och samtidigt kanske den viktigaste aha-upplevelsen! – är att ändra hela organisationens synsätt på hur vi jobbar. Om vi till exempel ser e-posten som ett kommunikationsverktyg, och inte ett lagringsverktyg, så är det en ögonöppnare för många! Jag uppmanar mina kollegor på Poolia att framöver tänka på att de inte äger kandidatens personuppgifter, utan bara lånar dem. När man börjar förstå det blir det också tydligare när man måste börja fråga om lov! Jag känner att detta har sjunkit in bra i organisationen nu, och generellt är folk väldigt positivt inställda till GDPR!