Under de senaste månaderna har vi i vår bloggserie om GDPR diskuterat både hur man bör förhålla sig till GDPR rent generellt och hur vi på ToFindOut arbetar med att anpassa våra processer till GDPR. I detta sista inlägg så försöker vi knyta ihop säcken och sia om hur detta arbete kan komma att utvecklas.
Vart står vi idag?
I våra tidigare inlägg har vi diskuterat hur en privatperson har rätt både att få se och att få sin persondata raderad och hur ansvaret för att skydda persondatan från obehöriga ligger hos den som behandlar densamma , hur det är den som behandlar persondatans ansvar att se till att denna är skyddat från obehöriga . Vi har även diskuterat ToFindOuts kandidatportal och vårt informationssäkerhetssystem. Det finns detaljer vi inte har diskuterat närmare, som att all vår data lagras på servrar i Sverige, att vi alltid raderar personuppgifter inom 14 dagar och att vad vi levererar är underlag, inte beslut. Men på det stora hela ser processen för ToFindOut: s GDPR-anpassning ut som vi har beskrivit den. Så, är vi klara där?
Hur kommer GDPR fortsätta att implementeras?
Det är viktig att komma ihåg att GDPR, likt de flesta lagar, i högsta grad är ett levande dokument och att dess implementering är beroende av tolkningar och prejudikat som kommer att uppstå under lagens verksamhetsperiod. Ett enkelt men ack så intressant exempel är behandlingen av epost: enligt en tolkning av datainspektionens riktlinjer så skulle det bli i princip omöjligt att inkludera någon form av personinformation i okrypterade mail. Detta är något som troligen kommer att falla på sin egen orimlighet. Men det introducerar en viktig brasklapp i sammanhanget: vi vet idag inte exakt hur GDPR kommer att tolkas. Detta betyder inte att man kan luta sig tillbaka och invänta andras misstag Vi rekommenderar att man är med i matchen från början, det faktum att du har kommit så här långt i vår bloggserie är redan det ett aktivt val att ta makten över din GDPR-situation.
Finns det en framtid för branschen?
Att GDPR kommer att försvåra för företag att genomföra bakgrundskontroller är ett faktum. Att ansvaret för att samtliga personuppgifter hanteras på korrekt sätt och att informationssäkerheten håller tätt kommer definitivt att göra arbetet mer komplext och resurskrävande. Vi har dock valt att se på det lite annorlunda: det som krävs är systematik och transparens. Tiden när bakgrundskontroller kunde ske ad-hoc bakom ryggen på kandidaten är förbi. För den som vill utföra bakgrundskontroller är GDPR en fördel, ett nålsöga som tränger undan de oseriösa aktörerna. Endast den som tar tiden att sätta sig in i vad lagen faktiskt säger och utvecklas med den samt är villig att gå sina kandidater till mötes kommer kunna verka nu när GDPR träder i kraft. Och detta tror vi i slutändan är en sund utveckling för vår bransch.