GDPR för arbetsgivare

GDPR-guide: Hantera personuppgifter rätt

GDPR, den nya dataskyddsförordningen, trädde i kraft den 25 maj 2018. Samtidigt upphörde den gamla Personuppgiftslagen (PuL) att gälla. Här reder vi ut begreppen och vad som gäller för dig som är arbetsgivare.

Innehåll
Vad är en personuppgift?
Introduktion till GDPR
Förbered verksamheten på förändringar
Kartlägg, skapa rutiner och förmedla verksamhetens policy
Vägledande principer
Förberedande åtgärder
Laglig grund
Så ska personuppgifter behandlas
Rutiner för GDPR
Policyer
Exempel på integritetspolicy
Sammanfattning
Behöver du hjälp?
Mer information

Vad är en personuppgift?

Introduktion till GDPR

Det är i stort sett omöjligt för en organisation att fungera utan att hantera personuppgifter. Du som är arbetsgivare måste därför känna till bestämmelserna i regelverket och hur du anpassar reglerna till din egen organisation.

Varje verksamhet som har ett medlemsregister, kontaktlistor till anställdas anhöriga eller som upprättar turordningslistor inför förhandlingar med facket behandlar personuppgifter. Detta är bara ett par exempel från en lista som kan göras väldigt lång. Ofta behandlas dessutom personuppgifter oavsiktligen. Trots detta omfattas verksamheten av ett ansvar.

Behandling av personuppgifter tas upp i Europakonventionen under de artiklar som handlar om var och ens fri- och rättigheter och skydd för privatlivet. I grunden är GDPR en god idé. Det skickar en signal till dig som arbetsgivare att frågan är viktig och behöver uppmärksammas i din organisation.

Förbered verksamheten på förändringar

Den 25 maj 2018 började den nya dataskyddsförordningen att gälla. Den är baserad på EU-direktivet General Data Protection Regulation (GDPR). Det innebar samtidigt att Personuppgiftslagen (PuL) som tidigare var aktuell för behandling av personuppgifter i din verksamhet upphörde att gälla.

Kartlägg, skapa rutiner och förmedla verksamhetens policy

De åtgärder som verksamheten behöver vidta inför att förordningen träder i kraft kan delas upp i förberedelser, framtagande av rutiner och informationsspridning (policyer).

För att säkerställa att din verksamhet lever upp till den nya förordningens krav behöver verksamheten vidta förberedande åtgärder. Först och främst måste verksamheten kartlägga vilken behandling av personuppgifter som sker i verksamheten- och var och när den sker.

GDPR-guide för arbetsgivare

Jobba med GDPR i tre steg: Kartlägg, skapa rutiner, förmedla policyer.

Sedan måste en tvåstegsbedömning göras av den behandling av personuppgifter som sker där du i ett första steg säkerställer att behandlingen lyder de principer som EU tagit fram och att det i ett andra steg finns en laglig grund för verksamheten att behandla uppgifterna.

Vägledande principer

Verksamhetens personuppgiftsbehandling ska ske med respekt för de syften som uttrycks i principerna, och följer din verksamhet principerna har den kommit en bra bit på väg i arbetet med att följa förordningen. De vägledande principerna för personuppgiftsbehandling är laglighet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet vilka beskrivs förklarande i förordningens kapitel 2, artikel 5.

Förberedande åtgärder

  • Kartlägg hur behandling av personuppgifter sker, av vem och när och var i verksamheten.
  • Säkerställ att verksamheten har laglig grund för behandlingen av personuppgifter bedömningssteg 2. Du kan ha en eller flera lagliga grunder.
  • Se över tekniska anordningar för att minimera att verksamheten oavsiktligt samlar in och registrerar fler uppgifter än vad som behövs. Med teknikens hjälp kan den som registreras få information om att behandling av personuppgifter sker samt upplysning om hur uppgifter rättas och på begäran raderas.

Laglig grund

För att det ska vara tillåtet att behandla personuppgifter krävs det att det finns en laglig grund för behandlingen. De lagliga grunderna räknas upp i punkterna 1-6 nedan.

Den första punkten, samtycke är också en sista utväg för det fall att någon annan laglig grund inte finns. Det måste emellertid säkerställas att den som tillfrågas om samtycke inte känner sig tvingad till att lämna det, och att det finns en säkerställd rutin för den händelse att denne återtar sitt samtycke.

Så ska personuppgifter behandlas

Personuppgifter får behandlas med stöd av någon av följande lagliga grunder.

  1. Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. En arbetsgivare bör till följd av den anställdes beroende enbart i undantagsfall begära samtycke från en anställd.
  2. Säkerställ att uppgiftsbehandlingen är nödvändigexempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.
  3. Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skatteredovisning, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal och förpliktelser gentemot de anställdas fackförbund.
  4. Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.
  5. Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
  6. Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om personalens anhöriga kan behövas för att säkerställa kontakt i händelse av arbetsplatsolycka eller sjukdomstillbud exempelvis.

Rutiner för GDPR

När du kartlagt vilket flöde av personuppgifter som finns och hur det går genom verksamheten, att de får behandlas med beaktande av principerna och att det finns åtminstone en laglig grund för behandlingen behöver verksamheten formulera rutiner för det önskvärda flödet. Här får du exempel på olika typer av rutiner som måste införas i er organisation.

  • Rutin för hur en begäran om tillgång, rättelse, begränsning eller radering ska hanteras.
  • Rutin för hur en personuppgiftsincident ska hanteras.
  • Rutiner för hur en begäran om överföring av personuppgifter ska hanteras. Det vill säga när den som uppgiften avser begär att få ta informationen med sig- och i vilken form den ska tillhandahållas (dataportabilitet).
  • Rutin för säkerställande av att dataskyddsförordningens krav följs vid upphandling av IT-system.
  • Rutin för säkerställande av att konsekvensbedömningar genomförs när så behövs.

Policyer

Utbilda de anställda i dataskyddsförordningen och verksamhetens rutiner för personuppgiftsbehandling. Om en särskilt ansvarig person för dataskyddsfrågor utses i verksamheten - kommunicera till alla i verksamheten om vem som utsetts.

  • Intern personuppgiftspolicy/ integritetspolicy – en policy över hur ni behandlar personuppgifter och hur era anställda får behandla uppgifter, med gallringspolicy/rutiner.
  • IT/Säkerhetspolicy.

Exempel på integritetspolicy

Du kan titta på vår integritetspolicy för att få en idé om hur den bör skrivas. Den är inte upphovsrättsskyddad.

Sammanfattning

Samla in enbart de uppgifter som verksamheten behöver, säkerställ att de är korrekta och att den som lämnar dem informeras om hur denne kan återta eller korrigera uppgifter som inhämtas.

Dokumentera samtycket att behandla uppgifterna, eller om sådant saknas; det lagliga berättigade syftet med uppgiftsinhämtningen- såsom att säkerställa att anhöriga kontaktas vid eventuell arbetsplatsolycka, eller att skyldigheter att upprätta turordningslistor fullföljs eller liknande.

Etablera rutiner för att rensa ut och radera uppgifter som inte får behandlas och klargör för alla i verksamheten vem i verksamheten som har det ansvaret. Begränsa tillträdet till uppgifterna, skapa en rutin för vem som behöver vara behörig att se vilka uppgifter.

Behöver du hjälp?

Som medlem har du möjlighet att anlita Front Advokater till ett förmånligt pris. Front erbjuder granskning av exempelvis medlemsregister och huruvida flöden av personuppgifter är förenliga med förordningen eller inte.

Mer information