GDPR, den nya dataskyddsförordningen, trädde i kraft den 25 maj 2018. Samtidigt upphörde den gamla Personuppgiftslagen (PuL) att gälla. Här reder vi ut begreppen och vad som gäller för dig som är arbetsgivare.
Vad är en personuppgift?
Introduktion till GDPR
Det är i stort sett omöjligt för en organisation att fungera utan att hantera personuppgifter. Du som är arbetsgivare måste därför känna till bestämmelserna i regelverket och hur du anpassar reglerna till din egen organisation.
Varje verksamhet som har ett medlemsregister, kontaktlistor till anställdas anhöriga eller som upprättar turordningslistor inför förhandlingar med facket behandlar personuppgifter. Detta är bara ett par exempel från en lista som kan göras väldigt lång. Ofta behandlas dessutom personuppgifter oavsiktligen. Trots detta omfattas verksamheten av ett ansvar.
Behandling av personuppgifter tas upp i Europakonventionen under de artiklar som handlar om var och ens fri- och rättigheter och skydd för privatlivet. I grunden är GDPR en god idé. Det skickar en signal till dig som arbetsgivare att frågan är viktig och behöver uppmärksammas i din organisation.
Förbered verksamheten på förändringar
Den 25 maj 2018 började den nya dataskyddsförordningen att gälla. Den är baserad på EU-direktivet General Data Protection Regulation (GDPR). Det innebar samtidigt att Personuppgiftslagen (PuL) som tidigare var aktuell för behandling av personuppgifter i din verksamhet upphörde att gälla.
Kartlägg, skapa rutiner och förmedla verksamhetens policy
De åtgärder som verksamheten behöver vidta kan delas upp i förberedelser, framtagande av rutiner och informationsspridning (policyer).
För att säkerställa att din verksamhet lever upp till förordningens krav behöver verksamheten vidta förberedande åtgärder. Först och främst måste verksamheten kartlägga vilken behandling av personuppgifter som sker i verksamheten- och var och när den sker.
Jobba med GDPR i tre steg: Kartlägg, skapa rutiner, förmedla policyer.
Sedan måste en tvåstegsbedömning göras av den behandling av personuppgifter som sker där du i ett första steg säkerställer att behandlingen lyder de principer som EU tagit fram och att det i ett andra steg finns en laglig grund för verksamheten att behandla uppgifterna.
Vägledande principer
Verksamhetens personuppgiftsbehandling ska ske med respekt för de syften som uttrycks i principerna, och följer din verksamhet principerna har den kommit en bra bit på väg i arbetet med att följa förordningen. De vägledande principerna för personuppgiftsbehandling är laglighet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet vilka beskrivs förklarande i förordningens kapitel 2, artikel 5.
Förberedande åtgärder
- Kartlägg hur behandling av personuppgifter sker, av vem och när och var i verksamheten.
- Säkerställ att verksamheten har laglig grund för behandlingen av personuppgifter bedömningssteg 2. Du kan ha en eller flera lagliga grunder.
- Se över tekniska anordningar för att minimera att verksamheten oavsiktligt samlar in och registrerar fler uppgifter än vad som behövs. Med teknikens hjälp kan den som registreras få information om att behandling av personuppgifter sker samt upplysning om hur uppgifter rättas och på begäran raderas.
Laglig grund
För att det ska vara tillåtet att behandla personuppgifter krävs det att det finns en laglig grund för behandlingen. De lagliga grunderna räknas upp i punkterna 1-6 nedan.
Den första punkten är också en sista utväg för det fall att någon annan laglig grund inte finns. Det måste emellertid säkerställas att den som tillfrågas om samtycke inte känner sig tvingad till att lämna det, och att det finns en säkerställd rutin för den händelse att denne återtar sitt samtycke.
Så ska personuppgifter behandlas
Personuppgifter får behandlas med stöd av någon av följande lagliga grunder.
- Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. En arbetsgivare bör till följd av den anställdes beroende enbart i undantagsfall begära samtycke från en anställd.
- Säkerställ att uppgiftsbehandlingen är nödvändig exempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.
- Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skatteredovisning, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal och förpliktelser gentemot de anställdas fackförbund.
- Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.
- Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
- Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om personalens anhöriga kan behövas för att säkerställa kontakt i händelse av arbetsplatsolycka eller sjukdomstillbud exempelvis.
Rutiner för GDPR
När du kartlagt vilket flöde av personuppgifter som finns och hur det går genom verksamheten, att de får behandlas med beaktande av principerna och att det finns åtminstone en laglig grund för behandlingen behöver verksamheten formulera rutiner för det önskvärda flödet. Här får du exempel på olika typer av rutiner som måste införas i er organisation.
- Rutin för hur en begäran om tillgång, rättelse, begränsning eller radering ska hanteras.
- Rutin för hur en personuppgiftsincident ska hanteras.
- Rutiner för hur en begäran om överföring av personuppgifter ska hanteras. Det vill säga när den som uppgiften avser begär att få ta informationen med sig och i vilken form den ska tillhandahållas. (Dataportabilitet)
- Rutin för säkerställande av att dataskyddsförordningens krav följs vid upphandling av IT-system.
- Rutin för säkerställande av att konsekvensbedömningar genomförs när så behövs.
Policyer
Utbilda de anställda i dataskyddsförordningen och verksamhetens rutiner för personuppgiftsbehandling. Om en särskilt ansvarig person för dataskyddsfrågor utses i verksamheten - kommunicera till alla i verksamheten om vem som utsetts.
- Intern personuppgiftspolicy/integritetspolicy vilken är en policy över hur organisationen behandlar personuppgifter och hur era anställda får behandla uppgifter, med gallringspolicy och rutiner.
- IT/Säkerhetspolicy.
Exempel på integritetspolicy
Du kan titta på vår integritetspolicy för att få en idé om hur den bör skrivas. Den är inte upphovsrättsskyddad.
Sammanfattning
Samla in enbart de uppgifter som verksamheten behöver, säkerställ att de är korrekta och att den som lämnar dem informeras om hur denne kan återta eller korrigera uppgifter som inhämtas.
Dokumentera samtycket att behandla uppgifterna. Eller om sådant saknas: Dokumentera det lagligt berättigade syftet med uppgiftsinhämtningen såsom att säkerställa att anhöriga kontaktas vid eventuell arbetsplatsolycka, eller skyldigheter att upprätta att turordningslistor fullföljs eller liknande.
Etablera rutiner för att rensa ut och radera uppgifter som inte får behandlas och klargör för alla i verksamheten vem i verksamheten som har det ansvaret. Begränsa tillträdet till uppgifterna, skapa en rutin för vem som behöver vara behörig att se vilka uppgifter.
Vidareläsning
- För detaljerna i bestämmelserna, se den översatta version av förordningen som publicerats på Eur-Lex.
- Om personuppgiftsansvariga och personuppgiftsbiträden hos IMY
- Behandling av personuppgifter i arbetslivet (IMY)
- Hur ska företag behandla personuppgifter (IMY)
- Personuppgiftsbehandling i föreningar (IMY)
- Personuppgiftsbehandling inom skola och förskola (IMY)
- Dataskydd inom hälso- och sjukvård (IMY)
- Covid-19 och personuppgifter (IMY)