GDPR - personuppgifter OLD

Den nya dataskyddsförordningen GDPR började gälla den 25 maj 2018. Det innebär att Personuppgiftslagen (PuL) inte längre gäller.

Dataskyddsförordningen GDPR (General Data Protection Regulation) gäller för arbetsgivare som behandlar personuppgifter om anställda inom ramen för sin verksamhet, oavsett var själva behandlingen utförs eller var den registrerade befinner sig.

Vilken behandling av personuppgifter omfattas?

Dataskyddsförordningen gäller för personuppgifter som hanteras genom användning av datorer.
Bestämmelserna kan också gälla vid behandling av personuppgifter som enbart förs på papper om uppgifterna ingår i eller kommer att ingå i ett register.
Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer räknas som personuppgifter.

Personuppgiftsansvarig

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening) som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till.

Arbetsgivaren ansvarar för att anställda inte behandlar personuppgifter på ett otillåtet sätt i tjänsten. Det är arbetsgivaren som ansvarar för skador som de anställda orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller dataskyddsförordningens krav. Till exempel i fråga med ändamålet med behandlingen, hur uppgifterna rensas ut och säkerhet.

Personuppgiftsbiträde

Arbetsgivaren kan låta någon extern utföra behandling av personuppgifter, till exempel för hanteringen av de anställdas löner. Den personen är då ett så kallat personuppgiftsbiträde. Ansvaret för personuppgifterna kan däremot inte överlåtas till personuppgiftsbiträdet. Ett personuppgiftsbiträde är någon utanför den egna organisationen.

Det måste finnas ett skriftligt avtal med personuppgiftsbiträdet. I avtalet ska det bland annat framgå att personuppgiftsbiträdet, inklusive dennes anställda, bara får behandla personuppgifter i enlighet med dokumenterade instruktioner från arbetsgivaren och att biträdet ska bistå arbetsgivaren på olika sätt.

Krav för tillåten behandling

För att en arbetsgivare ska få behandla personuppgifter om anställda krävs det stöd i dataskyddsförordningen, till exempel att behandlingen är nödvändig för att uppfylla kollektivavtalet/anställningsavtalet. Personuppgiftsbehandlingen får inte vara för ingripande och ska stå i proportion till den nytta som behandlingen innebär. Noteringar som rör anställda ska ha betydelse för tjänsten, vara sakliga och inte innehålla kränkande eller nedvärderande uppgifter.

Arbetsgivaren måste vara öppen med hur de anställdas personuppgifter behandlas. Arbetsgivaren ska också se till att uppgifter om anställda skyddas. Till exempel ska bara de som behöver uppgifterna för att utföra sitt arbete ha tillgång till dem.

Arbetsgivaren ska dokumentera vilka överväganden som har gjorts i fråga om behandlingen av anställdas personuppgifter. Vidare krävs att arbetsgivaren har rutiner för att uppdatera, rätta och radera uppgifter om anställda.

Arbetsgivare får bara spara uppgifter om anställda så länge som de behövs för ändamålet med behandlingen. Därefter ska personuppgifterna normalt raderas eller avidentifieras. 

För att en arbetsgivare ska få behandla personuppgifter om arbetstagare krävs att behandlingen har stöd i en rättslig grund. En rättslig grund är till exempel ett avtal, rättslig förpliktelse eller anställdas tillstånd.

När det gäller tillstånd från de anställda kan en arbetsgivare normalt inte använda samtycke som rättslig grund för att behandla personuppgifter. Det beror på att anställda är i beroendeställning till arbetsgivaren. Samtycke kan därför endast gälla situationer där den anställda har ett verkligt fritt val, utan direkta eller indirekta påtryckningar, och där den anställde erbjuds rimliga alternativ, och senare kan återkalla samtycket utan att det medför några nackdelar.

Känsliga personuppgifter

Det är förbjudet att behandla känsliga personuppgifter om inte något undantag gäller. Med känsliga personuppgifter menas uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening och uppgifter om hälsa, en persons sexliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en person. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Dataskyddsförordningen gör dock undantag från förbudet att behandla känsliga personuppgifter om behandlingen är nödvändig. Bestämmelsen möjliggör behandling av känsliga personuppgifter som är nödvändig för att arbetsgivare, arbetstagare, fackliga organisationer och arbetsgivarorganisationer ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter med koppling till arbetslivet. Den sortens skyldigheter och rättigheter kan följa av lagstiftning, myndighetsbeslut, kollektivavtal eller andra avtal, beroende på vilken rättslig grund som är tillämplig för behandlingen.

Policy

Utbilda dina anställda i dataskyddsförordningen och verksamhetens rutiner för personuppgiftsbehandling. Kommunicera till alla i verksamheten om vem som utsetts som särskilt ansvarig person för dataskyddsfrågor i verksamheten.

Du behöver ha en policy som beskriver hur ditt företag hanterar personuppgifter.

Det här ska policyn innehålla:

  • kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna
  • vad uppgifterna används till (till exempel lönesystem, medlemsregister, kontaktuppgifter på webbplats)
  • vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller medlemmar)
  • tidsgräns för borttagning av uppgifter/gallring,
  • om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det
  • beskrivning av säkerhetsåtgärder som används vid behandling.

I korthet

För att sammanfatta; samla enbart in de uppgifter som verksamheten behöver, säkerställ att de är korrekta och att den som lämnar dem informeras om hur denne kan återta eller korrigera uppgifter som inhämtas. Dokumentera syftet som gör det rättsligt tillåtet att inhämta uppgifterna, som till exempel att säkerställa att anhöriga kontaktas vid eventuell arbetsplatsolycka, eller att skyldigheter att upprätta turordningslistor fullföljs eller liknande. Dokumentera även samtycke att behandla uppgifterna, om sådant är möjligt. Etablera rutiner för att rensa ut och radera uppgifter som inte får behandlas och klargör för alla i verksamheten vem i verksamheten som har det ansvaret. Begränsa tillträdet till uppgifterna till dem som måste hantera uppgifterna, och skapa en rutin för det.

 

För mer detaljerad information om vad som gäller för dig som arbetsgivare, medlemsorganisationer och föreningar vid hantering av personuppgifter, läs vidare på integritetsskyddsmyndighetens (IMY) hemsida

https://www.imy.se/nyheter/sa-har-far-arbetsgivare-hantera-personuppgifter/

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forening/