Så gör arbetsgivaren för att efterleva GDPR
Dataskyddsreglerna i Sverige
Det finns flera anledningar till att som arbetsgivare göra rätt när det kommer till att efterleva reglerna om GDPR. Dels kan böterna vara höga, men framförallt är det dumt att arbetstagare kan ha en hållhake på arbetsgivaren för att denne inte följer reglerna. Dataskyddsförordningen består av 99 artiklar och 173 skäl. Det innebär att arbetet med dataskydd kan göras omfattande, denna text kan givetvis inte vara uttömmande. Men med denna guide som du tar dig igenom på 10 min så kan du det bättre än de allra flesta.
I hela EU tillämpas dataskyddsförordningen som stiftades 2016 av Europaparlamentet och Europarådet. Den började gälla 2018. Den förordningen tillsammans med den svenska kompletteringslagen (2018:218) tillämpar vi i Sverige på all behandling av personuppgifter. Det finns fler lagar som reglerar behandling av personuppgifter. Men när det gäller arbetsgivares behandling av personuppgifter så är det främst dataskyddsförordningen som tillämpas, även kallad GDPR (General Data Protection Regulation). Det är i princip samma regler som gäller för arbetsgivare såsom företag utan anställda, med något undantag. Det är IMY som har till uppgift att kontrollera efterlevnaden av dataskyddsförordningen samt ta emot klagomål från allmänheten.
Vad är personuppgifter?
All information som kan identifiera en just nu levande människa är personuppgifter och omfattas av dataskyddsförordningen. Även olika uppgifter som tillsammans kan kopplas till en person anses vara personuppgifter. Exempelvis foton, personnummer, registreringsnummer på bilar som ägs av fysiska personer, filmer, IP-adresser och telefonnummer.
Arbetsgivarens skydigheter
De åtta principerna
Det finns ett antal principer som arbetsgivaren ska ha som gyllene regler i sin behandling av personuppgifter. Dessa är laglighet, korrekthet, öppenhet, ändamålsbegränsning, uppgiftsminimering, lagringsminimering, intergritet/ konfidentialitet och ansvarsskyldighet. Dessa principer finns förklarade på många ställen. Men i korthet så fårpersonuppgifter enbart behandlas med en laglig grund, en av dessa är anställningsavtal. Vidare ska de uppgifter som lagras vara korrekta, det ska ske på ett öppet och transparent sätt, de får enbart behandlas utifrån ändamålen, de personuppgifter som behandlas ska utgöras av ett minimum i förhållande till ändamålet. De ska vidare lagras så kort tid som möjligt. Uppgifterna ska skyddas samt så är den personuppgiftsansvariga, oftast arbetsgivaren som är ansvarig för reglernas efterlevnad.
Plan för inbyggt dataskydd
Vidare behöver arbetsgivaren ha en tanke med hur denne ska tillämpa inbyggt dataskydd i sin verksamhet. Det vill säga lämpliga tekniska och organisatoriska åtgärder för att underbygga principerna, exempelvis pseudonomyisering.
När du slår in ditt personnummer när du går till tandläkaren så brukar de fyra sista siffrorna bli fyrkanter. Det är ett exempel på hur verksamhetsutövaren haft en tanke kring inbyggt dataskydd.
Upprätta personuppgiftsbiträdesavtal med dina leverantörer
De företag som arbetsgivaren samarbetar med och delar arbetstagarnas personuppgifter med såsom revisionsbyrå eller företagshälsa måste arbetsgivaren upprätta personuppgiftsbiträdesavtal med.
Register över behandling
Ett register över hur arbetsgivaren behandlar personuppgifterna behöver upprättas. Denna ska IMY kunna få ta del av om de efterfrågar det. Registret ska bland annat innehåller namn och kontaktuppgifter till arbetsgivaren, vilka uppgifter som behandlas, vilka ändamål som arbetsgivaren vilar sina skäl för behandling på mm.
Plan för att skydda datan
Arbetsgivaren måste ha en struktur och plan för hur denne arbetar med säkerheten av personuppgifterna som denne lagrar.
Anmälningsplikt vid incidenter
Uppstår det en incident, exempelvis att en dator stjäls, behöver ibland incidenten anmälas till IMY inom 72h.
Konsekvensbedömningar vid hög risk
Konsekvensbedömningar behöver arbetsgivaren utföra om behandlingen innebär en stor risk för arbetstagarna och dokumentera detta. Finns det en hög risk med behandlingen så ska arbetsgivaren samråda med IMY.
Skyldighet att utse dataskyddsombud vid viss behandling
Det finns framförallt tre olika områden som kräver att arbetsgivaren utser ett dataskyddsombud. Det är om arbetsgivarens kärnverksamhet och på grund av sin karaktär och ändamål kräver regelbunden och systematisk övervakning av de registrerade eller om arbetsgivaren i stor omfattning behandlar känsliga personuppgifter.
Arbetstagarens nio grundläggande rättigheter
Information om behandling och vid incidenter
När arbetstagaren börjar sitt arbete har denne rätt att få information om hur arbetsgivaren kommer använda hens personuppgifter. Det är därför personuppgiftspolicyn kommit till stånd. Informationen som ska finnas med framgår av artikel artikel 13 i dataskyddsförordningen. För det fall arbetsgivaren får arbetstagarens information från någon annan än arbetstagaren, exempelvis en rekryteringsbyrå så har hen också rätt att få ta del av en personuppgiftspolicy, då framgår dess innehåll av artikel 14.
Tillgång
Arbetstagaren har rätt till att få reda på vad arbetsgivaren hanterar för personuppgifter. Ett så kallat registerutdrag. Förutom vilka personuppgifter det är som behandlas så ska denne bland annat även få reda på vad personuppgifterna används till, hur länge de kommer sparas, varifrån de kommer, om personuppgifterna delas med någon annan exempelvis en redovisningsbyrå, huruvida uppgifterna används till automatiserat beslutsfattande eller profilering mm. Denna rättighet är dock inte absolut. Det finns undantag om exempelvis arbetstagaren gör begäran ofta eller om begäran skulle inverka negativt på andra människors rättigheter och friheter, vilket dock bör vara sällsynt på en vanlig arbetsplats. Det kan dock finnas sådana situationer, exempelvis för att skydda visselblåsare.
Rättelse
Är personuppgifterna felaktiga har arbetstagaren rätt att få dem rättade samt även få dem kompletterade om det stämmer överrens med ändamålet med behandlingen.
Radering (rätten till att bli bortglömd)
Det finns flera villkor som ska vara uppfyllda för att en arbetstagare ska ha rätt att få sina uppgifter raderade. Det kan exempelvis vara fallet om anställningen upphört och arbetsgivarens ursprungliga ändamål med behandlingen inte längre är aktuell. Bara för att en anställning upphört så finns det dock inte någon grund för att för den saken skull få sina uppgifter raderade. Exempelvis så behöver ju arbetsgivaren även i fortsättningen kunna administrera pension samt lagra anställningsavtal.
Begränsning av behandling
Begränsning innebär som det låter att behandlingen avgränsas till enskilda områden och syften. Exempelvis under tiden som rättelse pågår.
Dataportabilitet (att arbetsgivaren skickar vidare uppgifterna)
Ska arbetstagaren exempelvis byta arbete så är arbetsgivaren skyldig på arbetstagarens önskemål underlätta en överflyttning av personuppgifterna till den nya arbetsgivaren. Det gäller dock enbart de uppgifter som arbetstagaren själv lämnat till arbetsgivaren samt om det är tekniskt möjligt.
Invändning
För huvuddelen av de uppgifter som arbetsgivaren behandlar kan denne använda sig av den lagliga grunden om avtal. För det fall arbetsgivaren även för andra uppgifter tillämpar den lagliga grunden om intresseavvägning för att behandla enskilda uppgifter så har arbetstagaren rätt att invända mot den behandlingen. Arbetsgivaren har då en skyldighet att visa på att dennes intresse väger tyngre än arbetstagaren, annars ska behandlingen upphöra.
Automatiserade beslut
I de allra flesta fallen så borde automatiserade beslut och profilering på grundval av personuppgifter inte förekomma inom ramen för arbetstagare och arbetsgivare. Ett undantag skulle kunna vara i samband med att arbetstagaren sparat för många semesterdagar var på dessa betalas ut till arbetstagaren. I det fallet så finns det dock ett undantag om det är nödvändigt för att kunna uppfylla fullgörandet av ett avtal, vilket ju anställningsavtalet är.
Kontroll av IT-system, kamerabevakning och GPS-spårning av företagsbilar
Det finns en särskild del av arbetsrätten kring anställdas integritet som kopplas ihop med GDPR. Det ligger i sakens natur att arbetsgivare ibland har behov av att bevaka arbetsplatsen och dess anställda. Syftet behöver inte vara att de anställda ska bevakas för att de sköter sig, utan oftast finns det mer legitima skäl såsom säkerhet, arbetsmiljö eller att uppfylla andra lagar och regler såsom exempelvis det ofta är med GPS i bilar i form av elektronisk körjournal. Men det som här är viktigt att ha i åtanke är att detta också är personuppgifter som omfattas av reglerna.
Särskilda GDPR-regler för arbetsgivarens visselblåsarhantering
I Visselblåsarlagen (2021:890) finns särskilda regler kring hantering av personuppgifter. Det som utmärker sig är att enbart är det enbart är de som är behöriga att ta emot, följa upp och lämna återkoppling på rapporter som får ha tillgång till personuppgifterna som behandlas. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Maximalt som en arbetsgivare får lagra informationen är två år.
Dataskyddsregler i kollkektivavtal
I kollektivavtal kan det finnas regler om behandling av personuppgifter. Både centrala såsom lokala.
Känns det stort? Börja med personuppgiftspolicyn
Att upprätta en personuppgiftspolicy är det jag rekommenderar mindre arbetsgivare att börja med. Det är din fasad utåt avseende behandling av personuppgifter och det en utomstående direkt märker huruvida du har något tänk över huvud taget avseende behandling av personuppgifter. Det andra är att dokumentera alla era överväganden. I enlighet med principen om ansvar så är det arbetsgivarens sak att kunna bevisa för IMY att denne följer GDPR.
Lycka till, och glöm inte höra av dig om du har frågor.
Med vänlig hälsning,
Christoffer Lewinowitz
Arbetsgivarjurist
Hos oss är första samtalet gratis!
Vi tycker det ska vara lätt som arbetsgivare och chef att göra rätt. Avståndet att be om hjälp måste vara kort därför är en första konsultation alltid gratis hos oss. Vi hör vi av oss inom 24 h.
Trygghetsavtal för arbetsgivare...
i abonnemanget ingår:
Ett bra komplement till företagets rättsskyddsförsäkring. Arbetsrättsliga tvister är oftast ett undantag i företagsförsäkringar. För villkor, ansökan och prislista, klicka här.
