Varje verksamhet som har ett medlemsregister, kontaktlistor till anställdas anhöriga eller som upprättar turordningslistor inför förhandlingar med facket behandlar personuppgifter. Detta är bara ett par exempel ur en lista som kan göras oändlig. Ofta behandlas dessutom personuppgifter oavsiktligen, men omfattas trots detta av verksamhetens ansvar. Behandling av personuppgifter tas upp i Europakonventionen under de artiklar som handlar om var och ens fri- och rättigheter och skydd för privatlivet. Det skickar en signal till dig som arbetsgivare att frågan är viktig och behöver uppmärksammas i din organisation.
Förbered verksamheten på förändringar
Den 25 maj 2018 börjar den nya dataskyddsförordningen att gälla. Den är baserad på EU-direktivet General Data Protection Regulation (GDPR). Det innebär att Personuppgiftslagen (PuL) som gäller idag för behandling av personuppgifter i er verksamhet upphör att gälla.
Kartlägg, skapa rutiner och förmedla verksamhetens policy
De åtgärder som verksamheten behöver vidta inför att förordningen träder i kraft kan delas upp i förberedelser, framtagande av rutiner och informationsspridning (policies).
För att säkerställa att din verksamhet lever upp till den nya förordningens krav behöver verksamheten vidta förberedande åtgärder. Först och främst måste verksamheten kartlägga vilken behandling av personuppgifter som sker i verksamheten- och var och när den sker. Sedan måste en tvåstegsbedömning göras av den behandling av personuppgifter som sker där du i ett första steg säkerställer att behandlingen lyder de principer som EU tagit fram och att det i ett andra steg finns en laglig grund för verksamheten att behandla uppgifterna.
Steg I - vägledande principer
Verksamhetens personuppgiftsbehandling ska ske med respekt för de syften som uttrycks i principerna, och följer din verksamhet principerna har den kommit en bra bit på väg i arbetet med att följa förordningen. De vägledande principerna för personuppgiftsbehandling är laglighet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet vilka beskrivs förklarande i förordningens kapitel 2, artikel 5.
Förberedande åtgärder
- Kartlägg hur behandling av personuppgifter sker, av vem och när och var i verksamheten.
- Säkerställ att verksamheten har laglig grund för behandlingen av personuppgifter bedömningssteg 2. Du kan ha en eller flera lagliga grunder.
- Se över tekniska anordningar för att minimera att verksamheten oavsiktligt samlar in och registrerar fler uppgifter än vad som behövs. Med teknikens hjälp kan den som registreras få information om att behandling av personuppgifter sker samt upplysning om hur uppgifter rättas och på begäran raderas.
Steg II - laglig grund
För att det ska vara tillåtet att behandla personuppgifter krävs det att det finns en laglig grund för behandlingen. De lagliga grunderna räknas upp i punkterna 1-6 nedan. Den första punkten, samtycke är också en sista utväg för det fall att någon annan laglig grund inte finns. Det måste emellertid säkerställas att den som tillfrågas om samtycke inte känner sig tvingad till att lämna det, och att det finns en säkerställd rutin för den händelse att denne återtar sitt samtycke.
Personuppgifter får behandlas med stöd av någon av följande lagliga grunder:
- Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. En arbetsgivare bör till följd av den anställdes beroende enbart i undantagsfall begära samtycke från en anställd.
- Säkerställ att uppgiftsbehandlingen är nödvändigexempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.
- Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skatteredovisning, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal och förpliktelser gentemot de anställdas fackförbund.
- Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.
- Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
- Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om personalens anhöriga kan behövas för att säkerställa kontakt i händelse av arbetsplatsolycka eller sjukdomstillbud exempelvis.
Rutiner
När du kartlagt vilket flöde av personuppgifter som finns och hur det går genom verksamheten, att de får behandlas med beaktande av principerna och att det finns åtminstone en laglig grund för behandlingen behöver verksamheten formulera rutiner för det önskvärda flödet. Här får du exempel på olika typer av rutiner som måste införas i er organisation:
- Rutin för hur en begäran om tillgång, rättelse, begränsning eller radering ska hanteras.
- Rutin för hur en personuppgiftsincident ska hanteras.
- Rutiner för hur en begäran om överföring av personuppgifter ska hanteras. Det vill säga när den som uppgiften avser begär att få ta informationen med sig- och i vilken form den ska tillhandahållas (dataportabilitet).
- Rutin för säkerställande av att dataskyddsförordningens krav följs vid upphandling av IT-system.
- Rutin till säkerställande av att konsekvensbedömningar genomförs när så behövs.
Policies
Utbilda de anställda i dataskyddsförordningen och verksamhetens rutiner för personuppgiftsbehandling. Om en särskilt ansvarig person för dataskyddsfrågor utses i verksamheten - kommunicera till alla i verksamheten om vem som utsetts!
• Intern personuppgiftspolicy – en policy över hur ni behandlar personuppgifter och hur era anställda får behandla uppgifter, med gallringspolicy/rutiner.
• IT/Säkerhetspolicy.
• Personuppgiftspolicy för anställda och arbetssökande– Lämna information om behandling av personuppgifter till anställda.
I korthet
Förenklat uttryckt: Samla in enbart de uppgifter som verksamheten behöver, säkerställ att de är korrekta och att den som lämnar dem informeras om hur denne kan återta eller korrigera uppgifter som inhämtas. Dokumentera samtycket att behandla uppgifterna, eller om sådant saknas; det lagliga berättigade syftet med uppgiftsinhämtningen- såsom att säkerställa att anhöriga kontaktas vid eventuell arbetsplatsolycka, eller att skyldigheter att upprätta turordningslistor fullföljs eller liknande. Etablera rutiner för att rensa ut och radera uppgifter som inte får behandlas och klargör för alla i verksamheten vem i verksamheten som har det ansvaret. Begränsa tillträdet till uppgifterna, skapa en rutin för vem som behöver vara behörig att se vilka uppgifter.