Foto: Kristofer Hedlund

Är vi redo för GDPR?

20 januari, 2018

För den som inte redan påbörjat förberedelsearbetet av införandet av nya dataskyddsförordningen General Data Protection Regulation (GDPR) finns det all anledning att göra det.

Inom ramen för ett anställningsförhållande behandlar arbetsgivaren en mängd persondata. I nära 20 år har personuppgiftslagen, PuL, reglerat vem som får hantera personuppgifter och hur. 25 maj 2018 träder nya dataskyddsförordningen i kraft och ersätter därmed PuL.

Av det som 2017 kändes som oceaner av tid för förberedelse inför införandet av den nya dataskyddsförordningen kvarstår nu endast drygt fyra månader. Mycket i den nya dataskyddsförordningen känns igen i de regler som återfinns i PuL i dag men till viss del får vi genom införande av den nya dataskyddsförordningen en åtstramning, bland annat vad avser arbetsgivares rätt att behandla arbetstagares persondata.

Den nya dataskyddsförordningen GDPR är en EU-förordning och därmed bindande för alla EU:s medlemsländer. Som medlemsland kan man inte välja att implementera förordningen i nationell rätt, utan man är som medlemsland tvungen att göra det.

Utgångspunkten enligt den nya förordningen är att uppgifter om en person endast får behandlas med stöd i förordningen eller i annan lag, vilket kanske inte känns särskilt konstigt. Personuppgifter får även behandlas när samtycke finns från den registrerade eller om det är nödvändigt för att till exempel en arbetsgivare ska kunna fullgöra sina arbetsrättsliga skyldigheter.

Vidare kan en arbetsgivare också få behandla personuppgifter om arbetsgivarens intresse av att få behandla personuppgifterna väger tyngre än intrånget i den enskildes integritet, en så kallad intresseavvägning. Ett exempel på detta skulle kunna vara att kontrollera och övervaka anställda i ett inpasseringssystem om detta krävs av säkerhetsskäl.

I och med den nya dataskyddsförordningen införs ett krav på transparens som innebär att den registrerade har rätt att känna till vilka personuppgifter om denne som arbetsgivaren behandlar. I praktiken innebär detta att en arbetsgivare måste informera sina anställda om att deras personuppgifter behandlas och för vilka ändamål de behandlas, samt vilka rättigheter de har att till exempel återkalla ett eventuellt givet samtycke till behandlingen.

Sådan information måste lämnas i samband med att personuppgifterna samlas in, förslagsvis görs detta enklast i samband med att anställningskontraktet undertecknas eller så snart ett anställningsförhållande uppstår på annat sätt. Kravet på transparens innebär att arbetstagare har rätt att begära att få ett registerutdrag över de personuppgifter över sig själv som arbetsgivaren behandlar.

Vidare kommer det att från och med den 25 maj i år vara så att personuppgifter endast får behandlas för ett specifikt angivet ändamål som den registrerade, enligt vad som redogjordes för i ovan stycke, har informerats om och som krävs för att uppfylla det angivna ändamålet.

Arbetsgivaren har således endast rätt att behandla nödvändiga personuppgifter rörande arbetstagare för att kunna fullgöra sina arbetsrättsliga skyldigheter, såsom till exempel person- och adressuppgifter för att kunna betala ut lön. Man skulle därmed kunna säga att det i och med den nya förordningen införs ett tak för mängden personuppgifter som behandlas.

Arbetsgivare kommer även att vara tvungna att införa processer för gallring av lagrade personuppgifter utifrån att det i och med den nya förordningen endast är tillåtet att lagra personuppgifter så länge det är nödvändigt för att uppfylla det specifikt angivna ändamålet. Mycket av förberedelsearbetet ligger i de kommande gallringsprocesserna och översynen av vad för data som finns lagrat per i dag och som inte kommer att vara tillåtet att lagra enligt den nya dataskyddsförordningen.

Men det stoppar inte här. Arbetsgivare måste också införa säkerhetsåtgärder i sina IT-system för att härigenom tillförsäkra den registrerade att lagrade uppgifter inte kommer i orätta händer. Så kallade integritetsincidenter, eller dataintrång där personuppgifter går förlorade, är arbetsgivaren skyldig att inom 72 timmar rapportera om till Datainspektionen. I allvarliga fall ska incidenten även rapporteras till den registrerade vars uppgifter angripits.

Att det skrivits och talats så mycket om den nya dataskyddsförordningen är mycket på grund av, eller tack vare, de sanktionsavgifter som genom förordningen blir verklighet. PuL har många gånger anklagats för att vara tandlös.

Den nya förordningen ger dock tillsynsmyndigheten – Datainspektionen – möjlighet att vid allvarliga överträdelser av förordningen döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning.

För den som inte redan påbörjat förberedelsearbetet finns det således all anledning att göra det.

Denna artikel är skriven av advokat Anneli Lönnborg verksam vid Advokatfirman Nova – www.nova.se.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Annons

Val 2018: Hur ska det bli enklare att driva företag?

16 augusti, 2018 Inför riksdagsvalet 9 september har Balans undersökt hur riksdagspartierna resonerar kring branschens heta frågor.

Nytt från Akademin – ny artikelserie i Balans

15 augusti, 2018 Nytt från Akademin - en artikelserie där Carl Svernlöv och nyutexaminerade jurister presenterar nya rön.

”Redovisa kommunernas pensionsskulder i balansräkningen!”

15 augusti, 2018 Kommunernas stora dolda pensionsskulder är återigen på tapeten.

Val 2018: Blir det en ny skattereform?

14 augusti, 2018 Inför riksdagsvalet 9 september har Balans undersökt hur riksdagspartierna resonerar kring branschens heta frågor.

Karin Apelman: ”Att komma utifrån är en styrka”

13 augusti, 2018 Driva, leda och utveckla är ledorden. Möt Karin Apelman, FAR:s nya generalsekreterare.

Balans redaktion: Våra bästa bok- och serietips för sommaren

10 juli, 2018 Sommar, sol, lata dagar. Balans redaktion ger dig sina bästa bok- och serietips.

 Upp