Kristofer Hedlund

Är vi redo för GDPR?

20 januari, 2018

För den som inte redan påbörjat förberedelsearbetet av införandet av nya dataskyddsförordningen General Data Protection Regulation (GDPR) finns det all anledning att göra det.

Inom ramen för ett anställningsförhållande behandlar arbetsgivaren en mängd persondata. I nära 20 år har personuppgiftslagen, PuL, reglerat vem som får hantera personuppgifter och hur. 25 maj 2018 träder nya dataskyddsförordningen i kraft och ersätter därmed PuL.

Av det som 2017 kändes som oceaner av tid för förberedelse inför införandet av den nya dataskyddsförordningen kvarstår nu endast drygt fyra månader. Mycket i den nya dataskyddsförordningen känns igen i de regler som återfinns i PuL i dag men till viss del får vi genom införande av den nya dataskyddsförordningen en åtstramning, bland annat vad avser arbetsgivares rätt att behandla arbetstagares persondata.

Den nya dataskyddsförordningen GDPR är en EU-förordning och därmed bindande för alla EU:s medlemsländer. Som medlemsland kan man inte välja att implementera förordningen i nationell rätt, utan man är som medlemsland tvungen att göra det.

Utgångspunkten enligt den nya förordningen är att uppgifter om en person endast får behandlas med stöd i förordningen eller i annan lag, vilket kanske inte känns särskilt konstigt. Personuppgifter får även behandlas när samtycke finns från den registrerade eller om det är nödvändigt för att till exempel en arbetsgivare ska kunna fullgöra sina arbetsrättsliga skyldigheter.

Vidare kan en arbetsgivare också få behandla personuppgifter om arbetsgivarens intresse av att få behandla personuppgifterna väger tyngre än intrånget i den enskildes integritet, en så kallad intresseavvägning. Ett exempel på detta skulle kunna vara att kontrollera och övervaka anställda i ett inpasseringssystem om detta krävs av säkerhetsskäl.

I och med den nya dataskyddsförordningen införs ett krav på transparens som innebär att den registrerade har rätt att känna till vilka personuppgifter om denne som arbetsgivaren behandlar. I praktiken innebär detta att en arbetsgivare måste informera sina anställda om att deras personuppgifter behandlas och för vilka ändamål de behandlas, samt vilka rättigheter de har att till exempel återkalla ett eventuellt givet samtycke till behandlingen.

Sådan information måste lämnas i samband med att personuppgifterna samlas in, förslagsvis görs detta enklast i samband med att anställningskontraktet undertecknas eller så snart ett anställningsförhållande uppstår på annat sätt. Kravet på transparens innebär att arbetstagare har rätt att begära att få ett registerutdrag över de personuppgifter över sig själv som arbetsgivaren behandlar.

Vidare kommer det att från och med den 25 maj i år vara så att personuppgifter endast får behandlas för ett specifikt angivet ändamål som den registrerade, enligt vad som redogjordes för i ovan stycke, har informerats om och som krävs för att uppfylla det angivna ändamålet.

Arbetsgivaren har således endast rätt att behandla nödvändiga personuppgifter rörande arbetstagare för att kunna fullgöra sina arbetsrättsliga skyldigheter, såsom till exempel person- och adressuppgifter för att kunna betala ut lön. Man skulle därmed kunna säga att det i och med den nya förordningen införs ett tak för mängden personuppgifter som behandlas.

Arbetsgivare kommer även att vara tvungna att införa processer för gallring av lagrade personuppgifter utifrån att det i och med den nya förordningen endast är tillåtet att lagra personuppgifter så länge det är nödvändigt för att uppfylla det specifikt angivna ändamålet. Mycket av förberedelsearbetet ligger i de kommande gallringsprocesserna och översynen av vad för data som finns lagrat per i dag och som inte kommer att vara tillåtet att lagra enligt den nya dataskyddsförordningen.

Men det stoppar inte här. Arbetsgivare måste också införa säkerhetsåtgärder i sina IT-system för att härigenom tillförsäkra den registrerade att lagrade uppgifter inte kommer i orätta händer. Så kallade integritetsincidenter, eller dataintrång där personuppgifter går förlorade, är arbetsgivaren skyldig att inom 72 timmar rapportera om till Datainspektionen. I allvarliga fall ska incidenten även rapporteras till den registrerade vars uppgifter angripits.

Att det skrivits och talats så mycket om den nya dataskyddsförordningen är mycket på grund av, eller tack vare, de sanktionsavgifter som genom förordningen blir verklighet. PuL har många gånger anklagats för att vara tandlös.

Den nya förordningen ger dock tillsynsmyndigheten – Datainspektionen – möjlighet att vid allvarliga överträdelser av förordningen döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning.

För den som inte redan påbörjat förberedelsearbetet finns det således all anledning att göra det.

Denna artikel är skriven av advokat Anneli Lönnborg verksam vid Advokatfirman Nova – www.nova.se.

  • Jämställdhet – lika viktigt för män som för kvinnor

    23 juni, 2021 Deloittes VD Jan Berntsson har gjort jämställdhet till en integrerad del av storbyråns strategi.

    Skattefrågor i ropet

    22 juni, 2021 Hans Peter Larsson, skatteansvarig FAR, benar ut ett gäng heta skatterelaterade ämnen på allas läppar.

    Liten byrå med stor kompetens

    18 juni, 2021 Drömmen att starta har funnits länge. Nu driver Erika Öberg och Christine Forsbäck EC Revision.

    Årets framtidsbyrå 2021 – vem vinner priset?

    17 juni, 2021 Femton byråer har kommit upp i toppoäng på FAR:s framtidstest. Några har chans att vinna.

    Redovisningskonsulten – värd varenda krona

    16 juni, 2021 Så beskriver kunder vad de verkligen uppskattar hos sin auktoriserade redovisningskonsult.

    Kunder vill ha närvaro och engagemang av sin redovisningskonsult

    16 juni, 2021 Stor potential för framåtlutade auktoriserade redovisningskonsulter.

     Upp