Den 25 maj träder den nya dataskyddsförordningen i kraft. Som arbetsgivare gäller det då att kunna visa att du har koll på dataskyddets sex v:n: vad, var, varför, vilken, vem och varaktighet. Här berättar TEKO:s och Teknikföretagens jurist Per Dalekant hur du gör.
Den nya dataskyddsförordningen reglerar hur personuppgifter får behandlas. Med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Även om många företag hanterar personuppgifter för personer som inte är anställda, exempelvis kunder, leverantörer och samarbetspartners, fokuserar vi i denna artikel på personuppgifter i förhållandet mellan arbetsgivare och arbetstagare.
Enligt förordningen ska arbetsgivaren genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.
– Ett lämpligt sätt att visa detta på är att beskriva i en personuppgiftspolicy vilka personuppgifter arbetsgivaren behandlar och vad ändamålet med behandlingen. Den kan finnas som bilaga till anställningsavtalet eller via en länk som hänvisar till en sida på intranätet, säger Per Dalekant, jurist och förhandlare på Teknikföretagen och TEKO.
Arbetsgivaren bör då ställa sig ett antal frågor som kan sammanfattas som dataskyddets sex v:n – vad, var, varför, vilken, vem och varaktighet.
– Arbetsgivaren måste veta vilka personuppgifter som behandlas i verksamheten, var dessa finns någonstans samt varför personuppgifterna insamlas, lagras och behandlas. Arbetsgivaren måste också kunna ange vad som är den rättsliga grunden för behandlingen av personuppgifterna och vem som har åtkomst till dem. Ytterligare en fråga att ta ställning till är behandlingens varaktighet – under hur lång tid tänker arbetsgivaren behandla och lagra personuppgifterna?
Personuppgifterna får inte sparas längre än vad som är nödvändigt för den aktuella behandlingen.
– Det är ändamålet som påverkar om uppgifterna ska sparas eller gallras ut, säger Per Dalekant.
När till exempel en anställning upphör finns det kanske inte längre anledning att spara den anställdes e-postkonto eller uppgifter om den anställde på intranät eller extern webbplats. Samtidigt kan det finnas andra uppgifter som måste sparas för att arbetsgivaren ska fullgöra och ta tillvara sina rättsliga skyldigheter och anspråk, exempelvis ska uppgiften om att personen varit anställd och hur länge anställningen varat inte raderas.
Vissa personuppgifter betraktas som känsliga, till exempel sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller om en persons sexuella läggning.
Huvudregeln är att behandling av dessa känsliga personuppgifter är förbjuden, men det finns vissa undantag. En arbetsgivare kan ha rätt att behandla den typen av personuppgifter för att kunna fullgöra sina skyldigheter och utöva sina rättigheter inom arbetsrätten.
– Det kommer därför vara möjligt för arbetsgivare att behandla uppgifter om facklig tillhörighet, etnicitet, hälsa med mera i samband med exempelvis rehabiliteringsärenden, lönekartläggningar och hantering av diskrimineringsärenden.
Utöver att kunna visa hur dataskyddsförordningen efterlevs har arbetsgivaren även en långtgående skyldighet att informera anställda om vilken behandling av personuppgifter som sker i företaget.
– Informationen ska finnas i lättillgänglig, skriftlig form och ha ett tydligt och enkelt språk. Hur sådan information till de anställda kan utformas kommer vi bland annat att gå igenom under vårens seminarier om dataskyddsförordningen för arbetsgivare, säger Per Dalekant.
Här ges kursen ”Dataskyddsförordningen för arbetsgivare” för TEKO:s och Teknikföretagens medlemsföretag, klicka för att anmäla dig.
Göteborg 16/4 13-16
Stockholm 20/4 9-12
Malmö 23/4 13-16
Linköping 23/4 13-16
Växjö 25/4 9-12
Skellefteå 26/4 13-16
Ronneby 7/5 13-16
Örebro 15/5 13-16
Sundsvall 16/5 9-12
Borås 17/5 9-12
—————————————————————
Text: Karin Fjell Hager
Foto: Eva Lindblad