Nu är det snart 25 maj och då ska dataskyddsförordningen (GDPR) börja tillämpas. Här kommer en kort genomgång av de viktigaste sakerna att tänka på om ni inte har börjat med företagets GDPR-arbete eller om ni precis har satt igång.
GDPR i korthet
GDPR handlar i korthet om att man inte ska samla in fler personuppgifter än nödvändigt. Insamlingen måste ha lagstöd och får bara göras för ett visst, i förväg, bestämt ändamål. Uppgifterna får inte sparas längre än nödvändigt.
I artikel 17:155 går vi igenom reglerna kring GDPR och där hittar du svar på frågor som t ex vad räknas egentligen som en personuppgift och vad är en behandling?
I artikel 18:53 finns en checklista som innehåller de saker ni behöver göra och få koll på för att bli GDPR-redo.
På vår sida www.blinfo.se/integritet hittar du information om vår syn på integritet och vårt integritetsarbete. Här finns även fakta och verktyg som du har nytta av i ditt GDPR-arbete.
Sista minuten-tips!
GDPR-regelverket är komplext och det kan vara svårt att hinna genomföra allt inför 25 maj. Kom ihåg att det är bättre att påbörja ett arbete än att inte göra något alls. Det är också viktigt att göra prioriteringar och börja där det finns störst risker och med det som är viktigast. Även om ni inte har hunnit klart till den 25 maj är bättre att kunna visa att ”här har vi koll, men vi har inte nått hela vägen fram”.
Nedan har ni tre saker som vi rekommenderar att man gör i ett första skede i sitt GDPR-arbete. Följs dessa har man en bra grund att stå på ifall det skulle bli aktuellt att diskutera en sanktion med Integritetsskyddsmyndigheten (Datainspektionen).
Inventera och dokumentera!
Kartlägg, inventera och dokumentera vilka personuppgiftsbehandlingar företaget har. På vår sida www.blinfo.se/integritet (under GDPR-infon & verktyg) hittar ni en excelfil som hjälper er i arbetet med inventeringen och dokumenteringen.
Genom att göra en noggrann inventering och dokumentation har ni gjort en stor del av GDPR-arbetet.
Härigenom
- kan ni utvärdera om personuppgifterna lagras på ett tryggt och säkert sätt
- får ni ett underlag för det framtida arbetet med personuppgifter (GDPR-resan slutar inte 25 maj)
- ser ni om det finns personuppgifter som behöver rensas (med hänsyn till maximal lagringstid)
- kan ni få en överblick av vilka rutiner som behövs, t ex rutiner för hur anställda ska hantera personuppgifter i mail samt rutiner för hur ni ska kunna tillmötesgå de registrerades rättigheter
- får ni ett underlag för den utbildning de anställda ska få för att de ska ha tillräcklig kunskap om GDPR
- har ni ett bra underlag för den personuppgiftspolicy som företaget ska ha (se nedan).
En bra förteckning över företagets personuppgiftsbehandlingar fungerar alltså som ett nav för företagets GDPR-arbete. En bra dokumentation är också ett sätt att kunna visa hur företaget uppfyller kraven enligt GDPR.
Skriv en personuppgiftspolicy!
Enligt GDPR har den personuppgiftsansvarige en skyldighet att informera kunder, leverantörer etc om ni hanterar personuppgifter. Detta ska framgå av integritetspolicyn (även kallad personuppgiftspolicy eller privacypolicy). Där talar ni om vilka personuppgifter ni samlar in, för vilket syfte, lagringstid mm. Ni ska också informera om den registrerades rättigheter (t ex rätten till registerutdrag och rätten att få felaktiga uppgifter korrigerade).
Personuppgiftspolicyn ska enkelt vara tillgänglig för kunder, anställda etc. Det är vanligt att företag publicerar sin integritetspolicy på sin hemsida. Då kan man hänvisa dit i t ex avtal, e-post (via en länk) eller telefonsvarare när personuppgifterna samlas in via telefon.
På vår sida www.blinfo.se/integritet kan du se hur vår personuppgiftspolicy är utformad.
Skriv personuppgiftsbiträdesavtal!
Många företag använder sig av personuppgiftsbiträden (underkonsulter) vid behandling av personuppgifter. Det kan vara en leverantör av IT-tjänster eller en redovisningsbyrå som hanterar personuppgifter i samband med lönehantering och fakturering för kundens räkning.
I dessa fall krävs ett personuppgiftsbiträdesavtal som reglerar behandlingen av personuppgifter och ansvaret mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det är den personuppgiftsansvarige som ska se till att avtalen skrivs.
Dessa avtal är viktiga och var därför noggrann med dessa samt se till att de skrivs med samtliga leverantörer. För en redovisningsbyrå är det också bra service att ta fram personuppgiftsbiträdesavtal gentemot sina kunder (trots att det egentligen är kundernas ansvar).
Om ni själv inte vill lägga ned tid på att utarbeta egna personuppgiftsbiträdesavtal så har vi en mall som ni kan utgå ifrån. Den hittar ni under Mallar i menyn ovan.
Till sist, hur är det med lönebesked via mail?
Så till det ämne vi får flest frågor om när det gäller GDPR – frågan om att skicka lönespecifikationer via mail.
Känsliga personuppgifter ska enligt GDPR hanteras på ett extra säkert sätt. Det handlar om uppgifter om t ex hälsa (sjukfrånvaro, karensdag, rehabilitering, etc) och facklig tillhörighet (exempelvis fackavdrag). Dessa personuppgifter ska inte exponeras på ett sätt som gör att obehöriga kan ta del av dem, t ex genom överföring mellan avsändare och mottagare som kan avlyssnas/läsas/hackas. Det är på grund av detta som diskussionen om mail av lönespecifikationer blivit aktuell.
Vanliga personuppgifter såsom namn, adress, personnummer etc kan hanteras med normal säkerhet. Dessa personuppgifter kan t ex mailas. Så ett lönebesked utan känsliga uppgifter kan mailas även fortsättningsvis – men problemet blir förstås att det för många kommer att dyka upp åtminstone sjuklön etc. Mindre företag med bara ägare/närstående kanske aldrig hanterar sjuklön utan fortsätter betala ut vanlig lön även vid sjukdom, och då kan mail användas utan problem.
Men om ett lönebesked innehåller t ex sjukavdrag så krävs det alltså en hög säkerhetsnivå. Det är arbetsgivarens ansvar att rätt säkerhetsnivå hålls. En webbtjänst eller app som kräver inloggning för åtkomst är en bra säkerhetsnivå. Även krypterade mail funkar.
Observera att det inte har någon betydelse om den anställde ger sitt samtycke till att lönespecifikationen (med känsliga uppgifter) skickas via mail. Det anses fortfarande inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer.