Arbetsrätt

Är du förberedd på dataskyddsförordningens inträde?

Petter Wenehult, Biträdande jurist på Elmzell Advokatbyrå 2017-03-17

Den 25 maj 2018 ersätts svenska personuppgiftslagen (PUL) av Europeiska Unionens dataskyddsförordning. Dataskyddsförordningen ställer högre krav på behandling av personuppgifter och sanktionerna vid överträdelser är betydligt tuffare än dagens reglering. Som arbetsgivare finns det all anledning att redan nu förbereda verksamheten på den nya dataskyddsförordningen.     

Anställdas personuppgifter har stor betydelse för arbetsgivare i ett flertal sammanhang. De anställdas namn, personnummer och kontaktuppgifter återfinns i löneregister, behörighetssystem och adresslistor. Att behandla personuppgifter om anställdas hälsa kan vara nödvändigt för att arbetsgivaren ska fullgöra sitt lagstadgade rehabiliteringsansvar. Arbetsgivaren kan också behöva behandla personuppgifter om de anställdas fackliga medlemskap i samband med att förhandling ska påkallas enligt medbestämmandelagen. Förmågan att hitta rätt kandidat i rekryteringsprocesser underlättas med hjälp av kompetensdatabaser och liknande verktyg.

Varför införs dataskyddsförordningen?

Personuppgifter är nödvändiga och värdefulla uppgifter för arbetsgivaren. Mot detta står de anställdas personliga integritet, vilket har lett till att vi i Sverige har personuppgiftslagen (PUL), som ska skydda människors personliga integritet från att kränkas genom behandling av personuppgifter.

PUL bygger på ett EU-direktiv från 1995 och direktivet har implementerats på olika sätt i EU-ländernas lagstiftning. Dataskyddsförordningen ersätter PUL den 25:e maj 2018 och syftet är att regleringen ska bli mer likartad i EU:s medlemsstater.               

Vad innebär den nya dataskyddsförordningen?

Dataskyddsförordningen innebär flera stora skillnader jämfört med dagens regelverk. Vi har samlat en del av de betydande skillnaderna som varje arbetsgivare bör vara medveten om.  

Även ostrukturerad behandling av personuppgifter omfattas

Till skillnad från PUL omfattar dataskyddsförordningen även så kallade ostrukturerade personuppgifter. Med det menas personuppgifter som inte ingår i en strukturerad samling av personuppgifter, dessa kan finnas i exempelvis e-post och Word-dokument.

I och med de nya reglerna blir det viktigt för arbetsgivare att utreda om det förekommer behandling av ostrukturerade personuppgifter i verksamheten. Om det finns måste arbetsgivaren hitta en rättslig grund för detta samt se över rutiner för behandlingen. En rättslig grund för behandling av personuppgifter inom arbetslivet kan vara att behandlingen är nödvändig för att arbetsgivaren ska kunna fullgöra sina lagliga och avtalsenliga skyldigheter, som att betala lön till de anställda eller vidta rehabiliteringsåtgärder.   

Rätt till registerutdrag av personuppgifter i e-post och Word-dokument

Dataskyddsförordningen ger anställda rätt till att bland annat begära ut information om vilka personuppgifter som arbetsgivaren behandlar om dem, samt på vilka grunder behandlingen sker. En praktisk konsekvens av detta är att en anställd kan begära utdrag av e-post som innehåller sina egna personuppgifter. Detta behöver arbetsgivare vara medvetna om då de kommunicerar internt i personalärenden. Det arbetsgivaren ska tänka är i princip att e-post som innehåller personuppgifter om en anställd kan användas som bevismaterial av den anställde i en arbetsrättslig tvist.

Utvidgad rätt för anställda att få information om behandlingen av sina personuppgifter

Redan idag krävs att arbetsgivare informerar sina anställda om behandlingen av personuppgifter, men informationskravet ökar i nya dataskyddsförordningen och innefattar bland annat:

  • Ändamålen med behandlingen för var och en av de anställdas personuppgifter
  • Den rättsliga grunden för behandlingen
  • Information om mottagare av personuppgifter (exempelvis försäkringsbolag)
  • Vilka skyddsåtgärder som vidtas för att skydda personuppgifterna
  • Rätt att begära tillgång till och rättelse av personuppgifter
  • Rätten att återkalla ett eventuellt samtycke och inge klagomål till tillsynsmyndighet.

I praktiken blir det nödvändigt för arbetsgivare att upprätta en dataskyddspolicy eller liknande dokument på arbetsplatsen, för att fullgöra dataskyddsförordningens informationskrav.

Arbetsgivaren måste anmäla personuppgiftsincidenter

Personuppgiftsincidenter måste anmälas till Datainspektionen inom 72 timmar efter att de inträffat. En personuppgiftsincident kan exempelvis vara ett dataintrång eller någon annan händelse där arbetsgivaren förlorar kontrollen över de personuppgifter som behandlas. Om incidenten innebär en integritetsrisk för de anställda (exempelvis att känsliga personuppgifter kan röjas) ska även de informeras snarast. Arbetsgivare bör därför se till att ha rutiner för att upptäcka, rapportera och utreda personuppgiftsincidenter.   

Hårdare sanktioner

Något som har varit mycket uppmärksammat är de administrativa sanktionsavgifter som Datainspektionen kommer att kunna utfärda vid överträdelser av dataskyddsförordningen. Dessa sanktionsavgifter kan uppgå till så mycket som 20 miljoner euro eller fyra procent av en global koncerns omsättning, vilket kan innebära miljardbelopp för större svenska företag. I jämförelse med de skadeståndsbelopp som regelmässigt har utdömts vid överträdelser av PUL är detta en avsevärd skillnad.   

Vad bör arbetsgivare göra?

Rådet till alla arbetsgivare inför dataskyddsförordningens inträde är att redan nu göra en översyn av hur de anställdas personuppgifter behandlas. I detta förberedande arbete bör följande punkter ingå:

  1. Kartlägg vilka personuppgifter som hanteras i verksamheten och varför. Finns exempelvis ostrukturerade personuppgifter?
  2. Vilka rättsliga grunder gäller för behandlingen? Sparas informationen för länge? Är de anställda tillräckligt informerade om behandlingen?
  3. Upprätta en dataskyddspolicy. Arbetsgivare måste kunna dokumentera och visa att dataskyddsförordningen följs.
  4. Klargör ansvaret för att dataskyddsförordningen följs internt och utse vid behov ett personuppgiftsombud med ansvar för att kontrollera att personuppgifter behandlas på ett korrekt sätt.      

Dataskyddsförordningen kommer sannolikt att i framtiden kompletteras av ytterligare regelverk från Datainspektionen som är specifikt inriktat på anställningsförhållanden och personuppgifter i arbetslivet. Det finns alltså all anledning för arbetsgivare att prioritera och följa utvecklingen i personuppgiftsfrågor framöver.  

 

Relaterat

TILL TOPPEN AV SIDAN