GDPR och personaluppgifter

Mycket av det som kommer i och med GDPR i maj 2018 gäller redan i PUL, personuppgiftslagen. Dock har den lagen inte varit lika "skarp" som den den nya lagen kommer att vara.

Hur kommer det då att fungera att behandla de anställdas personuppgifter?

Det som gäller är att man ska ha fått ett tydligt samtycke, om man ska uppfylla ett avtal (som tex lönebesked) eller en rättslig förpliktelse men även vid livsavgörande/allmänna (såsom myndigheter tex Försäkringskassans) intressen.

Ett samtycke ska ges frivilligt och kan alltid återkallas och skall då ske direkt och tills saken är utredd.

Vill man använda sig av berättigat intresse, dvs att nyttan för företaget är större än individens risk, måste man göra en noggran avvägning av riskerna och kraven är ganska höga.

När ska den registrerade informeras?

All behandling av personuppgifter ska informeras den registrerade, och lagen gäller för alla.

Man ska då b la informera om:

  • vem man är och i vilket syfte man behöver uppgifterna
  • vilken rättslig grund du stödjer dig på
  • vilka rättigheter den registrerade har samt när du kommer att ta bort datan
  • om informationen kommer att delas med någon utanför EU/EES, som t ex Google eller Microsoft.

Den som blir registrerad har alltid rätten att kunna begära ut ett registerutdrag.

När ska uppgifterna tas bort?

Om uppgifterna inte längre uppfyller sitt syfte ska alla personuppgifter tas bort, oavsett om det är i papper eller i digitalt format. Även e-mail ska tas bort då en mailadress anses vara en personuppgift. Däremot ska uppgifter som uppfyller en rättslig skyldighet sparas, så länge som lagen anser. Som t ex bokföringen ska sparas i minst sju år enl bokföringslagen.

Säkerhet

Utöver det här ställs också krav på en aktiv och hög informationssäkerhetsnivå. Ett dataintrång ska meddelas inom 72 timmar till tillsynsmyndigheten (Datainspektionen) och i vissa fall, direkt till den registrerade.

Vad ska jag göra som personuppgiftsansvarig?

Rent allmänt har personuppgiftsansvarig det yttersta ansvaret för att förordningen följs. Utöver det finns det antal särskilt angivna uppgifter:

  • Ansvara för (en aktiv och hög) informationssäkerhet
  • Föra register över alla personuppgiftsbehandlingar
  • Ansvara för att föreskriven organisation inrättas
  • Bistå tillsynsmyndigheten (Datainspektionen)

Vem är personuppgiftsansvarig?

I varje företag eller myndighet ska det finnas en personuppgiftsansvarig vilket normalt är den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, till exempel en enskild företagare.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. (3 § personuppgiftslagen)

Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde.

För att reda ut dessa begrepp, läs mer hos Datainspektionen

Har du ytterligare funderingar om vad som gäller för dig och ditt företag, kontakta din konsult eller maila oss.

Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.