Redo för GDPR?

Den 25 maj börjar dataskyddsförordningen (GDPR) att tillämpas. Här kommer en kort genomgång av de viktigaste sakerna att tänka på när det gäller företagets GDPR-arbete.

GDPR i korthet

GDPR handlar i korthet om att man inte ska samla in fler personuppgifter än nödvändigt. Insamlingen måste ha lagstöd och får bara göras för ett visst, i förväg, bestämt ändamål. Uppgifterna får inte sparas längre än nödvändigt.

Viktigt att börja

GDPR-regelverket är komplext och det kan vara svårt att hinna genomföra allt innan 25 maj. Kom ihåg att det är bättre att påbörja ett arbete än att inte göra något alls. Det är också viktigt att göra prioriteringar och börja där det finns störst risker och med det som är viktigast.

Inventera och dokumentera!

Tre saker som vi rekommenderar att man gör i ett första skede i sitt GDPR-arbete är att kartlägga, inventera och dokumentera vilka personuppgiftsbehandlingar företaget har.

Härigenom

  • kan ni utvärdera om personuppgifterna lagras på ett tryggt och säkert sätt
  • får ni ett underlag för det framtida arbetet med personuppgifter (GDPR-resan slutar inte 25 maj)
  • ser ni om det finns personuppgifter som behöver rensas (med hänsyn till maximal lagringstid)
  • kan ni få en överblick av vilka rutiner som behövs, t ex rutiner för hur anställda ska hantera personuppgifter i mail samt rutiner för hur ni ska kunna tillmötesgå de registrerades rättigheter
  • får ni ett underlag för den utbildning de anställda ska få för att de ska ha tillräcklig kunskap om GDPR
  • har ni ett bra underlag för den personuppgiftspolicy som företaget ska ha (se nedan).

En bra förteckning över företagets personuppgiftsbehandlingar fungerar alltså som ett nav för företagets GDPR-arbete. En bra dokumentation är också ett sätt att kunna visa hur företaget uppfyller kraven enligt GDPR.

Skriv en personuppgiftspolicy!

Enligt GDPR har den personuppgiftsansvarige en skyldighet att informera kunder, leverantörer etc om ni hanterar personuppgifter. Detta ska framgå av integritetspolicyn (även kallad personuppgiftspolicy eller privacypolicy). Där talar ni om vilka personuppgifter ni samlar in, för vilket syfte, lagringstid mm. Ni ska också informera om den registrerades rättigheter (t ex rätten till registerutdrag och rätten att få felaktiga uppgifter korrigerade).

Personuppgiftspolicyn ska enkelt vara tillgänglig för kunder, anställda etc. Det är vanligt att företag publicerar sin integritetspolicy på sin hemsida. Då kan man hänvisa dit i t ex avtal, e-post (via en länk) eller telefonsvarare när personuppgifterna samlas in via telefon.

Skriv personuppgiftsbiträdesavtal!

Många företag använder sig av personuppgiftsbiträden (underkonsulter) vid behandling av personuppgifter. Det kan vara en leverantör av IT-tjänster eller en redovisningsbyrå som hanterar personuppgifter i samband med lönehantering och fakturering för kundens räkning.

I dessa fall krävs ett personuppgiftsbiträdesavtal som reglerar behandlingen av personuppgifter och ansvaret mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det är den personuppgiftsansvarige som ska se till att avtalen skrivs.

Dessa avtal är viktiga och var därför noggrann med dessa samt se till att de skrivs med samtliga leverantörer. För en redovisningsbyrå är det också bra service att ta fram personuppgiftsbiträdesavtal gentemot sina kunder (trots att det egentligen är kundernas ansvar).

Till sist, hur är det med lönebesked via mail?

Så till det ämne vi får flest frågor om när det gäller GDPR – frågan om att skicka lönespecifikationer via mail.

Känsliga personuppgifter ska enligt GDPR hanteras på ett extra säkert sätt. Det handlar om uppgifter om t ex hälsa (sjukfrånvaro, karensdag, rehabilitering, etc) och facklig tillhörighet (exempelvis fackavdrag). Dessa personuppgifter ska inte exponeras på ett sätt som gör att obehöriga kan ta del av dem, t ex genom överföring mellan avsändare och mottagare som kan avlyssnas/läsas/hackas. Det är på grund av detta som diskussionen om mail av lönespecifikationer blivit aktuell.

Vanliga personuppgifter såsom namn, adress, personnummer etc kan hanteras med normal säkerhet. Dessa personuppgifter kan t ex mailas. Så ett lönebesked utan känsliga uppgifter kan mailas även fortsättningsvis – men problemet blir förstås att det för många kommer att dyka upp åtminstone sjuklön etc. Mindre företag med bara ägare/närstående kanske aldrig hanterar sjuklön utan fortsätter betala ut vanlig lön även vid sjukdom, och då kan mail användas utan problem.

Men om ett lönebesked innehåller t ex sjukavdrag så krävs det alltså en hög säkerhetsnivå. Det är arbetsgivarens ansvar att rätt säkerhetsnivå hålls. En webbtjänst eller app som kräver inloggning för åtkomst är en bra säkerhetsnivå. Även krypterade mail funkar.

Observera att det inte har någon betydelse om den anställde ger sitt samtycke till att lönespecifikationen (med känsliga uppgifter) skickas via mail. Det anses fortfarande inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer.