Så håller du ordning på personuppgifterna

Få kan ha undgått att EU:s dataskyddförordning, GDPR blev svensk lag i maj 2018. Aldrig tidigare har väl någon lag fått sådan enorm uppmärksamhet. Drygt två år senare kan det vara på sin plats att påminna om att hanteringen av personuppgifter i företaget kräver regelbunden översyn.

– Som arbetsgivare kan man inte gå igenom vilka personuppgifter om sina arbetstagare man hanterar ”en gång för alla” och tro att det är klart sedan. Att se till att hanteringen av informationen uppfyller kraven är ett arbete som bör göras med jämna mellanrum, förklarar Teknikföretagens jurist Peter Thornquist.

Datainspektionen* har nyligen tagit fram en uppdaterad vägledning för hur arbetsgivare kan hantera personuppgifter om sina anställda. Utgångspunkten är att det ska finnas en rimlig balans mellan en arbetsgivares behov av att behandla personuppgifter och anställdas anspråk på personlig integritet.

– Datainspektionen, liksom Teknikföretagen, anser att samtycke inte är en rättslig grund som fungerar i ett anställningsförhållande. Det beror på att anställda står i beroendeställning till arbetsgivaren och kan som regel inte lämna sådana frivilliga samtycken som krävs.

Ta fram lättbegriplig personuppgiftspolicy

Arbetsgivaren beslutar självständigt om vilka personuppgifter som får samlas in och hur de får användas. Personuppgifter är all information som direkt eller indirekt kan knytas till en person. Typisk sådan information är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.

För företaget gäller det först att kartlägga vilka personuppgifter över anställda som det hanterar och i vilka system dessa uppgifter finns. Personalen ska sedan informeras om detta.

– Vi rekommenderar att arbetsgivaren tar fram en personuppgiftspolicy som ger en övergripande bild av vilka uppgifter som hanteras och var. Den bör vara lättbegriplig och inte alltför omfattande så att anställda har möjlighet att ta den till sig.

Sätt rutiner för hur informationen ska uppdateras

Arbetsgivaren måste också ha ett register över de personuppgiftsbehandlingar sker, som visar vilka behandlingar som sker och för vilket syfte.

– Ta fram rutiner för hur policy och register ska uppdateras om företaget inför nya system där personuppgifter hanteras, som exempelvis ett nytt rekryterings- eller prestationssystem, säger Peter Thornquist.

Det måste också finnas rutiner som garanterar att inte vem som helst i företaget har tillgång till personuppgifterna. Till exempel behöver arbetsgivaren hantera uppgifter om anställds sjukdom för att uppfylla sitt rehabiliteringsansvar. Denna information ska dock endast vara tillgänglig för de i företaget som jobbar direkt med detta.

Informera de anställda så att de kan hantera uppgifter rätt

Också de anställda behöver riktlinjer för hur de ska sköta göra med de uppgifter de hanterar.

– Det ska vara tydligt för arbetstagaren hur den ska handskas med personuppgifter från kollegor eller externa kontakter. Säg att en säljare har många externa kontakter, då kanske personen behöver rensa mejlen med jämna mellanrum och det som behöver sparas förs in i ett annat system. Exakt hur man gör detta måste förstås varje företag fundera över vad som funkar i just deras vardag. Men det är viktigt att komma ihåg att det typiskt sett är arbetsgivaren som agerar olagligt även om det är arbetstagaren som inte hanterar personuppgifterna rätt. 

Informera anställda om arbetsgivarens kontrollmöjligheter

Arbetsgivaren måste också informera de anställda om vilka kontroller som den kan komma att göra genom olika arbetsverktyg som IT-system, mejl och dator. Kontrollerna får dock typiskt sett enbart göras om det finns en konkret misstanke om att en medarbetare missköter sig.

– Det måste finnas indikationer på att en viss individ missköter sig. Då kan arbetsgivaren ha möjlighet att via de olika verktygen kontrollera om misstankarna stämmer. Men arbetsgivaren bör inte göra generella stickprov.

Det är också väldigt känsligt med övervakning i realtid, påpekar Peter Thornquist. Det är enligt dataskyddsförordningen som regel inte tillåtet att använda ett it-system för att i realtid eller på annat sätt regelmässigt övervaka hur de anställda utför sina arbetsuppgifter eller när de tar raster.

Gallra när anställda slutar, men spara löne- och pensionsuppgifter

De personuppgifter över anställda som företaget hanterar måste gallras när de tjänat ut sitt syfte.

– Sätt upp rutiner för hur och när uppgifter ska plockas bort ur systemet. Här måste arbetsgivaren fundera över vad ska vi med de här uppgifterna till? Det är alltid syftet med lagringen eller hanteringen som avgör hur länge informationen kan sparas.

När till exempel en anställning upphör finns det kanske inte längre anledning att spara den anställdes e-postkonto eller uppgifter om densamme på intranät eller extern webbplats. Samtidigt kan det finnas andra uppgifter som måste sparas för att arbetsgivaren ska fullgöra och ta tillvara sina rättsliga skyldigheter och anspråk, exempelvis ska uppgiften om att personen varit anställd och hur länge anställningen pågått inte raderas.

– Spara lönespecifikationerna! Preskriptionstiden för om en anställd har fått rätt lön eller inte är tio år. Även när det gäller utbetalning av pension får man som arbetsgivare räkna med att man kan behöva spara de uppgifterna väldigt, väldigt länge, konstaterar Peter Thornquist.

*Den 1 januari 2021 byter Datainspektionen namn och blir Integritetsskyddsmyndigheten, IMY.

Medlemsföretag i Teknikföretagen hittar mer information om GDPR och hanteringen av anställdas personuppgifter i Arbetsgivarguiden. Där kan du bland annat ladda ner boken "Dataskyddsförordningen för arbetsgivare".