Så hanterar du dataskyddet
Som arbetsgivare gäller det att kunna visa att du har koll på dataskyddets sex v:n: vilka, var, varför, vad, vem och varaktighet. Här berättar vi hur du gör.
Dataskyddsförordningen reglerar hur personuppgifter, alltså varje upplysning som rör en identifierad eller identifierbar fysisk person, får behandlas. Även om många företag hanterar personuppgifter för personer som inte är anställda, exempelvis kunder, leverantörer och samarbetspartners, fokuserar vi i denna artikel på personuppgifter som rör förhållandet mellan arbetsgivare och arbetstagare.
Arbetsgivaren ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker enligt förordningen. Ett lämpligt sätt att visa detta på är att beskriva det i en personuppgiftspolicy, som kan finnas som bilaga till anställningsavtalet eller via en länk till en sida på intranätet.
Arbetsgivaren bör då ställa sig ett antal frågor som kan sammanfattas som dataskyddets sex v:n – vilka, var, varför, vad, vem och varaktighet:
Vilka personuppgifter behandlas i verksamheten?
Var finns de någonstans?
Varför samlas de in, lagras och behandlas?
Vad är den rättsliga grunden för behandlingen av personuppgifterna?
Vem har tillgång till dem?
Vilken varaktighet – under hur lång tid tänker arbetsgivaren behandla och lagra uppgifterna?
Personuppgifterna får inte sparas längre än vad som är nödvändigt för den aktuella behandlingen. Det är ändamålet som avgör om uppgifterna ska sparas eller tas bort.
När till exempel en anställning upphör finns det kanske inte längre anledning att spara den anställdes e-postkonto eller uppgifter om den anställde på intranät eller extern webbplats. Samtidigt kan det finnas andra uppgifter som måste sparas för att arbetsgivaren ska fullgöra och ta tillvara sina rättsliga skyldigheter och anspråk, exempelvis ska uppgiften om att personen varit anställd och hur länge anställningen varat inte raderas.
Förutom att kunna visa hur arbetsgivaren följer dataskyddsförordningen har denne även en långtgående skyldighet att informera anställda om den behandling av personuppgifter som sker i företaget. Informationen ska finnas i lättillgänglig, skriftlig form och ha ett tydligt och enkelt språk.
Vill du veta mer? Besök Arbetsgivarguiden på Teknikföretagens webb – där finns fördjupande läsning för medlemsföretag i Teknikföretagen.
Text
Charlotta SundinFoto
Eva Lindblad