Fräscha upp dina GDPR-kunskaper!

GDPR slog ner som en bomb i slutet av maj 2018. Många företag och myndigheter överrumplades av den nya lagen, vars avsikt var att säkra en harmoniserad standard kring hantering av personuppgifter i EU. Två år senare sitter förhoppningsvis kunskaperna där de ska, eller?

     

den 31 augusti 2020 Natalia Björkman

Nu har över två år gått sedan förordningen implementerades och blev en del av svensk lag. GDPR-fokuset har med tiden blivit mindre påtagligt och andra förändringar i samhället har av naturliga skäl tagit en större plats på sistone, t ex korttidspermitteringar.

Att hålla sig ajour med regelverket kring GDPR är dock viktigt! Lagens syfte är trots allt att skydda integriteten, något som alltid kommer vara högaktuellt.

I grunden kan sägas att dataskydd även innan GDPR var väl reglerat i Sverige, genom PUL (personuppgiftslagen). GDPR är egentligen ”bara” en skärpning av PUL, så för de företag, myndigheter och arbetsgivare som tidigare följt PUL väl torde GDPR-implementeringen inte skapa några större problem. Däremot fick GDPR stor uppmärksamhet utifrån de nya administrativa böterna som reglerades vid eventuellt brott mot GDPR. Siffror som 4 % av den globala årsomsättningen, eller 20 miljarder euro, uppfattades av många som svindlande, särskilt i relation till tidigare böter som utdömts i Sverige för brott mot PUL, där de högre böterna hamnat kring 50 000 kr.

Så vad ska man då tänka på för att som arbetsgivare inte trampa snett i GDPR-djungeln?

Först och främst ska man veta att GDPR inte förbjuder hantering av personuppgifter. Däremot ska personuppgifterna hanteras korrekt och med eftertanke.

GDPR föreskriver en informationsskyldighet för den som hanterar personuppgifter. Som arbetsgivare innebär detta att alla medarbetare på ett tydligt och enkelt sätt ska få information om hur dennes personuppgifter hanteras, varför de hanteras samt vilka personuppgifter som hanteras. Här är det viktigt att tänka på att informationen ska vara specifik och uttömmande. Det räcker alltså inte med att skriva: ”Vi hanterar dina personuppgifter för att vi har vissa rättsliga krav som kräver det”. Lägg ner tid på denna information, gärna genom att ta fram en policy som tydligt reglerar denna information till anställda.

Vill man få kvittens på att de anställda mottagit informationen kan man också be om en underskrift efter att den anställde mottagit och läst igenom policyn.

I Servicepaket Dataskydd hittar du ett förslag på en integritetspolicy bland våra blanketter och mallar. Om du inte redan har ett abonnemang kan du prova det gratis.


GDPR – 5 snabba för arbetsgivare

  1. Ta kontroll över företagets system – vilka större system använder företaget?
  2. Granska de personuppgifter som sparas i dessa system – vilka personuppgifter har företaget och till vilket ändamål? Finns det en legal grund som stödjer hanteringen av personuppgiften? – Om inte, så ska den bort.
  3. Kontrollera vem/vilka som har tillgång till personuppgifter och begränsa den skaran. Är systemen säkra och personuppgifterna väl skyddade?
  4. Har våra anställda fått information om hur deras personuppgifter hanteras? Om inte, ta fram en integritetspolicy och tydliggör på ett enkelt sätt hur, vilka och varför personuppgifter hanteras. Tänk på att informationen måste uppdateras och delges på nytt om förändringar av personuppgiftshanteringen sker.
  5. Ha dialog med leverantörer och samarbetspartners. Se till så att personuppgiftsbiträdesavtal finns på plats och att dessa efterlevs av tredje part.