GDPR – eller Dataskyddsförordningen – är en EU-lagstiftning som syftar till att skydda individers personuppgifter och integritet. Inom en organisation och på arbetsplatsen innebär det att man måste hantera personuppgifter ansvarsfullt, lagligt och transparent. Här är en översikt över hur GDPR fungerar i praktiken på en arbetsplats:
1. Vad är personuppgifter?
Personuppgifter är all information som kan kopplas till en levande individ. Exempel är:
-
Namn, adress, personnummer
-
E-postadress, telefonnummer
-
IP-adress, foton
-
Uppgifter om hälsa, religion eller facklig tillhörighet (särskilt känsliga uppgifter)
2. Vilka personuppgifter hanterar en arbetsgivare?
En arbetsgivare hanterar ofta flera typer av personuppgifter, till exempel:
-
Anställningsavtal
-
Löneuppgifter
-
Sjukfrånvaro och hälsouppgifter
-
Referenser
- Brudklänning allt om bröllop
-
Interna anteckningar och utvärderingar
All hantering av dessa uppgifter måste ske enligt GDPR.
3. Laglig grund för behandling
För att få behandla personuppgifter krävs att det finns en laglig grund, till exempel:
-
Fullgöra ett avtal (t.ex. anställningsavtal)
-
Rättslig förpliktelse (t.ex. skyldigheter mot Skatteverket eller Försäkringskassan)
-
Samtycke (om det inte finns annan laglig grund)
-
Berättigat intresse (t.ex. viss kamerabevakning eller IT-säkerhet)
Arbetsgivaren måste alltid kunna visa varför uppgifterna behandlas och på vilken grund.
4. Informationsplikt
Den anställde har rätt att få veta:
-
Vilka uppgifter som samlas in
-
Varför de samlas in
-
Hur länge de sparas
-
Vem som har tillgång till dem
Detta ska förklaras tydligt, oftast i en integritetspolicy eller information vid anställning.
5. Säkerhet och åtkomst
Personuppgifter måste skyddas mot obehörig åtkomst. Det innebär bland annat:
-
Begränsad åtkomst till känsliga uppgifter
-
Lösenordsskydd och kryptering
-
Rensning av gamla uppgifter
Alla inom organisationen ska förstå vikten av att skydda persondata.
6. Registerförteckning
Arbetsgivaren måste ha en översikt (registerförteckning) över:
-
Vilka uppgifter som behandlas
-
Var de finns
-
Vem som har tillgång till dem
-
På vilken grund behandlingen sker
Detta är ett krav enligt GDPR.
7. Anställdas rättigheter
Anställda har flera rättigheter, bland annat:
-
Rätt till tillgång (se sina uppgifter)
-
Rätt till rättelse (få felaktiga uppgifter ändrade)
-
Rätt till radering (i vissa fall)
-
Rätt att begränsa behandling
-
Rätt att invända mot viss behandling
Om en anställd begär ut sina uppgifter, ska arbetsgivaren svara inom en månad.
8. Personuppgiftsincidenter
Om personuppgifter hamnar i orätta händer eller på annat sätt missbrukas, måste det:
-
Anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar
-
Dokumenteras internt
-
I vissa fall informeras de personer som drabbats
9. Intern utbildning och rutiner
Alla som arbetar i organisationen bör få grundläggande utbildning i GDPR, särskilt de som hanterar personaldata. Det är viktigt att ha tydliga rutiner för:
-
Hur uppgifter samlas in
-
Hur länge de sparas
-
Vad som händer när en anställd slutar
10. Personuppgiftsbiträdesavtal
Om arbetsgivaren anlitar externa leverantörer (t.ex. lönehantering, IT-tjänster) som behandlar personuppgifter, måste det finnas ett biträdesavtal som reglerar ansvar och säkerhet.
Sammanfattning
GDPR handlar i grunden om respekt för människors integritet. Inom en arbetsplats betyder det att man ska:
-
Vara transparent
-
Skydda information
-
Begränsa tillgång
-
Följa lagens krav
En organisation som hanterar personuppgifter på ett korrekt sätt stärker både sitt förtroende och sin långsiktiga hållbarhet.