Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi

Transkript

1 Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi Nya dataskyddsförordningen i ett HR-perspektiv 1

2 Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande förordning som ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Syftar bl.a. till att stärka integritetsskyddet och möta teknikens förändringar Reglerar behandling av personuppgifter De nya reglerna gäller från och med den 25 maj Nya dataskyddsförordningen i ett HR-perspektiv 2

3 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Är detta en personuppgift? En adressuppgift Ett anställningsnummer En uppgift om lön ID-nummer i passersystem En bild: O.s.v Nya dataskyddsförordningen i ett HR-perspektiv 3

4 Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter T.ex. insamling, registrering och lagring Inom HR (exempel): Registrera en arbetssökandes CV Utbetalning av lön Teckna försäkring för en anställd Upprätta turordningslistor Ta in ett sjukintyg avseende en anställd Nya dataskyddsförordningen i ett HR-perspektiv 4

5 När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen Avser alla anställda som befinner sig i unionen; och Behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter Gäller alltså för alla arbetsgivare i unionen PuL:s undantag för ostrukturerat material försvinner Nya dataskyddsförordningen i ett HR-perspektiv 5

6 Vem ansvarar och vad innebär ansvaret?

7 Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med personuppgifter är personuppgiftsansvarig Ansvarar alltid självständigt för att lagen uppfylls Ska kunna visa att lagen följs (accountability) Det är alltså ni som personuppgiftsansvarig som ansvarar, inte era IT-leverantörer Nya dataskyddsförordningen i ett HR-perspektiv 7

8 Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden inom HR Leverantörer av IT-system (t.ex. lönesystem, PAsystem o.s.v.) Rekryteringsbyråer Support för personaladministration Leverantör av tidrapporteringssystem Utökade direkta skyldigheter Nya dataskyddsförordningen i ett HR-perspektiv 8

9 Kom ihåg-lista vid användning av biträde Krav på skriftligt avtal vid anlitande av personuppgiftsbiträde Dokumenterade instruktioner Inte längre ett standardavtal viktigt anpassa till situationen förhandla Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ Nya dataskyddsförordningen i ett HR-perspektiv 9

10 Lagliga grunder för behandling av personuppgifter

11 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Korrekthet Uppgifter ska vara korrekta, annars raderas Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust, åtkomstkontroll Nya dataskyddsförordningen i ett HR-perspektiv 11

12 När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Intresseavvägning Samtycke Nya dataskyddsförordningen i ett HR-perspektiv 12

13 Nödvändigt för att uppfylla anställningsavtalet Utbetalning av lön Administrera och beräkna arbetstid Medarbetarsamtal Registrera prestationer för att uppfylla skyldigheter enligt ett ackordlöneavtal eller prestationsbaserad bonus O.s.v Nya dataskyddsförordningen i ett HR-perspektiv 13

14 Rättslig förpliktelse För att grunden rättslig förpliktelse ska vara tillämplig krävs att behandlingen av personuppgifter följer av en förpliktelse som Är reglerad i lag Följer av kollektivavtal, eller Följer av beslut som meddelats med stöd av lag eller annan författning Nya dataskyddsförordningen i ett HR-perspektiv 14

15 Rättslig förpliktelse - exempel Följa arbetsmiljölagstiftning Upprätta turordningslistor Bevaka företrädesrätt Arbetsgivarintyg MBL-förhandla O.s.v Nya dataskyddsförordningen i ett HR-perspektiv 15

16 Intresseavvägning Den anställdes intressen eller grundläggande fri- och rättigheter Personuppgiftsansvariges (arbetsgivarens) berättigade intresse Nya dataskyddsförordningen i ett HR-perspektiv 16

17 Vad påverkar en intresseavvägning Rättspraxis Vägledning Intrång i arbetstagarens integritet Helhetsbedömning, bl.a.: Typ av verksamhet Kollektivavtal Branschpraxis Nya dataskyddsförordningen i ett HR-perspektiv 17

18 Intresseavvägning exempel Normalt OK att kontrollera och övervaka anställda om det krävs av säkerhetsskäl, till exempel in- och utpasseringssystem som positionerar den anställde I vissa fall OK att publicera kontaktinformation, till exempel namn, titel och telefonnummer, på företagets hemsida Rent generellt: planera, organisera, leda och följa upp Nya dataskyddsförordningen i ett HR-perspektiv 18

19 Vad en intresseavvägning normalt inte stödjer Behandla data för ett helt annat (nytt) syfte Läsa anställdas privata e-post (utom vid allvarlig misstanke om ohederligt eller kriminellt beteende) Blockeringslistor/spärrlistor för att förhindra återanställning av tidigare anställda Nya dataskyddsförordningen i ett HR-perspektiv 19

20 Samtycke Frivillig, specifik, informerad och otvetydig viljeyttring Nya dataskyddsförordningen i ett HR-perspektiv 20

21 Samtycke vid rekrytering? Generellt sett tillåtet Glöm inte frivillighet! Exempel på samtycke vid rekrytering Spara uppgifter för framtida rekrytering Nya dataskyddsförordningen i ett HR-perspektiv 21

22 Samtycke i anställningsförhållandet? Fri valmöjlighet eller inte? Betydande ojämlikhet mellan parterna beroendeställning Typiskt sett ska samtycken inte användas i relation till arbetstagare Använd annan laglig grund för behandlingen, eller Erbjud rimliga alternativ Nya dataskyddsförordningen i ett HR-perspektiv 22

23 Exempel på samtycke i anställningsförhållandet Arbetsgivaren erbjuder ett rimligt alternativ Positionering vid tidsrapportering i telefonapp möjlighet att stämpla in på dator på jobbet = OK Uppgifter om anställda på intranät kontaktuppgifter ifyllda och därutöver frivilligt för arbetstagaren att fylla i ytterligare information = OK i vissa situationer (ex. inte anhöriguppgifter) Nya dataskyddsförordningen i ett HR-perspektiv 23

24 Känsliga personuppgifter

25 Känsliga personuppgifter Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter, t.ex. fingeravtryck Hälsa Sexuell läggning/sexualliv Får bara behandlas i undantagsfall Uttryckligt samtycke (undvik i anställningsförhållandet) Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd Nya dataskyddsförordningen i ett HR-perspektiv 25

26 Känsliga personuppgifter i anställningsförhållandet Känsliga personuppgifter Medlemskap i fackförening (ex. för att uppfylla förhandlingsskyldighet) Hälsa Företagshälsovård Sjukskrivningar Rehabiliteringar Arbetsplatsolyckor Allergier Terminalglasögon Nya dataskyddsförordningen i ett HR-perspektiv 26

27 Känsliga uppgifter och integritetskänslig information i praktiken Lönespecifikation via mail? Hur hantera företagshälsovården i praktiken? Vilken information behöver arbetsgivaren ha? Vad står på fakturan? Vilka har tillgång till systemet? Tillräcklig säkerhet? Adam är allergisk mot nötter hur hanteras den informationen? Nya dataskyddsförordningen i ett HR-perspektiv 27

28 Registrerades rätt till information

29 Information som ska lämnas självmant Information ska lämnas självmant till alla registrerade Kandidater Nyanställningar Redan anställda Anhöriguppgifter Omfattande informationskrav som ska anpassas till just er går inte att använda en mall Har ni bolag i flera länder behöver ni ta fram integritetspolicyer anpassade till nationella bestämmelser Nya dataskyddsförordningen i ett HR-perspektiv 29

30 När och hur ska informationen lämnas? Vid rekrytering I samband med att kandidaten registrerar sig på hemsidan/rekryteringssidan I samband med att kandidaten skickar sina uppgifter till er (ex. spontanansökan) Vid nyanställning I samband med att avtal ingås Redan anställda Informera alla anställda och dokumentera att informationen lämnats Nya dataskyddsförordningen i ett HR-perspektiv 30

31 Rekrytering

32 Rekrytering Bakgrundskontroll Sociala medier affärsrelaterade eller privata? Kreditupplysning Belastningsregister Laglig skyldighet? Om inte laglig skyldighet: Frivilligt! Spara inte Spontanansökningar Spara i byrålåda? Information? Nya dataskyddsförordningen i ett HR-perspektiv 32

33 Gallring några exempel Nödvändigt att spara för rekryteringsförfarandet? Uppgifterna ska gallras när jobbet inte längre är ledigt eller när personen tackat nej till ett erbjudande Arbetsgivare kan spara uppgifter så länge det behövs i händelse av vidtagna rättsliga åtgärder från en sökande som inte fick anställning, ex: Diskriminering Offentlig tid för överklagande Samtycke krävs för att spara uppgifter för framtida rekrytering Nya dataskyddsförordningen i ett HR-perspektiv 33

34 Pågående anställning

35 Anställningsförhållandet Kollektivavtal kan innehålla viktiga bestämmelser Undersökning av anställdas profil på sociala medier Inte generellt tillåtet Kan vara tillåtet för att säkerställa att den anställde inte bryter mot en konkurrensklausul Medarbetarundersökningar Intresseavvägning Hur länge spara? Anonymt? Nya dataskyddsförordningen i ett HR-perspektiv 35

36 Gallring några exempel Utvecklingssamtal Övervakning Kameraövervakning In- och utpasseringssystem Arbetsrättsliga åtgärder (disciplinärenden) Bokföringsändamål Löneunderlag Läkarintyg Kom ihåg! Bestämmelser i kollektivavtal kan påverka gallringstiden Nya dataskyddsförordningen i ett HR-perspektiv 36

37 Anställningen upphör

38 Grundläggande Gallras om inte längre nödvändigt Rättslig grund för fortsatt behandling Nya dataskyddsförordningen i ett HR-perspektiv 38

39 I praktiken Rena faktauppgifter Uppsägning pga arbetsbrist Uppsägning pga personliga skäl Avsked Administrativa ändamål Referenser Betyg och tjänstgöringsintyg som arbetsgivaren gett till arbetstagaren dock inte värderande uppgifter Normalt sett inte grund för att spara kontaktuppgifter på hemsidan Nya dataskyddsförordningen i ett HR-perspektiv 39

40 Gallring Anställningsavtal Kontrolluppgifter Bokföringslagen Preskriptionslagen Lagen om anställningsskydd Anställningen övergår till tillsvidareanställning Rätt till återanställning Så länge en anställd kan komma med krav Medbestämmandelagen Arbetslöshetsförsäkringslagen Arbetsgivarintyg Arbetsmiljöfrågor Kom ihåg! Bestämmelser i kollektivavtal kan påverka gallringstiden Nya dataskyddsförordningen i ett HR-perspektiv 40

41 Avslutningsvis

42 Lycka till! Nya dataskyddsförordningen i ett HR-perspektiv 42

43 Emma Bädicker / Associate Mobil: emma.badicker@delphi.se Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se Nya dataskyddsförordningen i ett HR-perspektiv 43