GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Transkript

1 GDPR utmaningar och konsekvenser för dig som jobbar med lön Peter Nordbeck 9 november 2017

2 Agenda Introduktion De viktigaste att tänka på för dig som jobbar med lön Hur får du använda personuppgifterna? Hur länge får personuppgifterna sparas? Relationen med leverantören Så påverkar regelverket din yrkesroll

3 Introduktion

4 Idag: Personuppgiftslagen ( PuL ) och motsvarande nationella lagar i EU Syfte att skydda mot att personlig integritet kränks genom behandling av personuppgifter I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före GDPR - utmaningar och konsekvenser för dig som jobbar med lön

5 Ny EU-förordning ( GDPR ) Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte: Stärka integritetsskyddet Anpassat till tekniken Underlätta handel inom EU De nya reglerna gäller från och med den 25 maj GDPR - utmaningar och konsekvenser för dig som jobbar med lön

6 Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller Journalistiska ändamål Akademiskt, konstnärligt eller litterärt skapande Offentlighetsprincipen Personnummer Arbetsrätt Forskningsändamål eller statistiska ändamål GDPR - utmaningar och konsekvenser för dig som jobbar med lön

7 Obs! Kompletterande lagstiftning Förordningen behöver kompletteras av nationella regler Ny dataskyddslag SOU 2017:39 Dessutom finns kompletterande lag som får stor betydelse på enskilda områden i praktiken, regler som ställer krav på hur länge data måste sparas, t.ex. arbetsrätt, bokföringslag, m.m. Många konkreta frågor kommer därför ändå kräva nationell bedömning!

8 När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen avser registrerade som befinner sig i unionen; och behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter Även manuell behandling i register i vissa fall

9 Det viktigaste att tänka på för dig som jobbar med lön

10 Undantaget för ostrukturerat material försvinner Enligt PuL finns ett undantag för uppgifter som inte strukturerats för att påtagligt underlätta sökning Löpande text i ordbehandlings-program, text eller , inlägg på sociala medier Undantaget försvinner med GDPR Åtgärd: Utred om ni utnyttjat undantaget för behandling av ostrukturerat material och undersök framtida förutsättningar enligt förordningen (laglig grund, information till den registrerade etc.)

11 Accountability Företag ska kunna visa att lagen följs Krav på att 1) Varje behandling ska vara laglig 2) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna 3) Ordning och reda, policyer och rutiner 4) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m. Skyldighet för personuppgiftsansvariga (och biträden) att föra register över behandlingen

12 Registerförteckning Ett antal krav på vad ett register ska innehålla: namn och kontaktuppgifter för den personuppgiftsansvariga och dataskyddsombudet ändamålen med behandlingen beskrivning av kategorierna av registrerade och personuppgifter kategorier av mottagare ev. överföringar till tredjeland eller internationella organisationer förutsedda tidsfrister för radering allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder

13 Integritetstrappan vilka regler gäller enligt lagen Information till registrerade Säkerhet, rutiner för dataportabilitet etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring Speciella krav för känsliga uppgifter

14 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Korrekthet Uppgifter ska vara korrekta och om nödvändigt uppdaterade, annars raderas eller rättas Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet Den ansvarige ska kunna visa att de grundläggande principerna efterlevs

15 När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt för att fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Intresseavvägning Samtycke GDPR - utmaningar och konsekvenser för dig som jobbar med lön

16 Rättslig grund Förslag till ny Dataskyddslag: Förtydligande att minst en rättslig grund enligt artikel 6.1 i GDPR ska vara uppfylld För att grunden rättslig förpliktelse ska vara tillämplig krävs att den Är reglerad i lag eller annan författning Följer av kollektivavtal Följer av beslut som meddelats med stöd av lag eller annan författning

17 Rättslig grund för dig som jobbar med lön Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Anställningsavtalet lön ska betalas ut Nödvändigt för att fullgöra rättslig förpliktelse Bokföringslagen räkenskapsmaterial ska sparas i sju år Samtycke är inte nödvändigt för att betala ut lön! GDPR - utmaningar och konsekvenser för dig som jobbar med lön

18 Kan jag maila en lönespec? Datainspektionen: Känsliga personuppgifter i e- post ska krypteringsskyddas på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. Alternativa lösningar: Mina sidor E-lönespecifikationer via internetbanken Privacy by design Ställ krav på leverantören att tillhandahålla lösningar

19 Mer omfattande informationskrav Enligt de nya kraven ska bl.a. följande information lämnas: den period under vilken personuppgifterna kommer att lagras; de berättigade intressen som åberopas vid behandling med stöd av intresseavvägning rätten till dataportabilitet; och rätten att inge klagomål till en tillsynsmyndighet Information ska vara: koncis, klar, tydlig, begriplig, finnas i en lätt tillgänglig form och ha klart och tydligt språk och ska som huvudregel vara skriftlig Information kan lämnas i anställningsavtalet eller på intranätet GDPR - utmaningar och konsekvenser för dig som jobbar med lön

20 Hur länge får personuppgifter sparas? Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Uppgifter om lön är nödvändiga att spara Så länge anställningsavtalet består För att säkerställa rättigheter och uppfylla skyldigheter inom arbetsrätten För bokföringsändamål GDPR innebär alltså inte att du inte kan uppfylla bokföringslagens krav på lagring! Ta fram gallringspolicy

21 Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info

22 Relationen med era leverantörer

23 Privacy by design Inbyggd integritet Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system De grundläggande principerna, t.ex. undvika fritextfält, behörighet, standardinställningar för lagring, m.m. Den som är personuppgiftsansvarig ska ställa kraven Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella IT-arkitekter

24 Privacy by default Dataskydd som standard I standardfallet bara hantera uppgifter som är nödvändiga med hänsyn till ändamålet Exempel: IT-systemens arbetsflöde ska automatiskt styra användaren mot ett integritetssäkert arbetssätt Grundinställningarna ska vara satta så att inte mer information än nödvändigt samlas in eller visas

25 Krav på personuppgiftsbiträdesavtal med era leverantörer Biträdesavtal behöver finnas med alla biträden Påbörja arbete för att få alla avtal på plats Fråga leverantör eller skriva egna? Beror ofta på typ av relation: Leverantörers standardapplikationer Er outsourcade IT/IT-partner Standard enkla tjänster, t.ex. konsulttjänster Ha rutin för att bocka av om avtal ingåtts/ingås? Ha en lista över alla biträden Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ

26 Förbud mot överföring utanför EU Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att undantag gäller, t.ex. Modellklausulsavtal (ett avtal utöver biträdesavtalet) Privacy Shield

27 Hur påverkas din yrkesroll?

28 Ingen panik Uppgifter om lön kan fortfarande behandlas Nödvändigt för att administrera anställningsavtalet Bokföringsändamål Du kan spara uppgifter om lön Så länge anställningsavtalet består Så länge det behövs för att säkerställa rättigheter och uppfylla skyldigheter inom arbetsrätten I sju år för bokföringsändamål Krav på mera utförlig information till anställda Lämna informationen i anställningsavtalet eller på intranätet GDPR - utmaningar och konsekvenser för dig som jobbar med lön

29 Ingen panik.., forts Ställ krav på leverantörer att uppfylla privacy by design m.m. Högre krav på ordning och reda, policyer och rutiner Nyheter i GDPR har inte primärt fokus på behandling av personuppgifter om lön Dataportabilitet Rätten att bli bortglömd Konsekvensbedömning Dataskyddsombud GDPR - utmaningar och konsekvenser för dig som jobbar med lön

30 Lycka till och kör hårt!

31 Peter Nordbeck, Partner / Advokat Telefon: +46 (0) Mobil: +46 (0) peter.nordbeck@delphi.se Advokatfirman Delphi Adress: Mäster Samuelsgatan 17, Box 1432, Stockholm Telefon: + 46 (0) Fax +46 (0)

32