GDPR ur ett HR-perspektiv

Transkript

1 GDPR ur ett HR-perspektiv Lotta Kavtaradze Jurist och dataskyddskonsult

2 Dagens agenda Grundläggande principer - repe22on Rä5sliga grunder inom HR Var finns integritetskänsliga personuppgi<er inom HR? När behövs det samtycke inom HR? Masterdata och löneadmin Rekrytering Övervakning och kontroll Publicering på intranät och hemsida (foton) Fritext (utvecklingssamtal m.m.) BYOD. Lagring och hantering av data (mobila enheter, e-post m.m) Dataskyddsprojektet

3 Personuppgi< exempel Även INDIREKTA uppgi<er Omdömen och värderingar Bild- och ljudupptagningar (digitalt) Gene2sk och biometrisk informa2on Exempel: namn, personnummer, kombina2oner av t.ex. födelsedatum och adress/enhet, IP-adress, GPS-slingor, mobilnummer, e-postadress, kundnummer, anställningsnummer, fas2ghetsbeteckning ibland, användarid, lägenhetsnummer, ärendenummer, diarienummer, löpnummer.

4 Känsliga personuppgi<er Förbud a5 registrera, men det finns undantag: Ras eller etniskt ursprung Poli2ska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Sexualliv, sexuell läggning Gene2sk och biometrisk informa2on (ny5) Det finns också specialbestämmelser om registreringen av uppgi<er om bro5/bro5smisstanke samt om personnummer.

5 Grundläggande dataskyddsprinciper Propor2onalitet Accountability/ansvarsskyldighet Ändamålsbegränsning (utlämnanden) Uppgi<sminimering/relevans Lagringsminimering Behörigheter Öppenhet Säkerhet Inbyggt dataskydd/privacy by design Lagligt/Rä5slig grund - när får personuppgi<er registreras?

6 Rä5slig grund Samtycke svårt i en arbetsrä5slig situa2on Eller nödvändig för: Avtal Rä5slig förpliktelse (inkl vissa kollek2vavtal) Intressen av grundläggande betydelse (för den registrerade) Uppgi< av allmänt intresse (sta2s2k t ex) PuA:s myndighetsutövning Berä_gat intresse (kompetenser, loggar, 2domat t ex), kan inte användas av myndigheter när de fullgör sina uppgi<er + ev kommande registerlags2<ningar och uppförandekoder

7 Rä5sliga grunder exempel - Avtalsförhållande: grundinforma2on om de anställda, löneadministra2on, pensioner, försäkringar, presta2onsmätning om det är aktuellt i anställningen, cer2fieringar m.m. - Berä_gat intresse: kameraövervakning och annan övervakning, grunda kompetensdatabaser, passersystem, loggar, hemsidan i vissa fall, resesystem, rekrytering, anteckningar e<er samtal, kreditupplysningar/ bakgrundskontroller i vissa fall, 2domater, LAS-listor, utbildning, språkkunskaper, head counts m.m. - Allmänt intresse: sta2s2k - Rä5slig förpliktelse: bokföring, rapportera 2ll SKV, rehab, företrädesrä5 vid återanställning, vaccina2oner m.m. - Samtycke: känsliga personuppgi<er i vissa fall (inte om det föreligger rä5sliga anspråk eller e5 vik2gt allmänt intresse), hemsidan i vissa fall, djupa kompetensdatabaser, vissa delar i en rekrytering - Myndighetsutövning - Sektorsspecifika lags2<ningar: det finns ingen HR-datalag idag, men MBL, LAS osv. kan innebära a5 det finns en rä5slig grund enligt GDPR också

8 Känsliga personuppgi<er - undantag Undantag från förbudet: Vad säger GDPR? U5ryckligt samtycke Arbetsrä5en (även kollek2vavtal i GDPR) Socialtjänst/socialförsäkring Skydda vitala intressen Ideella organisa2oner Eget offentliggörande Vik2gt allmänt intresse (ny5) Hälso- och sjukvård Allmänt intresse på folkhälsoområdet (ny5) arkivering (ny5), forskning och sta2s2k Rä5sliga anspråk Speciallags2<ningar

9 Känsliga personuppgi<er exempel HR Sjukfrånvaro, rullstol, färdtjänst, hjälpmedel Rehabärenden Fackförenings2llhörighet (lönerevision, MBL, frånvaroorsak) Företagshälsovården (extern), provsvar och diagnoser, vaccina2oner Sjukanmälningar via externa företag Lagstadgade läkarundersökningar Vikarieanskaffning Gruppsjukförsäkring I bakgrundskontroller/rekrytering/utdrag från belastningsregistret Skyddade adresser Slöja/turban/bönepauser Matallergier/koschermat Reseprofiler i vissa fall Kan förekomma i anteckningar från samtal

10 Känsliga personuppgi<er exempel HR Hocullt uppträdande, misstanke om bro5, trakasserier Etnisk 2llhörighet, mångfaldsredovisning Trafikbro5 Behov av tolk Utvecklingssamtal och liknande Sta2s2k: ohälsotal, interna arbetsmiljömål Olycksfall m.m.

11 När behövs samtycke inom HR? Djupa kompetensdatabaser Personlighetstester/profiler Foton på hemsidan (inte all2d) Känsliga uppgi<er från referenspersoner Känsliga uppgi<er i utvecklingssamtal och liknande Lämna annat än grundläggande informa2on 2ll moderbolag i tredjeland (personnummer, omdömen) Biometriska uppgi<er Tänk på a5 det är en beroendesitua2on = svårt a5 använda samtycke. Det måste vara helt frivilligt och ak2vt. Obs! De5a är inte en heltäckande uppräkning!

12 Extra skyddsvärda personuppgi<er Värderingar och omdömen som t ex samarbetsproblem Personnummer Tystnadsplikt Viss ekonomisk informa2on Uppgi<er som ligger nära privatlivet Inget förbud men ställer högre säkerhetskrav framförallt vid kommunika2on via öppna närverk (t ex Mina Sidor och e-post).kryptering och flerfaktorsauten2sering.

13 Masterdata och löneadmin Att tänka på: - Ändamålet t.ex. vid utlämnanden, prestationsmätningar. Vad har den anställde anledning att räkna med? - Personnummer - Foton är tveksamt, särskilt i globala system - Sjukfrånvaro inga diagnoser normalt, helst standardkommentarer - Behörighetstilldelningen - Ekonomisk information (införsel t.ex.), bankinformation - Skyddade adresser - Fritext - Gallring (ifrågasätta löneutbetalningar) - Informationsinsatser - Outsourcing (avtal, kommunikation, ansvar)

14 Rekrytering A5 tänka på: - Känsliga uppgi<er i ansökan och från referenspersoner, på vilket stadium behövs det? - Personlighetsprofiler/tester - Personliga reflexioner - Informera - Samtycke krävs i vissa fall - Gallringsru2ner - Ansvar hos rekryteringsföretag - Bakgrundskontroller - Vad kan skickas via mejl?

15 Övervakning och kontroll In- och utpassering Kontroll av datorer, telefoner m.m. Kameror GPS Monitorering m.m. i kundtjänst t.ex. Plock och pack och liknande presta2oner Real2dsövervakning AMV har meddelat korta föreskri<er på de5a område. Diskutera med facket och ta fram policies och ru2nbeskrivningar.

16 Hemsidan, intranätet Arbetsrelaterade uppgi<er, även arbetslivserfarenhet etc för vissa grupper som marknadsförs Var försik2g med sådant som blir mycket personligt Direktkontaktuppgi<er? Foton samtycke? Rekommenda2on men undantag för vissa grupper, bl.a. högsta ledningen, för marknadsföring av t.ex. konsulter och personer som ska besöka kunder i deras hem.

17 Fritexcält A5 tänka på: Omdömen och värderande informa2on upplevs o<a som mycket integritetskänslig Fakta är OK, men ur en objek2v synvinkel Försök a5 undvika personliga reflexioner om det inte behövs Registerutdrag! Vad hade du själv anse5 vara kränkande? Hur u5rycker man sig på e5 sä5 som inte är kränkande? Diskutera. Ta fram riktlinjer och förklara varför. Det är INTE chefens privata noteringar! Obs! Inga koder!

18 Lagra hemma, BYOD, mobila enheter Säkerheten måste vara 2llräcklig, klarar ni det? Tänk på den anställdes integritet Gör en riskanalys Gemensamma regler? Dropbox och liknande? Mejl i mobilen? Offentliga Wifi-nät? Hur skyddas laptops, mobiler, paddor utanför huset? Vad händer när någon byter jobb inom eller utom organisa2onen, eller byter dator?

19 Y5erligare behandlingar a5 ha koll på Bakgrundskontroller Utlämnandefrågor Samtal, utvärderingar Reseadministra2on Kompetens-/CV-databaser (Försvarsmakten, DI ) Biometrisk informa2on Due diligens/showrooms Whistleblowing Arbetsförmågebedömningar (DI ) Anhörigregister

20 Y5erligare behandlingar a5 ha koll på Presta2onsmätning Intressekonflikter/bisysslor Personalliggare Varningar Avgångsorsaker/spärrlistor LAS-listor Skyddade adresser Registerutdrag Personnummer

21 Övergripande legala förändringar 2016/2018 Alla medlemsstater får samma lagtext. Öppet för många tolkningar! Flexibilitet på myndighetsområdet, arbetslivet m.fl: vad ska gälla i Sverige? Stora bötesbelopp, upp 2ll 20 miljoner euro eller 4% av den globala omsä5ningen Krav på analyser, ru2ner och dokumenta2on Inbyggt dataskydd/privacy by design Dataskyddsombud Incidentrapportering Konsekvensbedömningar Personuppgi<sbiträdet blir 2llsynsobjekt Det ställs större krav på biträdesavtalen, de flesta måste skrivas om

22 Övergripande legala förändringar Den enskildes rä_gheter: Särskild hänsyn 2ll uppgi<er om barn Samtycket ska vara tydligare och krävs o<are (?) Informa2onskravet blir ännu mer omfa5ande Nya förutsä5ningar inom marknadsföringen (profilering/selektering) Rä5en a5 bli glömd och dataportabilitet m.m. Registerutdrag ska kunna lämnas elektroniskt

23 Hur lämnar man informa2on 2ll anställda? Alla anställda ska få ny/mer informa2on Vilka kommunika2onsvägar har ni med dem? Hur kan ni använda intranätet? De behöver inte samtycka eller bekrä<a a5 de har läst informa2onen Stryk ev. samtycke i anställningsavtalet Ta upp frågan på arbetsplatsmöten Tala om var informa2onen finns, i anställningsavtalet, när man öppnar intranätet, via e-post (t ex)

24 Krav på ordning och reda Governance - ledning/styrning/budget Organisa2on Policies/guidelines/processer Ansvarsskyldighet/accountability - utökat krav på kartläggning, dokumenta2on, avtal, analys, guidelines Analyser (konsekvens, risk, sårbarhet, behov) Medvetenhet/utbildning Öppenhet/transparens Hur gör man med ostrukturerat material? GOD INFORMATIONSSTRUKTUR!

25 Vad behöver ni förbereda? Organisa2on, strategier och resurser Nulägesanalys (inventering och juridisk utvärdering) GAP-analys och åtgärdsplaner Utbilda personal (och beslutsfa5are) Ta fram riktlinjer och ru2ner för dokumenta2on, gallring, fritext, behörigheter, utvecklingsprojekt m.m. Gör konsekvensanalyser eller i vart fall screening Se över leverantörsavtalen Utse e5 dataskyddsombud (?) Var beredda a5 visa omvärlden vad ni har gjort och hur ni har tänkt.

26 A5 tänka på som ledare Alla måste ta si5 ansvar nu, särskilt personer i ledande ställning! Skapa e5 compliance-klimat Ta upp dessa frågor på arbetsplatsmöten Kom ihåg a5 agera vid change Ordna utbildnings2llfällen Ta fram guidelines

27 NULÄGESANALYS! Och nu då?

28 Tack för idag! Lo5a Kavtaradze DP Academy börjar i februari!