GDPR ur ett HR-perspektiv

Relevanta dokument
Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Lo#a Kavtaradze. Jur. kand. och dataskyddskonsult Privacyline AB

Dataskyddsförordningen

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR- Seminarium 2017

Den nya dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Mertzig Asset Management AB

Dataskyddsförordningen

Kerstin Wardman, 25 april 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

GDPR General data protection regulation Dataskyddsförordningen

Information om dataskyddsförordningen

Dataskyddsförordningen - GDPR

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

36. GDPR-sex månader kvar november 2017

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

GDPR UTBILDNINGSDAG SKKF

Behandling av personuppgifter vid Göteborgs universitet

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

GDPR. Ulrika Harnesk 17 oktober 2018

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Personuppgiftsbehandling för forskningsändamål

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Dataskyddsförordningen (GDPR)

Uppdaterad Integritetspolicy

I denna integritetspolicy används följande begrepp med den nedan angivna innebörden:

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Dataskyddsförordningen 2018

Södertörns brandförsvarsförbund

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgiftsbehandling i forskning

Dataskyddsförordningen och kvalitetsregister

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Dataskyddsförordningen Fokus på kommunal verksamhet

Dataskyddsförordningen Fokus på kommunal verksamhet. Staffan Wikell, förbundsjurist SKL Lotta Kavtaradze, dataskyddskonsult LegalWorks januari 2018

Riktlinje för hantering av personuppgifter i e-post och kalender

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsinformation för Svedala kommun

Lathund Personuppgiftslagen (PuL)

Dataskyddsförordningen 2018

Riktlinjer för behandling av personuppgifter

Punkt 21 Riktlinje för fritextfält

Personuppgiftspolicy Signera Rekrytering AB

Dataskyddsförordningen, GDPR

Riktlinjer för webbpublicering enligt PuL

Personuppgiftslagen (PuL) - En kort introduktion

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Dataskyddsförordningen GDPR

Koncernkontoret Enheten för juridik

Vården och reglerna om dataskydd

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Spiltan Fonder AB INTEGRITETSPOLICY. Gäller fr.o.m (11)

GDPR Panik eller full koll på läget?

INFORMATIONSSÄKERHET OCH DATASKYDD

Dataskyddsförordningen

EU:s dataskyddsförordning

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

GDPR. Anders Ahlström

Personuppgiftspolicy för arbetssökande och anställda

Personuppgiftsbehandling Dataskydd

(5) Integritetspolicy - Kumla Bostäder AB

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

PERSONUPPGIFTSLAGEN (PUL)

Dataskyddsförordningen i utbildningsverksamhet

Personuppgiftslagen 20 april 2010

Intern integritetspolicy för NetOnNet

För dig som kund 8. Inledning 2 Personuppgifter 3 För dig som kandidat 4

GDPR Presentation Agenda

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy för personuppgiftsbehandling

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

EU:s dataskyddsförordning

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

GDPR-guide FÖR LÖNEADMINISTRATÖREN

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Policy: Säker hantering av personuppgifter

Transkript:

GDPR ur ett HR-perspektiv Lotta Kavtaradze Jurist och dataskyddskonsult 2018-01-25

Dagens agenda Grundläggande principer - repe22on Rä5sliga grunder inom HR Var finns integritetskänsliga personuppgi<er inom HR? När behövs det samtycke inom HR? Masterdata och löneadmin Rekrytering Övervakning och kontroll Publicering på intranät och hemsida (foton) Fritext (utvecklingssamtal m.m.) BYOD. Lagring och hantering av data (mobila enheter, e-post m.m) Dataskyddsprojektet

Personuppgi< exempel Även INDIREKTA uppgi<er Omdömen och värderingar Bild- och ljudupptagningar (digitalt) Gene2sk och biometrisk informa2on Exempel: namn, personnummer, kombina2oner av t.ex. födelsedatum och adress/enhet, IP-adress, GPS-slingor, mobilnummer, e-postadress, kundnummer, anställningsnummer, fas2ghetsbeteckning ibland, användarid, lägenhetsnummer, ärendenummer, diarienummer, löpnummer.

Känsliga personuppgi<er Förbud a5 registrera, men det finns undantag: Ras eller etniskt ursprung Poli2ska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Sexualliv, sexuell läggning Gene2sk och biometrisk informa2on (ny5) Det finns också specialbestämmelser om registreringen av uppgi<er om bro5/bro5smisstanke samt om personnummer.

Grundläggande dataskyddsprinciper Propor2onalitet Accountability/ansvarsskyldighet Ändamålsbegränsning (utlämnanden) Uppgi<sminimering/relevans Lagringsminimering Behörigheter Öppenhet Säkerhet Inbyggt dataskydd/privacy by design Lagligt/Rä5slig grund - när får personuppgi<er registreras?

Rä5slig grund Samtycke svårt i en arbetsrä5slig situa2on Eller nödvändig för: Avtal Rä5slig förpliktelse (inkl vissa kollek2vavtal) Intressen av grundläggande betydelse (för den registrerade) Uppgi< av allmänt intresse (sta2s2k t ex) PuA:s myndighetsutövning Berä_gat intresse (kompetenser, loggar, 2domat t ex), kan inte användas av myndigheter när de fullgör sina uppgi<er + ev kommande registerlags2<ningar och uppförandekoder

Rä5sliga grunder exempel - Avtalsförhållande: grundinforma2on om de anställda, löneadministra2on, pensioner, försäkringar, presta2onsmätning om det är aktuellt i anställningen, cer2fieringar m.m. - Berä_gat intresse: kameraövervakning och annan övervakning, grunda kompetensdatabaser, passersystem, loggar, hemsidan i vissa fall, resesystem, rekrytering, anteckningar e<er samtal, kreditupplysningar/ bakgrundskontroller i vissa fall, 2domater, LAS-listor, utbildning, språkkunskaper, head counts m.m. - Allmänt intresse: sta2s2k - Rä5slig förpliktelse: bokföring, rapportera 2ll SKV, rehab, företrädesrä5 vid återanställning, vaccina2oner m.m. - Samtycke: känsliga personuppgi<er i vissa fall (inte om det föreligger rä5sliga anspråk eller e5 vik2gt allmänt intresse), hemsidan i vissa fall, djupa kompetensdatabaser, vissa delar i en rekrytering - Myndighetsutövning - Sektorsspecifika lags2<ningar: det finns ingen HR-datalag idag, men MBL, LAS osv. kan innebära a5 det finns en rä5slig grund enligt GDPR också

Känsliga personuppgi<er - undantag Undantag från förbudet: Vad säger GDPR? U5ryckligt samtycke Arbetsrä5en (även kollek2vavtal i GDPR) Socialtjänst/socialförsäkring Skydda vitala intressen Ideella organisa2oner Eget offentliggörande Vik2gt allmänt intresse (ny5) Hälso- och sjukvård Allmänt intresse på folkhälsoområdet (ny5) arkivering (ny5), forskning och sta2s2k Rä5sliga anspråk Speciallags2<ningar

Känsliga personuppgi<er exempel HR Sjukfrånvaro, rullstol, färdtjänst, hjälpmedel Rehabärenden Fackförenings2llhörighet (lönerevision, MBL, frånvaroorsak) Företagshälsovården (extern), provsvar och diagnoser, vaccina2oner Sjukanmälningar via externa företag Lagstadgade läkarundersökningar Vikarieanskaffning Gruppsjukförsäkring I bakgrundskontroller/rekrytering/utdrag från belastningsregistret Skyddade adresser Slöja/turban/bönepauser Matallergier/koschermat Reseprofiler i vissa fall Kan förekomma i anteckningar från samtal

Känsliga personuppgi<er exempel HR Hocullt uppträdande, misstanke om bro5, trakasserier Etnisk 2llhörighet, mångfaldsredovisning Trafikbro5 Behov av tolk Utvecklingssamtal och liknande Sta2s2k: ohälsotal, interna arbetsmiljömål Olycksfall m.m.

När behövs samtycke inom HR? Djupa kompetensdatabaser Personlighetstester/profiler Foton på hemsidan (inte all2d) Känsliga uppgi<er från referenspersoner Känsliga uppgi<er i utvecklingssamtal och liknande Lämna annat än grundläggande informa2on 2ll moderbolag i tredjeland (personnummer, omdömen) Biometriska uppgi<er Tänk på a5 det är en beroendesitua2on = svårt a5 använda samtycke. Det måste vara helt frivilligt och ak2vt. Obs! De5a är inte en heltäckande uppräkning!

Extra skyddsvärda personuppgi<er Värderingar och omdömen som t ex samarbetsproblem Personnummer Tystnadsplikt Viss ekonomisk informa2on Uppgi<er som ligger nära privatlivet Inget förbud men ställer högre säkerhetskrav framförallt vid kommunika2on via öppna närverk (t ex Mina Sidor och e-post).kryptering och flerfaktorsauten2sering.

Masterdata och löneadmin Att tänka på: - Ändamålet t.ex. vid utlämnanden, prestationsmätningar. Vad har den anställde anledning att räkna med? - Personnummer - Foton är tveksamt, särskilt i globala system - Sjukfrånvaro inga diagnoser normalt, helst standardkommentarer - Behörighetstilldelningen - Ekonomisk information (införsel t.ex.), bankinformation - Skyddade adresser - Fritext - Gallring (ifrågasätta löneutbetalningar) - Informationsinsatser - Outsourcing (avtal, kommunikation, ansvar)

Rekrytering A5 tänka på: - Känsliga uppgi<er i ansökan och från referenspersoner, på vilket stadium behövs det? - Personlighetsprofiler/tester - Personliga reflexioner - Informera - Samtycke krävs i vissa fall - Gallringsru2ner - Ansvar hos rekryteringsföretag - Bakgrundskontroller - Vad kan skickas via mejl?

Övervakning och kontroll In- och utpassering Kontroll av datorer, telefoner m.m. Kameror GPS Monitorering m.m. i kundtjänst t.ex. Plock och pack och liknande presta2oner Real2dsövervakning AMV har meddelat korta föreskri<er på de5a område. Diskutera med facket och ta fram policies och ru2nbeskrivningar.

Hemsidan, intranätet Arbetsrelaterade uppgi<er, även arbetslivserfarenhet etc för vissa grupper som marknadsförs Var försik2g med sådant som blir mycket personligt Direktkontaktuppgi<er? Foton samtycke? Rekommenda2on men undantag för vissa grupper, bl.a. högsta ledningen, för marknadsföring av t.ex. konsulter och personer som ska besöka kunder i deras hem.

Fritexcält A5 tänka på: Omdömen och värderande informa2on upplevs o<a som mycket integritetskänslig Fakta är OK, men ur en objek2v synvinkel Försök a5 undvika personliga reflexioner om det inte behövs Registerutdrag! Vad hade du själv anse5 vara kränkande? Hur u5rycker man sig på e5 sä5 som inte är kränkande? Diskutera. Ta fram riktlinjer och förklara varför. Det är INTE chefens privata noteringar! Obs! Inga koder!

Lagra hemma, BYOD, mobila enheter Säkerheten måste vara 2llräcklig, klarar ni det? Tänk på den anställdes integritet Gör en riskanalys Gemensamma regler? Dropbox och liknande? Mejl i mobilen? Offentliga Wifi-nät? Hur skyddas laptops, mobiler, paddor utanför huset? Vad händer när någon byter jobb inom eller utom organisa2onen, eller byter dator?

Y5erligare behandlingar a5 ha koll på Bakgrundskontroller Utlämnandefrågor Samtal, utvärderingar Reseadministra2on Kompetens-/CV-databaser (Försvarsmakten, DI 1454-2010) Biometrisk informa2on Due diligens/showrooms Whistleblowing Arbetsförmågebedömningar (DI 1492-2012) Anhörigregister

Y5erligare behandlingar a5 ha koll på Presta2onsmätning Intressekonflikter/bisysslor Personalliggare Varningar Avgångsorsaker/spärrlistor LAS-listor Skyddade adresser Registerutdrag Personnummer

Övergripande legala förändringar 2016/2018 Alla medlemsstater får samma lagtext. Öppet för många tolkningar! Flexibilitet på myndighetsområdet, arbetslivet m.fl: vad ska gälla i Sverige? Stora bötesbelopp, upp 2ll 20 miljoner euro eller 4% av den globala omsä5ningen Krav på analyser, ru2ner och dokumenta2on Inbyggt dataskydd/privacy by design Dataskyddsombud Incidentrapportering Konsekvensbedömningar Personuppgi<sbiträdet blir 2llsynsobjekt Det ställs större krav på biträdesavtalen, de flesta måste skrivas om

Övergripande legala förändringar Den enskildes rä_gheter: Särskild hänsyn 2ll uppgi<er om barn Samtycket ska vara tydligare och krävs o<are (?) Informa2onskravet blir ännu mer omfa5ande Nya förutsä5ningar inom marknadsföringen (profilering/selektering) Rä5en a5 bli glömd och dataportabilitet m.m. Registerutdrag ska kunna lämnas elektroniskt

Hur lämnar man informa2on 2ll anställda? Alla anställda ska få ny/mer informa2on Vilka kommunika2onsvägar har ni med dem? Hur kan ni använda intranätet? De behöver inte samtycka eller bekrä<a a5 de har läst informa2onen Stryk ev. samtycke i anställningsavtalet Ta upp frågan på arbetsplatsmöten Tala om var informa2onen finns, i anställningsavtalet, när man öppnar intranätet, via e-post (t ex)

Krav på ordning och reda Governance - ledning/styrning/budget Organisa2on Policies/guidelines/processer Ansvarsskyldighet/accountability - utökat krav på kartläggning, dokumenta2on, avtal, analys, guidelines Analyser (konsekvens, risk, sårbarhet, behov) Medvetenhet/utbildning Öppenhet/transparens Hur gör man med ostrukturerat material? GOD INFORMATIONSSTRUKTUR!

Vad behöver ni förbereda? Organisa2on, strategier och resurser Nulägesanalys (inventering och juridisk utvärdering) GAP-analys och åtgärdsplaner Utbilda personal (och beslutsfa5are) Ta fram riktlinjer och ru2ner för dokumenta2on, gallring, fritext, behörigheter, utvecklingsprojekt m.m. Gör konsekvensanalyser eller i vart fall screening Se över leverantörsavtalen Utse e5 dataskyddsombud (?) Var beredda a5 visa omvärlden vad ni har gjort och hur ni har tänkt.

A5 tänka på som ledare Alla måste ta si5 ansvar nu, särskilt personer i ledande ställning! Skapa e5 compliance-klimat Ta upp dessa frågor på arbetsplatsmöten Kom ihåg a5 agera vid change Ordna utbildnings2llfällen Ta fram guidelines

NULÄGESANALYS! Och nu då?

Tack för idag! Lo5a Kavtaradze 073-350 1500 DP Academy börjar i februari!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss