Emma Bädicker är särskilt inriktad på frågor som rör anställdas personuppgifter och bistår företag i deras anpassning till den nya dataskyddsförordningen. Emma är också en mycket uppskattad föreläsare på Hogias Kompetensdagar som anordnas runt om i Sverige.
Vad kan vara svårt när företag ska implementera GDPR i sin verksamhet?
En svårighet med att anpassa sin verksamhet till bestämmelserna i GDPR är att faktiskt ha koll på vilka personuppgifter man behandlar och varför, särskilt när det kommer till anställdas uppgifter. Som arbetsgivare behandlar man en mängd olika personuppgifter för en rad olika ändamål och då gäller det att hålla tungan rätt i mun. Mitt främsta tips är därför att börja med att kartlägga vilka personuppgifter man behandlar och varför. Håll också extra koll på om och när känsliga personuppgifter behandlas, såsom uppgifter om hälsa och medlemskap i fackförening.
Att behandla känsliga personuppgifter som arbetsgivare är naturligtvis tillåtet många gånger, till exempel vid behandling av hälsouppgifter vid sjukskrivningar. Eftersom GDPR ställer högre krav på behandlingen av just känsliga personuppgifter kan det vara bra att ha extra koll på när sådana personuppgifter behandlas.
GDPR ställer högre säkerhetskrav när det gäller känsliga personuppgifter vilket innebär att arbetsgivaren behöver se över såväl tekniska som organisatoriska lösningar för att skydda personuppgifterna. En åtgärd som man kan börja med är att se över behörigheter i system och begränsa antalet personer som har tillgång till uppgifterna. Var också noga med att inte spara känsliga personuppgifter i gemensamma mappar eller liknande.
En annan del i anpassningsarbetet som jag märker att många företag tycker är klurigt är lagringstiderna, alltså hur länge man får spara personuppgifter. Tittar man i GDPR för att få vägledning kommer man dessvärre inte så långt. Enligt GDPR får uppgifter nämligen sparas så länge det är nödvändigt för att uppfylla ändamålen med behandlingen, vilket tyvärr inte ger så mycket vägledning. Som tur är finns det en del vägledning att få från annat håll. Många lagringstider följer ju faktiskt direkt av lag. Bokföringslagen, till exempel, ger vägledning i hur länge uppgifterna ska sparas för just bokföringsändamål. Svårare blir det de gånger som lagringstiden inte följer direkt av lag. Så är till exempel fallet med de personuppgifter som behandlas i ett rehabiliteringsärende. Då får man göra en bedömning i varje enskilt fall. Går det inte att ange en lagringstid får man redogöra för de kriterier som avgör hur länge uppgifterna ska sparas för ett specifikt ändamål.
När det gäller just personuppgifter i ett rehabiliteringsärende menar Emma att utgångspunkten är att uppgifterna får sparas under den tid som rehabiliteringsärendet pågår, därefter får man titta på omständigheterna i det specifika fallet. Varaktigheten och karaktären på sjukdomstillståndet är avgörande för hur länge uppgifterna får sparas. Rör det sig om en bruten tumme kanske uppgifterna kan slängas ganska snart efter avslutad rehabilitering. Är det däremot fråga om alkoholism kan arbetsgivaren behöva följa upp ärendet och uppgifterna kan därför behöva sparas även efter avslutad rehabilitering. Samma individuella bedömning får man göra när det gäller läkarintyg och uppgifter som hanteras inom ramen för disciplinära ärenden där arbetsgivaren kanske behöver vidta arbetsrättsliga åtgärder. Då får man göra en bedömning utifrån omständigheterna i det enskilda fallet.
Emma poängterar att det också är viktigt att se till att personuppgifter hanteras rätt inom organisationen. Som arbetsgivare behöver man till exempel se till att det finns instruktioner för hur personalens inkorgar ska gallras och hur företaget ska hantera ett läkarintyg som någon har mailat in. Genom att utbilda sina medarbetare och ta fram interna riktlinjer kan arbetsgivaren se till att personuppgifter hanteras på ett korrekt sätt.
Att gallra regelbundet är också bra, berättar Emma. På så sätt ligger inte gamla uppgifter kvar och man får en bättre överblick över vilka uppgifter man faktiskt behöver ha. Avsätt tid för rensning där alla medarbetare får tid att gå igenom sina dokument och inkorgar för att rensa ut uppgifter som inte längre behövs. Det är ett enkelt sätt att få kontroll på de uppgifter som snurrar i verksamheten och ett sätt att få koll på att uppgifter inte sparas för länge.
Emma påminner också om att det är bra att komma ihåg att anställda har rätt till information och att arbetsgivaren har en skyldighet att informera om en rad olika saker när det kommer till behandlingen av de anställdas personuppgifter. Det gäller ju även arbetssökande och anhöriga, om man behandlar sådana personuppgifter.
Finns det något man ska tänka på när man rekryterar?
Det är bra att vara uppmärksam på om man har en kandidatdatabas eller använder sig av automatiserade urvalsprocesser där de sökande initialt får besvara några urvalsfrågor. Dessa typer av behandlingar kan nämligen innebära att en konsekvensbedömning ska göras innan behandlingen ens får påbörjas. Vägledning kring just konsekvensbedömningar finns på Datainspektionens hemsida.
Många företag får in och hanterar spontanansökningar. Just spontanansökningar är en typ av dokument som ofta kommer in i verksamheten genom många olika kanaler och som rör sig snabbt genom organisationen. I det ligger en risk att den personuppgiftsansvarige inte har kontroll över var spontanansökningarna finns eller hur länge uppgifterna sparas.
Hur ska spontanansökningar hanteras och hur ska man tänka när det gäller spontanansökningar?
Det bästa är att ha en speciellt anvisad plats på hemsidan eller en e-postadress som är speciellt avsedd för just spontanansökningar. På så sätt kan man styra inflödet av spontanansökningar och få kontroll över hur dessa hanteras i verksamheten. Med väl fungerande rutiner kring spontanansökningar kan man se till att ansökningarna hamnar hos rätt person och inte riskerar att mailas runt till olika personer inom organisationen (där de också kan sparas under lång tid utan att du som personuppgiftsansvarig vet om det). Genom att begränsa antalet kanaler där spontanansökningar kommer in kan man också säkerställa att alla arbetssökande får information om er personuppgiftsbehandling.
Eftersom det är en hel del som behöver göras för att få en dataskyddsanpassad verksamhet är Emmas tips att man gör en checklista och följer den. I denna checklista har Emma satt upp de centrala delarna för att lyckas med ert GDPR-arbete.
- Kartlägg personuppgifter och behandlingar och anteckna dessa i en registerförteckning
- Informera de som är registrerade om er personuppgiftsbehandling - anställda, arbetssökande och anhöriga
- Dokumentera intresseavvägningar (redogör för vilka intressen ni har och vilka intressen den registrerade har och beskriv sedan varför era intressen väger tyngre)
- Om ni använder er av samtycke (vilket ska undvikas i anställningsförhållandet men kan användas i rekryteringsförfarandet) ska ni se till att skapa samtyckestexter så den registrerade förstår vad den samtycker till
- Utvärdera om ni behöver göra en konsekvensbedömning och om så är fallet - gör en konsekvensbedömning
- Få med er personalen genom att skapa interna riktlinjer och utbilda er personal
- Inför gallringsdagar där personalen får möjlighet att gå igenom och gallra sina inkorgar och dokument
- Följ upp GDPR-arbetet löpande och kontrollera, med stöd av arbetsledningsrätten, att de anställda följer de rutiner ni har satt upp
