I förra blogginlägget gick vi igenom vilka lagliga grunder som behövs för att genomföra en personuppgiftsbehandling. Det inlägget hittar du här. I detta inlägg ska vi gå närmare in på vilka fler krav som ställs på er personuppgiftshantering på arbetsplatsen. Vi börjar där vi slutade sist.

Insyn och tillgång till personuppgifter

När det står klart att det finns en laglig grund för personuppgiftsbehandling (ex. genom samtycke eller nödvändigt för att fullgöra avtal) måste den personuppgiftsansvarige (företaget) även tillhandahålla all information om personuppgiftsbehandlingen.

Följande är en kort lista över vilken typ av information som bör förmedlas till den personuppgiftsregistrerade (anställd, kandidat etc.):[1]

  • Identitet och kontaktuppgifter för företaget/chefen (den personuppgiftsansvarige);
  • Ändamålet för behandlingen (i vilket syfte behövs personuppgifterna?);
  • Den lagliga grunden för behandlingen (vilken av punkterna i Artikel 6 man grundar sig på);
  • Vem som kommer att ta del av personuppgifterna (mottagarna);
  • Period under vilken personuppgifterna kommer att lagras eller om detta inte är möjligt, kriterier för att fastställa denna period.
  • Att det föreligger en rätt för den registrerade att begära tillgång till rättelse, radering, begränsning av sina personuppgifter eller att invända mot behandling samt rätten till dataportabilitet.
  • Rätten att inge klagomål till en tillsynsmyndighet

Vidare har den registrerade rätt att få full tillgång till ovanstående information och den personuppgiftsansvarige ska förse den registrerade med de personuppgifter som är under behandling hos företaget.[2]

Dataskydd[3]

I den nya dataskyddsförordningen har samtliga personuppgiftsansvariga ett ansvar att se till att det finns ett fullgott dataskydd. Det innebär att ni som företag har en skyldighet att genomföra tekniska och organisatoriska åtgärder för att kunna efterfölja dataskyddsförordningen. De tekniska och organisatoriska åtgärder som genomförs är ämnade att effektivt hantera dataskyddsprinciper såsom pseudonymisering och uppgiftsminimering. Dessutom bör det finnas tekniska lösningar för att personuppgifter som endast är nödvändiga behandlas. Detta gäller för varje specifikt ändamål som uppgifterna behandlas för. Ett exempel på detta är när företaget tillhandahåller bärbara datorer till anställda och vill ha information om när de anställda kopplar upp sig till kundsystemet. I detta scenario måste det alternativ som är minst integritetskränkande väljas (och standardiseras).

Konsekvensbedömningar[4]

Konsekvensbedömningar avseende dataskydd är ett nytt tillägg i dataskyddsförordningen. I kort föreskriver dataskyddsförordningen att en konsekvensbedömning måste genomföras om man misstänker att den avsedda personuppgiftsbehandlingen sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Som personuppgiftsansvarig/företag måste man före personuppgiftsbehandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Bedömningen måste åtminstone innehålla följande:

  • Beskrivning av den planerade behandlingen och behandlingens syften;
  • En bedömning av behovet och proportionalitet hos behandlingen i förhållande till syftet/syftena;
  • En bedömning av riskerna för de fysiska personernas rättigheter och friheter;
  • Åtgärder som planeras för att hantera riskerna: skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifter.

Tillsynsmyndigheten (Datainspektionen) kommer att upprätta en (dock ej uttömmande) förteckning över vilka behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning när förordningen har trätt ikraft.

För mer information:

Julianne Ahlestens blogginlägg: ”Personuppgiftshantering som leder till hög risk”

Artikel 29-gruppens rekommendationer ” Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ”likely to result in a high risk” for the purposes of Regulation 2016/679”

Artikel 29-gruppens “Opinion 2/2017 on data processing at work – wp249”

Kenny Chung

info@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

[1] Observera att nedanstående inte är en fullständig lista, utan bara är ämnad att ge en översikt. För att få fullständig information om vilken typ av information som bör förmedlas hänvisas till Artikel 13-14 i dataskyddsförordningen.

[2] Se Artikel 15 för vilka rättigheter den registrerade har för tillgång.

[3] Se Artikel 25 GDPR för mer information.

[4] Se Artikel 35 GDPR för mer information.

Share This