Nya personuppgiftslagen GDPR närmar sig. Vi är redo, är du?

Det är inte många månader kvar till den 25 maj då det nya EU-direktivet och dataskyddsförordningen GDPR (General Data Protection Regulation) träder i kraft. Många företagare hanterar personuppgifter på något sätt, exempelvis anställda och kunder, eller ägare och samarbetspartners. I och med GDPR måste anpassningar göras, av både rutiner och system, för hur personuppgifter lagras. Här berättar Frida Gustavsson, produktansvarig för HR/lönesystem på Hogia, vad som gäller. Du kan även träffa Hogia på mässan Personal & Chef den här veckan och prata mer om GDPR.

I nuvarande PUL gäller regeln att bara samla in och lagra de personuppgifter som är nödvändiga, och bara spara dem så länge de behövs. Nya GDPR har bland annat som syfte att stärka personers integritetsskydd ännu ett snäpp, men även att harmonisera reglerna inom EU. Lagrade personuppgifter ska endast användas till sitt ursprungssyfte, som tydligt måste kommuniceras innan registrering sker. Det hårdare informationskravet om syftet med insamling av personuppgifter är en av skillnaderna, men en annan stor skillnad – som är en utmaning för oss systemutvecklare – är att det ska bli lättare för den registrerade att få sina uppgifter korrigerade eller borttagna.

Samma ansvar för personuppgiftsansvarig och personuppgiftsbiträde

Det här är två definitioner som kan vara bra att veta att de finns, men ansvaret är ändå detsamma. Varje företag som lagrar personuppgifter är personuppgiftsansvarig och ska då se till att behandlingen av personuppgifterna sker enligt lagen. Systemutvecklare, som till exempel Hogia, är personuppgiftsbiträde när vår kund lagrar personuppgifter i molnet och har Hogia som driftansvarig. Vi får bara behandla personuppgifterna på det sätt vi avtalat med vår kund. Kunden är personuppgiftsansvarig, men vi som personuppgiftsbiträde måste vidta samma säkerhetsåtgärder som kunden. Vi ska se till att våra system är anpassade och hanterar personuppgifter så att vår kund uppfyller lagen. En stor del av pågående, och snart avklarade, systemutveckling handlar om stöd för bättre rensningsrutiner och ökad säkerhet kring dataexportering.

Tänk på det här som personuppgiftsansvarig

Börja med att kartlägga och dokumentera hur och var personuppgifter används. Sen är det viktigt att dokumentera varför du lagrar personuppgifterna - vad använder du uppgifterna till? Användningen måste vara relevant i din verksamhet och ha syftet att uppfylla de åtaganden du har gentemot den registrerade. Att veta hur länge personuppgifterna behöver sparas är också viktigt, så att du kan fullfölja avtalade skyldigheter eller lagkrav. Bokföringslagen har krav på minst sju år, men det finns andra lagar som dina åtaganden kan vara berörda av.

Ett bra exempel på relevant underlag och hantering är att anställningskontrakt måste finnas för att du ska kunna betala ut lön till din medarbetare. Men om du lagrar och hanterar mer data än vad som kan anses nödvändigt för att klara dina åtaganden, då ska den anställde ge sitt samtycke till att den informationen lagras.

Att se över din behörighetsstyrning är också viktigt, så att du säkerställer att det bara är de som behöver tillgång till uppgifterna som får det. Att ha tydliga instruktioner för hantering och en policy för informationssäkerhet är andra styrdokument som ingår i hanteringen. Tänk på att som medarbetare hos en personuppgiftsansvarig får du bara behandla personuppgifter enligt de instruktioner som du har fått.

Som personuppgiftsansvarig ansvarar du för och bestämmer ändamålet för personuppgifterna. Men du ansvarar också för den registrerades rättigheter. Du är skyldig att lämna ut uppgifter till den registrerade, och hen har alltid rätt att

• få veta vilka uppgifter som lagras och hanteras.
• få sina uppgifter korrigerade.
• få sina uppgifter raderade om de inte längre är nödvändiga att lagra för det ursprungliga ändamålet.

Ja det är mycket att tänka på, och nedan finns länkar till våra artiklar i HRinfo om ämnet GDPR. Här på Hogia har vi arbetat i två år med att utveckla och anpassa våra system så att de lever upp till EU-förordningen och dataskyddslagen. Som kund till oss är du i trygga händer.