EU:s dataskyddsreform - GDPR

I maj 2018 ersätts den nu gällande Personuppgiftslagen med EU:s dataskyddsreform, General Data Protection Regulation (GDPR) - som arbetsgivare är det viktigt att du förbereder dig redan nu!

Personuppgiftslagen (PuL) ersätts av en ny EU-förordning. På Datainspektionens hemsida kan Ni läsa mer om den nya reformen.
http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/

Nedan har vi sammanställt viktig information om den nya reformen. Dessutom ger vi Konteks perspektiv på förändringen som system- och molntjänstleverantör inom löneområdet:

Personuppgiftsansvariga och person- uppgiftsbiträden

I hanteringen av lön och de personuppgifter som hanteras där är Ni som arbetsgivare att betrakta som Personuppgiftsansvarig och Kontek som leverantör av en molntjänst inom lönehantering som Personuppgiftsbiträde.

Datainspektionen har tagit fram två vägledningar som tar upp viktiga frågor som personuppgiftsansvariga och personuppgiftsbiträden bör ta ställning till redan nu för att förbereda sig inför den nya dataskyddsförordningen.

Registrerades rättigheter och strängare krav

På det stora hela kommer de registrerade ha samma rättigheter som idag men rättigheterna förstärks med den nya dataskyddsförordningen. Om ni som arbetsgivare redan idag tillmötesgår de registrerades rättigheter bör övergången till den nya förordningen gå relativt smidigt. Men en viktig förändring är att företag måste kunna visa hur de hanterar personuppgifter på ett säkert och korrekt sätt. Datainspektionen kan utfärda böter till företag och myndigheter som inte sköter sig, upp till fyra procent av organisationens omsättning.

Skydd och behandling av personuppgifter

Grundläggande principer inom integritetsskydd är att inte samla in mer än information än vad som behövs, inte ha kvar informationen längre än nödvändigt, och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. GDPR innebär att behandlingen (insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera) bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.

Konteks syn på saken

Martin Malmberg, produktchef på Kontek, kommenterar förändringarna kring den nya dataskyddsförordningen.

- I både PuL och den kommande EU-förordningen framgår att man som personuppgiftsansvarig respektive personuppgiftsbiträde ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda och hantera personuppgifter på rätt sätt utefter hur känsliga uppgifterna är och vad de ska användas till. Det är samma direktiv idag som imorgon, där är ingen skillnad. GDPR medför förvisso att dataskydd blir standard och kravet på att känsliga data alltid ska krypteras. Men det är också den allmäna tekniska utvecklingen som över tid förändrar synen på vad som är "lämpliga åtgärder", säger Martin Malmberg.

Ett exempel på det är hantering av lönespecifikationer. Även idag betraktar nog många arbestgivare e-post som ett säkert sätt att skicka ut sina lönespecar på. Och även om man kan garantera kryptering så ska man också försäkra sig om var fysiskt (i vilket land) e-postadresserna hanteras. Idag erbjuder Kontek istället en personlig digital brevlåda, Kivra, som kräver bankID-inloggning.

- Utvecklar man IT-system och hanterar personuppgifter är man välbekant med begreppet "Privacy by design" vilket innebär att man inte bör samla in eller spara personuppgifter längre än nödvändigt och inte använda dem till något annat än vad man samlade in dem för, berättar Martin.

- Men här vill jag betona att det är arbetsgivarens ansvar att hantera sina uppgifter korrekt. Vad Kontek kan se till som biträde är att systemet eller molntjänsten ger arbetsgivaren möjlighet att ta sitt ansvar att göra rätt, att våra system har rätt tekniska förutsättningar för att hantera/skydda personuppgifter enligt PuL och kommande EU-förordning. Utöver detta måste Kontek som personuppgiftsbiträde också ha en policy som svarar upp mot GDPR. Och vad vi ser idag så ska pågående personuppgiftsinventering och åtgärdsplan garantera det, fortsätter Martin.

- Min rekommendation till olika arbetsgivare idag är att läsa igenom Datainspektionens rekommendationer och utifrån dem se över sina rutiner och sina IT-system, avslutar Martin Malmberg.

Martin Malmberg, Produktchef Kontek Lön AB

Formellt om Kontek och kommande dataskyddsförordning

Avseende personuppgifter som behandlas inom ramen för de tjänster som Kontek Lön AB, 556065-0318 (”Kontek”) tillhandahåller, är Kunden personuppgiftsansvarig och Kontek personuppgiftsbiträde. Kunden är ansvarig för att personuppgiftsbehandling sker enligt gällande lagar och regler.

Dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016) träder i kraft den 25 maj 2018 och kommer då att ersätta personuppgiftslagen. Kontek kommer per dataskyddsförordningens ikraftträdande att ha anpassat dess verksamhet därefter. Det innebär att Kontek, i egenskap av personuppgiftsbiträde till Kunden, kommer att uppfylla samtliga de skyldigheter ett personuppgiftsbiträde har att iaktta enligt dataskyddsförordningen senast den 25 maj 2018. Kontek kommer, i god tid dessförinnan, att skicka ut nya avtalsvillkor till Kunden avseende personuppgiftshanteringen, för att även anpassa Avtalet till de krav dataskyddsförordningen ställer på personuppgiftsbiträdesavtal.