GDPR – en översikt
Allmänna dataskyddsförordningen, även känt som GDPR, är en europeisk personskyddslag. GDPR ersätter Dataskyddsdirektivet i EU.
Syftet med GDPR är att skydda personlig information och ge individer en större kontroll över sina personuppgifter. Enligt GDPR är ”personuppgifter” definierat som all information som kan knytas till en fysisk individ, antingen direkt eller indirekt. Detta inkluderar personnummer, adressuppgifter, elektroniska identifierare (såsom IP-adresser), pseudonymdata, samt genetisk och biometrisk data. Begreppet har alltså en mer vidgående definition än vad ni kan vara vana vid från tiden innan GDPR.
Viktigt
Informationen i denna artikel ska inte tolkas som juridiska råd, utan som ett hjälpmedel i GDPR-arbetet som Registeransvarig (ert arbete, som kund till RecMan). Vänligen kontakta er juridiska rådgivare för juridisk konsultation kring GDPR.
Huvudkrav inom GDPR
Företag som omfattas av GDPR kommer åläggas att göra en rad anpassningar av hur man får tillgång till och hanterar personuppgifter för att vara GDPR-kompatibla.
Identifieringen av Registeransvarig (”Data controller”) och Registerförare (”Data processor”) är en viktig del i anpassningen till GDPR.
Vad är en Registeransvarig?
Registeransvarig är ett företag eller en organisation som bestämmer syftet med hanteringen av personuppgifter och på vilket sätt den ska ske. Den som är Registeransvarig kan även vara Registerförare, om det är man själv som ansvarar för systemet, eller om man har personuppgifterna lokalt på datorn, på ett intranät, etc.
Vad är en Registerförare?
Registerförare tar personuppgifter som Registeransvarig har samlat in och hanterar den. RecMan är Registerförare för allt som ni som kund lägger in i RecMan-systemet. RecMan är inte Registerförare för data som finns utanför RecMan och som kund bör man identifiera vem det är som är Registerförare för datan utanför RecMan.
Det behöver även finnas ett Databehandlingsavtal på plats, som en del av kundrelationen mellan leverantör (Registerförare) och kund (Registeransvarig). De flesta av kunderna som använder RecMan-systemet har detta redan, och de som eventuellt inte har det (typiskt de med en lång kundrelation) kommer att kontaktas för att få det på plats innan den 25 maj, 2018.
Ansvaret för GDPR-kompatibiliteten ligger med tyngdpunkt hos Registeransvarig part. Registeransvarig är ansvarig för att GDPR efterföljs i hanteringen av personuppgifter, även i de fall man outsourcat hanteringssaktiviteter till ett annat företag. Likväl är också Registerförare skyldig att vara GDPR-kompatibel enligt lagen, vilket RecMan är.
Individens rättigheter enligt GDPR
GDPR anger följande grundläggande rättigheter angående personuppgifter:
Rätten till åtkomst: På förfrågan från personer som vill få tillgång till sina personuppgifter eller information om hur de används, måste ni som Registeransvarig part kunna lämna ut detta. I RM kan både kandidater och kontaktpersoner få tillgång till sin egen profil, där de kan se den data som finns kopplad till dem, och som kund och Registeransvarig har även ni möjlighet att exportera kandidatinformation i både PDF- och JSON-format.
Registeransvarig och Registerförare behöver även kunna tala om i detalj hur datan samlats in, hur och varför den används, samt med vem man delar informationen. För Registerförarens del är delningen av data med underleverantörer och liknande, reglerad i Databehandlingsavtalet som finns mellan kunden (Registeransvarig) och RecMan. För Registeransvarigs del behöver det finnas rutiner och beskrivningar av det här, som kan delas med kontaktpersoner och kandidater.
Referens: Article 15 – Right of access by the data subject
Rätten till korrigering av personuppgifter som är felaktiga eller ofullständiga: Registeransvarig måste hantera förfrågningar från personer som vill korrigera eller uppdatera den information som Registeransvarig har om personen. Om kandidaterna eller kontaktpersonerna har inloggning till sin profil, kommer de själva kunna uppdatera sina personuppgifter. Om de inte har detta, eller behöver hjälp, kan informationen redigeras från kandidatkortet, kundkortet eller kontaktkortet av anställda hos Registeransvarig som har tillgång till dem.
Referens: Article 16 – Right to rectification
Rätten att bli bortglömd: Personer kan besluta sig för att de inte längre vill att personuppgifterna ska behandlas och/eller att all information ska raderas. En process för att hantera sådana händelser bör utarbetas.
Kandidater som har en profil i RecMan-systemet har även möjlighet att radera sig själva via sin profil. Dessa hamnar i sådana fall på en raderingslista i GDPR-kandidatbasen, så att ni som Registeransvarig part har möjlighet att försäkra er om att kandidatinformation inte finns i andra system också. Om det finns information i andra system måste det beslutas huruvida även denna ska raderas (beroende på om ni enligt lag måste lagra delar av informationen eller inte).
Personer kan även begära att den användaransvarige slutar att bearbeta deras data.
Referens: Article 17 – Right to erasure (‘right to be forgotten’)
Referens: Article 18 – Right to restriction of processing
Rätten att flytta data – dataportabilitet: En person har rätt att begära ut sina personuppgifter från ett företag utan att Registeransvarig motsätter sig detta. Informationen skall vara i ett maskinläsbart format. Ni som kund till RecMan har möjlighet att exportera kandidatinformation i både PDF- och JSON-format, där JSON är ett maskinläsbart format. Det kan också vara trevligt att bifoga en PDF tillsammans med JSON-filen eftersom den är lättare att läsa för personer.
Referens: Article 20 – Right to data portability
Samtycke
Samtycke till hanteringen av data är ett viktigt fokus i GDPR.
Ett tydligt och förståbart medgivande: Se till att integritetspolicyn är tydlig och begriplig, på ett enkelt språk. Om texten inte är tydlig och förståbar kan det leda till att medgivandet inte är bindande. Det är även viktigt att förklara syftet med hanteringen av personuppgifter. RecMan-systemet kommer med en text som kan användas som utgångspunkt för en sådan förklaring, men det är viktigt att texten anpassas till just ert bruk.
Er systemadministratör kan redigera texten i systemet genom att gå till Systeminställningar-> Företag-> Välj företag och därefter trycka på ”Sekretess”-knappen.
Det är också viktigt att informera om uppdateringar av integritetspolicyn. Informationen bör innehålla detaljer om vilka förändringar som gjorts.
Referens: Article 7.2 – Conditions for consent
Referens: Article 6 – Lawfulness of processing
Efterfråga samtycke: Det är viktigt att inhämta godkännande innan ni börjar hantera en persons information. Man bör ha en synlig länk på webbsidan till integritetspolicyn, men även när en kandidat registrerar sig är det viktigt att få samtycke. Registeransvarig måste kunna bevisa samtycket i efterhand.
Referens: Article 7 – Conditions for consent
Exempeltext för inhämtande av samtycke hittar ni .
Möjlighet att dra tillbaka samtycke: Det skall vara möjligt för en person att dra tillbaka samtycke som man avgett.
Referens: Article 7.3 – Conditions for consent
Kartlägging av data
Översikt av de personuppgifter som samlas in: För att kunna utvärdera kompatibiliteten med de krav som GDPR ställer på hanteringen av data, är det viktigt att ni som Registeransvarig part kartlägger vilka personuppgifter er organisation samlar in, vilka som har tillgång till informationen, vad ni gör med informationen och hur länge den lagras.
Referens: Article 30 – Records of processing activities
Exempelmaterial som kan användas som utgångspunkt för en sådan utvärdering hittar ni här:
Översikt av var personuppgifter lagras: Att ha en översikt av hur data rör sig mellan system är särskilt viktigt för att kunna försäkra sig om att alla personuppgifter om en person är borttagna i samband med att de ska raderas. Kartlägg därför var personuppgifter lagras (i vilka system), samt hur data rör sig mellan systemen. Kom också ihåg att inkludera platser där ni lagrar information, men som inte ingår i ett system, som på skrivbordet, lokalt på en PC, etc.
Referens: Article 30 – Records of processing activities
Förvaltning av personuppgifter
Det är viktigt att skapa bra processer och rutiner för förvaltningen av de personuppgifter som organisationen samlar in.
Utnämn eller tillsätt ett Dataskyddsombud : Företag som har insamling eller hantering av personuppgifter i sin kärnverksamhet kommer åläggas att utnämna ett Dataskyddsombud (Data Protection Officer, DPO) som skall ha ingående kunskap om dataintegritet. Om ni inte har kompetens kring detta internt kan ni utvärdera att ta in en extern rådgivare på området.
Referens: Article 37 – Designation of the data protection officer
Kunskap i organisationen: Se till att både ledning och medarbetare har kunskap om riktlinjerna i GDPR, samt om de interna processerna som återspeglar eller omfattas av riktlinjerna.
Referens: Article 25.2 – Data protection by design and by default
Säkerhet: Implementera informationssäkerhet som en standard och som en del av systemets utformning. Dataskydd bör byggas in i produkter och tjänster under de tidigaste utvecklingsstadierna och det har alltid varit ett stort fokus för RecMan – även innan GDPR existerade. Tänk på att eventuella stödsystem och liknande också behöver ha detta i fokus. Observera att den här punkten, ”Säkerhet”, överlappar den tidigare, ”Kunskap i organisationen”, eftersom möjliga säkerhetshål också kan innefatta att lura till sig access till ett system via en medarbetare (så kallad ”social engineering”). Så se till att medarbetare i er organisation är medvetna om risken och vad som kan göras för att reducera det.
Referens: Article 25 – Data protection by design and by default
Vid brott mot datasäkerheten: Berörda personer skall meddelas inom 72 timmar vid brott mot datasäkerheten som påverkar deras personuppgifter.
Tillsynsmyndigheter skall informeras inom 72 timmar vid brott mot datasäkerheten som utgör en risk för enskildas fri- och rättigheter. Om en sådan situation uppstår är det viktigt att arbeta tillsammans med RecMan (Registerföraren), om det rör data som lagras i RM-systemet. I Norge är tillsynsmyndigheten för detta
Referens: Article 33 – Notification of a personal data breach to the supervisory authority
Referens: Article 34 – Communication of a personal data breach to the data subject
Var ska vi börja arbetet med att anpassa till GDPR?
Ta fram en GDPR-handlingsplan
Registeransvariga och Registerutförare som hanterar personuppgifter behöver ta fram en GDPR-handlingsplan som omfattar alla de nya kraven. För att ta fram en sådan handlingsplan kan ni använda nedanstående checklista som utgångspunkt.
Checklista för att säkra kompatibilitet med GDPR:
- Utför en kartläggning för att ta reda på vilken information som samlas in av organisationen, samt hur den överförs, bearbetas och lagras.
- Identifiera Registerförare (en eller flera).
- Säkerställ att Databehandlingsavtal finns på plats med era Registerförare.
- Säkerställ era leverantörer är GDPR-kompatibla.
- Identifiera Registeransvarig (Vanligtvis är detta ni själva).
- Utbilda medarbetare dataskydd och GDPR-krav, såsom individens rättigheter.
- Utnämn eller anlita ett Dataskyddsombud (om det behövs).
- Säkerställ att processer finns på plats för att inhämta samtycke
- Informera personer som lagras i era system om deras rättigheter enligt GDPR och se till att ha en uppdaterad integritetspolicy.
- Skapa en informations- och handlingsplan för eventuella brott mot datasäkerheten.
- Ta fram en plan för en regelbunden granskning av era GDPR-processer, för att utvärdera effektiviteten hos dem och om något kan förbättras. Kontrollera även att processerna fortfarande överensstämmer med lagar och regler, som ju kan ha förändrats längs vägen. Utvärdera även om säkerhetsåtgärderna är tillfredsställande med jämna mellanrum.