Skip to content

"Dags för dataskyddsförordningen - fyra punkter som kan motverka huvudbry för HR"

KOMMENTAR - av advokaten Sten Bauer och biträdande juristen Ida Cederborg, Baker & McKenzie Advokatbyrå

 

Om bara några veckor - den 25 maj - börjar den allmänna dataskyddsförordningen (GDPR) gälla som lag i alla EU:s medlemsländer. Dataskyddsförordningen kommer att kompletteras med nationella bestämmelser och gäller i princip all verksamhet som behandlar uppgifter om individer.

Såväl stora multinationella koncerner som mindre företag måste förhålla sig till den nya lagstiftningen. Många företag är mer eller mindre klara med att anpassa sin verksamhet till de nya kraven. Andra företag har precis börjat.

Företag som i sin verksamhet riktar sig till konsumenter eller till andra näringsidkare fokuserar ofta på att i första hand kartlägga och implementera nya rutiner för personuppgiftshantering inom ramen för dessa relationer. Anpassningsarbetet skiljer sig ofta åt mellan olika företag. Gemensamt för de flesta företag är dock att de har anställda.

Inom HR-området innebär i stort sett alla aktiviteter, på något sätt, behandling av personuppgifter, vilket inkluderar personuppgifter som kan vara känsliga, såsom hälsa eller medlemskap i en facklig organisation.

Företag är i sin roll som arbetsgivare skyldiga att hantera en mängd uppgifter om sina anställda. Inför att dataskyddsförordningen börjar gälla som lag i Sverige bör företag se över sin hantering av uppgifterna och säkerställa att hanteringen sker i enlighet med dataskyddsförordningen.

Enligt vår erfarenhet påbörjas anpassningsarbetet inom just HR ofta sent i kartläggnings- och implementeringsarbetet, då det externa arbetet mot kunder och leverantörer kommer först.

Många arbetsgivare upptäcker då att de behandlar en stor mängd personlig information om sina anställda såväl som om tidigare medarbetare som för länge sedan har slutat.

Att arbetet med att anpassa sig efter de nya lagkraven påbörjas sent i processen innebär att många HR-avdelningar får genomföra omställningen under en begränsad tid.

I vårt arbete med att bistå företag har vi identifierat fyra områden som i stort sett alltid aktualiseras.

1. Rekrytering
Under rekryteringsprocessen behandlas en stor mängd personuppgifter om de jobbsökande. En potentiell arbetsgivare bör endast samla in sådan information som är nödvändig för att kunna bedöma om den jobbsökande uppfyller den aktuella tjänstens kvalifikationskrav.

Anpassningsarbetet består här av att upprätta tydliga riktlinjer och rutiner för att begränsa mängden information som samlas in och att systematisera informationen.

2. Samtycke
En annan fråga är vad som är lämplig grund för behandling av de anställdas personuppgifter.

En vanligt förekommande uppfattning har varit att behandlingen av de anställdas personuppgifter kräver att de anställda lämnar sitt samtycke. I samband med att dataskyddsförordningen börjar gälla skärps kraven för vad som anses utgöra ett giltigt samtycke och i ett anställningsförhållande är det svårt att hävda att ett sådant verkligen kan lämnas av en anställd.

Anställningsavtal som innehåller bestämmelser om den lagliga grunden för behandlingen av personuppgifter behöver därför uppdateras.

3. Utbildning av anställda
Ett område som har fått ökat fokus är utbildning av anställda. De som ansvarar för anpassningsarbete på företagen har ofta haft ledande positioner.

I de flesta företag står dock de anställda för den vardagliga hanteringen av personuppgifter. Att de anställda är medvetna om och känner till de nya kraven för behandling av personuppgifter kan vara avgörande för att kunna följa den nya lagstiftningen.

4. Rätt att ta del av information
Ett ökat fokus riktas nu mot individens rättigheter, vilket sannolikt leder till en ökad medvetenhet hos de anställda om det ansvar som åläggs arbetsgivaren vid behandlingen av personuppgifter och en anställds rätt till information. Vår erfarenhet är dock att företag inte tidigare har reflekterat över vilken information som sparas i den anställdes personalakt eller i ett HR-system.

En arbetsgivare bör överväga vilken information som finns i personalakten eftersom en anställd har i princip obegränsad rätt att ta del av informationen.

Den stora mängd information som arbetsgivare behandlar om sina anställda, tillsammans med det ökade fokus på individens rättigheter som dataskyddsförordningen innebär, kräver att företag säkerställer att de är redo för den nya lagstiftningen. Det gäller att tänka efter - före!

 

 

Skribenterna arbetar på arbetsrättsgruppen på Baker McKenzie, som regelbundet skriver om arbetsrätt i Dagens Juridik.

 

 

 

 

 

Gratis nyhetsbrev om rättsfall och juridik - klicka här


Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt