Från PUL till GDPR – detta gäller för oss inom HR och rekrytering

Den 25 maj 2018 försvinner den svenska Personuppgiftslagen (PUL) och ersätts av EU:s General Data Protection Regulation (GDPR). Den här förordningen gäller alla slags personregister och alla företag som behandlar personuppgifter.

FRÅN PUL TILL GDPR – DETTA GÄLLER FÖR OSS INOM HR OCH REKRYTERING

Den 25 maj 2018 försvinner den svenska Personuppgiftslagen (PUL) och ersätts av EU:s General Data Protection Regulation (GDPR). Den här förordningen gäller alla slags personregister och alla företag som behandlar personuppgifter. Idag anses insamlade personuppgifter ofta som företagets egendom, men med GDPR får istället den registrerade större makt över sina lagrade uppgifter. I och med de nya reglerna blir det också tydligare att företagen aktivt måste ta ansvar för att lagen följs. Vi guidar dig genom de viktigaste förändringarna.

Lägg en god grund med kartläggning

Johan Sundberg, advokat och ansvarig för advokatfirma DLA Pipers dataskyddsgrupp, berättar hur vi kan starta anpassningen till GDPR:

– Det första ni ska göra är att kartlägga den personuppgiftsbehandling som finns inom företaget. Ta reda på vilka uppgifter ni samlar in och varför, hur länge de sparas och så vidare. Om ni inte har full kontroll över detta kommer ni inte kunna efterleva GDPR. När ni har gjort en kartläggning ska ni undersöka och analysera om ni har laglig rätt att behandla informationen och om ni hanterar den korrekt, exempelvis inte sparar den för länge eller ger otillräcklig information till de personer som berörs.

– En annan viktig sak är att det tillkommer krav på att införa konsekvensbedömningar för vissa typer av personuppgiftsbehandlingar, som kan innebära en hög integritetsrisk. En del företag har redan börjat göra så kallade ”Privacy Impact Assessments”. Det är ett bra sätt att säkerställa att ni uppfyller förordningens krav, säger Johan.

Detta gäller särskilt oss inom HR och rekrytering

Enligt Johan är det några saker som är särskilt viktiga för oss som arbetar inom HR och rekrytering:

– Se över kommunikationsrutinerna mellan HR-avdelningen och cheferna som gäller medarbetare. Se också över om er behandling stödjer sig på den nuvarande så kallade missbruksregeln. Kartlägg och bedöm om det finns rättslig grund enligt förordningen att behandla personuppgifter, exempelvis uppgifter insamlade från webbsidor för ansökningar.

Vi som arbetar med det som Datainspektionen kallar ”kartlägga enskildas beteende” kan även behöva tillsätta ett dataskyddsombud, som ser till att reglerna följs och som håller sig uppdaterad kring GDPR. Dataskyddsombudet ska ha expertkunskaper inom dataskyddslagstiftningen.

– Personuppgiftsbehandlingar behöver inte längre anmälas till Datainspektionen. Däremot måste de allra flesta företag föra en intern förteckning över de personuppgiftsbehandlingar som sker i verksamheten. GDPR ställer högre krav på en sådan förteckning jämfört med PUL. Därför bör ni se över och komplettera befintliga interna förteckningar redan nu, menar Johan.

Ta också fram rutiner för hur ni ska arbeta med att upptäcka, rapportera och utreda incidenter som gäller personuppgifter.

E-post, bilder, tabeller och Worddokument omfattas också av GDPR

PUL:s så kallade missbruksregel försvinner i och med GDPR. Det betyder i korthet att uppgifter i löptext, till exempel i e-post, bilder, enklare tabeller och Worddokument, omfattas av den nya förordningen i sin helhet. Personuppgifter av detta slag ska även inkluderas i registerutdrag.

Datainspektionen har sammanfattat de viktigaste rättigheterna för registrerade:

få tillgång till sina personuppgifter
få felaktiga personuppgifter rättade
få sina personuppgifter raderade, bli ”bortglömd”
invända mot att personuppgifterna används för direktmarknadsföring
invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
kunna flytta personuppgifterna (dataportabilitet)

– Informationen till registrerade avseende behandling av personuppgifter ska också vara koncis, klar, tydlig, begriplig och lätt tillgänglig. Det blir en utmaning för många företag, förutspår Johan Sundberg.

Med GDPR gäller rapporteringskrav och det kostar att göra fel

Ett företag som bryter mot reglerna kan åläggas dryga administrativa avgifter. Hur stort beloppet blir beror på regelbrottets art, till exempel om det var avsiktligt eller inte, hur och om företaget åtgärdat regelbrottet och om företaget gjort vinst på detsamma. Personuppgiftsincidenter, som dataintrång, ska under vissa omständigheter rapporteras till Datainspektionen inom 72 timmar. När det handlar om en riktigt allvarlig incident ska även de registrerade underrättas.

– Företag som inte följer de nya reglerna riskerar finansiella sanktioner på upp till 4 procent av den globala koncernens omsättning. Det är därför av yttersta vikt att förordningen prioriteras ända upp på ledningsnivå i företaget, säger Johan.

Se över era IT-system

Katharina Prager, arkivstrateg och expert på e-arkivering på Bra Arkiv, menar att vi ska vara beredda på att investera för att möta GDPR.

– Alla som lagrar personuppgifter behöver se över sina IT-system. Ta höjd för integritetsskydd och se till att det går att ta bort personuppgifter ur systemen vid ny- och vidareutveckling av era system. Ni som har goda rutiner för att följa PUL har ett fint utgångsläge, men behöver ändå anpassa er till GDPR, till exempel genom att upprätta en dataskyddspolicy och implementera integritetsvänliga lösningar i befintliga system. För att göra övergången från PUL till GDPR smidig behöver ni också sprida kunskap internt i er organisation, uttala vad förändringarna betyder för just er, och glöm inte heller att se över vilka uppgifter ni lämnar vidare till andra parter.