Grundläggande principer
Ansvarsskyldighet – dokumentera era bedömningar utifrån dataskyddsreglerna
En arbetsgivare ansvarar för och ska kunna visa att dataskyddsförordningen följs. Det innebär bland annat att arbetsgivaren ska dokumentera vilka överväganden som har gjorts i fråga om behandlingen av anställdas personuppgifter, till exempel vid utveckling och användning av ett personaladministrativt system.
Laglighet, korrekthet och öppenhet – behandlingen får inte ske i hemlighet, vara kränkande eller på annat sätt oskälig
För att en arbetsgivare ska få behandla personuppgifter om anställda krävs att det finns stöd i dataskyddsförordningen, till exempel att behandlingen är nödvändig för att uppfylla anställningsavtalet. Behandlingen ska vara skälig och proportionerlig i förhållande till den anställda. Personuppgiftsbehandlingen får inte vara för ingripande och ska stå i proportion till den nytta som behandlingen innebär. Noteringar som rör anställda ska ha betydelse för tjänsten, vara sakliga och inte innehålla kränkande eller nedvärderande uppgifter.
Arbetsgivaren måste vara öppen med hur de anställdas personuppgifter behandlas. Behandlingen får inte utföras i smyg. Redan när uppgifterna samlas in ska den anställda känna till vad de kommer att användas till, exempelvis om uppgifterna ska användas för kontroller och uppföljning. Arbetsgivaren bör sträva efter att i första hand samla in personuppgifter från arbetstagaren själv.
Ändamålsbegränsning – samla bara in uppgifter om anställda för bestämda ändamål och håll er till dessa
En arbetsgivare får bara samla in uppgifter om anställda för särskilda, uttryckligt angivna och berättigade ändamål eller syften och dessa ska vara bestämda redan när behandlingen påbörjas.
Ändamålen får inte vara otydliga eller för allmänt hållna och arbetsgivarens behov av att behandla personuppgifterna ska vara sakligt motiverat i verksamheten och ha betydelse för anställningsförhållandet. Arbetsgivarens berättigade ändamål kan bland annat handla om löneadministration, behörighetskontroll samt säkerhets- och katastrofplanering. Fler exempel på berättigade ändamål är att organisera, leda och följa upp arbetet.
Personuppgifter som samlats in för ett visst ändamål, till exempel för planering och logistik, får därefter inte behandlas för andra oförenliga syften, till exempel uppföljning genom prestationsmätning. Det kallas för finalitetsprincipen.
Om personuppgifterna ska lämnas ut till någon utomstående krävs att inte heller utlämnandet är oförenligt med det ursprungliga ändamålet. (jämför dock om myndigheters utlämnande enligt offentlighetsprincipen ovan). Att samköra två eller flera register med olika ändamål innebär att man riskerar att bryta mot finalitetsprincipen.
Däremot får personuppgifter om anställda som samlats in för berättigade ändamål och med stöd av en rättslig grund därefter behandlas även för andra syften som inte är oförenliga med de ursprungliga ändamålen. Innan personuppgifterna används för ett sådant förenligt syfte ska arbetsgivaren informera den anställda om det syftet och lämna ytterligare relevant information, till exempel om den anställda har rätt att invända mot behandlingen.
För att bedöma om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska arbetsgivaren bland annat ta hänsyn till följande frågor:
- Vilka kopplingar finns mellan den ursprungliga personuppgiftsbehandlingen och den nya?
- I vilket sammanhang har arbetsgivaren samlat in personuppgifterna?
- Vilket förhållande har de registrerade till er som personuppgiftsansvarig?
- Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
- Vilken typ av personuppgifter ska arbetsgivaren behandla?
- Är uppgifterna känsliga eller rör lagöverträdelser?
- Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
- Vilka skyddsåtgärder har arbetsgivaren, till exempel behörighetsstyrning, kryptering och pseudonymisering?
Arbetsgivaren ansvarar som personuppgiftsansvarig för bedömningen och bör vara noga med att dokumentera gjorda avvägningar.
Uppgiftsminimering – samla inte in för mycket
De uppgifter om anställda som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen. Det betyder att uppgifterna ska ha en faktisk betydelse för ändamålet (höra till saken) och att det inte är tillåtet att samla in fler personuppgifter än vad som verkligen behövs, exempelvis personuppgifter som kan vara ”bra att ha” längre fram.
Arbetsgivaren ska alltid ta ställning till om behandlingen behöver vara på individnivå, eller om det är tillräckligt att behandlingen sker på ett sådant sätt att enskilda inte kan identifieras, exempelvis när en arbetsgivare tar fram statistik över sin verksamhet.
Riktighet – se till att uppgifterna håller hög kvalitet
Personuppgifter ska hålla så hög kvalitet som möjligt. Det innebär att arbetsgivaren behöver ha rutiner för att uppdatera, rätta och radera uppgifter om anställda.
Lagringsminimering – spara inte uppgifterna om anställda för länge
Arbetsgivare får bara spara uppgifter om anställda så länge som de behövs för ändamålet med behandlingen. Därefter ska personuppgifterna normalt raderas eller avidentifieras. Arbetsgivaren behöver därför ha fastställt hur länge olika uppgifter får sparas och ha rutiner för gallring av personuppgifter, till exempel genom att göra regelbundna kontroller eller radera uppgifter efter en viss tid.
Som regel finns det inte stöd för att spara e-postkontot eller uppgifter om tidigare anställda på företagets webbplats. Det innebär att uppgifterna ska tas bort så snart som möjligt, normalt inom en månad.
Det är ändamålet som bestämmer lagringstiden. Ibland krävs det att personuppgifter sparas trots att de inte längre behövs i verksamheten. Det kan till exempel gälla på grund av bestämmelser i lag, till exempel arkivlagen eller bokföringslagen. Arbetsgivaren behöver då se över och begränsa åtkomsten och behörigheten till personuppgifterna.
Integritet och konfidentialitet – skydda informationen om anställda
Arbetsgivaren ska se till att uppgifter om anställda skyddas på ett lämpligt sätt. Till exempel ska bara de som behöver uppgifterna för att utföra sitt arbete ha tillgång till dem. För att uppnå lämplig säkerhet krävs normalt både tekniska lösningar och inarbetade rutiner i organisationen.