Säkerhet för personuppgifter
Organisationer som behandlar personuppgifter ansvarar för att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda dem. Det är viktigt att säkerhetsarbetet inte begränsas till uppgifter om till exempel kunder, utan även omfattar uppgifter om anställda.
Vilka säkerhetsåtgärder som är lämpliga beror bland annat på hur känslig behandlingen är, vilka risker som finns för de anställda och vilka tekniska lösningar som är tillgängliga.
Alla arbetsgivare behöver vidta någon form av säkerhetsåtgärder för att skydda de anställdas personuppgifter. I många fall har arbetsgivare en lagstadgad skyldighet att behandla känsliga personuppgifter om de anställda, exempelvis vid beräkning av sjuklön eller i samband med att anställda genomgår rehabilitering.
Tekniska säkerhetsåtgärder
Exempel på tekniska säkerhetsåtgärder är
- inloggning, exempelvis genom flerfaktorsautentisering
- behörighetsspärrar
- brandväggar
- kryptering
- pseudonymisering
- säkerhetskopiering
- antivirusskydd.
Organisatoriska säkerhetsåtgärder
Organisatoriska säkerhetsåtgärder handlar om det administrativa säkerhetsarbetet som till exempel tilldelning av åtkomsträttigheter, interna rutiner, instruktioner och riktlinjer.
Uppgifter som arbetsgivaren behandlar om anställda ska skyddas från obehörig åtkomst. Normalt ska bara sådana personer som har behov av uppgifterna för att utföra sina arbetsuppgifter ha tillgång till dem, till exempel den anställdas chef eller personal inom HR. De som är verksamma på arbetsplatsen, till exempel chefer på olika nivåer och andra anställda, ska bara behandla personuppgifter enligt instruktioner från den personuppgiftsansvariga (arbetsgivaren).
Särskilt riskfyllda behandlingar
Exempel på behandlingar av personuppgifter i anställningsförhållanden som kan innebära särskilda risker för anställda är behandling för att
- hantera anställdas sjukfrånvaro eller vidta rehabiliteringsåtgärder
- hantera löneutbetalningar eller annan ersättning till personal
- vidta åtgärder, till exempel i samband med en lönerevision, som innebär insamling av uppgifter om anställdas fackliga tillhörighet
- följa upp anställdas prestationer på individnivå
- kontrollera anställdas identitet vid inpassering genom biometriska uppgifter.
För att bedöma vilka säkerhetsåtgärder som är lämpliga måste arbetsgivaren göra en helhetsbedömning av vilka risker som behandlingen innebär i det enskilda fallet. Även behandling av känsliga personuppgifter kan ha olika risknivå beroende på i vilket sammanhang behandlingen förekommer, hur ingripande behandlingen är och på vilket sätt den genomförs.