Den nya dataskyddsförordningen, också benämnt som GDPR, innebär att PUL (1998:204) försvinner. I och med att det är en förordning, till skillnad från det gamla dataskyddsdirektivet, innebär det att den implementeras direkt och ersätter eventuella nationella lagar som behandlar samma sak. Den kommer att gälla för alla medlemsländer i EU.
25 maj 2018 träder den i kraft, men förordningen antogs formellt redan under våren 2016. Syftet är att tiden fram till 25 maj 2018 ska fungera som en övergångsperiod och att företag och myndigheter ska ha tid att förbereda sig och göra nödvändiga förändringar.
ToFindOut och nya Dataskyddsförordningen
En naturlig och befogad fråga till oss är hur den nya förordningen påverkar dels vår verksamhet internt och dels hur detta påverkar våra kunder och kandidater i deras rutiner. För att kunna svara på detta krävs det att vi går in på vad den nya dataskyddsförordningen reglerar. Nedan redogörelse avser inte att vara en summering av förordningen i sin helhet utan vi tar upp de viktigaste regleringarna som påverkar vår verksamhet, reflekterar över vad det innebär för vår bransch samt redogör vart ToFindOut står i dessa frågor.
Hur företag och myndigheter påverkas
Det kommer ställas högre krav på företag och myndigheter att informera individen om hur och varför man hanterar dennes personuppgifter. Det kommer också att ställas krav på att det finns riktlinjer och styrdokument över allt som rör personuppgifter. Exempelvis så ska företaget kunna uppvisa, samt informera, kunder om hur kunddata lagras om individen kräver det.
Dessutom försvinner undantaget som gjorde att man tidigare fick samla ”ostrukturerat material”. Detta innebär personuppgifter i allt ifrån ordbehandlingsprogram, e-post och text. Nya förordningen gäller alltså personinformation som skrivs via e-post och i ett word-dokument exempelvis.
Utöver det här så blir företag även skyldiga att utföra en konsekvensbedömning avseende dataskydd. Det innebär att om man behandlar personuppgifter med stora risker avseende integritet så måste Datainspektionen kontaktas och utföra en kontroll för att se till att tillvägagångssättet är lagligt.
Företag som behandlar känsliga personuppgifter är skyldiga att ha en personuppgiftsansvarig, likt det ansvar som fanns även under PUL. Skillnaden nu är att man har tydliggjort ansvaret och skyldigheterna som den personuppgiftsansvarige har. Det är denna personens ansvar att se till att riktlinjer och styrdokument efterföljs.
Generellt så kommer det ställas högre krav på att kunna motivera varför behandlingen av personuppgifter sker. Står integritetsintrånget som behandlingen medför i rimlig proportion till de fördelar som behandlingen innebär för de avsedda ändamålen (jämför med intresseavvägningen i 10 § f personuppgiftslagen)?
Stora böter väntar för de bolag som bryter mot nya dataskyddsförordningen.
Hur anpassat är ToFindOut till nya förordningen?
ToFindOuts affärsidé innebär att personuppgiftshantering är det som är vår tjänst, det centrala i det vi säljer. För de allra flesta organisationer som också måste anpassa sig till nya förordningen är hantering av personuppgifter en konsekvens av annan verksamhet.
Detta har till följd att våra rutiner och processer har från dag ett har varit inriktade mot att göra allt rätt, först enligt PUL, och med det har vi redan en hantering av personuppgifter som i våra huvudprocesser vi bedömer vara i full överensstämmelse med nya dataskyddsförordningen.
ToFindOut har alltid vidtagit åtgärder för att skydda den personliga integriteten vilket alltid genomsyrat all vidareutveckling av IT-system och våra arbetsrutiner. I praktiken innebär det att ToFindOut levererar tjänster med en bakomliggande process styrda av fyra riktlinjer; (1) minsta möjliga information, (2) minst möjliga tid, (3) informera berörda parter och (4) transparenta processer.
Redan år 2012 genomgick hela ToFindOut en stor teknisk uppgradering där förordningens principer om inbyggda integritetsskydd, konsekvensbedömning och rimlighetsprincip var utgångspunkten. Förordningen var då ute på remiss bland EU:s medlemsländer och i avsaknad av något annat mer övergripande överstatligt regelverk valde ToFindOut att luta oss mot denna vid vår uppdatering. Better safe than sorry var vår beslutspremiss då. Vilket har visat sig vara en lyckovinst idag.
Vad betyder det arbetsgivaren som har ToFindOut som samarbetspartner för bakgrundskontrollprocessen?
De rutiner för order- och leveransprocesser som vi arbetar efter i dagsläget påverkas inte, de är redan anpassade. Huvudprincipen är att vi inte lagrar levererade bakgrundskontrollrapporter och de personuppgifter som vi eventuellt kan tänkas sparas är vi öppna med gentemot individen. Transparensen är ju nyckeln till vår verksamhet.
Förordningens krav om legitim orsak till persondatahantering
ToFindOuts process är strikt framtagen enligt dataskyddsförordningen och våra kundavtal reglerar att våra uppdragsgivare har förstått varför man vill göra en bakgrundskontroll. Det legitima behovet för en bakgrundskontroll ska vara klart för varje inblandad part före uppdragstart.
Efter att ToFindOut har levererat rapporten, och förutsatt att man har följt instruktionerna för användandet av våra tjänster, ligger nu ansvaret på er som arbetsgivare att hantera den fysiska informationen i enlighet med nya förordningen.