GDPR - Ny dataskyddsreform

Den 25 maj 2018 ersattes Personuppgiftslagen med EU:s dataskyddsreform, General Data Protection Regulation (GDPR).

Personuppgiftslagen (PuL)  har nu ersatts av en ny Dataskyddsförordning. På Datainspektionens hemsida kan Ni läsa mer om den nya reformen.

Via länken ovan kan ni i Konteks personuppgiftspolicy läsa mer om hur Kontek arbetar enligt den nya förordningen. Nedan ger vi Konteks perspektiv på förändringen som system- och molntjänstleverantör inom löneområdet.

Personuppgiftsansvariga och person- uppgiftsbiträden

I hanteringen av lön och de personuppgifter som hanteras där är en arbetsgivare att betrakta som Personuppgiftsansvarig och Kontek som leverantör av en molntjänst, outsourcingtjänst eller programsupport inom lönehantering är att betrakta som Personuppgiftsbiträde.

På datainspektionens hemsida kan man läsa mer om de olika rollerna och det ansvar som var och en uppbär.

Registrerades rättigheter och strängare krav

På det stora hela har de registrerade samma rättigheter som tidigare men rättigheterna förstärks nu med den nya dataskyddsförordningen. Om ni som arbetsgivare tidigare tillmötesgått de registrerades rättigheter så bör övergången till den nya förordningen vara relativt smidigt. Men en viktig förändring är att företag nu måste kunna visa hur de hanterar personuppgifter på ett säkert och korrekt sätt. 

Skydd och behandling av personuppgifter

Grundläggande princip är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt, och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. GDPR innebär att behandlingen (insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera) bara får ske med rättslig grund eller i samtycke.

Konteks syn på saken

I vårens nummer av vår kundtidning, Lönearten, kan du bl a läsa om hur Kontek har förberett sig inför den nya dataskyddsförordningen GDPR.

Martin Malmberg, produktchef på Kontek, kommenterar förändringarna kring den nya dataskyddsförordningen.

- I både PuL och den nya Dataskyddsförordningen framgår att man som personuppgiftsansvarig respektive personuppgiftsbiträde ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda och hantera personuppgifter på rätt sätt utefter hur känsliga uppgifterna är och vad de ska användas till. Det var samma direktiv igår med PuL som nu efter den 25 maj, där är ingen skillnad. GDPR medför förvisso att dataskydd blir standard och kravet på att känsliga data alltid ska krypteras. Men det är också den allmäna tekniska utvecklingen som över tid förändrar synen på vad som är "lämpliga åtgärder", säger Martin Malmberg.

- Utvecklar man IT-system och hanterar personuppgifter är man välbekant med begreppet "Privacy by design" vilket innebär att man inte bör samla in eller spara personuppgifter längre än nödvändigt och inte använda dem till något annat än vad man samlade in dem för, berättar Martin.

- Men här vill jag betona att det är arbetsgivarens ansvar att hantera sina uppgifter korrekt. Vad Kontek kan se till som biträde är att systemet eller molntjänsten ger arbetsgivaren möjlighet att ta sitt ansvar att göra rätt, att våra system har rätt tekniska förutsättningar för att hantera/skydda personuppgifter enligt den nya dataskyddsförordningen. Utöver detta så har Kontek som personuppgiftsbiträde både en extern och intern policy som svarar upp mot GDPR, fortsätter Martin.

- Min rekommendation till olika arbetsgivare som fortfarande är osäkra på den nya förodningen är att läsa igenom Datainspektionens rekommendationer och utifrån dem se över sina rutiner och sina IT-system, avslutar Martin Malmberg.

Formellt om Kontek och den nya dataskyddsförordningen

Avseende personuppgifter som behandlas inom ramen för de tjänster som Kontek Lön AB, 556065-0318 (”Kontek”) tillhandahåller, är Kunden personuppgiftsansvarig och Kontek personuppgiftsbiträde. Kunden är ansvarig för att personuppgiftsbehandling sker enligt gällande lagar och regler.

Dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016) trädde i kraft den 25 maj 2018 och ersatte då personuppgiftslagen. Kontek har anpassat dess verksamhet därefter. Det innebär att Kontek, i egenskap av personuppgiftsbiträde till Kunden, uppfyller samtliga de skyldigheter ett personuppgiftsbiträde har att iaktta enligt dataskyddsförordningen.
Kontek har skickat ut nya avtalsvillkor till Kunden avseende personuppgiftshanteringen, för att även anpassa Avtalet till de krav dataskyddsförordningen ställer på personuppgiftsbiträdesavtal.