Cornucopia?

2018-04-06 14:56

GDPR och anställda

EU:s nya lätt drakoniska persondataskyddsdirektiv GDPR innebär bland annat att arbetsgivaren i hög grad begränsas i vad den får ha för data om sina anställda. I princip får man bara lagra det som behövs för att uppfylla anställningsavtal och rättsliga förpliktelser som skatteinbetalningar. Allt annat kommer i praktiken kräva den anställdes godkännande och ska oavsett kunna raderas.
EU.
GDPR gäller alltså även internt inom organisationer. Anställda kan alltså behöva ge samtycke om arbetsgivaren ska lagra mer än det som behövs för anställningsavtalet och tillhörande rättsliga förpliktelser.

I Sverige i princip enbart personnummer, samt eventuellt den anställdes lönekontonummer om det inte hanteras via personnumret. Möjligen även namn på den anställde. Arbetstidsregistrering och t ex tidrapporter kan vara nödvändiga för avtalet och löneutbetalningar. Eventuella försäkringar bör det räcka med personnummer för.

Allt annat, som adress, kontaktuppgifter till anhöriga, utbildningar, meritförteckning, foton mm kommer kräva samtycke, och kommer oavsett kunna raderas på begäran.

Dessutom kommer arbetsgivaren behöva informera de anställda om all data som lagras, varför, och när eller om det kommer tas bort, och vilka externa parter de delas med (t ex om de ligger i en molntjänst som Microsoft).

Den anställde kan också när som helst begära ut alla uppgifter som finns registrerade och har också rätt att bli bortglömd, så länge uppgifterna inte behövs för att uppfylla avtal och rättsliga förpliktelser. Men när man slutat en anställning och kommande deklaration är avklarad har man i princip rätt att få sina uppgifter raderade. Dock finns det t ex rättsliga krav på att bokföring sparas i minst sju år, så lönespecar och liknande i bokföringssystemen kommer finnas kvar.

En annan konsekvens är också att det blir förbjudet att utan samtycke behålla folks jobbansökningar. När en tjänst är tillsatt ska alla ansökningar raderas om inte samtycke getts.

Rimligtvis kommer framöver anställningsavtal stipulera vad man godkänner för lagring, i den mån detta inte redan fanns i anställningsavtalen. Problemet ligger snarare i befintliga avtal som kan behöva kompletteras.

Ett stort problem för arbetsgivare är att man på slentrian antagligen har massa överskottsinformation lagrade om sina anställda, t ex mötesanteckningar, närvarolistor vid möten skrivna i något Word-dokument etc. Man har helt enkelt inte koll. En läsare meddelar att de fått ett avtal från arbetsgivaren att skriva på med formuleringen "kan bland annat omfatta, men är inte begränsat till". Alltså precis vad som helst. Dock ska detta precis vad som helst kunna begäras ut och även raderas om det inte krävs för avtal och rättsliga förplliktelser. Lite svårare om man inte har koll.

Detta är min tolkning av GDPR. En god grundregel är att inget som helst ska eller får sparas annat än just det som behövs för avtal och rättsliga förpliktelser. Bloggen sparar och har inte tillgång till någon persondata alls. Endast trafikvolymdata utan IP-nummer finns att tillgå och innehåller alltså inga personuppgifter. Personer som köpt böcker av mig finns sparade i bokföringssystemet vilket är en rättslig förplilktelse, då fakturor måste sparas i minst sju år.

En annan frågeställning är vad GDPR kommer göra med rättsvårdande myndigheters möjlighet att utreda brott. GDPR är rimligtvis överordnad svensk numera olaglig datalagringslagstiftning och med hänvisning till GDPR kan Internetleverantörer som Bahnhof radera alla loggfiler omedelbart, eller helt enkelt inte föra några loggfiler alls.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa. Genom att kommentera samtycker du till att din kommentar, tidsstämpel och pseudonym sparas av Googles Blogger-system.

36 kommentarer:

  1. Blir också intressant hur gdpr och backups kommer att fungera. Man ska inte bara ta bort data från ens aktiva databas men även alla snapshots och backups bak i tiden.

    Finns många frågetecken om GDPR.

    SvaraRadera
    Svar
    1. Ja, frågetecken kan man minst sagt kalla det. Tanken är säkert god, men jag tror inte så många tekniskt IT-kunniga varit inblandade, då lagstiftarna helt enkelt inte har förståelse för hur orimliga konsekvenser det hela kan få. Även icke-sökbart data som backuper omfattas ju exempelvis. Hur ska någon kunna hitta vad som finns i alla backuper?

      Enklast är som jag skrev att inte lagra något alls, vilket väl är andemeningen med GDPR. Problemet är det som har lagrats sedan tidigare.

      Radera
    2. Ja lite jobb... Men ett sätt att lösa backuper är ju att byta hur man sparar data. Ha allt "ditt" data på ett ställe och ta backup på det där, ska det lämnas ut finns allt där ska du glömmas ett ställe att radera.

      Radera
    3. Problemet för de som faktiskt behöver lagra viss information är att enligt vissa jurister ska informationen inte gå att återskapa när den "tagits bort", så att t.ex ta bort en fil på en hårddisk räcker kanske inte. Finns ju verktyg för att återställa borttagna filer eller snabbformatterade hårddiskar...

      Frågan är också hur man bevisar att någonting inte finns, dvs att uppgifterna verkligen är borttagna. Det går ju bara att bevisa att något existerar, inte att något INTE existerar. Isf hade diskussionen om Gud varit avslutad...

      Radera
    4. Loggfiler kommer också bli problematiska. Oftast fulla med personuppgifter som t.ex. ipadresser, usernames som kan härledas till en person osv. Loggfilerna finns överallt t.ex i den linuxbaserade hemmaroutern.

      Radera
    5. Är det verkligen ett reellt problem med gamla back-ups om de bara skyddas från intrång? Det ingen vet om kan ingen lida av menar jag. Sedan får man väl ta hand om skiten vartefter den poppar ut och radera då. Skulle man vilja spara något får man be om samtycke.

      Radera
    6. Ja onekligen är det IT-analfabeter som tar fram lagar inom området. De har säkert ingen aaaning om vad en backup eller logfil är, deras kunskaper sträcker väl sig så långt till vad den ser på skärmen i sitt excelark eller Word-dokument.

      Följden blir ju att lagen inte blir alls praktisk och antagligen inte uppfyller sitt syfte (inte det påstådda iaf).

      Radera
  2. Nja, Ad hoc register som närvaromarkeringar i mötesprotokoll omfattas inte av GDPR. GDPR förbjuder överraskande lite, men kräver att man har dokumenterat vad/hur/varför/hur länge man lagrar uppgifterna. Det ska blir riktigt skönt när 25:e maj passerar, och världen står kvar. Konsultbyårerna får söka en ny kassako, för GDPR-kossan sinar senast då.

    Max 1% av företagen har något att oroa sig över, för alla andra går livet vidare som vanligt.

    SvaraRadera
    Svar
    1. Så länge alla inblandade är rimliga och ser på saker på ett rimligt sätt är det få saker som är problem. Problemet blir när någon part bestämmer sig för att missbruka GDPR och utnyttjar det för ett överbelastningsangrepp.

      Radera
    2. Och vem skall beivra brott mot denna lagstiftning i Sverige?
      Anmäl till Datainspektionen? Och sedan...?

      Radera
  3. Vem vinner av IPRED vs. GDPR?
    "Hej kära ISP, jag laddade precis ner en film olagligt så nu vill jag att ni raderar alla uppgifter om mina aktiviteter ur era loggar."

    SvaraRadera
    Svar
    1. Man behöver bara radera uppgifter som från början är sparade med samtycke. Om man har andra skäl kan man inte kräva att de tas bort,tydligast kanske uppgifter för fakturering...

      Radera
  4. Off topic, är detta dagens blodtryckshöjare?

    https://nyhetsbyran.org/2018/04/06/identitetspolitisk-aktivist-i-nationalmusei-insynsrad/

    SvaraRadera
    Svar
    1. Bara om man är lättkränkt och bryr sig om Nationalmuseum. Om man inte bryr sig om museet så gör politiserande av museum dem snarare allt mer irrelevanta och därmed minskar deras legitimitet och folkets stöd för dem. I slutändan läggs de ner och vi sparar skattepengar.

      Om man däremot är lättkränkt och letar saker att höja blodtrycket med så är det säkert något att bry sig om.

      Radera
    2. Varför tror han det läggs ned för att folkligt stöd saknas?

      Radera
    3. Varför tror han det läggs ned för att folkligt stöd saknas?

      Radera
    4. Var på nationalmuseumet en gång för länge sedan när de hade en utställning om den svenska konstens Zlatan, Anders Zorn, med många av hans bästa verk inlånade. Lysande utställning! Det är som med TV, man ser om det är något man vill se, annars låter man bli. Så enkelt är det, eller hur svårt kan det vara?

      Radera
  5. Det sägs att svenska myndigheter får problem med diarieföring av inkommande ärenden, tex mejlfrågor till tjänstemän. Personuppgifter måste alltså rensas ut - frågan är hur man ska kunna hitta något vettigt i arkivet om alla rimliga sökord tagits bort...

    SvaraRadera
  6. Hmmm då kanske det är dags för EU med stater att införa samma normer!? De ör alltid samma trick som magikern, titta här så bra (titta på mina högra hand/magikern) medans man är de värsta (som magikern utför de tricket med vänster hand).

    SvaraRadera
  7. I Holland och Portugal är cannabis tillåtet... vi få helt enkelt lita på att EU fixar det här också.

    SvaraRadera
  8. Så bra, då måste Expo radera sina förbjudna register över "oliktänkande". Eller åtalas. Gott så.

    SvaraRadera
  9. Det som inte syns finns inte, kommer nog tillämpas brett.

    SvaraRadera
  10. Ser inte något problem med att ett företag har viss information om sina anställda. Företaget kanske iom beslutet behöver lägga till en klausul där alla anställda får skriva på att de godkänner att viss "nödvändig" information behålls av arbetsgivaren.

    Rent praktiskt behöver arbetsgivaren information om ens adress, nära anhörig ifall man råkar dö eller bli sjuk på jobbet, plus kanske några informationsdetaljer till för att kunna betala ut lön.

    Att detta skulle vara konstigt är ju helt befängt och visar på att EU är helt fel ute i vad det nu är de försöker skydda. Att vara anställd innebär att man i samarbete med en arbetsgivare jobbar mot ett gemensamt mål, inte att man misstror varandra och försöker sätta käppar i hjulet för varandra. Teamwork handlar det om.

    Som vanligt är EU-beslutet helt bortom svensk arbetsmarknad och riktar sig mot kvasitotalitära regimer. Det enda EU lyckas med är att skapa en massa onödigt byråkratjobb för en massa företag och anställda. Möjligen kanske en del helt onödiga konsulttjänster skapas för att verifiera av tredje part att företaget är klarar kraven. Men det är inget som skapar något värde, för någon. Ett tillfälle för parasiter att gynna sig själva.

    SvaraRadera
    Svar
    1. Och inget av det är problem, det kommer krävas att man dokumenterar vad man behandlar, varför och när. Och det är väl egentligen inte orimligt att jag kan få reda på vad och varför min arbetsgivare har uppgifter samt att de tas bort när de inte längre behövs.

      Radera
    2. Jo det är ett problem om man gör ett problem av något som fungerar riktigt bra. Det är slöseri med tid och resurser till ingen som helst nytta. Ett spel för galleriet i en nedåtgående spiral som gör allt sämre, där man till slut måste ha ett påskrivet kontrakt i tre exemplar för att gå och skita.

      Radera
    3. Rent tekniskt så behöver inte arbetsgivaren den anställdes adress. Det enda som den används till är väl för att skicka lönebesked, men något sådant är inget krav utan kan rent praktiskt lösas genom ett val från arbetstagaren (om hur och om han vill ha lönebesked).

      Kontaktuppgifter till nära anhörig kan vara ett krav dock vilket dock ställer till problem då dessa uppgifter idag inhämtas och sparas utan vederbörandes medgivande eller kännedom.

      Radera
  11. Jag är nyfiken på hur kombinationen GDPR och publika blockchains kommer att fungera ihop. Särskilt ifall en publik blockchainadress räknas som pseudonymiserat persondata av GDPR - nån här som vet?

    SvaraRadera
    Svar
    1. Intressant. Det finns ingen ägare eller så kanske alla i blochainen är det?

      Radera
  12. Obalansen mellan en arbetsgivare och en arbetstagare gör att det blir komplicerat med samtycke. Kan ett undertecknat medgivande av en anställd anses som "freely given"? Förmodligen inte. Dock ger en rimlig dokumentation över legitimt intresse samt kontraktet en arbetsgivare möjligheten att spara rimligt mycket information. GDPR är vagt och utan praxis är det svårt att veta hur lågt man behöver hoppa för att vara ok. Att vi får en nästan gemensam förordning kring individers rättigheter när det gäller personuppgifter är i grunden bra för alla parter.

    SvaraRadera
    Svar
    1. Den här kommentaren har tagits bort av skribenten.

      Radera
    2. Obalansen är nog mest i huvet på vänsterstollar. Hade marknaden fungerat hade det inte varit traumatiskt alls att få sparken. Är det inte rätt bisarrt att ett företag inte själv kan bestämma? I stället bestämmer efterblivna politiker vad som är bäst...

      Radera
    3. Obalansen i den relationen nämns i förordningen och tolkningar så det är bara att tugga i sig den. Personligen så hade jag gärna sett ett tydligare skope. Tyskland har tex förtydligat relationen i en egen lag. Når det gäller lagar i stort så anser jag att vi kunde kastat ett stort antal dom i sig själva inskränker våra egna liv. Tex hjälmtvånget för unga cyklister och äldre motorcyklister. Helt orimligt lagstiftning då det endast handlar om skydd av sig själv och ingen annan som kan skadas.

      Radera
    4. Skulle det inte kunna vara traumatiskt att förlora sin utkomst? Bara i ett samhälle med medborgarlön skulle jag vilja säga.

      Radera
  13. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
  14. Det tragiska är väl tolkningen om vad som är "legitima skäl". Skulle inte förvåna mig om det blir helt bakvänt...

    SvaraRadera
  15. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera