Recruto Logotype

General Data Protection Regulation

Postad i Nyheter, 19 februari, 2018

Vad innebär GDPR – Vad gör Recruto

Den 25 maj 2018 är det dags! Den nya förordningen General Data Protection Regulation (GDPR), eller Dataskyddsförordningen som den heter på svenska, träder i kraft. Förordningen är gemensam för EU/EES vilket innebär att samma spelregler kommer att gälla i hela Europa. Den nya lagen är anpassad efter den snabba teknikutveckling som skett sedan den nuvarande Personuppgiftslagen (PuL) trädde i kraft 1998. Den syftar till att stärka och modernisera EUs Dataskyddslag och ta till vara på individens rättighet och frihet.

På Recruto jobbar vi aktivt med att förbereda våra webbaserade verktyg inför att GDPR träder i kraft. Intentionen med detta utskick är att ge en sammanfattning av nya förordningen men också att ge en specifik bild av hur Recruto ser på GDPR och vad vi gör konkret våra verktyg. Observera att denna guide endast är skriven med syftet att informera. Den ska inte användas som juridisk rådgivning. Vi uppmuntrar dig och ditt företag att ta reda på vad ni utifrån era förutsättningar behöver göra för uppfylla kraven i nya förordningen.

 

GDPR ersätter PuL

GDPR innehåller många nyheter men samtidigt är det mycket som är likt dagens lagstiftning, personuppgiftslagen (PuL). Ni som idag har full koll på vilka behandlingar som görs och som har rutiner och processer på plats för att säkerställa att PuL följs har  en bra grund att utgå ifrån. Den stora skillnaden är att direktivet innebär betydligt strängare krav för hantering av personuppgifter.

En nyhet i den nya dataskyddsförordningen är att det uttryckligen anges att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i dataskyddsförordningen (ansvarsskyldighet). En annan nyhet är att personer som registreras får utökade rättigheter. De viktigaste beskrivs utförligt nedan.

Vad utgör personuppgifter enligt GDPR?

All information som är hänförlig till fysiska personer som kan användas för att direkt eller indirekt identifiera personen är personuppgifter. Det kan vara ett namn, ett foto, mailadress, bankuppgifter, inlägg på sociala nätverk, medicinsk information eller en IP-adress.

I PuL finns en regel som innebär enklare regler för personuppgifter i “ostrukturerat material”. Det gäller till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När dataskyddsförordningen ersätter personuppgiftslagen kommer denna regel, den så kallade missbruksregeln, inte längre finnas kvar.

När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund (se nedan), att informera de registrerade och föra register över sina behandlingar.

Rättigheter för den registrerade till följd av GDPR

Genom GDPR förstärks de enskildas rättigheter. För att följa förordningen måste företag som lagrar personuppgifter säkerställa att man ger registrerade dessa rättigheter. De viktigaste rättigheterna  är att den enskilde ska:

  • få tillgång till sina personuppgifter
  • få felaktiga personuppgifter rättade
  • få sina personuppgifter raderade (rätten att bli glömd)
  • kunna invända mot att personuppgifterna används för direktmarknadsföring
  • kunna invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
  • få flytta personuppgifterna (dataportabilitet)

Behandling av personuppgifter

En nyhet som följer av förordningen är att det numera ställs ett krav på att den som vill behandla personuppgifter måste ange vilken rättslig grund man har för detta redan då insamlingen av uppgifterna sker.

En sådan rättslig grund är till exempel samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning, samt att rätten för att behandla personuppgifter vid en intresseavvägning kan anses väga tyngre än den registrerades intresse av skydd för sina personuppgifter.

Anmälningsplikt till Datainspektionen

Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade.

Företag som inte lever upp till förordningens krav kan tvingas betala vite motsvarande upp till 4 % av företagets årsomsättning eller upp till 20 miljoner euro. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.

Sammanfattning av de viktigaste nyheterna i GDPR

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter som man själv lämnat för att föra över dem till en annan tjänst. Detta kallas dataportabilitet.
  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler.
  • Den så kallade missbruksregeln försvinner.

Så tänker Recruto

Vi tycker i stora drag att nya förordningen är bra genom att den är tänkt att värna om dig och mig som privatperson. Det innebär dock stora förändringar och vissa krav kommer att få följdverkningar som är svåra att se konsekvenser av i nuläget. Generellt handlar det om att Recruto som systemleverantör ska följa nya riktlinjerna för inbyggd integritet genom systemets hela livscykel. Inom GDPR benämns detta Privacy by design. Ett exempel kan vara en standardinställning för automatisk radering av personuppgifter och ett annat kan vara standardinställningar för uppgiftsminimering. Praxis är att system i grunden inte ska presentera mer uppgifter än nödvändigt vilket är sunt och gynnar oss alla som privatpersoner.

Även om vi som leverantör av IT-system normalt sett inte är ansvariga för de eventuella integritetsproblem som uppstår i samband med användningen av systemet är vårt mål att skapa bästa förutsättningar för dig som personuppgiftsansvarig och kund till Recruto att kunna följa gällande lagar och regler. Vi vill minimera risken för onödiga kostnader och tidsödande arbetsinsatser som skulle kunna uppstå om man måste lindra integritetsproblem i efterhand.

Konkreta förändringar i Recruto

Även om mycket redan finns på plats i Recruto inför GDPR slår igenom ska vi göra vissa ytterligare justeringar och tillägg. Du hittar en lista med dessa punkter nedan. Observera att denna lista kan komma att justeras. Vi uppdaterar dig kontinuerligt med nyheter.

  • Utökad informationsskyldighet – Syftet och vilka rättigheter som den behandlade åtnjuter i samband samtycket vid registrering kommer att förtydligas ytterligare enligt nya riktlinjer i GDPR.
  • Rutiner för avidentifiering – Grunden är att personuppgifter inte får sparas lika frikostigt framöver. Det måste finnas ett tydligt syfte varför uppgifter sparas och en tidsgräns som kan motiveras och försvaras. När man inte har skäl att ha kvar uppgifterna ska de tas bort. Det finns inga riktlinjer för en exakt tidsgräns. Det kommer att vara upp till varje organisation att ta ställning till hur länge som uppgifter ska sparas. Recruto tar fram funktionalitet för automatiskt borttagning av personuppgifter där tanken är att du som kund själv ska kunna ställa in rutiner för avidentifiering. Detta resulterar i att du som kund i normalfallet manuellt inte behöver tänka på att till exempel radera inkomna ansökning. Avidentifieringen kommer att vara oåterkallelig när den väl har skett. Detta på grund av att även backuper hos Recruto raderas i linje med GDPRs nya riktlinjer för avidentifiering. Vi kommer att skicka ut ytterligare information om denna ny funktionalitet när den är klar i god tid innan den 25 maj.
  • Uppgiftsminimering – I standardfallet ska Recruto verka för att begränsa behandling av personuppgifter. Det påverkar främst nya kunder som börjar använda våra verktyg men generellt är uppgiftsminimering är något som alla ska tänka på. Ett exempel kan vara att justera standardinställningarna för vilka uppgifter som den behandlade tvingas fylla i vid registrering.
  • Möjliggöra dataportabilitet – Recruto ska tillhandahålla de uppgifterna som den behandlade har registrerat i ett standardiserat och maskinläsbart format (csv-fil) så att antingen kandidaterna själva eller ni som personuppgiftsansvarig kan ge den behandlade uppgifterna om/när detta efterfrågas.
  • Begränsa sökbara termer – Recruto ska hindra möjlighet till att via filter söka på känsliga ord och termer då det i normalfallet inte är tillåtna att använda/returnera resultat när det gäller känsliga personuppgifter som avslöjar till exempel etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse.
  • Personuppgiftsbiträdesavtal – Det blir krav på att det finns ett personuppgiftsbiträdesavtal mellan dig som kund och Recruto som leverantör. Recruto kommer att utöka avtalet med en bilaga som hanterar de nya kraven som GDPR för med sig och vi kommer att göra detta tillgängligt via kontrollpanelen som inloggad i verktyget i god tid innan den 25 maj 2018. I bilagan kommer det att framgå hur personuppgiftsbiträdet får behandla personuppgifterna och att biträdet till exempel måste vidta samma säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.
  • IT-säkerhetspolicy – Vi kommer även att tillhandahålla Recrutos IT-säkerhetspolicy i kontrollpanelen som inloggad för att tydliggöra vilka rutiner och riktlinjer Recruto följer.

Ordlista – Förklaring till viktiga ord/begrepp

  • Personuppgiftsansvarig –  Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till.
  • Personuppgiftsbiträde – Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation.
  • Dataskyddsombud – Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

 

Hör gärna av dig till oss!

Om du har feedback, frågor eller funderingar angående GDPR når du oss genom att maila till info@recruto.se eller ringa 031-799 90 65.

Vänlig hälsning

Ditt Recruto Team