Hur ska du som arbetsgivare hantera personuppgifter som tillhör en anställd med skyddad identitet och vad händer om du inte följer reglerna enligt GDPR?
Det fick vi svar på i veckan när Integritetsmyndigheten (IMY) beslutade att ålägga Svenska Cykelförbundet en sanktionsavgift om 50 000 kronor för detta.
I denna artikel reder vi ut vad IMY:s beslut innebär och vad du som chef eller HR-ansvarig behöver göra för att undvika allvarliga konsekvenser inte endast för medarbetare, utan även för organisationen.
Vad hände i det aktuella ärendet?
En anställd informerade arbetsgivaren om att hen hade skyddade personuppgifter, trots denna kännedom, valde arbetsgivaren att publicera personens namn på förbundets webbplats, under fliken ”Kontakta oss” tillsammans med besöksadress och öppettider. Detta innebar att den anställdes vistelseort kunde avslöjas. Den anställde valde att skicka in en anmälan till IMY och en tillsyn inleddes. Först när tillsynen inletts togs personuppgifterna bort från webbplatsen.
IMY bedömde att publiceringen av personuppgifterna utgjorde en risk för den anställdes liv och hälsa, och genom att fortsätta exponera personuppgifterna på webbplatsen hade förbundet behandlat den anställdes personuppgifter i strid med artikel 17.1 d i dataskyddsförordningen (GDPR).
Vad säger GDPR?
Enligt artikel 17.1 d i GDPR ska personuppgifter raderas utan onödigt dröjsmål om de behandlas på ett olagligt sätt. Det spelar ingen roll om personen själv begärt radering, det är tillräckligt att personuppgiftsansvarig inser att behandlingen strider mot lagen.
I det här fallet saknades en giltig rättslig grund att fortsätta exponera personuppgifterna efter att arbetsgivaren fått kännedom om den anställdes skyddade identitet. Detta eftersom det inte ansågs nödvändigt att låta personuppgifterna vara publicerade för att uppnå ändamålet, vilket var att möjliggöra kontakt med befattningshavare inom förbundet. IMY ansåg att förbundet kunde uppnå sitt ändamål utan att exponera den anställdes för- och efternamn. Detta ändamål kunde enligt IMY uppnås genom andra medel, såsom att enbart publicera förnamn eller yrkestitel. En sådan åtgärd hade gjort det möjligt att komma i kontakt med den anställde i egenskap av dennes yrkesroll, utan att exponera den anställdes personuppgifter.
Rättsliga och praktiska konsekvenser för chefer och arbetsgivare
När en chef eller annan ansvarig inte hanterar skyddade personuppgifter korrekt, rör det sig inte bara om ett övertramp av GDPR, det kan även få långtgående konsekvenser för den anställde. IMY konstaterade i sitt beslut att förbundets agerande inneburit risker för den anställdes liv och hälsa.
Sanktionsavgiften på 50 000 kronor bestämdes med hänsyn till att sanktionsavgiften ska vara effektiv, proportionerlig och avskräckande. IMY förklarade i sitt beslut att detta innebär att beloppet ska bestämmas så att sanktionsavgiften leder till rättelse, att den ger en preventiv effekt och att den dessutom är proportionerlig i förhållande till såväl aktuella överträdelser som till organisationens betalningsförmåga.
Maxbeloppet för en sanktionsavgift vid överträdelser av artikel 17 kan uppgå till 20 miljoner euro eller fyra procent av årsomsättningen, beroende på vilket av beloppen som är högst. Detta gäller alla organisationer, inkluderat ideella organisationer.
Det är därför avgörande att chefer och ansvariga uppfyller sina skyldigheter när det kommer till dataskyddslagstiftningen. Organisationer bör inte heller enbart se detta som en fråga om dataskydd, utan även som en central arbetsmiljöfråga eftersom en överträdelse av reglerna även kan komma att påverka en enskilds säkerhet samt arbetsmiljö, särskilt när det gäller skyddad folkbokföring.
Vad kunde Svenska Cykelförbundet gjort i tid?
- Raderat personuppgifterna så snart det kom till deras kännedom att den anställde hade skyddad identitet.
- Anpassat kontaktinformationen så att enbart förnamn eller yrkestitel framgick.
Tre lärdomar för HR och chefer
- Skapa en rutin för skyddade personuppgifter: Se till att all personal vet hur ett särskilt skyddsbehov hanteras och ha dokumenterade rutiner för hur personuppgifter hanteras när en anställd har skyddad folkbokföring. Detta gäller även om organisationen inte idag har någon anställd med skyddad identitet. Det är viktigt att ha rutinerna på plats när behovet väl uppstår.
- Anpassa kontaktlistor och webbinformation: Om en person som har skyddad identitet måste synliggöras för att uppnå ett berättigat ändamål, använd andra medel, såsom enbart förnamn eller yrkestitel. Publicera aldrig adress, bild eller andra uppgifter som kan röja identitet eller vistelseort.
- Utbilda och informera: Se till att alla relevanta parter får förståelse för risken med obehörig åtkomst eller oavsiktlig publicering. Säkerställ att alla är medvetna om vad detta kan innebära för den enskilde samt vilka konsekvenser som kan drabba organisationen.
Checklista: Skyddade personuppgifter inom organisationen
- Finns en upparbetad rutin för när någon uppger att hen har skyddade personuppgifter?
- Har ledning och personal utbildats i hantering av skyddade personuppgifter?
- Hanteras personuppgifter analogt (papper/låst förvaring) eller i system med särskilt skydd?
- Finns tydlig behörighetsstyrning – dvs. har endast ett fåtal personer tillgång till uppgifterna?
- Dokumenteras att skyddsbehovet är känt och att åtgärder vidtas?
- Används fiktiva namn i bl.a. resultat och kontaktinformation, där det är möjligt?
- Undviks e-post, digitala register och samlad publicering som kan röja uppgifterna?
- Finns kontaktvägar och rutiner anpassade till personens önskemål och säkerhetsbehov?
Gör detta idag för att undvika eventuella problem
- Granska er webbplats, ligger personuppgifter publicerade utan nödvändigt syfte?
- Skapa ett dokumenterat beslut om hur skyddade personuppgifter ska hanteras.
- Säkerställ att nya medarbetare får information vid introduktion.
- Kontrollera att samtycken hanteras korrekt och att publicering inte sker slentrianmässigt.
Ett bristande skydd för personuppgifter kan få allvarliga konsekvenser, inte bara för individen, utan även för organisationens anseende och ekonomi.
Mer om GDPR kan du läsa om här.
