Precis så komplicerat som befarat ...

Publicerat den 20 december 2022

EU:s regler kring bananer och gurkor samt unionens krav på organisationers och företags hantering av personuppgifter är absolut inga enkla historier. Det handlar inte om myndigheters klåfingrighet utan är främst i syfte om att värna och skydda den enskilde individen.

Torsdagen den 15 december 2022 genomförde Göteborgs Byggmästareföreningen i samarbete med Fondia en spännande frukost i Byggarnas Hus nyrenoverade matsal – matnyttigt för såväl kropp som själ.

De två sakkunniga som svarade för informationsspridningen var Caroline Heimdahl, Senior Legal Counsel, och Erik Frid Jutblad, Senior Legal Counsel, båda på Fondia. De berättade bland annat att rätten till privatliv är grundlagsskyddad i regeringsformen och också är en mänsklig rättighet enligt både Europa- och FN-konventionen.

Syftet med GDPR är att skydda EU:s medborgares integritet och stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter.

Det finns vissa kriterier som måste uppfyllas för att man på rättslig grund ska få registrera uppgifter om en identifierad eller identifierbar fysisk person. För detta krävs
samtycke, men det kan också handla om fullgörande av avtal eller en rättslig förpliktelse samt ett berättigat intresse.

De klargjorde också vad som menas med personuppgift. Det innebär ”varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras eller en eller flera faktorer som är specifika för den fysiska personens identitet”.

Under rubriken känsliga personuppgifter räknas exempelvis ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, sexualliv eller sexuell läggning samt uppgifter om lagöverträdelser.

Det är alltid en juridisk person som är personuppgiftsansvarig och varje personuppgiftsansvarig måste lämna klar och tydlig information om hur personuppgifter behandlas, vilka rättigheter de registrerade har och hur de registrerade kan utöva sina rättigheter. När det gäller personaluppgifter är det alltid arbetsgivaren som är ansvarig.

Frågan kring om arbetsgivaren får läsa den anställdes e-post var också en punkt som behandlades. Det får endast göras om det verkligen måste göras och den anställde måste vara informerad om att arbetsgivaren kan komma att läsa inkorgen. En rekommendation är att införa tydliga rutiner för vad som gäller på företaget när det gäller e-postanvändning.

Visselblåsarfunktion

Sedan den 17 juli 2022 är det krav på visselblåsarfunktion för bolag med över 249 anställda och från och med den 23 december 2022 är det krav på visselblåsarfunktion för bolag med mellan 50 och 249 anställda.

Här är några särskilda bestämmelser om personuppgiftsbehandling i lagen kring visselblåsare:

  • Personuppgifter får behandlas bara om det är ”nödvändigt”.
  • Tillgången till personuppgifter ska begränsas till vad som behövs för att kunna fullgöra arbetsuppgifter.
  • Personuppgifter som uppenbart inte är relevanta ska raderas snarast möjligt om de har samlats in av misstag.
  • Personuppgifter får inte behandlas längre än två år efter det att ärendet avslutades.

Slutord

Även om inget sades om bananer under frukosten så kan vi avslöja att de graderas i olika klasser, men det lär vara en myt att EU ställer krav på att de ska vara böjda, men de klassas faktiskt ändå efter formen. Beträffande EU:s regler för gurkorna så lär dessa regler ha slopats 2008.

Om man känner sig osäker på vad som gäller kring hantering av personuppgifter så är ett tips att konsultera en kunnig konsult.

Intresset bland mötesdeltagarna var stort så Caroline och Erik fick besvara ett stort antal frågor, exempelvis om man får registrera facklig tillhörighet eller vilket fotbollslag som ens kunder håller på eller om en anställd har hund eller katt.

Lars O. Carlsson