GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

GDPR - Åtgärder

Interna sekretessavtal för medarbetare inom ett företag

Det är vanligt att ha interna sekretessavtal för medarbetare inom ett företag. Alternativt en sekretessklausul i anställningsavtalet. Dessutom är det viktigt att inkludera en sekretessklausul i personuppgiftsbiträdesavtal. 

Sekretessavtal eller sekretessklausul i anställningsavtalet

Det är vanligt att anställningsavtal innehåller en sekretessklausul. Alternativt att ett separat sekretessavtal läggs till som en bilaga till anställningsavtalet. I dessa fall är sekretessbestämmelserna ofta generellt formulerade, och avser att skydda arbetsgivarens konfidentiella information. Skyldigheten att iaktta sekretess ligger därmed främst på den anställde. Detta är en form av ensidig sekretessförbindelse. Motsatsen till det är så kallade ömsesidiga sekretessförbindelser. Däremot är dessa mindre vanliga i anställningsavtal.   

What breaches of the GDPR can lead to an administrative fine?

Skriftliga avtal är mest lämpligt

I många fall är muntliga och skriftliga avtal lika giltiga, men det är enklare att bevisa skriftliga avtal vid en eventuell tvist. Därför är det rekommenderat att dokumentera avtal skriftligt. Det finns inga formkrav på att ett sekretessavtal måste vara skriftligt, vilket innebär att det i teorin kan vara muntligt. Däremot kan det leda till problem om det inte går att bevisa att avtalet har ingåtts, och därför bör avtalet vara skriftligt.

Inkludera sekretessklausul i personuppgiftsbiträdesavtal

Enligt artikel 28(3)(b) i GDPR ska ett personuppgiftsbiträdesavtal innehålla en sekretessbestämmelse. Närmare bestämt, måste det framgå att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess. Alternativt, måste personuppgiftsbiträdet säkerställa att dessa personer istället omfattas av en lämplig lagstadgad tystnadsplikt.

Eventuella konsekvenser utan tydliga sekretesskrav

Dataläckor

Otillåten spridning av personuppgifter

Böter från tillsynsmyndigheter

Skada för registrerade

Personuppgiftsbiträdet bör ingå separat sekretessavtal med sina anställda

Företaget, som är personuppgiftsbiträde, bör ingå ett separat sekretessavtal med sina anställda. Sekretessavtalet bör specifikt reglera personalens behandling av personuppgifter som omfattas av personuppgiftsbiträdesavtalet. På så sätt kan personuppgiftsbiträdet uppvisa detta separata sekretessavtal till den personuppgiftsansvarige vid begäran, eller tillsynsmyndigheten vid granskning. Då slipper personuppgiftsbiträdet uppvisa de anställdas anställningsavtal, eftersom sekretessen är separat reglerad och inte inbakad som en sekretessklausul i anställningsavtalet.

Exempel på personuppgifter som medarbetare ofta har tillgång till

Personuppgifter som rör kunder

Information om andra medarbetare

Känsliga personuppgifter

Alla medarbetare har inte alltid behov av att ha tillgång till personuppgifterna

Det är inte alltid nödvändigt för alla på ett företag att ha åtkomst till samtliga personuppgifter som företaget behandlar. Speciellt inte om det rör integritetskänsliga personuppgifter. Därför är det viktigt att ha lämplig behörighetsstyrning. Exempelvis brukar en revisor som sköter all ekonomi på företaget behöva behandla personuppgifter om alla anställda. Det inkluderar information om sjukfrånvaro, som är en känslig personuppgift om hälsa, enligt artikel 9 i GDPR. Däremot är det inte nödvändigt för alla på företaget att ha tillgång till sådana personuppgifter. 

Vad kan ett sekretessavtal innehålla?

Definiera vad som är konfidentiellt

Det är viktigt att definiera exakt vad som är sekretessbelagt. Exempelvis information om företagets kunder, system, personuppgifter som behandlas inom verksamheten.

What is the definition of anonymised data?

Klargör förbud

Gör det klart att det inte är tillåtet att sprida informationen till obehörig tredje part.

Subjektivt integritetskänsliga personuppgifter

Krav på att skydda konfidentiell information som innefattar personuppgifter

Krav på att skydda sådan information. Exempelvis att inte läsa sekretessbelagd information på offentliga platser och lagra det på en säker plats.

Sensitive personal data according to GDPR

Tidsfrist för avtalet

Det är inte ovanligt att sekretessen fortsätter även efter anställningen i ett visst antal år. I vissa fall kan sekretessen gälla även efter anställningens upphörande, utan begränsning i tiden.

Measures that companies need to take to comply with GDPR

Konsekvenser vid avtalsbrott

Se till att inkludera vad som händer om sekretessen bryts. Till exempel att det kan leda till arbetsrättsliga följder, såsom avsked.

Subjektivt integritetskänsliga personuppgifter

Hänvisa till andra interna policys som företaget har

Det är inte ovanligt att hänvisa sekretessavtalet till andra interna policys, såsom olika GDPR-rutiner.

Implementera sekretess i praktiken

What is the definition of anonymised data?

Ha det som en del av onboarding-processen

Se till att alla nya medarbetare får information om sekretessen och förstår den samt skriver under innan de får tillgång till uppgifterna. Alternativt kan sekretessavtalet omformuleras till en sekretesspolicy istället, som är tydligt angiven i anställningsavtalet. Men även i dessa fall är det bra att företaget får bevis på att de anställda faktiskt har tagit del av den genom sin underskrift.

Measures that companies need to take to comply with GDPR

Se till att utbilda personalen regelbundet

Det kan vara bra att påminna och utbilda personalen regelbundet. Tänk på att medarbetarna ska förstå vad sekretessen faktiskt innebär i praktiken.

Påminnelse vid offboarding

Det är på att påminna medarbetare som slutar arbeta om sekretessen i samband med offboarding-processen.

Subjektivt integritetskänsliga personuppgifter

Vissa roller och yrken kan kräva förhöjd sekretess

Vissa befattningar (såsom ekonomiansvarig, HR och kundservice) kan kräva förhöjd sekretess, eftersom dessa personer kan få tillgång till ganska känslig information. Detsamma gäller vissa yrkesroller såsom psykologer och lärare.

När det verkligen kan vara lämpligt att ha ett sekretessavtal

  • När personalen använder CRM-system för att hantera information om arbetsgivarens kunder. 
  • Personer som administrerar personalens personuppgifter. 
  • Personer som arbetar med IT-support och i sitt arbete får tillgång till information om arbetsgivarens kunder, användare etc. 
  • När företaget behandlar personuppgifter i rollen personuppgiftsbiträde, åt en annan aktör som är den personuppgiftsansvarige.

Mer info

Clean-desk rutin

En annan organisatorisk säkerhetsåtgärd som kan vara bra för företag att tillämpa är clean-desk rutin och att ha en clean-desk policy. Med andra ord, att medarbetare inte lämnar dokument eller annan information som innehåller personuppgifter eller annan viktig information framme utan tillsyn eller/och där obehöriga kan se det. En clean-desk rutin är en enkel organisatorisk åtgärd som kan minska risker för att obehöriga får tillgång till information.

Vill du lära dig mer??

Klicka här
Rulla till toppen