Skriftliga avtal
Interna sekretessavtal för medarbetare
Det är vanligt att ha interna sekretessavtal för medarbetare inom ett företag. Alternativt en sekretessklausul i anställningsavtalet. Dessutom är det viktigt att inkludera en sekretessklausul i personuppgiftsbiträdesavtal.
Skriftliga avtal är mest lämpligt
I många fall är muntliga och skriftliga avtal lika giltiga, men det är enklare att bevisa skriftliga avtal vid en eventuell tvist. Därför är det rekommenderat att ingå skriftliga avtal. Däremot finns det inga formkrav på att sekretessavtal måste vara skriftliga för att vara giltiga, vilket innebär att det i teorin kan vara muntligt. Däremot kan det leda till problem kring bevisning av det muntliga sekretessavtalets omfattning, och därför bör det vara skriftligt.
Sekretessavtal eller sekretessklausul i anställningsavtalet
Arbetsgivaren bör ingå ett separat sekretessavtal med sina anställda, istället för att inkludera enbart en sekretessklausul i anställningsavtalet. Det kan nämligen vara så att externa parter begär att få se omfattningen av den avtalade sekretessen. Då är det enklare att uppvisa det separat ingångna interna sekretessavtal medarbetare, som kan utgöra en bilaga till anställningsavtalet. Interna sekretessavtal med medarbetare innehåller ju sällan integritetskänsliga personuppgifter, till skillnad från anställningsavtalet.
Ett alternativ till interna sekretessavtal för medarbetare är att istället upprätta en sekretesspolicy, som gäller för alla anställda. Vid sådana fall bör framgå en hänvisning till sekretesspolicyn i anställningsavtalet och att den anställde förbinder sig att följa den. Då slipper varje enskild medarbetare signera sekretesspolicyn.
Eventuella konsekvenser utan tydliga sekretesskrav
- Dataläckor eller annan form av otillåten spridning av personuppgifter.
- Skada för registrerade på grund av inträffade personuppgiftsincidenter, såsom att obehöriga har fått åtkomst till personuppgifter på grund av sekretessbrott.
- Böter från tillsynsmyndigheter på grund av brott mot GDPR.
Inkludera sekretessklausul i personuppgiftsbiträdesavtal
Enligt artikel 28(3)(b) i GDPR framgår att ett personuppgiftsbiträdesavtalet måste vara skriftligt. Dessutom måste avtalet innehålla en klausul som innebär att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet, alternativt att de omfattas av en lämplig lagstadgad tystnadsplikt. Om detta inte framgår i personuppgiftsbiträdesavtalet, är det inte fullständigt och bryter mot artikel 28 i GDPR. Den personuppgiftsansvarige har även rätt att granska persouppgiftsbiträdets efterlevnad av regelverket. Därför är det bra om personuppgiftsbiträdet upprättar interna sekretessavtal för sina medarbetare.
Exempel på personuppgifter som medarbetare ofta har tillgång till
Namn, e-postadress, telefonnummer, postadress, köphistorik och andra personuppgifter som tillhör företagets kunder, som registrerats i företagets IT-system (exempelvis kundregister, ekonomisystem, CRM-system etc). Om kunderna är företagskunder, behandlas ofta personuppgifter tillhörande deras kontaktpersoner och företrädare.
Namn, telefonnummer, e-postadress och eventuella andra personuppgifter om övriga medarbetare på företaget.
Känsliga personuppgifter enligt artikel 9 i GDPR som registreras i bolagets system. Exempelvis information om sjukfrånvaro, eventuella allergier, funktionsnedsättningar eller andra uppgifter om hälsa, information om medlemskap i fackföreningar eller liknande.
Alla medarbetare har inte alltid behov av att ha tillgång till personuppgifterna
Det är inte alltid nödvändigt för alla på ett företag att få åtkomst till samtliga personuppgifter som behandlas. Speciellt inte om det rör integritetskänsliga personuppgifter. Därför är det viktigt att implementera lämplig behörighetsstyrning. Exempelvis brukar en ekonomichef som sköter all löpande bokföring och löneutbetalning på företaget behöva behandla personuppgifter om alla anställda. Det inkluderar information om deras eventuella sjukfrånvaro, vilket är en känslig personuppgift. Däremot är det inte nödvändigt för alla övriga medarbetare på företaget att ha tillgång till dessa personuppgifter.
Vad bör ett sekretessavtal innehålla?
Definiera vad som är konfidentiellt
Det är viktigt att definiera exakt vad som är sekretessbelagd. Det vill säga, omfattningen av sekretessskyldigheten och innebörden av termen “konfidentiell information”. Exempelvis information om kunder, system, personuppgifter och liknande.
Klargör förbud
Gör det klart att det inte är tillåtet att sprida informationen till externa parter, utan giltig rättslig grund enligt GDPR och utan verkligt behov av datadelningen.
Krav på att skydda personuppgifter
Sekretessavtalet bör inkludera krav på att skydda personuppgifter. Exempelvis genom att medarbetare inte får läsa sekretessbelagd information på offentliga platser, och att de ska lagra sekretessbelagd information på ett tillräckligt säkert sätt. Det är viktigt att medarbetaren åtar sig att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna från obehörig åtkomst sam, obehörigt röjande och nyttjande.
Tidsfrist för avtalet
Det är inte ovanligt att sekretessen fortsätter att vara bindande även efter anställningens upphörande, antingen obegränsat eller i ett visst antal år. Det är viktigt att i avtalet klargöra tidsfristen för sekretessen efter anställningsavtalets upphörande.
Konsekvenser vid avtalsbrott
Se till att inkludera vad som händer om sekretessen bryts av den anställde. Till exempel att det kan leda till arbetsrättsliga följder, såsom uppsägning eller avsked.
Hänvisa till övriga interna policys som företaget har
Det är inte ovanligt att i sekretessavtalet även hänvisa till andra tillämpliga relaterade interna policys, såsom IT-säkerhetspolicyn eller olika GDPR-rutiner.
Implementera sekretess i praktiken
Ha det som en del av onboarding-processen
Se till att alla nya medarbetare får information om den gällande sekretessen, att de förstår den samt skriver under ett sekretessavtal, innan de får tillgång till personuppgifterna.
Se till att utbilda personalen regelbundet
Det kan vara bra att påminna om sekretessen och att utbilda personalen regelbundet. Tänk på att medarbetarna ska förstå vad sekretessen faktiskt innebär i praktiken och hur den upprätthålls.
Vad som sker vid offboarding
Det är på att påminna medarbetare som slutar arbeta om sekretessen. Ofta gäller sekretessen även efter anställningens upphörande utan begränsning i tiden, eller under en tidsbestämd period.
Vissa roller och yrken kan kräva förhöjd sekretess
Vissa yrkesroller (såsom ekonomiansvarig, HR och kundservice) kan kräva förhöjd sekretess, eftersom dessa medarbetare kan få tillgång till ganska känslig information. Detsamma gäller vissa yrkesroller, såsom psykologer och lärare.
När det verkligen kan vara lämpligt att ingå interna sekretessavtal för medarbetare
- När medarbetare använder CRM-system för att hantera information om företagets kunder.
- Personer som administrerar personalens personuppgifter. Exempelvis externa anlitade redovisningskonsulter eller ekonomichefen.
- Personer som arbetar med IT-support och i sitt arbete får tillgång till information om företagets kunder eller användare av IT-systemen.
Mer info
Clean-desk rutin
En annan organisatorisk säkerhetsåtgärd som kan vara bra för företag att tillämpa är en clean-desk rutin och att ha en tillhörande clean-desk policy. Med andra ord, att medarbetare inte lämnar dokument eller annan information som innehåller personuppgifter eller annan viktig data framme utan tillsyn eller där obehöriga kan se det. En clean-desk rutin är en enkel organisatorisk åtgärd som kan minska risker för att obehöriga får tillgång till information.