Riktlinjer för skydd av medarbetares personuppgifter i AcadeMedias svenska verksamheter

I alla AcadeMedias verksamheter hanterar vi dagligen personuppgifter för att kunna uppfylla de skyldigheter vi har som arbetsgivare enligt lagar och avtal, skapa en god arbetsmiljö och en bra struktur för våra medarbetare att arbeta i. Även centralt på AcadeMedia sker hantering av personuppgifter för att kunna betala ut lön, betala in pensioner, lämna rätt uppgifter till myndigheter med mera.

För att kunna säkerställa varje medarbetares rätt till integritet och trygghet ska varje chef och medarbetare i AcadeMedias svenska verksamhet behandla personuppgifter i enlighet med dessa riktlinjer.

Så här tänker vi på AcadeMedia:

  • Medarbetarens personuppgifter är dennes egna – vi lånar dem bara.
  • Vi ska enbart använda de personuppgifter vi behöver i varje enskild situation.
  • Vi ska bara behandla (samla in, lagra och sprida) känsliga personuppgifter när uppgifterna krävs för att uppfylla lagar och avtal gentemot våra medarbetare eller för att värna deras säkerhet och trygghet.
  • Vi ska i möjligaste mån eftersträva att vår hantering av personuppgifter vilar på annan rättslig grund än samtycke.

Personuppgiftsansvarig

Personuppgiftsansvarig för AcadeMedias behandling av medarbetares personuppgifter i de svenska verksamheterna är det juridiska bolaget som medarbetaren är anställd i. Det betyder att det juridiska bolaget har det yttersta ansvaret för den personuppgiftsbehandling som sker för medarbetare anställda i Sverige.

Dataskyddsombud

Dataskyddsombud för AcadeMedia Support AB är Nellie Berntsson.

Personuppgiftsbiträde

De externa parter som behandlar medarbetares personuppgifter på uppdrag av AcadeMedia kallas personuppgiftsbiträden. För dessa ska det finnas ett personuppgiftsbiträdesavtal som reglerar vad den externa parten får göra med personuppgifterna.

  • Ramavtalsleverantörer. I de fall AcadeMedia har ramavtal med extern part ligger ansvaret centralt på koncernnivå för att korrekta personuppgiftsbiträdesavtal finns.
  • Övriga leverantörer. När avtal tecknas med part där ramavtal saknas ska det göras en bedömning av partens lämplighet att vara personuppgiftsbiträde tillsammans med dataskyddsombudet. Den som slutligen tecknar tjänsteavtalet är ansvarig för att det upprättas ett personuppgiftsbiträdesavtal. Dataskyddsombudet ansvarar för att hålla aktuell förteckning över samtliga personuppgiftsbiträden och fortlöpande göra kontroller av deras lämplighet.

I det utbyte av personuppgifter som sker med fackliga organisationer utifrån arbetsrättslig lagstiftning och/eller kollektivavtal, till exempel vid lönerevision eller omorganisation, är den fackliga organisationen att betrakta som en så kallad “annan part” och personuppgiftsbiträdesavtal krävs därför inte.

Tredjepartsappar

Med tredjepartsapp menas en app (applikation) som laddas ner till en dator, surfplatta, Chromebook, mobiltelefon eller annat tekniskt hjälpmedel. Denna app kan ofta hämta/läsa information från systemet och andra program. Vid användning av tredjepartsappar finns det en betydande risk att förlora kontrollen och insynen i hur personuppgifter behandlas av den tredje parten. Det är därför viktigt att alla medarbetare använder de Google-konton som tilldelas via arbetsgivaren, inte ett privat konto.

(Observera att nedanstående stycke om tredjepartsappar är under utveckling.)

För att trygga medarbetarnas och våra deltagares personuppgifter vid användning av tredjepartsappar finns det behörighetsbegränsningar för vilka appar som kan installeras i AcadeMedias Google-miljö. De appar som kan väljas är granskade och godkända av personuppgiftsansvarig. Endast godkända tredjepartsappar får användas i AcadeMedias verksamheter. För appar som laddas ned via ett privat konto från Google eller via Apples App Store är det medarbetarens eget ansvar att endast ladda ned säkra appar. De listor över tredjepartsappar som har godkänts av verksamheterna för användning är en bra utgångspunkt, vid minsta osäkerhet ska en app inte laddas ned eller godkännas utan att först ha stämts av med dataskyddsombud, verksamhetens IT-chef eller AcadeMedia IT.

Lista över godkända tredjepartsappar (arbete pågår).

Personuppgiftsincident

En personuppgiftsincident är en händelse där AcadeMedia eller personuppgiftsbiträde oavsiktligt förlorat, ändrat eller delat personuppgifter med någon obehörig.

Exempel på personuppgiftsincidenter:

  • Ett mail med integritetskänsliga personuppgifter om en medarbetare skickas till fel person.
  • Ett intrång sker i något av våra system där personuppgifter hanteras.

När en personuppgiftsincident har inträffat ska du omgående informera närmaste chef och anmäla incidenten till dataskyddsombudet. Dataskyddsombudet ansvarar för dokumentation och eventuell rapportering till Datainspektionen (inom 72 timmar från att incidenten identifierats) samt vid behov, ge information till berörda medarbetare om vad som skett och vilka åtgärder som vidtagits. Ansvarig chef ska tillsammans med Dataskyddsombudet avgöra hur den eller de medarbetare vars personuppgifter var föremål för incidenten, ska informeras.

Att tänka på som medarbetare: Som medarbetare ska du anmäla alla former av personuppgiftsincidenter som du får kännedom om till dataskyddsombudet via servicewebbens funktion för anmälan av incidenter.

Hantering av personuppgifter

Hanteringen av personuppgifter är en process som börjar med information till den registrerade och avslutas med arkivering/gallring. Hanteringen består av flera olika moment där varje moment juridiskt sett ses som en personuppgiftsbehandling. Bilden nedan illustrerar de olika momenten.

1. Informera

Innan personuppgifter samlas in och behandlas, till exempel när en arbetssökande registrerar en jobbansökan eller en person ska anställas, ska hen få information om hur hens personuppgifter kommer att behandlas. Denna information finns i våra mallar för anställning och i våra centrala verktyg för rekrytering och testning. Fördjupad information finns på trygg.academedia.se.

2. Samtycka, samla in och registrera

Samtycke
Generellt sett kan vi behandla medarbetares personuppgifter med legal grund i anställningsförhållandet och ska då inte be om medarbetarens samtycke.

I vissa specifika fall behöver vi dock ett samtycke innan vi samlar in eller behandlar medarbetares personuppgifter. De vanligaste situationerna då vi behöver samtycke är:

  • Medverkan i marknadsföring och extern information i ord eller bild
  • Insamling av uppgifter om allergi eller specialkost i samband med möten och konferenser
  • Vid jobbansökan eller testning

Om du är osäker, kontakta ditt dataskyddsombud för att få vägledning om samtycke behövs eller ej.

Ett samtycke kan återkallas. Om ett samtycke återkallas får personuppgifter som samtycket gällde inte längre behandlas.

Blanketter för samtycke för foto och film finns här.

Kameraövervakning

I de fall vi har kameraövervakning behandlas videomaterialet med legal grund i en så kallad intresseavvägning. Men det är viktigt att de arbetsplatser som har kameraövervakning är medvetna om att detta är en insamling av integritetskänsliga personuppgifter. Medarbetarna måste informeras om kameraövervakningen före anställningen.

3. Lagra/spara personuppgifter

Det finns flera olika alternativ för var personuppgifter kan sparas/lagras. Några exempel på platser är IT-system, molntjänst, e-post, filserver, USB-minne och på ett papper i ett arkiv eller i en pärm. Platsen där personuppgifterna sparas måste väljas medvetet och med utgångspunkt i hur skyddsvärda personuppgifterna är. Personuppgifterna får inte sparas längre tid än vad som behövs för ändamålet. För att kontrollera hur länge och var olika personuppgifter ska sparas, se AcadeMedias arkiveringsplan.

Okänsliga personuppgifter

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan därför sparas digitalt på samtliga lagringsplatser som AcadeMedia erbjuder, exempelvis på en central filserver, i e-post, i Google-drive/One-drive, i servicewebben och i övriga IT-system. Digitala system utöver de som erbjuds av AcadeMedia ska inte användas.

Integritetskänsliga personuppgifter

Integritetskänsliga personuppgifter är till exempel testresultat, utdrag ur belastningsregistret, omdömen vid rekryteringar, anteckningar från medarbetarsamtal och PRP-bedömningar på individnivå. Dessa uppgifter ska i första hand sparas i för dem avsedda system och/eller inlåsta så att enbart behörig personal har åtkomst. I de fall det inte finns ett system för lagring av dessa uppgifter, ska du i första hand använda en av de tjänster för molnlagring som AcadeMedia erbjuder, det vill säga Google Drive eller Office365/OneDrive.

Känsliga personuppgifter

Känsliga personuppgifter, som bland annat information om hälsotillstånd och facklig tillhörighet, får bara samlas in och sparas på säkra platser och delas enligt den rutin som AcadeMedia har fastställt.

Känsliga personuppgifter ska alltid hanteras med extra försiktighet och sparas i avsedda IT-system. De får inte lyftas ut ur avsedda IT-system eller sparas på annan plats om inte hanteringen är säker.

4. Dela personuppgifter

Delning av okänsliga personuppgifter
Okänsliga personuppgifter är harmlösa och kan delas digitalt på de olika sätt som AcadeMedia erbjuder. Andra system, alltså system som AcadeMedia inte erbjuder, får inte användas.

Delning av integritetskänsliga personuppgifter
Om integritetskänsliga personuppgifter behöver delas utanför avsedda IT-system kan det göras på följande sätt:

  • Via Google-drive/One-drive, där du som delar kan ha kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Dokument innehållande integritetskänsliga personuppgifter kan skickas med krypterad e-post om filen är lösenordsskyddad. Lösenordet till dokumentet får inte mailas utan sänds till mottagaren via annan kanal, exempelvis per sms eller meddelas muntligt.
  • Med krypterat och lösenordsskyddat USB-minne. Lösenordet ska meddelas separat och inte i samma försändelse som USB-minnet.
  • Via krypterad e-post (AcadeMedias interna e-post är krypterad) om det går att säkerställa att sändare och mottagare tar bort mailet när det inte längre behövs för syftet. Den som skickar personuppgifterna är också ansvarig för att gallring faktiskt sker.

Delning av känsliga personuppgifter
Om känsliga personuppgifter (till exempel uppgifter om hälsotillstånd och facklig tillhörighet) behöver delas utanför avsedda IT-system kan det göras på följande sätt:

  • Via Google-drive/One-drive, där du som delar kan ha kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Dokument som innehåller känsliga personuppgifter kan skickas med e-post om filen är lösenordsskyddad och det går att säkerställa att sändare och mottagare tar bort mailet när det inte längre behövs för syftet. Lösenordet ska skickas via annan kanal, exempelvis via sms eller meddelas muntligt. Den som skickar personuppgifterna är också ansvarig att gallring faktiskt sker.
  • Med krypterat och lösenordsskyddat USB-minne.

5. Arkivera och/eller gallra

När syftet med att hantera personuppgifterna inte längre finns måste personuppgifterna arkiveras eller gallras. Om uppgifter ligger i system är systemägaren ansvarig för att rutiner för automatisk eller manuell gallring finns för systemet och att de följer AcadeMedias riktlinjer eller gällande lagar och förordningar. AcadeMedias arkiveringsplan anger efter hur lång tid olika typer av dokument ska sparas.

Tänk på att även e-post måste gallras enligt ovan.