Integritetsmeddelande för anställda, arbetstagare och konsulter

Vad är ett integritetsmeddelande?

Ett integritetsmeddelande förklarar hur ditt företag samlar in, använder, lagrar, överför och skyddar personuppgifter. Det är ett internt policydokument som riktar sig till anställda, arbetstagare och konsulter som är anställda av eller anlitas av ditt företag. Det hänvisas vanligtvis till i det avtal som gäller för den anställda, arbetstagaren eller konsulten och tillhandahålls via en länk till företagets webbplats eller intranät.

När bör du använda ett integritetsmeddelande?

Att införa ett integritetsmeddelande är en viktig del av att uppfylla kraven i Storbritanniens allmänna dataskyddsförordning (UK GDPR). Meddelandet bör beskriva vilka personuppgifter du lagrar (till exempel namn och annan kontaktinformation), hur du lagrar dem (hur länge och var), hur du fick tag i dem och om de skickas till tredje parter eller andra länder. Det behöver också innehålla information om den registrerades rättigheter, till exempel rätten till radering och rätten att få tillgång till de uppgifter som ditt företag har om personen. 

Utöver att hjälpa ditt företag att följa lagen gör ett välskrivet integritetsmeddelande också följande:

1. gör medarbetarna tryggare genom att hjälpa dem att förstå hur du använder deras uppgifter och vem du delar dem med (till exempel en extern HR-leverantör); och

2. sätter ramar för hur ditt företag fattar beslut om och behandlar personuppgifter.

Varför är ett integritetsmeddelande viktigt och varför ska du använda det?

I Storbritannien måste företag behandla personuppgifter i enlighet med dataskyddslagar, inklusive UK GDPR. Nästan alla företag behandlar personuppgifter eftersom de samlar in uppgifter som namn, adresser, National Insurance-nummer och kontaktuppgifter för anställda, arbetstagare och uppdragstagare. 

Bristande efterlevnad av UK GDPR kan leda till betydande böter – de allvarligaste överträdelserna kan ge böter på upp till 4 % av den globala omsättningen under föregående räkenskapsår eller 17,5 miljoner pund (det högre beloppet gäller), och andra överträdelser kan ge böter på upp till 2 % av den årliga globala omsättningen under föregående räkenskapsår eller 8,75 miljoner pund (det högre beloppet gäller). 

Vilka vanliga fallgropar finns med ett integritetsmeddelande?

Meddelandet ska skrivas på enkel engelska. Undvik juridisk jargong helt och skriv kort, tillgängligt och transparent. Företag och deras medarbetare tjänar båda på att ha samma bild av hur personuppgifter behandlas, eftersom det minskar antalet frågor om hur individer kan utöva sina rättigheter i relation till sina uppgifter. Meddelandet fungerar också som vägledning för de praktiska steg ditt företag tar i sin hantering av personuppgifter. Till exempel kan meddelandet styra hur begäranden om tillgång till personuppgifter bör hanteras. Du bör tydligt beskriva ditt företags rutiner för insamling, lagring och behandling av personuppgifter. 

Du får bara behandla personuppgifter när det är nödvändigt för ett specifikt ändamål. Det betyder inte att ändamålet måste vara särskilt märkvärdigt eller ovanligt, men varje ändamål med behandlingen ska vara tydligt definierat och förklarat för de berörda personerna. Det hänger ihop med din skyldighet att tydligt ange den så kallade "rättsliga grunden" för behandlingen enligt GDPR. Ett integritetsmeddelande uppfyller detta tydligt genom att ange din rättsliga grund, till exempel samtycke, fullgörande av ett avtal, en rättslig förpliktelse osv.