Nyhet -
Lönehantering och GDPR – det kan stå arbetsgivare dyrt att göra fel
Det är ingen nyhet att det med Dataskyddsförordningen (GDPR) har det blivit skärpta krav på hur verksamheter hanterar personuppgifter. Rätt till insyn, ändring och radering av personuppgifter är centrala punkter i regelverket.
Om personuppgifter och skyddande av anställdas integritet inte hanteras på rätt sätt i en organisation kan det bli en dyr historia. GDPR ställer höga krav på arbetsgivare och särskilt vid hantering av persondata för lön och förmåner. Här är det viktigt att göra rätt!
Det kan handla om miljonbelopp
Böter för överträdelser av dataskyddsförordningen kan bli saftiga. De höga sanktionsavgifterna syftar till att verka avskräckande så att verksamheter som behandlar personuppgifter tar regelverket på allvar och arbetar proaktivt med att säkra ett fullgott integritetsskydd. Hur höga böter det kan röra sig om beror på omständigheterna i det enskilda fallet och graden av allvarlighet i överträdelsen. Men det kan handla om miljonbelopp. För myndigheter är tex 10 miljoner kr max för allvarligare överträdelser. För övriga verksamheter vid allvarliga överträdelser max 20 miljoner euro eller 4% av företagets globala omsättning (beroende på vilket som utgör det högsta beloppet).
Tänk till – På vilket sätt behöver ni personuppgifterna?
För att ens få hantera personuppgifter måste arbetsgivare till en början ha laglig grund för behandlingen. Det finns flera exempel vad det kan utgöra inom ramen för en anställning. När man ska fastställa om och vilken laglig grund som föreligger för en viss personuppgiftsbehandling bör man först fastställa ändamålet med behandlingen. Varför ska dessa personuppgifter behandlas? Inom ramen för lönehantering kan svaret vara att lön måste utbetalas enligt avtal, att sjuklön ska utbetalas enligt lag eller att arbetsgivaren enligt lag måste tillse att anställda får sin semester. När syftet med behandlingen är klarlagd går man vidare och bedömer om och vilken laglig grund behandlingen kan stödjas på.
Håll koll – viss lönehantering är känsliga personuppgifter
Som utgångspunkt är det förbjudet att behandla känsliga personuppgifter. Känsliga uppgifter kan vara exempelvis information om hälsotillstånd eller medlemskap i fackföreningar. I vissa fall måste dock känsliga personuppgifter hanteras enligt lag. Vid lönehantering kan man till exempel behöva läkarintyg för att betala ut sjuklön. Eftersom skyldighet att uppvisa läkarintyg efter en viss tids sjukdom följer av lag finns här ett undantag från förbudet att hantera känsliga personuppgifter.
Kompletterande lagstifning – Löneuppgifter är särskilt skyddsvärda personuppgifter
Personnummer och löneuppgifter räknas inte som känsliga personuppgifter men har genom kompletterande svensk lagstiftning tilldelats statusen ”särskilt skyddsvärda personuppgifter”. Det finns inget förbud mot att behandla särskilt skyddsvärda personuppgifter, men de grundläggande principerna inom GDPR måste följas när dessa uppgifter behandlas. Det innebär att det kan krävas att säkerhetsnivån vid hanteringen av dessa uppgifter är högre än för andra personuppgifter.
Utvärdera löpande – Vilka personuppgifter behöver sparas?
Arbetsgivaren har en skyldighet att inte behålla personuppgifter längre än nödvändigt utifrån de ändamål som personuppgifterna ursprungligen samlades in för. I allmänhet gäller att ändamålet för behandlingen bestämmer för hur lång tid personuppgifter kan behållas av arbetsgivaren. Annan lagstiftning kan dock fastställa under vilken tid personuppgifter ska bevaras, till exempel bokföringslagen eller preskriptionslagen. Om den anställde har blivit uppsagd av personliga skäl eller på grund av arbetsbrist kan uppgifterna behöva sparas så länge den anställde kan väcka talan om ogiltighet och skadestånd respektive för att bedöma om den anställde ska ha rätt till företrädesrätt till återanställning. Viss information kan behöva sparas längre än så, till exempel information om anställningstid då det inte finns någon bortre gräns för när en arbetsgivare kan behöva utfärda ett arbetsgivarintyg. En arbetsgivare måste därför löpande utvärdera vilka personuppgifter som är relevanta att ha kvar under och efter ett anställningsförhållande samt hur länge.
