Nyheter
”Få fällningar mot gdpr – än så länge”
Datalagstiftning. PWC Grekland har behandlat anställdas personuppgifter på felaktiga grunder, och har fällts för brott mot gdpr. – Jag tror vi kommer se fler fall som rör hr-data framöver, säger advokat Karl-Fredrik Björklund.
Annons
Sedan gdpr trädde i kraft i maj 2018 har flera företag fällts för brott mot förordningen. De största fallen har handlat om hantering av kunders och användares personuppgifter.
Till exempel dömdes Google i januari till en halv miljard kronor i böter av den franska tillsynsmyndigheten. I september dömdes British Airways till cirka 2 miljarder kronor i böter av den brittiska tillsynsmyndigheten, vilket motsvarar 1,5 procent av företagets omsättning.
Men hur ser det ut när det gäller arbetsgivares behandling av anställdas personuppgifter? Här har det också varit några fall, även om bötesbeloppen inte varit i närheten av Googles och British Airways.
– Det största och mest uppseendeväckande hittills rör PWC Grekland. Företaget har en stor konsultverksamhet som hjälper andra företag att anpassa sig till gdpr, så det är lite skomakarens barn, säger Karl-Fredrik Björklund, advokat och delägare i Wikström & Partners Advokatbyrå, och specialiserad på gdpr.
I slutet av juli dömdes PWC Grekland till 150 000 euro i böter av landets tillsynsmyndighet, vilket motsvarar cirka 0,5 procent av företagets årliga omsättning.
Personuppgifterna som sparades var normala för en arbetsgivare, som löner och anställningsavtal. Det stora problemet var att företaget hade använt samtycke som rättslig grund för behandlingen. Men eftersom arbetstagare är i beroendeställning gentemot arbetsgivaren kan samtycke inte användas.
Resultatet blev att de anställda fick felaktig information om på vilken rättslig grund deras personuppgifter behandlades. Eftersom ett samtycke kan återkallas fick de även en felaktig bild av vilken makt de hade över uppgifterna.
– Det är illa eftersom gdpr ställer stora krav på tydlig information till de registrerade, säger Karl-Fredrik Björklund.
I stället menar han att PWC borde ha använt den lagstadgade rätten att behandla personuppgifter för att kunna fullfölja ett avtal. I det här fallet arbetsgivarens skyldighet att betala ut lön enligt anställningsavtalet, vilket gör att personuppgifter som namn och kontonummer måste behandlas.
I Sverige säger Datainspektionen i sin skriftliga tillsynsplan att hr ska vara ett särskilt fokusområde för tillsyn under 2019-2020. Men än så länge har det inte hänt speciellt mycket.
– Närmaste exemplet är en skola som använde ett system för ansiktsigenkänning för att kontrollera elevernas närvaro, säger Karl-Fredrik Björklund.
Även här hade samtycke använts som grund för behandlingen. Men eftersom skolan är en myndighet, och eleverna i egenskap av medborgare är i beroendeställning gentemot skolan, kan samtycke inte användas.
Skolan hade dessutom brutit mot gdpr på fler sätt, bland annat genom att inte göra en risk- och sårbarhetsanalys kring datan, som räknas som känslig.
– Bilder är inte känsliga personuppgifter, men när de kopplas ihop med identifiering blir de det, säger Karl-Fredrik Björklund.
Han tror att det kommer dyka upp fall som rör gdpr och hr-data framöver, men att Datainspektionen främst kommer att rikta in sig på stora kända arbetsgivare.
– Då blir det mer publicitet, och det gör att kännedomen om regelverket ökar, säger han.
