Så påverkas du som arbetsgivare av gdpr

2018-01-25 00:00  
”Den som är det minsta osäker bör rådgöra med Datainspektionen innan känsliga personuppgifter behandlas”, säger Johanna Fjellström som är advokat på Andulf Advokat. Foto: Jörgen Appelgren

ARBETSGIVARANSVAR. Vad i den nya förordningen är extra viktigt för mig som arbetsgivare att tänka på? Svaret är att reglerna kring vilka uppgifter om anställda som får behandlas är samma som i dag. Däremot innebär förordningen en rad förändringar i övrigt, bland annat höga böter för felaktig behandling av personuppgifter, ökade säkerhetskrav, och att missbruksregeln försvinner.

– En sak som är viktig att komma ihåg är att samtycke inte kan användas som laglig grund för att hantera personuppgifter i anställningsförhållanden, säger Johanna Fjellström som är advokat på Andulf Advokat och arbetar mycket med arbetsrättsliga frågor.

Anledningen är att samtycke måste vara helt frivilligt, vilket det inte anses kunna vara i ett anställningsförhållande. Det innebär att arbetsgivaren måste ha en annan laglig grund för att behandla personuppgifterna. Ett exempel på laglig grund är att fullfölja rättsliga skyldigheter enligt anställningsavtalet, till exempel att betala ut lön, och för det måste uppgifter som namn och kontonummer behandlas.

Däremot finns det varken i pul eller i gdpr någon laglig grund för att registrera uppgifter om anställdas fritidsintressen, eller namn och personnummer på deras barn. Inte heller känsliga personuppgifter som religion, etnicitet, hälsouppgifter och sexuell läggning får behandlas, utom i mycket speciella fall.

När det gäller uppgifter om fackligt medlemskap är huvudregeln att behandling är förbjuden, men det finns undantag. Om behandlingen är nödvändig för att arbetsgivaren ska kunna fullgöra sina arbetsrättsliga skyldigheter, och lämpliga åtgärder för att skydda informationen vidtas, kan den vara tillåten.

– Den som är det minsta osäker bör rådgöra med Datainspektionen innan känsliga personuppgifter behandlas, säger Johanna Fjellström.

Men en nyhet i gdpr är att även kollektivavtal kan ge arbetsgivaren rätt att behandla personuppgifter, även känsliga sådana.

– I Sverige har vi tolkat gdpr som att allmänt intresse kan fastställas i kollektivavtal, vilket är en laglig grund för att få behandla personuppgifter enligt förordningen, säger Sören Öman, ordförande i Arbetsdomstolen.

I teorin skulle alltså ett kollektivavtal kunna träffas som ger arbets­givaren rätt att behandla även känsliga personuppgifter om etnicitet.

– Jag vet i och för sig inte varför man skulle vilja det. Möjligtvis för att kartlägga hur mångfaldsarbetet ser ut och om vissa personer får lägre lön eller befattningar, säger Sören Öman.

En annan nyhet i förordningen är att kraven på tydlig och lättillgänglig information till registrerade skärps. Därför rekommenderar Johanna Fjellström att uppdatera den information som lämnas till anställda om hur deras personuppgifter behandlas, och säkerställa att alla får ta del av den. Av informationen ska det bland annat framgå tydligt vem som är personuppgiftsansvarig, det vill säga arbetsgivaren, ändamålet med varje specifik behandling och vilken laglig grund respektive behandling baseras på.

– Ett tips är att inkludera ända­målet försäljning av bolaget, annars blir det svårt för en köpare att göra en så kallad due diligence. Här skulle den lagliga grunden för personuppgiftsbehandlingen kunna vara arbetsgivarens berättigade intresse, säger Johanna Fjellström.

Kommentarer

Välkommen att säga din mening på Lag & Avtal.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Lag & Avtal eller av oss anlitad personal.

  Kommentarer

Tidningen

Arbetsrätt