Deloitte Legal Guide to Cross-Border Secured Transactions

Analys

Tre frågor om arbetsgivares personuppgiftshantering

Publicerad: 2020-11-05

Datainspektionen, den svenska dataskyddsmyndigheten, har nyligen publicerat uppdaterad information om hur arbetsgivare ska hantera personuppgifter om sina anställda enligt GDPR. Deloitte Legal svarar på tre frågor om arbetsgivares ansvar vid personuppgiftshantering.*

Utforska innehåll

Vad är personuppgifter? 

All information som kan knytas till en levande person är personuppgifter. Det kan vara allt från namn, adress och personnummer till foton. Även digitalt lagrade ljudinspelningar där namn inte nämns, kan vara personuppgifter. Ett registreringsnummer för en bil kan vara en personuppgift om det går att knyta till en fysisk person. Om det däremot är en bil som hänförs till ett företag där det är fler som använder den, så behöver det inte vara en personuppgift. 

I arbetslivet finns det flera olika sammanhang där arbetsgivare behandlar personuppgifter om sina anställda. Det kan röra sig om exempelvis kontaktuppgifter, lönehantering och behörighetssystem till rekrytering och dokumentation om kompetensutveckling. Hur en arbetsgivare får använda information om sina anställda och hur anställda får kontrolleras regleras i första hand i arbetsrättslig lagstiftning och kollektivavtal men som vid all behandling av personuppgifter måste även reglerna i GDPR tillämpas. 


Hur får arbetsgivare använda anställdas personuppgifter?

Behandling av anställdas personuppgifter måste alltid föregås av en avvägning av arbetsgivarens behov att behandla de tilltänkta uppgifterna och de anställdas rätt till personlig integritet. En viktig sak att ha i åtanke är att en arbetsgivare i regel inte kan använda samtycke som rättslig grund för att behandla personuppgifter om sina anställda. Det beror på att anställda anses befinna sig i beroendeställning till sin arbetsgivare och därför inte kan lämna de frivilliga samtycken som krävs. 

För behandling av anställdas personuppgifter krävs som alltid att det finns stöd i en rättslig grund och att de anställda har informerats om informationsinsamlingen senast när de aktuella uppgifterna samlas in. Arbetsgivaren ska även kunna visa att ändamålet med behandlingen inte hade kunnat uppnås på ett tillfredsställande sätt som hade varit mindre integritetskränkande för arbetstagarna. 

En återkommande fråga är om en arbetsgivare kan behandla personuppgifter för att kontrollera anställdas arbete eller rutiner. Utgångpunkten är att all behandling måste vara sakligt motiverad i den aktuella verksamheten och att behandlingen inte får vara för omfattande eller närgången i förhållande till ändamålet. Datainspektionen har förklarat att det som regel inte är tillåtet att använda ett it-system för att i realtid eller på annat sätt övervaka hur de anställda utför sina arbetsuppgifter eller när de tar sina raster. Det är inte heller tillåtet att använda uppgifter som samlats in för personaladministration, exempelvis för att hantera flextider och löneutbetalningar, för andra syften vid ett senare tillfälle såsom prestationsmätning eller statistik. Anställda har alltid rätt att i förväg få tydlig information om vilken typ av kontroller som kan göras. 

En annan relevant fråga är arbetsgivarens rätt att dokumentera arbetstagares eventuella medlemskap i fackförening. Uppgifter om fackföreningstillhörighet räknas som känsliga personuppgifter och utgångspunkten är att känsliga personuppgifter inte får behandlas. Det finns dock undantag exempelvis när det gäller uppgifter om fackföreningstillhörighet som används för att fullgöra arbetsrättsliga skyldigheter, exempelvis vid lönerevisioner eller identifiering av förhandlingsskyldighet enligt medbestämmandelagen.


Vem kan ställas till svar vid överträdelse av GDPR på en arbetsplats? 

I regel är den personuppgiftsansvarige den juridiska person som bestämmer vilka uppgifter som behandlas och vad uppgifterna användas till. Arbetsgivaren är därför alltid personuppgiftsansvarig, inte den individ på företaget vars arbetsuppgifter innefattar att behandla personuppgifter. Det är arbetsgivaren som har ansvaret för informationssäkerheten inom organisationen och kan därför bestämma hur anställda får använda arbetsplatsens datorer, telefoner, internet etc. och kan sätta upp regler och rutiner för användningen av dessa. 

Som personuppgiftsansvarig ansvarar arbetsgivaren för att anställda inte behandlar personuppgifter på ett otillåtet sätt i tjänsten. Arbetsgivaren kan komma att stå till svars för skador som uppstår och måste se till att all behandling av personuppgifter som utförs av medarbetarna uppfyller kraven i GDPR, exempelvis kraven om ändamål, säkerhet och gallring. Ansvaret föreligger oavsett om behandlingen sker på arbetsplatsen, under en tjänsteresa eller i hemmet. 

*Informationen ska vare sig ses som rådgivande eller uttömmande. För rådgivning i enskilda fall vänligen kontakta oss via nedan kontaktuppgifter. 

Hade du nytta av den här informationen?