Hur ska man tänka som arbetsgivare efter att GDPR trätt ikraft?

Det finns nog inte någon som missat att den nya dataskyddsförordningen trädde i kraft 25 maj i år. Många med mig tror jag mailbombades med informationsbrev från allt från restauranger till barnens aktiviteter. Samtidigt som dataskyddsförordningen trädde i kraft trädde också den nya dataskyddslagen i kraft. Dataskyddslagen är en kompletterande nationell lag till förordningen. Den klargör vissa frågor som förordningen inte berör. 

Trots att den nya dataskyddsförordningen redan trätt ikraft och således är gällande lag sedan 25 maj känner många att det råder stor oklarhet på området. Jag har i en tidigare krönika – Är vi redo för GDPR? – diskuterat konsekvenserna av den nya förordningen. Behovet av klargörande hur man som arbetsgivare ska förhålla sig till den nya förordningen är emellertid fortsatt stort.

Många räds de stora sanktionsavgifterna som kan aktualiseras vid överträdelser. För att inte riskera sanktionsavgift verkar de flesta ha antagit approachen; behandla så lite personuppgifter som möjligt och informera (!) den vars personuppgifter behandlas. Approachen är inte helt fel.

Med arbetsgivaransvaret följer naturligt behovet av att behandla personuppgifter. Till exempel måste arbetsgivaren behandla arbetstagares kontouppgifter, personnummer och adressuppgifter till fullgörandet av skyldigheten att betala lön och dra preliminärskatt på lönen. Så, lite förenklat, hur ska man tänka som arbetsgivare efter att dataskyddsförordningen trätt i kraft?

Utgångspunkten är att personuppgifter får behandlas om behandlingen är nödvändig till fullgörande av en rättslig förpliktelse som följer av lag, annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning. Låter krångligt? Vad det för arbetsrättens del betyder är att personuppgifter får behandlas när det är en nödvändighet för att fullgöra en arbetsrättslig förpliktelse. Till exempel för att betala ut lön. Om det är nödvändigt att hantera personuppgiften för att fullgöra en arbetsrättslig förpliktelse som grundas på lag, annan författning, kollektivavtal etcetera så är det alltså tillåtet att behandla uppgiften.

I den kompletterande dataskyddslagen klargörs vissa saker beträffande så kallade känsliga personuppgifter. Definitionen av vad som menas med känslig personuppgift framgår av dataskyddsförordningen som säger att med känslig uppgift avses sådan uppgift som har koppling till diskrimineringsfaktor, uppgift om medicinskt tillstånd och uppgift som innehåller information om facklig tillhörighet. Om behandlingen av känsliga personuppgifter är nödvändig för arbetsgivarens fullgörande av en arbetsrättslig förpliktelse får uppgiften, trots att den är känslig, behandlas.

Vad vi därmed kan konstatera är att även dagens regelverk tillåter behandling av personuppgifter. Som arbetsgivare ska man däremot alltid ställa sig frågan varje gång en personuppgift behandlas är: Äbehandlingen av personuppgiften nödvändig för att fullgöra en arbetsrättslig förpliktelse? Om svaret är ja, får uppgiften behandlas. Arbetsgivaren måste ställa arbetstagarens personliga integritet i relation till nödvändigheten att behandla uppgiften utifrån att arbetsgivaren har en skyldighet att fullgöra en rättslig förpliktelse, till exempel att betala ut lön.

I arbetsgivarens nödvändighetsbedömning blir även de arbetsrättsliga preskriptionsbestämmelserna betydelsefulla. Så länge det finns ett rättsligt anspråk eller en möjlighet eller risk till ett rättsligt anspråk som inte är preskriberat kan arbetsgivaren i normalfallet utgå från att det finns en nödvändighet att behandla uppgiften utifrån en arbetsrättslig förpliktelse. Motsatsvis gäller att när väl ett arbetsrättsligt anspråk är preskriberat föreligger ingen nödvändighet för arbetsgivaren att behandla uppgiften och därmed finns inte heller stöd i förordningen att behandla uppgiften.

Slutsatsen man kan dra, och som man som arbetsgivare alltid ska ha i åtanke, är att så länge en uppgift behöver (det finns en nödvändighet) hanteras får den enligt dataskyddsförordningen behandlas och vice versa.

Anneli Lönnborg
Advokat, Advokatfirman Nova