GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Arbetsliv

Arbetsgivare har ett ansvar vid behandling av personuppgifter

Arbetsgivare har ett ansvar vid behandling av personuppgifter enligt GDPR (dataskyddsförordningen). Bland annat behöver arbetsgivare säkerställa att deras behandling av de anställdas personuppgifter sker på korrekt sätt. Arbetsgivare behöver nämligen behandla personuppgifter tillhörande de anställda för att uppfylla sina skyldigheter enligt arbetsrätten. 

Vem är personuppgiftsansvarig?

Arbetsgivaren är personuppgiftsansvarig vid behandling av sina anställdas personuppgifter. Det är därmed inte en chef eller annan individ på företaget som innehar rollen som ”personuppgiftsansvarig”, istället är det företaget som organisation. Däremot kan enskilda personer vara personuppgiftsansvariga i vissa fall. Till exempel om en person bedriver en enskild näringsverksamhet. 

Är det vanligt att arbetsgivare behandlar känsliga personuppgifter tillhörande de anställda?

Ja, det är vanligt att arbetsgivare behandlar olika kategorier av känsliga personuppgifter inom arbetslivet tillhörande personalen. Exempel på känsliga personuppgifter enligt artikel 9 i GDPR är uppgifter om hälsa och facktillhörighet. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Vilka typer av känsliga personuppgifter brukar arbetsgivare behandla?

Arbetsgivare brukar behandla uppgifter om sina anställdas hälsa, exempelvis i samband med att arbetsgivaren behandlar information om personalens sjukfrånvaro. Dessutom är det vanligt att inkludera sådan information i lönespecifikationen. Det är viktig information som påverkar storleken på lönen. 

Trygg och säker arbetsplats enligt lag

Vidare är det viktigt att arbetsgivare säkerställer en trygg och säker arbetsplats enligt lag, som är lämplig och anpassad efter de anställdas eventuella särskilda behov. Till exempel kan en arbetstagare informera sin arbetsgivare om dennes eventuella funktionsnedsättningar eller diagnoser. Detta utgör exempel på känsliga personuppgifter som arbetsgivaren kan behöva behandla i enlighet med GDPR, inklusive eventuell annan tillämplig arbetsrättslig lagstiftning. 

Observera att lagring och överföring av känsliga personuppgifter kräver högre säkerhet än behandling av övriga kategorier av personuppgifter. Därför bör arbetsgivaren till exempel aldrig mejla en lönespecifikation okrypterat, om den innehåller uppgifter om hälsa, såsom sjukfrånvaro.

Vilket ansvar har arbetsgivare vid behandling av personuppgifter enligt GDPR?

Arbetsgivare ska se till att behandlingen av personalens personuppgifter sker i enlighet med reglerna i GDPR. Detta innebär bland annat att arbetsgivaren har en skyldighet att informera de anställda om behandlingen av deras personuppgifter. Informationen som ska framgå regleras närmare i artikel 13 och artikel 14 i GDPR. Informationen kan med fördel upprättas skriftligen i ett särskilt integritetsmeddelande avsett för de anställda. Detta behöver dock inte förekomma publicerat på arbetsgivarens webbplats, men kan istället publiceras eller delas internt direkt till endast de anställda.  

När en arbetsgivare behandlar personuppgifter tillhörande de anställda, är de anställda att anse som registrerade enligt GDPR. De har därmed rätt till olika rättigheter som arbetsgivaren är skyldig att tillgodose vid begäran. Exempelvis rätten till tillgång och rätten till rättelse av deras personuppgifter som arbetsgivaren behandlar. 

Dessutom kan arbetsgivaren bli ansvarig för eventuella skador som behandlingen orsakar enligt artikel 82 i GDPR, om behandlingen sker i strid med bestämmelserna i GDPR.

Anställda som arbetar hemifrån

Oavsett om de anställda arbetar från ett fysiskt kontor eller hemifrån, måste arbetsgivaren följa reglerna i GDPR.  Såsom att ha tillräckligt hög säkerhet, ett tydligt syfte med varje enskild personuppgiftsbehandling, tillgodose de registrerades rättigheter och radera personuppgifter när de inte längre är nödvändiga för syftet de blev inhämtade för. 

Arbetsgivaren fick betala en sanktionsavgift för kamerabevakning av anställda på olämplig plats

En arbetsgivare fick en sanktionsavgift på 5 000 000 ISK från den isländska dataskyddsmyndigheten efter att ha haft kamerabevakning på den plats de anställda bytte om på. Det vill säga, i personalens ombytesrum. Dessutom hade företaget brustit i sina skyldigheter att informera personalen om detta. De anställda hade inte heller någon annan plats att kunna byta om på som inte var kamerabevakad. Den isländska dataskyddsmyndigheten beordrade företaget att upphöra med kamerabevakningen. Dessutom blev de beordrade att radera alla inspelade filmer. 

Arbetsgivare kan överlåta utförandet av behandlingen, men inte ansvaret för behandlingen

Enligt GDPR kan personuppgiftsansvariga aldrig överlåta det faktiska ansvaret för behandlingen. Däremot är det möjligt att överlåta utförandet av själva behandlingen till någon annan. Vid sådana fall är företaget som behandlar personuppgifter åt det andra företagets räkning, ett personuppgiftsbiträde. 

Till exempel kan en arbetsgivare anlita en redovisningsbyrå för att de ska sköta allt kring administration och utbetalning av lönerna i företaget. Då är arbetsgivaren den personuppgiftsansvariga och  redovisningsbyrån behandlar personuppgifter tillhörande arbetsgivarens anställda i egenskap av arbetsgivarens anlitade personuppgiftsbiträde. 

Observera att personuppgiftsansvariga och personuppgiftsbiträden ska ingå ett skriftligt personuppgiftsbiträdesavtal med varandra. Detta utgör ett krav enligt artikel 28 i GDPR. 

Mer info om personuppgifter i arbetslivet

Behandla personuppgifter i samband med rekrytering och i kompetensdatabaser

När ett företag rekryterar personal behandlar de oftast personuppgifter i samband med rekryteringsprocessen. Dessutom är det inte ovanligt att använda kompetensdatabaser vid både extern och intern rekrytering, och att även därmed behandla personuppgifter. Det är viktigt att inte behandla fler personuppgifter än nödvändigt för ändamålet vid rekrytering. Företag ska också radera personuppgifterna när de inte längre är nödvändiga för ändamålet. Berättigat intresse brukar vara en lämplig rättslig grund att stödja behandlingen på. Samtycke brukar däremot inte vara lämpligt att använda, eftersom maktförhållandet inte är jämlikt mellan arbetssökande och arbetsgivare.

Vill du lära dig mer?

Klicka här
Rulla till toppen