GDPR i arbetslivet
Behandling av personuppgifter i arbetslivet
Behandling av personuppgifter i arbetslivet är mycket vanligt förekommande. Här kan du läsa en sammanfattning av vad som gäller för företag i sådana fall. Informationen är framförallt riktad till privata företag, och inte aktörer som är verksamma inom den offentliga sektorn.
Vilka personuppigifter är vanliga att behandla i arbetslivet?
Exempel på vanliga kategorier av personuppgifter som är vanliga att behandla i arbetslivet är följande:
- Kontaktuppgifter.
- Löneregister.
- Adresslistor.
- Sjukfrånvaro.
Behandling av känsliga personuppgifter i arbetslivet
Enligt GDPR är behandling av känsliga personuppgifter förbjuden enligt huvudregeln, men det förekommer några undantag. Exempel på känsliga personuppgifter är uppgifter om hälsa, religiös övertygelse och medlemskap i en fackförening. Dessutom finns det andra personuppgifter som är extra skyddsvärda, så kallade integritetskänsliga personuppgifter. Till exempel uppgifter om sociala förhållanden och kortuppgifter. Ju viktigare personuppgifterna är, desto högre är kraven på bland annat säkerhet.
Två andra EU-förordningar
- AI-förordningen
- Data-förordningen
Hur får uppgifter om sjukfrånvaro som är känsliga personuppgifter enligt GDPR bli behandlade av arbetsgivaren?
Inom arbetslivet brukar det vara vanligt att arbetsgivare behandlar information om de anställdas sjukfrånvaro, vilket är en uppgift om hälsa och därmed utgör det en känslig personuppgift enligt artikel 9 i GDPR.
Undantag för att behandla känsliga personuppgifter
I GDPR artikel 9.2(b) framgår dessutom ett specifikt undantag för arbetsgivare som gör behandling av känsliga personuppgifter tillåten. Nämligen i de fall behandlingen måste bli utförd av arbetsgivaren för att arbetsgivaren ska uppfylla sina skyldigheter inom arbetsrätten.
Observera att det är viktigt att arbetsgivaren till exempel inte skickar en lönespecifikation som innehåller sjukfrånvaro med okrypterad e-post eller någon annan metod som inte är tillräckligt säker.
Rättslig grund för behandlingen
Den rättsliga grunden som arbetsgivaren ofta använder för behandling av sådana känsliga personuppgifter är rättslig förpliktelse, enligt artikel 6.1(c) i GDPR. Detta beror på att behandlingen är nödvändig för att arbetsgivaren ska uppfylla sina rättsliga förpliktelser enligt tillämplig arbetsrätt. Exempelvis för att beräkna och betala korrekt sjuklön, rapportera till socialförsäkringen enligt tillämplig lag etc. Den rättsliga grunden för sådan typ av behandling är därmed främst arbetsgivarens rättsliga skyldigheter enligt tillämplig lag, och inte avtalet (anställningsavtalet) med den registrerade, även om utbetalning av lön är en del av arbetsgivarens förpliktelser enligt anställningsavtalet.
Vilket ansvar har en arbetsgivare vid behandling av personuppgifter?
En arbetsgivare som behandlar personuppgifter tillhörande sina anställda, och bestämmer hur och varför de ska bli behandlade, är personuppgiftsansvarig för behandlingen.
Om ett företag till exempel bedriver en redovisningsbyrå, kan redovisningsbyrån behandla personuppgifter antingen som personuppgiftsansvarig eller personuppgiftsbiträde. Det behandlar personuppgifter i egenskap av personuppgiftsbiträde, när personuppgifterna tillhör kundens anställda och behandlingen sker för kundens räkning.
Observera att det inte är chefen på företaget eller ägaren som personligen är personuppgiftsansvarig eller personuppgiftsbiträde. I stället är det företaget som kan inneha sådan roll enligt GDPR. Däremot kan det förekomma situationer då en enskild individ innehar rollen, exempelvis om arbetsgivaren bedriver en enskild firma och dennes personnummer är detsamma som företagets organisationsnummer.
Behöver alla arbetsgivare utse ett dataskyddsombud enligt GDPR?
Nej, alla arbetsgivare behöver inte utse ett dataskyddsombud enligt GDPR. Det är enbart vissa arbetsgivare som behöver göra det. GDPR innehåller tydliga krav på vilka organisationer som behöver utse ett dataskyddsombud. Däremot kan en arbetsgivare som inte är skyldig att utse ett dataskyddsombud, välja att frivilligt göra det. Alla dataskyddsombud ska bli registrerade och anmälda till tillsynsmyndigheten, inklusive deras kontaktuppgifter.
Om arbetsgivaren har utsett ett dataskyddsombud, ska de anställda har rätt att kontakta dataskyddsombudet vid eventuella frågor om behandlingen av deras personuppgifter. Detsamma gäller de övriga registrerade.
Dataskyddsombudet har inget personligt ansvar för att organisationen följer GDPR, utan det är organisationen som har detta ansvaret.
Myndigheter måste alltid utse ett dataskyddsombud, men inte alla privata företag. Dataskyddsombud ska bland annat rådfrågas när företaget avser att göra en konsekvensbedömning.
Rekryteringssystem och kompetensdatabaser
Det är vanligt att företag behandlar personuppgifter i samband med att de rekryterar nya anställda till verksamheten. Detsamma gäller vid användning av kompetensdatabaser för detta ändamål. Det är viktigt att ha en rättslig grund för en sådan behandling av personuppgifter. Den rättsliga grunden berättigat intresse enligt artikel 6(1)(f) i GDPR kan vara en lämplig rättslig grund att använda vid sådana fall. Samtycke brukar normalt inte vara lämpligt att använda, eftersom det råder ett ojämlikt maktförhållande mellan en arbetsgivare och en anställd.
Dessutom kan det vara nödvändigt i vissa fall att behöva utföra en konsekvensbedömning innan arbetsgivaren påbörjar behandlingen av personuppgifterna. Exempelvis om ett bemanningsföretag utför bakgrundskontroller när de ska rekrytera en ny person.
Olika typer av övervakning
Om en arbetsgivare till exempel vill implementera kamerabevakning på arbetsplatsen eller annan övervakning och behandlar personuppgifter i samband med detta, behöver företaget följa GDPR. Däremot är det arbetsrätten som i första hand reglerar en arbetsgivares rätt att bevaka och övervaka sina anställda.
Kamerabevakning
Kamerabevakning är ett integritetsintrång och på arbetsplatser har anställda ett starkt intresse generellt att slippa bli föremål för sådan övervakning. Däremot finns det situationer där arbetsgivaren kan ha ett starkare intresse. Till exempel vid kamerabevakning inom ett lager där det finns lyxvaror. I vissa fall kan det vara aktuellt att enbart ha kamerorna i en lokal påslagna under nattetid när inga anställda är där, om syftet är att förhindra eller lättare kunna klara upp inbrott.
Positioneringsteknik
Vissa typer av företag kan ha behov av att ha positioneringsteknik på arbetsbilar som de anställda använder i tjänsten. Det är viktigt att inte använda informationen för att till exempel kontrollera hur länge de anställda tar sina raster. Informationen får inte heller bli använd för att spåra de anställda under tiden de inte arbetar, ifall de får använda tjänstebilen under sin fritid.
Behandling av biometriska uppgifter i arbetslivet
Exempel på biometriska uppgifter är inläsning av fingeravtryck eller ansiktsigenkänning. Biometriska uppgifter är känsliga personuppgifter enligt artikel 9 i GDPR. Det är uppgifter som gör det möjligt att identifiera en individ, eftersom det avser en persons fysiologiska, beteendemässiga eller fysiska egenskaper. Därför är det viktigt att tänka på att reglerna är striktare vid behandling av sådana känsliga personuppgifter. Företag som behandlar biometriska uppgifter i arbetslivet måste vidta lämpliga skyddsåtgärder för att skydda personuppgifterna.
Det kan vara tillåtet för företag att behandla biometriska uppgifter som arbetsgivare, men inte om det är möjligt att uppnå samma syfte på ett mindre integritetskänsligt sätt. Till exempel bör man inte använda det för närvarokontroll, eftersom det oftast är otillåtet. I Sverige fick en skola betala en sanktionsavgift efter att ha använt ansiktsigenkänning vid närvarokontroll av elever. För att få använda biometriska uppgifter måste företaget ha ett starkt skäl. Dessutom kan det vara nödvändigt att behöva göra en konsekvensbedömning innan behandlingen börjar bli utförd.
Mer info om GDPR
XXX
XXX