Kommunikation
Behandling av personuppgifter vid HR-arbete
Företag brukar utföra behandling av personuppgifter vid HR-arbete. Allt ifrån vid rekrytering, under anställningen till efter anställningens upphörande.
Exempel på behandling av personuppgifter vid HR-arbete
De flesta företagen måste behandla personuppgifter i sitt HR-arbete. Till exempel namn, kontaktuppgifter, bankkontouppgifter och liknande tillhörande de anställda. Dessutom kan det finnas andra regler än GDPR som innebär att arbetsgivaren måste spara vissa personuppgifter tillhörande de anställda. Exempelvis för redovisning av arbetsgivaravgifter.
Rättsliga grunder som kan vara lämpliga att använda i samband med HR-arbete
Avtal med registrerade
Många personuppgifter som arbetsgivaren behandlar om sina anställda stöds genom den rättsliga grunden avtal med registrerade.
Berättigat intresse
I vissa fall kan arbetsgivaren ha ett berättigat intresse att behandla vissa av de anställdas personuppgifter i HR-arbetet. Tänk på att arbetsgivaren vid sådana fall måste göra en intresseavvägning, för att se om arbetsgivarens intressen väger tyngre än den anställdes.
Rättslig förpliktelse
Rättslig förpliktelse innebär att det står reglerat i någon annan lag eller förordning att arbetsgivaren måste behandla vissa personuppgifter tillhörande de anställda. Exempelvis uppgifter om sjukskrivning, för redovisning av arbetsgivaravgifter eller liknande.
Observera att samtycke ofta är en olämplig rättslig grund för arbetsgivare att använda, eftersom det råder ett ojämlikt maktförhållande mellan arbetsgivaren och arbetstagaren. Detta gäller även vid rekrytering, där maktförhållandet är ojämlikt mellan arbetsgivaren och arbetssökanden.
Får arbetsgivaren behandla känsliga personuppgifter i sitt HR-arbete?
Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter enligt GDPR, men det finns undantag. Arbetsgivare brukar behandla känsliga personuppgifter tillhörande de anställda och det kan vara tillåtet i vissa fall. Däremot är det viktigt att tänka på att reglerna är striktare. Exempelvis måste arbetsgivaren vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, och kraven är högre vid behandling av känsliga personuppgifter.
Arbetsgivaren brukar behandla uppgifter om hälsa
En arbetsgivare brukar behöva behandla uppgifter om hälsa, såsom sjukfrånvaro, eventuella allergier eller andra uppgifter om hälsa som kan vara nödvändigt att behandla. Tänk på att en arbetsgivare till exempel inte bör skicka lönespecifikationer som innehåller information om sjukfrånvaro eller andra känsliga personuppgifter via okrypterad e-post, eftersom det inte anses vara tillräckligt säkert.
Kan arbetsgivaren låta ett personuppgiftsbiträde sköta behandlingen?
Ja, det finns inga regler som förbjuder en arbetsgivare att anlita ett annat företag för att sköta delar eller hela HR-arbetet. Till exempel om ett företag anlitar en redovisningsbyrå för att sköta lönehanteringen kring de anställda. Vid sådana fall är redovisningsbyrån ett personuppgiftsbiträde för behandlingen. Observera dock att det inte går att överlåta det faktiska personuppgiftsansvaret för behandlingen, utan enbart det praktiska utförandet av behandlingen.
Arbetsgivare som behandlar subjektivt integritetskänsliga uppgifter, i till exempel sitt arbete kring kompetensutveckling
Det är viktigt att tänka på att anteckningar som handlar om anställdas kompetens kan vara subjektivt integritetskänsliga uppgifter. Därför måste dessa personuppgifter behandlas med begränsning och tillräcklig säkerhet, eftersom det kan få stora konsekvenser för de anställda om de läcker via en personuppgiftsincident. Observera att det ska vara tydligt när dessa personuppgifter gallras.
Kompetensutveckling som inkluderar profilering och automatiserade beslut
I GDPR står det reglerat hur företag får arbeta med profilering och automatiserade beslut. Det är inte alltid enkelt att följa GDPR vid användning av system som tillhandahåller tjänster för kompetensutveckling och inkluderar profilering och automatiserade beslut. Till exempel måste verktygen göra det möjligt för den personuppgiftsansvarige att uppfylla kraven gällande de registrerades rättigheter, såsom rätten till information, rättelse osv.
Hur företag ska göra steg för steg i sitt HR-arbete i enlighet med GDPR
Ändamål
Företag måste alltid ha ett ändamål med varje enskild behandling. Med andra ord, ett syfte med behandlingen. Till exempel att behandla vissa personuppgifter för att kunna betala ut lön.
Rättslig grund
När företaget vet syftet med behandlingen, kan företaget välja en lämplig rättslig grund. Observera att samtycke oftast är en olämplig rättslig grund i HR-arbete, eftersom maktförhållandet mellan arbetsgivaren och arbetstagaren inte är jämlikt.
Överlämning till tredje man
Om företaget kommer att överföra personuppgifterna till en tredje man, ska de registrerade bli informerade. Exempel på överföring till tredje man är om företaget anlitar en redovisningsbyrå för att sköta lönehanteringen.
Gallring
Företag ska radera personuppgifterna när de inte längre är nödvändiga för ändamålet med behandlingen. Detta gäller också personuppgifter som blir behandlade som en del i HR-arbetet.
Upprätta skriftliga instruktioner för medarbetarna
Det är medarbetarna på företaget som i praktiken arbetar med frågor som rör GDPR. Till exempel när en chef tar emot en arbetsansökan från en person. Vid sådana fall är det en behandling av personuppgifter och då behöver chefen veta hur behandlingen ska gå till korrekt. Därför är det bra att upprätta skriftliga instruktioner för hur medarbetarna ska agera när de behandlar personuppgifter i sitt dagliga arbete.
Lagrade personuppgifter om anställd långt efter anställningens upphörande
Ett företag i Finland/Sverige (Viking Line) fick betala en sanktionsavgift efter att de bland annat hade fortsatt lagra personuppgifter under en lång tid efter att anställningen avslutats. Dessutom inkluderade det behandling av känsliga personuppgifter.
Personuppgiftsbehandlingar vid rekrytering
Företag brukar behöva behandla personuppgifter när de rekryterar personal, såsom kontaktuppgifter. Detta gäller även personer som inte nödvändigtvis får en anställning. Detta utgör en behandling av personuppgifter och därför måste GDPR beaktas i processen.
Olika saker att tänka på vid behandling av personuppgifter vid rekrytering av personal
Här är några saker som är viktiga att tänka på när företag behandlar personuppgifter vid rekrytering av personal:
Rätt till tillgång och automatiserade beslut vid rekrytering
Rätt till tillgång
Registrerade har rätt till tillgång till information enligt GDPR. Med andra ord rätten att få veta vilka personuppgifter om denne som företaget behandlar, hur länge behandlingen sker, vilka rättigheter den registrerade har m.m. Rätten till tillgång gäller även vid rekrytering. Om ett företag har skapat en sida på webbplatsen där ansökande kan skriva in sina kontaktuppgifter och bifoga sitt CV, ska de informera om behandlingen i samband med insamlingen av uppgifterna. Det brukar ske i ett integritetsmeddelande som den ansökande kan läsa innan denne skickar in uppgifterna.
Automatiserade beslut vid rekrytering
Det kan vara otillåtet för ett företag att använda automatiserade beslut vid rekrytering. Om till exempel tester vid rekrytering innebär profilering finns det flera frågor att ta i beaktande, såsom att samtycke inte är en lämplig rättslig grund.
Utdrag ur belastningsregister, inte tillåtet med "svarta listor" och ingå personuppgiftsbiträdesavtal
Utdrag ur belastningsregister
Uppgifter om lagöverträdelser utgör en särskild kategori av personuppgifter enligt artikel 10 i GDPR, som bland annat innebär att de måste behandlas med större säkerhet än ”vanliga personuppgifter”. Inom vissa yrken är det ett krav för arbetsgivaren att begära information om detta, och vid sådana fall är den rättsliga grunden för behandlingen rättslig förpliktelse. Exempelvis för poliser och skolpersonal. Däremot finns det företag som begär ett utdrag ur belastningsregister även fast det inte finns något lagstadgat krav, och vid sådana fall är reglerna strikta.
Inte tillåtet med ”svarta listor”
Det är inte tillåtet att skapa ett register med personer som inte är önskade, så kallade “svarta listor”. I vissa fall kan chefer skapa sådana listor för att försöka effektivisera sitt arbete i rekryteringen, men det är förbjudet.
Ingå personuppgiftsbiträdesavtal om annat företag sköter rekryteringen
Det är inte ovanligt för företag att anlita andra företag för att sköta rekryteringen av personal. Det är viktigt att tänka på att rekryteringsföretaget vid sådana fall är ett personuppgiftsbiträde och att ett skriftligt personuppgiftsbiträdesavtal måste ingås mellan parterna, i enlighet med artikel 28 i GDPR.
Behandlingar av personuppgifter under en anställning
Det brukar ske många olika behandlingar av de anställdas personuppgifter inom anställningsperioden.
Informera om behandlingarna av personuppgifter i anställningsavtal
I anställningsavtal är det bra att hänvisa till ett separat integritetsmeddelande specifikt framtaget för anställda, som beskriver vilka behandlingar av personuppgifter om den anställde som sker.
Rättsliga grunder som kan vara lämpliga gällande behandlingar under en anställning
Här är tre rättsliga grunder som kan vara lämpliga för företag att stödja en behandling av personuppgifter på, när det avser anställda inom anställningsperioden.
Avtal med registrerad
Anställningsavtalet kan utgöra en rättslig grund för de behandlingar som är nödvändiga för att personen ska kunna utföra sina arbetsuppgifter. Till exempel behandling av förnamn och efternamn för att kunna skapa arbetsrelaterad e-postadress till den anställde. Observera dock att det kan vara svårt att använda ett anställningsavtal som rättslig grund om ändamålet med behandlingen är otydligt.
Berättigat intresse
En arbetsgivare kan ha ett berättigat intresse av att behandla vissa personuppgifter om de anställda. Däremot måste företaget göra en konsekvensbedömning först som styrker detta. Ett exempel på när det kan vara lämpligt är om en mäklarbyrå publicerar en bild på ett säljobjekt och en profilbild på mäklaren i företagets sociala medier.
Rättslig förpliktelse
Det finns ett flertal lagar som reglerar personuppgiftsbehandling av anställda. Till exempel att företag behöver behandla personuppgifter om anställdas sjukskrivning, anmäla arbetsskador och liknande. När en behandling blir utförd för att uppfylla bestämmelser i någon annan lag, är den rättsliga grunden rättslig förpliktelse.
Observera att samtycke oftast är en olämplig rättslig grund att använda, eftersom det råder ett ojämlikt maktförhållande mellan arbetsgivaren och arbetstagaren.
Fortsätta behandla personuppgifter efter en anställning
Det kan vara möjligt för ett företag att behandla personuppgifter även efter en anställning. Till exempel för att arbetsgivaren ska kunna vara en framtida referens till personen.
Framtida referens - samtycke kan vara lämpligt
Som tidigare nämnt är samtycke inte lämpligt när maktförhållandet mellan parterna är ojämlikt. Om en person slutar arbeta hos ett företag, är denne inte anställd längre. Det kan vara i den registrerades intresse att vissa uppgifter fortfarande behandlas av den tidigare arbetsgivaren. Exempelvis information om prestationer, utvecklingssamtal eller liknande som kan ligga till grund för en framtida referens. Däremot är det inte nödvändigt för företaget att fortsätta behandla dessa uppgifter om den före detta anställde inte vill det. Därför kan det vara bra att få ett samtycke när personen slutar om att företaget får fortsätta att behandla dessa och informera personen att denne kan begära att få det raderat i framtiden.
Kan finnas andra lagar som kräver fortsatt behandling
Det kan finnas andra lagar än GDPR som kräver att företag behandlar personuppgifter under en viss tid även efter en anställnings upphörande, såsom att behöva spara lönespecifikationer enligt skatte- eller bokföringslagstiftning. Om fortsatt behandling är ett krav enligt lag, är den rättsliga grunden för den fortsatta behandlingen rättslig förpliktelse. Observera att personuppgifterna vid sådana fall bör lagras på en plats som är avskild från andra personuppgifter som används i det dagliga arbetet. Exempelvis i arkiverade och lösenordsskyddade digitala mappar som lagras på en separat lagringsyta.
Mer om GDPR
Regler kring behandlingar av personuppgifter i sociala medier
Det finns många företag som behandlar personuppgifter i sociala medier och tror att de inte har något ansvar för behandlingar där, eftersom det inte är deras plattform. Däremot är fallet inte alltid så. I vissa fall kan ett företag ha ett gemensamt personuppgiftsansvar tillsammans med företaget som bedriver den sociala medieplattformen. Till exempel gäller detta om en kund kontaktar företaget via sociala medier för att få någon rättighet tillgodosedd. Även fast företaget kan ha informerat om att sådan information ska inkomma via mejl i sitt integritetsmeddelande, är det fortfarande en behandling när de får ett meddelande via sociala medier. Tänk på att till exempel gallra in- och utkorgen i företagets sociala medier, precis som e-post och andra kommunikationsvägar.