GDPR för lön – det kan bli dyrt att inte göra rätt!

Böter för överträdelser av dataskyddsförordningen kan bli saftiga. De höga sanktionsavgifterna syftar till att verka avskräckande så att verksamheter som behandlar personuppgifter tar regelverket på allvar och arbetar proaktivt med att säkra ett fullgott integritetsskydd. Hur höga böter det kan röra sig om beror på omständigheterna i det enskilda fallet och graden av allvarlighet i överträdelsen. För myndigheter är maxbeloppet 5 miljoner kr för mindre allvarliga överträdelser och max 10 miljoner kr för allvarligare överträdelser. För övriga verksamheter landar böter för nivå 1 på max 10 miljoner euro eller 2% av företagets globala omsättning. Vid allvarliga överträdelser max 20 miljoner euro eller 4% av företagets globala omsättning (beroende på vilket som utgör det högsta beloppet). 

Måste finnas en laglig grund 

För att få hantera personuppgifter måste man ha en laglig grund för behandlingen. En laglig grund innebär att det finns stöd för en viss personuppgiftsbehandling. Inom ramen för en anställning kan nedan lagliga grunder vara aktuella vid personuppgiftsbehandling: 

• Rättslig förpliktelse – följer av lagkrav (t ex LAS, MBL, sjuklönelagen). 
• Avtal – följer av ett avtalsvillkor (t ex en förpliktelse i anställningsavtal). 
• Intresseavvägning – arbetsgivaren bedömer att dennes berättigade intressen att behandla personuppgifter väger tyngre än den anställdes intresse att skydda sin integritet (ex uppgifter till närmast anhörig). 

• Samtycke – Anställd samtycker till behandling klart och tydligt. 

När man ska fastställa om och vilken rättslig grund som föreligger för en viss personuppgiftsbehandling bör man först fastställa ändamålet med behandlingen. Varför ska dessa personuppgifter behandlas? Inom ramen för lönehantering kan svaret vara att lön måste utbetalas enligt avtal, att sjuklön ska utbetalas enligt lag eller att arbetsgivaren enligt lag måste tillse att anställda får sin semester. När syftet med behandlingen är klarlagd går man vidare och bedömer om och vilken laglig grund behandlingen kan stödjas på enligt ovan. 

Vad gäller för känsliga personuppgifter? 

Som utgångspunkt är det förbjudet att behandla känsliga personuppgifter. Känsliga uppgifter kan vara exempelvis information om etnisk bakgrund, hälsotillstånd eller medlemskap i fackföreningar. I vissa fall måste dock känsliga personuppgifter hanteras enligt lag. Vid lönehantering kan man till exempel behöva läkarintyg för att betala ut sjuklön. Eftersom skyldighet att uppvisa läkarintyg efter en viss tids sjukdom följer av lag finns här ett undantag från förbudet att hantera känsliga personuppgifter. 

Personnummer och löneuppgifter – särskilt skyddsvärda personuppgifter 

Personnummer och löneuppgifter räknas inte som känsliga personuppgifter men har genom kompletterande svensk lagstiftning tilldelats statusen ”särskilt skyddsvärda personuppgifter”. Till dessa uppgifter hör också information om lagöverträdelser, värderande uppgifter från t ex medarbetarsamtal och uppgifter om en anställds personliga sfär. Det finns inget förbud mot att behandla särskilt skyddsvärda personuppgifter, men de grundläggande principerna inom GDPR måste följas när dessa uppgifter behandlas. Det innebär att det kan krävas att säkerhetsnivån vid hanteringen av dessa uppgifter är högre än för andra personuppgifter. 

Hur länge får arbetsgivare behålla personuppgifter?  

Arbetsgivaren har en skyldighet att inte behålla personuppgifter längre än nödvändigt utifrån de ändamål som personuppgifterna ursprungligen samlades in för. I allmänhet gäller att ändamålet för behandlingen bestämmer för hur lång tid personuppgifter kan behållas av arbetsgivaren. Annan lagstiftning kan dock fastställa under vilken tid personuppgifter ska bevaras, till exempel bokföringslagen eller preskriptionslagen. 

Om den anställde har blivit uppsagd av personliga skäl eller på grund av arbetsbrist kan uppgifterna behöva sparas så länge den anställde kan väcka talan om ogiltighet och skadestånd respektive för att bedöma om den anställde ska ha rätt till företrädesrätt till återanställning. Viss information kan behöva sparas längre än så, till exempel information om anställningstid då det inte finns någon bortre gräns för när en arbetsgivare kan behöva utfärda ett arbetsgivarintyg. En arbetsgivare måste därför löpande utvärdera vilka personuppgifter som är relevanta att ha kvar under och efter ett anställningsförhållande samt hur länge.

Behöver du lära dig mer? 
Då får du inte missa heldagskursen Stora Lönedagen! Under dagen går vi igenom fler nyheter, lagar och regler inom lön, HR och skatt för att du ska bli rustad för året. Vi gör dessutom en fördjupning i GDPR för lön och lyfter de praktiska frågor som kan dyka upp i din arbetsvardag. 

”Min absoluta favorit bland era kurser är Stora Lönedagen! När jag var ny inom löneområdet kändes det jättebra att vara med på denna kurs varje år för att ta del av de senaste nyheterna och hålla sig uppdaterad. Ett riktigt bra upplägg med experter som är professionella ända ut i fingerspetsarna. Ni är måna om att det ska vara rätt och riktigt vilket skapar otrolig trygghet för mig som kund!”
Yvonne Crafoord, Löneadministratör på Konserthuset

Se hela programmet till Stora Lönedagen