GDPR för lön – det kan bli dyrt att inte göra rätt!

Natalia Björkman Szklarska

den 11 januari 2023
En man som är orolig
Det kan bli en dyr historia om personuppgifter och skyddande av anställdas integritet inte hanteras på rätt sätt. Dataskyddsförordningen (GDPR) ställer höga krav på dig som arbetsgivare och arbetar du med lön och förmåner kommer du ofta i kontakt med olika typer av personuppgifter. Vad är viktigt att tänka på?

Böter för överträdelser av dataskyddsförordningen kan bli saftiga. De höga sanktionsavgifterna syftar till att verka avskräckande så att verksamheter som behandlar personuppgifter tar regelverket på allvar och arbetar proaktivt med att säkra ett fullgott integritetsskydd. Hur höga böter det kan röra sig om beror på omständigheterna i det enskilda fallet och graden av allvarlighet i överträdelsen. För myndigheter är maxbeloppet 5 miljoner kr för mindre allvarliga överträdelser och max 10 miljoner kr för allvarligare överträdelser. För övriga verksamheter landar böter för nivå 1 på max 10 miljoner euro eller 2% av företagets globala omsättning. Vid allvarliga överträdelser max 20 miljoner euro eller 4% av företagets globala omsättning (beroende på vilket som utgör det högsta beloppet). 

Måste finnas en laglig grund 

För att få hantera personuppgifter måste man ha en laglig grund för behandlingen. En laglig grund innebär att det finns stöd för en viss personuppgiftsbehandling. Inom ramen för en anställning kan nedan lagliga grunder vara aktuella vid personuppgiftsbehandling: 

  • Rättslig förpliktelse – följer av lagkrav (t ex LAS, MBL, sjuklönelagen). 
  • Avtal – följer av ett avtalsvillkor (t ex en förpliktelse i anställningsavtal). 
  • Intresseavvägning – arbetsgivaren bedömer att dennes berättigade intressen att behandla personuppgifter väger tyngre än den anställdes intresse att skydda sin integritet (ex uppgifter till närmast anhörig). 
  • Samtycke – Anställd samtycker till behandling klart och tydligt. 

När man ska fastställa om och vilken rättslig grund som föreligger för en viss personuppgiftsbehandling bör man först fastställa ändamålet med behandlingen. Varför ska dessa personuppgifter behandlas? Inom ramen för lönehantering kan svaret vara att lön måste utbetalas enligt avtal, att sjuklön ska utbetalas enligt lag eller att arbetsgivaren enligt lag måste tillse att anställda får sin semester. När syftet med behandlingen är klarlagd går man vidare och bedömer om och vilken laglig grund behandlingen kan stödjas på enligt ovan. 

Vad gäller för känsliga personuppgifter? 

Som utgångspunkt är det förbjudet att behandla känsliga personuppgifter. Känsliga uppgifter kan vara exempelvis information om etnisk bakgrund, hälsotillstånd eller medlemskap i fackföreningar. I vissa fall måste dock känsliga personuppgifter hanteras enligt lag. Vid lönehantering kan man till exempel behöva läkarintyg för att betala ut sjuklön. Eftersom skyldighet att uppvisa läkarintyg efter en viss tids sjukdom följer av lag finns här ett undantag från förbudet att hantera känsliga personuppgifter. 

Personnummer och löneuppgifter – särskilt skyddsvärda personuppgifter 

Personnummer och löneuppgifter räknas inte som känsliga personuppgifter men har genom kompletterande svensk lagstiftning tilldelats statusen ”särskilt skyddsvärda personuppgifter”. Till dessa uppgifter hör också information om lagöverträdelser, värderande uppgifter från t ex medarbetarsamtal och uppgifter om en anställds personliga sfär. Det finns inget förbud mot att behandla särskilt skyddsvärda personuppgifter, men de grundläggande principerna inom GDPR måste följas när dessa uppgifter behandlas. Det innebär att det kan krävas att säkerhetsnivån vid hanteringen av dessa uppgifter är högre än för andra personuppgifter. 

Hur länge får arbetsgivare behålla personuppgifter?  

Arbetsgivaren har en skyldighet att inte behålla personuppgifter längre än nödvändigt utifrån de ändamål som personuppgifterna ursprungligen samlades in för. I allmänhet gäller att ändamålet för behandlingen bestämmer för hur lång tid personuppgifter kan behållas av arbetsgivaren. Annan lagstiftning kan dock fastställa under vilken tid personuppgifter ska bevaras, till exempel bokföringslagen eller preskriptionslagen. 

Om den anställde har blivit uppsagd av personliga skäl eller på grund av arbetsbrist kan uppgifterna behöva sparas så länge den anställde kan väcka talan om ogiltighet och skadestånd respektive för att bedöma om den anställde ska ha rätt till företrädesrätt till återanställning. Viss information kan behöva sparas längre än så, till exempel information om anställningstid då det inte finns någon bortre gräns för när en arbetsgivare kan behöva utfärda ett arbetsgivarintyg. En arbetsgivare måste därför löpande utvärdera vilka personuppgifter som är relevanta att ha kvar under och efter ett anställningsförhållande samt hur länge.

Vill du ha koll på det senaste inom HR?

Prenumerera på vårt nyhetsbrev och få experttips, trender och viktiga nyheter direkt i din inkorg.

Prenumerera gratis på People First Arrow right

Vill du veta mer?

Vi är med dig genom hela medarbetarresan – från smidig mjukvara för personalhantering till hands-on utbildningar och pålitligt stöd från våra experter. Vi gör HR-processer enklare så att du kan fokusera på det som är viktigt.

Vector Boka demo

Nyfiken på att se Simployer i action? Boka en demo idag och upptäck ditt nya HR-verktyg!
Boka demo

Vector Nyhetsbrev

Prenumerera på vårt nyhetsbrev, så lovar vi att fylla din inkorg med de senaste nyheterna och insikterna inom HR.
Prenumerera nu