Kommer GDPR att påverka förhållandet till företagets anställda? Ja visst, men kanske inte på det sätt många tror. Mycket av det ”nya” i GDPR gäller redan i Personuppgiftslagen idag även om inte alla har anpassat verksamheten som man borde. Här kan du läsa om några vanliga missuppfattningar kring förhållandet mellan GDPR, företaget och de anställda.
HR & personal > GDPR & anställda
Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.
1. "Man måste ha samtycke för att behandla anställdas personuppgifter"
Nej – och ja. GDPR medger sex olika skäl då man kan få lov att behandla personuppgifter (”Rättsliga grunder”).
- Man har fått ett tydligt samtycke
- För att uppfylla ett avtal
- För att uppfylla en rättslig förpliktelse
- För att skydda vitala (livsavgörande) intressen
- För att utföra en uppgift av allmänt intresse (myndigheter)
- Man har ett berättigat intresse som väger tyngre än individens behov av skydd
För anställda är dessa de vanligaste: - Avtal: Tidregistrering, utvecklingssamtal, löneutbetalning mm
- Rättslig förpliktelse: Skatteinbetalning, sjukförsäkringar mm
Samtycke kan bara ges frivilligt och i arbetslivet anses arbetsgivaren alltid ha ett maktövertag över de anställda. Därför kan samtycke bara användas undantagsvis. En sådan situation är om man vill publicera foto på anställda, till exempel på webbplatsen eller ett intranät.
Kom ihåg att ett samtycke alltid kan återkallas. Om detta krävs måste behandlingen av personuppgifterna upphöra.
Om man vill använda berättigat intresse så måste man göra en balanstest, en riskavvägning, det vill säga att nyttan för företaget är större än risken för individen. Kraven är ganska höga. Man kan t ex inte publicera foton av anställda med skälet att företaget vill ge ett personligt intryck.
Den registrerade kan alltid ifrågasätta om intresset är berättigat och då måste behandlingen upphöra tills det är utrett. Har den registrerade rätt så får man inte fortsätta.
Tips! Nu finns det stöd för GDPR i vårt löneprogram
2. "Man måste inte informera anställda om behandlingen av deras personuppgifter"
Jo, det måste man visst. Lagen gäller alla registrerade.
Du måste informera om:
- Vem du är
- Syfte, dvs vad du ska ha uppgifterna till
- Vilken rättslig grund du stödjer dig på
- När du kommer att ta bort datan
- Om du tänker dela med någon och om du delar med någon utanför EU/EES. (T ex Google, Microsoft)
- Vilka rättigheter den registrerade har
- Lite annat smått och gott
Det kan vara bra att samla all information på ett ”papper” som alla nyanställda får. Glöm inte att informera alla anställda första gången om du inte redan gjort det.
Läs mer om kravet på information (artikel 13)
3. "Som anställd har man inte rätt till registerutdrag"
Jo, det har man visst. Lagen gäller alla registrerade. Det spelar ingen roll om det gäller en kund, en patient, en anställd eller dig själv.
Läs mer om rätten till tillgång (artikel 15)
4. "Om en före detta anställd hävdar rätten att bli glömd så måste man radera allt om den personen"
Nej, det måste man inte. Rätten att ”bli bortglömd” gäller under några angivna förutsättningar.
Rätten att bli glömd gäller:
- Om uppgifterna inte längre behövs för de ändamål som de samlades in för
- Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
- Om behandlingen grundar sig på berättigat intresse som den registrerade bestrider och som avgörs vara ogiltigt
- Om personuppgifterna har behandlats olagligt
En tidigare medarbetare kan alltså inte begära att få bli bortglömd om du som arbetsgivare måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt Bokföringslagen.
När man avgör vad som behöver tas bort ska man inte glömma sådant som bara finns som dokument, på papper eller i digitalt format. Glöm inte att kontrollera e-postsystemet.
Läs mer om rätten att bli bortglömd (artikel 17)
5. "Insända ansökningar kan man spara för framtida behov eftersom de sänts in frivilligt"
Nej, bara så länge de är nödvändiga för att uppnå det syfte man angett.
Uppgifterna har begärts in för att söka en utlyst tjänst. När tjänsten är tillsatt finns inte detta syfte kvar. Tänk på att man kan ha möjlighet att överklaga vissa tjänstetillsättningar och först efter denna tid är tjänsten definitivt tillsatt och syftet därmed uppnått. Uppgifterna ska då tas bort.
Om någon bett er spara ansökan för framtida behov så får ni göra det men ni måste hålla uppgifterna uppdaterade. Ett sätt kan vara att kontakta personerna en gång om året och påminna om vilka uppgifter ni har och be dem bekräfta att de är riktiga och att de fortfarande vill ha dem hos er.
Vill du veta mer? Kolla in vår sida om GDPR