Många organisationer har en lista med kontaktuppgifter till någon anhörig för varje anställd. Syftet med listan är att kunna kontakta den anställdes anhöriga om det sker en olycka eller liknande på arbetsplatsen. Vad säger GDPR om sådana listor? Behöver organisationen vidta någon åtgärd för att få behandla kontaktuppgifterna?
Det kan vara en stor trygghet för de anställda att arbetsgivaren har någon att ringa om något skulle hända under arbetstid. Många företag har därför listor med telefonnummer till någon anhörig per anställd. En sådan lista innehåller i regel personuppgifter. Oftast rör det sig om namn, telefonnummer och kanske även uppgift om relation till den anställde.
Laglig grund
Den första frågan organisationen behöver ställa sig är på vilken laglig grund uppgifterna ska behandlas. Av de sex olika lagliga grunderna är tre aktuella att kolla närmre på här, nämligen;
- Avtal (artikel 6.1.b GDPR)
- Samtycke (artikel 6.1.a GDPR)
- Intresseavvägning (artikel 6.1.f GDPR)
Avtal kan bara användas för uppgifter om den anställde
Många uppgifter inom ett anställningsförhållande kan stödjas på grunden som brukar kallas avtal. Det ska då röra sig om uppgifter som är nödvändiga för att fullgöra ett avtal. Inom detta kan rymmas allt från löneuppgifter till personnummer, beroende på hur anställningsförhållandet ser ut. Denna grund kan dock bara omfatta avtal där den registrerade är part. Därför kan man inte stödja behandlingen av anhörigas uppgifter på ett avtal med den anställde.
Samtycke kan vara besvärligt
Ett giltigt samtycke ger en stor frihet att genomföra nästan vilken behandling som helst. Det är dock inte den anställde, i detta fall, som kan samtycka till att den anhöriges personuppgifter behandlas. Detta eftersom det endast är för behandling av sina egna uppgifter man kan samtycka (barn är ett undantag från detta, se blogginlägget om barn och personuppgifter). Samtycket måste alltså komma från den anhörige själv, antingen direkt eller genom någon form av fullmakt.
Det är inte en omöjlig uppgift att samla in samtycken från alla anhöriga, men kan vara ganska besvärligt. Företaget behöver kunna bevisa att ett samtycke lämnats. Detta går att genomföra, exempelvis genom att den anhörige får skriva på en samtyckesblankett. Att administrera detta kan dock vara ganska tidskrävande. Det hela kompliceras också ytterligare av att samtycket när som helst kan dras tillbaka av den anhöriga.
Vill du veta mer om vad som krävs för ett giltigt samtycke, se blogginlägget om samtycke.
Intresseavvägning är lättast
Den mest användbara grunden i detta sammanhang är intresseavvägning (artikel 6.1.f). Den handlar om att väga ett berättigat intresse hos företaget mot intresset av personlig integritet hos den anhörige. Den stora fördelen med intresseavvägning i förhållande till samtycke är att det inte krävs något agerande av den registrerade. Avvägningen måste göras mot bakgrund av hur behandlingen ser ut på respektive arbetsplats och vilka uppgifter som behövs för ändamålet i det aktuella fallet. Ofta är det ett berättigat intresse för företag att ha listor över anhöriga, och bör väga tyngre än de anhörigas intresse av personlig integritet.
För att kunna stödja en behandling på intresseavvägning behöver beslutet tas på hög nivå inom företaget. Hur avvägningen motiveras måste dokumenteras, vilket görs lättast i ett register för personuppgiftsbehandling.
Här kan du läsa mer om varför det är viktigt att ha ett bra register.
Det är således ofta lättast att legitimera behandlingen genom den lagliga grunden intresseavvägning. Avtal går i många fall inte att använda som grund och samtycke kan vara ganska besvärligt.
Begränsningar av behandlingen
På listan får endast uppgifter finnas med som är nödvändiga i förhållande till ändamålet. I praktiken innebär det att organisationen behöver fundera över vilka uppgifter om anhöriga som behövs. Andra uppgifter än de som behövs ska inte tas med på listan.
Det är också viktigt att se till att det inte finns felaktiga uppgifter eller uppgifter som inte behövs. Så fort uppgifterna inte längre uppfyller ändamålet ska de raderas. Därför behöver företaget ha rutiner för hur listan uppdateras och för när uppgifterna ska raderas. Vad gäller anhöriglistor är det till exempel viktigt när anställda slutar att anhöriguppgifterna raderas. Det finns då normalt ingen anledning för företaget att ha kvar de anhörigas kontaktuppgifter.
Exempel på personuppgiftsbehandling
Säg att du som arbetsgivare konstaterar att du har ett intresse av att ha telefonnummer till anställdas anhöriga om ex. en olycka skulle inträffa på er arbetsplats. En sådan personuppgiftsbehandling kan benämnas ”kontaktuppgifter till anställdas anhöriga” och exempelvis dokumenteras på följande sätt.
Namn på behandling: Kontaktuppgifter till anställdas anhöriga Kategori av registrerade: Anställdas anhöriga Vilka personuppgifter ingår: Namn och telefonnummer Syftet med behandlingen: Vi som arbetsgivare ska kunna agera och kontakta anhörig om en olycka eller liknande skulle inträffa på arbetstid Laglig grund: Berättigat intresse (dokumentation krävs av intresseavvägning) Behandlingstid: Från insamling tills dess att anställd slutar
Informera de registrerade
I GDPR finns den s.k. ”rätten till information”. Det innebär i detta fall att de registrerade behöver informeras om att uppgifterna behandlas. Bland annat behöver de informeras om vilka uppgifter som behandlas, vad ändamålet är, vilken laglig grund behandlingen stöds på och när uppgifterna kommer att raderas.
Om du vill veta mer om vad GDPR har för effekt på arbetsplatser, läs våra två blogginlägg (del 1 och del 2) om praktisk information för arbetsplatsen.
Kontakt
Har ni frågor om GDPR? Kontakta oss på telefonnummer 046 – 273 17 17 eller via vår mejl info@gdprhero.se.
Vill ni veta mer om GDPR Hero? Boka en kostnadsfri demo idag!