Dataskyddsförordningen för med sig en rad förändringar för både den publika och privata sektorn. Vare sig det gäller att lagra personuppgifter i syfte att betala arbetsgivaravgifter eller att chefen på företaget kollar upp en potentiell anställd genom Facebook/LinkedIn/Twitter kommer frågor kring GDPR att beröras. Innan man företar sig en sådan handling som berör anställdas personuppgifter kan det därför vara värt att vara på den säkra sidan över hur personuppgifterna får behandlas.
Laglig behandling av personuppgifter på arbetsplatsen
För all behandling av personuppgifter behöver minst ett av villkoren i Artikel 6 i den nya dataskyddsförordningen att uppfyllas. Dessa är uttömmande och kan man inte uppfylla något av villkoren får personuppgiftsbehandlingen inte ske. Följande är en kort analys över vilka lagliga grunder som kan användas för att behandla personuppgifter för anställda.
Samtycke1
Samtycke från anställda att behandla hens personuppgifter måste vara frivilligt, specifikt, informerat och dessutom vara ett otvetydigt medgivande. Samtycket ska även kunna tas tillbaka lika enkelt som det gavs. På grund av arbetsförhållandets karaktär (arbetsgivare – arbetsanställd) rekommenderas det inte att personuppgiftsbehandlingen grundar sig på ett samtycke. Ett exempel på en problematisk situation kan vara om chefen för företaget ber en anställd att samtycka till en viss typ av personuppgiftsbehandling och den anställde inte går med på detta. Detta kan leda till att den anställde ställs i negativ dager vilket långsiktigt kan skada dennes position på arbetsplatsen. I denna situation kan samtycket, oavsett om det ges, inte ses som ett frivilligt medgivande. Vidare kan även nämnas att digitala formulär där standardinställningarna är att samtycke medges, inte heller kan ses som ett godkänt samtycke då samtycket kräver en typ av aktiv viljeyttring.
Nödvändigt för att fullgöra ett avtal2
Denna lagliga grund kanske framstår som mest naturlig då anställningsförhållandet oftast bygger på ett kontrakt. Om arbetsgivaren ska betala ut lön till den anställde krävs personlig information från den anställde (bankuppgifter, personnummer etc.). Med det sagt finns det många situationer som inte kommer att kunna härledas till kontraktet varpå man måste basera behandlingen på någon annan laglig grund.
Nödvändigt för att fullgöra en rättslig förpliktelse3
Samma som ovanstående lagliga grund (2) finns det rättsliga förpliktelser som uppkommer i och med att ett anställningsförhållande uppstår vilket kräver viss typ av personuppgiftsbehandling. I arbetsrättsliga sammanhang kan det röra sig om arbetsgivaruppgifter, löneadministration och andra relevanta skatter.
Berättigade intressen4
Denna lagliga grund baserar sig på två kriterier som båda måste vara uppfyllda. Personuppgiftsbehandlingen måste vara nödvändig för ändamålet samt så måste det vara ett berättigat intresse för arbetsgivaren eller tredje part. Sättet på vilket personuppgiftsbehandlingen sker på ska dessutom vara så ”lite” integritetskränkande för arbetstagaren som möjligt. Behandlingen måste slutligen vara proportionell till arbetsgivarens behov och vägas gentemot arbetstagarens fri- och rättigheter. Exempel på hur en sådan personuppgiftsbehandling skulle kunna se ut:
- Geografisk begränsning – Man tar endast del av den personliga informationen på specifika platser. Detta skulle kunna vara relevant vid videoövervakning etc. Religiösa platser och andra mer ”privata” platser skulle kunna uteslutas.
- Dataorienterad begränsning – Viss typ av personlig kommunikation eller personliga digitala filer utesluts helt ur behandlingen.
- Tidsrelaterad begränsning – Istället för att övervaka någon 24/7 så behandlas exempelvis endast slumpmässiga segment från videoövervakning.
För ovannämnda personuppgiftsbehandling krävs även att arbetstagaren informeras om behandlingen ifråga. Informationen rör allt från identitet och kontaktuppgifter för den personuppgiftsansvarige, lagstöd och ändamål för behandlingen och den tidsperiod behandlingen kommer att ske under. Syftet är att tillförsäkra arbetstagaren en rättvis och transparent behandling. 5
Läs del 2 om GDPR på arbetsplatsen här.
För mer information:
Artikel 29-gruppens “Opinion 2/2017 on data processing at work – wp249” http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083