Annons
Lön

Personuppgifter: Vad krävs för att göra lön?

Det är den frågan som bör ställas för att svara på hur personuppgifter får användas i lönehanteringen.
Text: Zennie Sjölund
Annons

Personuppgiftslagen har satts under lupp. Att hantera personuppgifter på ett korrekt sätt har alltid varit nödvändigt, men har ytterligare tydliggjorts i och med att personuppgiftslagen upphör. Kan tyckas märkligt att en lag blir än mer aktuell när den faktiskt försvinner. Anledningen? Den ersätts av den nya Dataskyddsförordningen. Och den har något som inte personuppgiftslagen har, möjlighet att utfärda sanktioner om inte personuppgiftshanteringen uppfyller lagen. Även om den svenska tolkningen av den nya förordningen inte är helt färdig så står det klart att det kan bli talan om ganska höga böter. I stora drag skiljer sig inte kraven åt på korrekt hantering idag jämfört med vad som kommer att krävas efter den 25 maj 2018. Givetvis innebär den förändringar, såsom stärkt krav på dokumenterade rutiner och policys, klargörande av ansvarsfördelning och rätten till att hantera sitt eget data, det vill säga data som finns registrerad om dig som person. Hur den nya lagen kommer att lyda exakt får vi vänta ett tag på. Så i väntan på denna lag finns det tillfälle att se över hur personuppgifter hanteras och behandlas, och det är hög tid.

Personuppgiftslagen är en ramlag vilket innebär att bestämmelser i en annan lag, till exempel bokföringslagen, eller förordning gäller före den. När det gäller anställdas personuppgifter så är, oavsett vem som hanterar personuppgifter, arbetsgivaren den som är ansvarig för korrekt hantering. Det finns regler och praxis för hanteringen inom såväl arbetsrättslig lagstiftning som i det som anses vara god sed i arbetslivet. För arbetsgivaren tar personuppgiftslagen vid där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter. Det är att rekommendera att ta fram policys för hantering av personuppgifter, till exempel så bör det i samband med en anställning framgå av anställningsavtalet vilka uppgifter som hanteras och vilken betydelse eventuella värderande uppgifter har för den aktuella tjänsten. Är det så att man är personuppgiftsbiträde, vilket innebär att man hanterar personuppgifter för ett annat företag (vilket gäller alla inom outsourcing), så ska det finnas ett skriftligt personuppgiftsbiträdesavtal.

Så kommer frågan om personuppgifter i lönehanteringen. Och där är det ganska enkelt, åtminstone vid första anblicken. Det krävs faktiskt inte samtycke. Det är nämligen tillåtet att behandla personuppgifter utan samtycke, bland annat om behandlingen är nödvändig för att kunna fullgöra ett avtal med den registrerade personen, som ett anställningsavtal. De uppgifter som krävs för att kunna göra beräkningar och utbetalning av lön. Eftersom personuppgiftslagen är en ramlag och arbetsgivare enligt andra lagar är skyldiga att lämna ut uppgifter till myndigheter så kan en arbetsgivare givetvis hantera personuppgifter för att till exempel redovisa skatter och sociala avgifter, rapportera pensioner och försäkringar, upprätta LAS-listor eftersom de är lagkrav. Men lönesystemen innehåller ofta många andra viktiga uppgifter. Såsom uppgifter om nära anhörig, något som det inte finns lagkrav på, inte är de heller en nödvändighet för att kunna göra lön. I de här fallen finns det något som kallas intresseavvägning, och vad som kan motivera sådan registrering varierar mellan verksamheter, men det är när intresset av att behandla personuppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Det är inte något som kan göras godtyckligt och ställer krav på information även om det inte kräver samtycke.

I hanteringen av löneuppgifter så är det viktigt att ha koll på vad känsliga uppgifter är. För att lämna vidare känsliga personuppgifter krävs arbetstagarens uttryckta samtyckte, alternativt att det finns ett arbetsrättsligt krav. Känsliga uppgifter är ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. I det här är just hälsa en lite klurigare hantering, det gäller sjukfrånvaro, graviditet och läkarbesök. För det innebär att lönespecifikationen i många fall innehåller känsliga uppgifter. Det är ett av flera skäl till varför det är viktigt att lönespecifikationer hanteras på ett säkert sätt.

Personuppgiftshantering är en viktig uppgift. Med samtycke kommer man långt. Samtycke ska enligt personuppgiftslagen vara frivilligt, särskilt, informerat och en otvetydig viljeyttring. Och i hanteringen, tänk på att begränsa ändamålet, minimera uppgifterna och minimera lagringen.

Källa: Datainspektionen

Ställ er följande frågor:

  • Vilka har störst kunskap om personuppgiftshanteringen inom bolaget?
  • Vilken typ av personuppgifter behandlas för olika personkategorier och hur känsliga är uppgifterna?
  • Hur samlar vi in personuppgifter och vilken information till registrerade lämnas då
    uppgifterna samlas in?
  • Hur och var lagrar vi personuppgifter?
  • Hur används personuppgifter inom olika delar av verksamheten?
  • För vilka ändamål behandlas personuppgifter och hur väl speglar den faktiska behandlingen den information som lämnats vid insamlandet?
  • Vilka personalkategorier har tillgång till olika typer av personuppgifter?
  • Vad finns det för gallringsrutiner?
  • Vad finns det för rutiner då vi anlitar personuppgiftsbiträden?
Aktuella artiklar
Annons
Annons
Annons
Annons
Annons