Tidningen Konsulten
Lördag 23 September 2017

LÖN Personuppgifter: Vad krävs för att göra lön?

Det är den frågan som bör ställas för att svara på hur personuppgifter får användas i lönehanteringen.

Personuppgiftslagen har satts under lupp. Att hantera personuppgifter på ett korrekt sätt har alltid varit nödvändigt, men har ytterligare tydliggjorts i och med att personuppgiftslagen upphör. Kan tyckas märkligt att en lag blir än mer aktuell när den faktiskt försvinner. Anledningen? Den ersätts av den nya Dataskyddsförordningen. Och den har något som inte personuppgiftslagen har, möjlighet att utfärda sanktioner om inte personuppgiftshanteringen uppfyller lagen. Även om den svenska tolkningen av den nya förordningen inte är helt färdig så står det klart att det kan bli talan om ganska höga böter. I stora drag skiljer sig inte kraven åt på korrekt hantering idag jämfört med vad som kommer att krävas efter den 25 maj 2018. Givetvis innebär den förändringar, såsom stärkt krav på dokumenterade rutiner och policys, klargörande av ansvarsfördelning och rätten till att hantera sitt eget data, det vill säga data som finns registrerad om dig som person. Hur den nya lagen kommer att lyda exakt får vi vänta ett tag på. Så i väntan på denna lag finns det tillfälle att se över hur personuppgifter hanteras och behandlas, och det är hög tid.

Personuppgiftslagen är en ramlag vilket innebär att bestämmelser i en annan lag, till exempel bokföringslagen, eller förordning gäller före den. När det gäller anställdas personuppgifter så är, oavsett vem som hanterar personuppgifter, arbetsgivaren den som är ansvarig för korrekt hantering. Det finns regler och praxis för hanteringen inom såväl arbetsrättslig lagstiftning som i det som anses vara god sed i arbetslivet. För arbetsgivaren tar personuppgiftslagen vid där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter. Det är att rekommendera att ta fram policys för hantering av personuppgifter, till exempel så bör det i samband med en anställning framgå av anställningsavtalet vilka uppgifter som hanteras och vilken betydelse eventuella värderande uppgifter har för den aktuella tjänsten. Är det så att man är personuppgiftsbiträde, vilket innebär att man hanterar personuppgifter för ett annat företag (vilket gäller alla inom outsourcing), så ska det finnas ett skriftligt personuppgiftsbiträdesavtal.

Så kommer frågan om personuppgifter i lönehanteringen. Och där är det ganska enkelt, åtminstone vid första anblicken. Det krävs faktiskt inte samtycke. Det är nämligen tillåtet att behandla personuppgifter utan samtycke, bland annat om behandlingen är nödvändig för att kunna fullgöra ett avtal med den registrerade personen, som ett anställningsavtal. De uppgifter som krävs för att kunna göra beräkningar och utbetalning av lön. Eftersom personuppgiftslagen är en ramlag och arbetsgivare enligt andra lagar är skyldiga att lämna ut uppgifter till myndigheter så kan en arbetsgivare givetvis hantera personuppgifter för att till exempel redovisa skatter och sociala avgifter, rapportera pensioner och försäkringar, upprätta LAS-listor eftersom de är lagkrav. Men lönesystemen innehåller ofta många andra viktiga uppgifter. Såsom uppgifter om nära anhörig, något som det inte finns lagkrav på, inte är de heller en nödvändighet för att kunna göra lön. I de här fallen finns det något som kallas intresseavvägning, och vad som kan motivera sådan registrering varierar mellan verksamheter, men det är när intresset av att behandla personuppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Det är inte något som kan göras godtyckligt och ställer krav på information även om det inte kräver samtycke.

I hanteringen av löneuppgifter så är det viktigt att ha koll på vad känsliga uppgifter är. För att lämna vidare känsliga personuppgifter krävs arbetstagarens uttryckta samtyckte, alternativt att det finns ett arbetsrättsligt krav. Känsliga uppgifter är ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. I det här är just hälsa en lite klurigare hantering, det gäller sjukfrånvaro, graviditet och läkarbesök. För det innebär att lönespecifikationen i många fall innehåller känsliga uppgifter. Det är ett av flera skäl till varför det är viktigt att lönespecifikationer hanteras på ett säkert sätt.

Personuppgiftshantering är en viktig uppgift. Med samtycke kommer man långt. Samtycke ska enligt personuppgiftslagen vara frivilligt, särskilt, informerat och en otvetydig viljeyttring. Och i hanteringen, tänk på att begränsa ändamålet, minimera uppgifterna och minimera lagringen.


Ställ er följande frågor:

  • Vilka har störst kunskap om personuppgiftshanteringen inom bolaget?
  • Vilken typ av personuppgifter behandlas för olika personkategorier och hur känsliga är uppgifterna?
  • Hur samlar vi in personuppgifter och vilken information till registrerade lämnas då
    uppgifterna samlas in?
  • Hur och var lagrar vi personuppgifter?
  • Hur används personuppgifter inom olika delar av verksamheten?
  • För vilka ändamål behandlas personuppgifter och hur väl speglar den faktiska behandlingen den information som lämnats vid insamlandet?
  • Vilka personalkategorier har tillgång till olika typer av personuppgifter?
  • Vad finns det för gallringsrutiner?
  • Vad finns det för rutiner då vi anlitar personuppgiftsbiträden?

Källa: Datainspektionen


Zennie-SjolundText: Zennie Sjölund,
Branschansvarig Lön, Srf konsulterna

Denna artikel publicerades för mer är 90 dagar sedan.
Den kan därför innehålla information och fakta som inte längre är aktuell.

Budgetpropositionen släppt

I regeringens budgetproposition finns ett flertal förslag som kan komma att påverka dig som arbetar som redovisnings- eller lönekonsult.... Läs mer

Håll dig uppdaterad!

En av Srf konsulternas mest uppskattade medlemsförmåner är ALK-puls. För den Auktoriserade Lönekonsulten ges en möjlighet till att hålla... Läs mer

Regeringen föreslår minskade kostnader och skattelättnader

För att ännu fler ska komma ut i arbetslivet föreslår regeringen minskade kostnader för första medarbetare och skattelättnader för... Läs mer

Gävle bas för ny arbetsmiljömyndighet

För att stärka både det nationella och internationella arbetsmiljöarbetet har regeringen beslutat att inrätta en ny myndighet för arbetsmiljökunskap.... Läs mer

Svenska företag saknar beredskap för GDPR

Den 26 maj nästa år kommer den nuvarande PUL-lagen att ersättas av den mer omfattande GDPR (General Data Protection... Läs mer

Digitaliseringsstöd till småföretagare

Små företag har inte samma förutsättningar att digitalisera sin produktion eller sina tjänster som större företag har. Missa inte... Läs mer

Srf konsulterna och FAR bryter samarbetet

Auktorisationen av redovisningskonsulter infördes av Srf konsulterna under 2006. Efter diskussioner erbjöds även FAR att samverka under 2009, med... Läs mer

GDPR – svensk hantering

Kollektivavtalen får en stor inverkan på implementeringen av GDPR enligt det förslag som regeringen har lagt fram i nya... Läs mer

Finalisterna i Årets Auktoriserade konsulter 2017

Nu är de tre slutnominerade i vardera kategorin Årets Auktoriserade Redovisningskonsult och Årets Auktoriserade Lönekonsult utsedda. Juryn består av... Läs mer

Förbud mot diskriminering även för småföretagare

Regeringen har beslutat om att lägga en proposition till riksdagen om förstärkt förbud mot diskriminering. Det innebär att även... Läs mer
Tillbaka till startsidan