Tidningen Konsulten
Lördag 25 November 2017

LÖN Personuppgifter: Vad krävs för att göra lön?

Det är den frågan som bör ställas för att svara på hur personuppgifter får användas i lönehanteringen.

Personuppgiftslagen har satts under lupp. Att hantera personuppgifter på ett korrekt sätt har alltid varit nödvändigt, men har ytterligare tydliggjorts i och med att personuppgiftslagen upphör. Kan tyckas märkligt att en lag blir än mer aktuell när den faktiskt försvinner. Anledningen? Den ersätts av den nya Dataskyddsförordningen. Och den har något som inte personuppgiftslagen har, möjlighet att utfärda sanktioner om inte personuppgiftshanteringen uppfyller lagen. Även om den svenska tolkningen av den nya förordningen inte är helt färdig så står det klart att det kan bli talan om ganska höga böter. I stora drag skiljer sig inte kraven åt på korrekt hantering idag jämfört med vad som kommer att krävas efter den 25 maj 2018. Givetvis innebär den förändringar, såsom stärkt krav på dokumenterade rutiner och policys, klargörande av ansvarsfördelning och rätten till att hantera sitt eget data, det vill säga data som finns registrerad om dig som person. Hur den nya lagen kommer att lyda exakt får vi vänta ett tag på. Så i väntan på denna lag finns det tillfälle att se över hur personuppgifter hanteras och behandlas, och det är hög tid.

Personuppgiftslagen är en ramlag vilket innebär att bestämmelser i en annan lag, till exempel bokföringslagen, eller förordning gäller före den. När det gäller anställdas personuppgifter så är, oavsett vem som hanterar personuppgifter, arbetsgivaren den som är ansvarig för korrekt hantering. Det finns regler och praxis för hanteringen inom såväl arbetsrättslig lagstiftning som i det som anses vara god sed i arbetslivet. För arbetsgivaren tar personuppgiftslagen vid där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter. Det är att rekommendera att ta fram policys för hantering av personuppgifter, till exempel så bör det i samband med en anställning framgå av anställningsavtalet vilka uppgifter som hanteras och vilken betydelse eventuella värderande uppgifter har för den aktuella tjänsten. Är det så att man är personuppgiftsbiträde, vilket innebär att man hanterar personuppgifter för ett annat företag (vilket gäller alla inom outsourcing), så ska det finnas ett skriftligt personuppgiftsbiträdesavtal.

Så kommer frågan om personuppgifter i lönehanteringen. Och där är det ganska enkelt, åtminstone vid första anblicken. Det krävs faktiskt inte samtycke. Det är nämligen tillåtet att behandla personuppgifter utan samtycke, bland annat om behandlingen är nödvändig för att kunna fullgöra ett avtal med den registrerade personen, som ett anställningsavtal. De uppgifter som krävs för att kunna göra beräkningar och utbetalning av lön. Eftersom personuppgiftslagen är en ramlag och arbetsgivare enligt andra lagar är skyldiga att lämna ut uppgifter till myndigheter så kan en arbetsgivare givetvis hantera personuppgifter för att till exempel redovisa skatter och sociala avgifter, rapportera pensioner och försäkringar, upprätta LAS-listor eftersom de är lagkrav. Men lönesystemen innehåller ofta många andra viktiga uppgifter. Såsom uppgifter om nära anhörig, något som det inte finns lagkrav på, inte är de heller en nödvändighet för att kunna göra lön. I de här fallen finns det något som kallas intresseavvägning, och vad som kan motivera sådan registrering varierar mellan verksamheter, men det är när intresset av att behandla personuppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Det är inte något som kan göras godtyckligt och ställer krav på information även om det inte kräver samtycke.

I hanteringen av löneuppgifter så är det viktigt att ha koll på vad känsliga uppgifter är. För att lämna vidare känsliga personuppgifter krävs arbetstagarens uttryckta samtyckte, alternativt att det finns ett arbetsrättsligt krav. Känsliga uppgifter är ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. I det här är just hälsa en lite klurigare hantering, det gäller sjukfrånvaro, graviditet och läkarbesök. För det innebär att lönespecifikationen i många fall innehåller känsliga uppgifter. Det är ett av flera skäl till varför det är viktigt att lönespecifikationer hanteras på ett säkert sätt.

Personuppgiftshantering är en viktig uppgift. Med samtycke kommer man långt. Samtycke ska enligt personuppgiftslagen vara frivilligt, särskilt, informerat och en otvetydig viljeyttring. Och i hanteringen, tänk på att begränsa ändamålet, minimera uppgifterna och minimera lagringen.


Ställ er följande frågor:

  • Vilka har störst kunskap om personuppgiftshanteringen inom bolaget?
  • Vilken typ av personuppgifter behandlas för olika personkategorier och hur känsliga är uppgifterna?
  • Hur samlar vi in personuppgifter och vilken information till registrerade lämnas då
    uppgifterna samlas in?
  • Hur och var lagrar vi personuppgifter?
  • Hur används personuppgifter inom olika delar av verksamheten?
  • För vilka ändamål behandlas personuppgifter och hur väl speglar den faktiska behandlingen den information som lämnats vid insamlandet?
  • Vilka personalkategorier har tillgång till olika typer av personuppgifter?
  • Vad finns det för gallringsrutiner?
  • Vad finns det för rutiner då vi anlitar personuppgiftsbiträden?

Källa: Datainspektionen


Zennie-SjolundText: Zennie Sjölund,
Branschansvarig Lön, Srf konsulterna

Denna artikel publicerades för mer är 90 dagar sedan.
Den kan därför innehålla information och fakta som inte längre är aktuell.

Svensk ordförande i CH International

Vid CH Internationals årliga konferens valdes Martin Karlsson, Ekonomiansvarig AB, till ordförande för det kommande året. Årets konferens hölls... Läs mer

Fler Srf Auktoriserade Redovisningskonsulter®

Totalt skrev 39 deltagare senaste Auktorisationsexamen Redovisning varav 29 av dem fick godkänt resultat. Det innebär att 75 procent... Läs mer

​Gemensamma nordiska principer för redovisningsuppdrag

Nordiska principer för redovisningsuppdrag signerades under tisdagen av branschorganisationerna för redovisning och lön i Sverige, Norge och Finland. Ett... Läs mer

En gemensam nordisk e-legitimation snart verklighet

Nordiska rådet har nu beslutat att de vill ha en gemensam e-legitimation i Norden, något som kommer att underlätta... Läs mer

Kritiken växer mot Skatteverkets beslut att ta bort brevlådorna

Kritiken mot att Skatteverket har tagit bort brevlådorna vid skattekontoren och servicekontoren fortsätter att vara massiv. Det finns inte... Läs mer

Positivt möte med Skatteverket om elektronisk inlämning av inkomstdeklarationer

Den 25 september höll Skatteverket en workshop om elektronisk inlämning av inkomstdeklarationer. Förutom Srf konsulterna och programleverantörer deltog representanter... Läs mer

Srf konsulterna tycker till om nya penningtvättslagen

I en alltmer komplex värld gäller det som företag att ha bra rutiner, inte minst när det gäller riskbedömning.... Läs mer

Räkenskapsinformation i molnet

Den digitala utvecklingen går väldigt fort, och det inbegriper även redovisningsområdet. Bokföringsprogrammen blir alltmer sofistikerade och är inte sällan... Läs mer

Srf dagarna 2017: Bli viktig för din kund – det är nyckeln till framtiden

Temat vid årets Byråforum var ”Leverans och ansvar i en digital värld”. Hur ändras förutsättningarna för yrket när allt... Läs mer

Srf dagarna 2017: Var redo! Nästa generation företagare kommer att köpa tjänster i större utsträckning

Srf konsulternas 81:a kongress genomfördes utan några större överraskningar. Det mest positiva – det som deltagarna också kommenterade efteråt... Läs mer
Tillbaka till startsidan