Gallring! Lönehantering i GDPR-tider

Bild på en papperskorg och papperslappar för att illustrera lönehantering och GDPR.

Liksom alla vägar sägs mötas i Rom så skulle man kunna säga att alla lagar möts på lönekontoret. Där påverkar bland annat arbetsrätten, skattelagar, försäkringslagar, kollektivavtal och nu också Dataskyddsförordningen – GDPR.

Löner > GDPR & lön

GDPR har en del nya krav med sig men själva grunden känner vi igen från dagens PUL. I det här dokumentet hittar du; några få definitioner, förslag till hur länge olika uppgifter kan sparas, hur och var ska man lämna information till de anställda och lite som blev över. Men allra först: En regelrätt friskrivning.

Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

Definitioner

Känsliga personuppgifter
Lagens benämning är “särskilda kategorier av personuppgifter”. Det är uppgifter om:

  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Genetiska och biometriska uppgifter
  • Hälsa
  • Sexuell läggning

Samtycke
Ett samtycke ska vara ett medgivande som är:

  • frivilligt, dvs man får inte drabbas av någon nackdel om man inte samtycker.
  • specifikt, dvs tydligt anges precis vad man samtycker till. Inga breda termer som försöker täcka allt.
  • informerat, dvs man ska ha fått information innan om behandlingen och möjliga konsekvenser av den.
  • otvetydigt, vilket ska kunna bevisas genom dokumentation av såväl informationen som lämnades och själva accepterandet.

Skriftliga samtycken har ett starkt bevisvärde i händelse av tvist.

Laglighet
Man kan inte ha ett “generellt tillstånd” att behandla personuppgifter, inte heller för sina anställda. Varje uppgift ska vara nödvändig för att uppfylla ett bestämt syfte och man ska bedöma hur risken för den registrerade ser ut.
Tre bra frågor att ställa sig för att avgöra om man får behandla en viss personuppgift och hur man ska bestämma skyddsnivån:

  • Följer behandlingen de grundläggande principerna (GDPR, Artikel 5)?
  • Går det att finna en rättslig grund för behandlingen (GDPR, Artikel 6)?
  • Behöver vi ta hänsyn till högre krav pga att de registrerade är barn, att det är “känsliga” uppgifter (GDPR, Artikel 9), att uppgifterna handlar om lagöverträdelser eller att uppgifterna ska föras över till Tredje land?

Så här länge kan/bör man spara

Hur länge man får spara olika uppgifter kan skilja mellan olika verksamheter. I den här genomgången är det tydligt på vissa ställen där det finns krav från andra lagar/avtal. På andra ställen hänvisar lagen till “så länge det behövs” och då blir det svårare.
Jag vill påminna om att lagen kräver att man alltid har ett lagligt och motiverat skäl (syfte) till varje behandling och att även själva innehavet av en uppgift är en behandling. Lagen kräver också att det ska finnas dokumentation över all hantering av personuppgifter.
Argument som “Bra att ha” är ett säkert sätt att bli straffad eftersom det är just den inställningen lagen ska skydda oss emot.

Här följer nu ett antal vanliga behandlingar vid rekrytering och under anställning.

Ansökningshandlingar till en tjänst
När en tjänst är tillsatt så kan detta komma att ifrågasättas under en tid av 2 år, bl a enligt diskrimineringslagstiftningen. Företaget kan alltså hamna i tvist och behöver då kunna föra sin talan med dokumentation som bevis.
Man får lov att spara de underlag man behöver, dvs ansökningshandlingarna kan, och bör, sparas i 2 år. Detta görs med intresseavvägning som rättslig grund.

Om man vill spara en kandidat för framtida behov så måste man ha samtycke. Det kan finnas olika sätt att bevisa att man fått samtycke men var noga med att alla kraven på ett samtycke är uppfyllda (se definitionen). Ett skriftligt signerat samtycke är det bästa men i praktiken kan man inte alltid få det. Ett mail från den registrerade där det tydligt framgår att man vill finnas kvar med en öppen ansökan kan räcka.
Tänk på att man är skyldig att hålla sina personuppgifter uppdaterade. Ett bra sätt är att efterfråga nytt samtycke en gång om året och då visa vilka personuppgifter man har registrerade.

Anställningsavtal och kompletterande avtal
Om man har varit anställd så kan man under en viss tid ha rätt till återanställning. Dessutom kan en arbetstagare hävda fel i pensionsunderlagen. Därför kan och bör man spara anställningsavtalet till individens pensionsålder enligt LAS (67 år idag, 2018-04. Kommer att höjas.)

Utbildningsbevis
Kan sparas under hela anställningen. Företrädesrätten utlöper 1 år efter anställningen avslutats och då bör man gallra.
Om det kan finnas risk för tvist så kan man spara utbildningsbevisen i två år.

Rehabillitering + läkarintyg vid sjukdom
Under anställningen kan man spara rehabiliteringsutredningen så länge man ser behov av det. Den visar tydligt att man gjort utredning och genomfört rehabilitering. Den kan också vara till hjälp om det uppstår ett nytt behov, men här måste man bedöma de enskilda fallen. Det man kan försvara för en alkoholrelaterad sjukdom kan knappast gälla för ett benbrott. Benbrottet ska då gallras betydligt snabbare.
Enklare fall gallras efter 2 år. Om det är något som påverkar sjuklönefrågor så är gränsen 10 år.

Läkarintyg
Här har man samma tankesätt som med rehabiliterinsutredningen men läkarintyg är betydligt mer integritetskänsliga.
Enklare fall gallras efter 2 år. Andra fall kan motivera längre tid.

Misskötsamhet
Får bevaras under anställningstiden och, om man bedömer att det behövs, 2 år därefter. Om det på något sätt är lönerelaterat så får och bör man spara 10 år.

Föräldraledighet
Föräldrar har rätt att ta ut ledighet till barnet fyller 12 år. Denna är semesterlönegrundande. Man får spara dels barnets ålder och dels antalet uttagna dagar. Det får man göra till 2 år efter sista möjliga lediga dag, dvs till barnet fyller 14 år.

Ostridig lönefordran - 10 år pga preskription
Löneunderlag bör sparas 10 år. Detta är alltså den generella rekommendationen för löneunderlag och man bör notera att den är 3 år längre än eventuella krav i Bokföringslagen.

Semester
Rätten till semester förfaller efter 2 år från utgången av det semesterår en tvist skulle kunna beröra , dvs uppgifter om förläggning och uttag av semester bör sparas i minst 3 kalenderår. När det gäller sparad semester, minst 8 år.

Kontaktpersoner
Under anställningen ska de hållas uppdaterade. Det kan man göra genom att årligen fråga den anställde om uppgifterna fortfarande stämmer.
Uppgifterna ska raderas vid anställningens avslutande.

Tjänstgöringsintyg och vitsord
Tjänstgöringsintyg bör sparas i minst 2 år. Detta för att kunna visa att man utfärdat intyget och vad det innehöll.

Arbetsgivarintyg
A-kassans ersättning baserar sig på senaste 12 månadernas anställning men det finns också överhoppningsbar tid, t ex 5 år för utbildning Det betyder att underlag för att kunna utfärda arbetsgivarintyg bör sparas i minst 6 år.

Facklig tillhörighet
Detta är en känslig personuppgift. Gallras efter varje förhandling. (Man kan ju byta medlemskap)
Om man gör avdrag för medlemsavgift från lönen så är det OK att spara uppgiften för detta syfte.

Information

Information ska vara tydlig, lättförstådd och lätt att hitta. Informationen ska vara “Särskild”, dvs inte gömd inne i annat material.
Det finns undantag från informationskravet om informationskravet motverkar syftet, t ex i visselblåsarprogram och inför fackförhandlingar.

Här bör man informera

Vid anställningstillfället
Information som behövs för att upprätta anställningsavtalet. Uttryck som “Jag samtycker till all nödvändig behandling av mina uppgifter under anställningen.” i anställningsavtalet är inte längre tillåtna. Informationen, som kan vara omfattande, måste inte finnas med i avtalet. Man kan hänvisa till det ställe där informationen finns, t ex i policies eller personalhandbok.
Tänk på att information ska ges innan man godkänner något.

När personen tillträder tjänsten
Information om dataskyddspolicy och andra policies och information om hur man behandlar anställdas personuppgifter.
Utbildning i GDPR och företagets arbete med integritet.
För att kunna bevisa att man lämnat information bör den anställde signera att man mottagit information.

Textförslag:

“Arbetstagaren bekräftar att bolaget i enlighet med tillämplig personuppgiftslagstiftning informerat arbetstagaren om bolagets behandling av anställdas personuppgifter.”

Detta är en bekräftelse att man tagit del av informationen, inte att man godkänner behandlingen.

Under anställningen
Under anställningen kan man behöva informera om ändringar.

Vilken information ska lämnas

Målet är att den registrerade ska förstå hela behandlingskedjan, dess syfte och de risker som kan finnas samt vilken skada som kan uppstå. Man ska ange ändamål och rättslig grund för alla.
Om man delar personuppgifter med andra så ska man namnge mottagarna, t ex Försäkringskassan; Företaget som sköter lönerna; Skatteverket.

Om intresseavvägning
Om man använder intresseavvägning som rättslig grund så ska man göra en riskbedömning. Den behöver vara skriftlig eftersom den ska dokumentera hur man avvägt egen nytta mot den registrerades risk.
För dessa syften kan man om möjligt använda samma formulering som i den avvägning och riskbedömning man gjort.

Några avvägningstips

  • Överföring inom koncernen av uppgifter om kunder och anställda för administrativa ändamål väger tungt och är därmed i regel tillåtna
  • Säkerhetsmässiga och tekniska skäl väger tungt.
  • Övervakning och kontroll av internet, e-post, inpasseringssystem väger tungt.
  • Ordningsskäl väger lättare
  • Lättast väger företagsekonomiska effektivitetsskäl, t ex att man får synergieffekter.

Så här kan man skriva:

“Arbetsgivaren är personuppgiftsansvarig för de personuppgifter vi erhåller i samband med din anställning hos arbetsgivaren. Det kan handla om personuppgifter avseende:
  • underlag för löneberäkning
  • inbetalning av skatt till Skatteverket
  • etc
Vi behandlar bara uppgifterna för att kunna uppfylla anställningsavtalet och när det är nödvändigt för att kunna uppfylla våra skyldigheter vid rättsliga förpliktelser, som t ex regler i kollektivavtal och lagstiftning.”

Några andra saker att informera om

Loggar
Här bör man nämna att vid misstanke om brott så kan loggen användas för kontroll.

Fackavgift
Att avdrag sker löpande och att uppgifter delas med fackklubben.

Information om vem som är personuppgiftsansvarig och vem som är dataskyddsombud, om sådant finns. Kontaktuppgifter till båda.

Överföring till 3:e land
Vid överföring till 3:e land, dvs utanför EU/EES så ska man ange vilken skyddsnivå man använder. Det kan vara Privacy shield-avtalet med USA, EU:s standardklausuler eller Binding corporate rules (BCR). Om man använder BCR så ska man ange var de finns för läsning.

Information om lagringstid
Det är inte tillräckligt med “så länge det är nödvändigt för att uppnå ändamålet med behandlingen”.
Man kan ange tid för olika kategorier, eller den princip man använder för bedömningen om man inte kan fastslå en exakt tid.
Exempel: Löneunderlag: Så länge som nödvändigt, dock längst till 10 år efter avslutad anställning.

Registerutdrag
Exempel på hur man kan skriva:

“Du har rätta att kostnadsfritt begära uppgift av arbetsgivaren om användningen av de personuppgifter som berör dig. Vi kommer på din begäran, eller på eget initiativ, rätta eller radera uppgifter som är felaktiga, eller begränsa behandlingen av sådana uppgifter. Du har också rätt att ta del av dina uppgifter i ett maskinläsbart format.”

Om information hämtas in från annat ställe så ska man tala om varifrån.

Återkalla samtycke
Det ska finnas tydlig information om rätten att ta tillbaka eventuella samtycken. Det ska också vara lika enkelt att återkalla samtycket som det var att ge det.

Rätten att klaga till dataskyddsmyndighet
Exempel: “Om du är missnöjd med behandlingen kan du inge klagomål till dataskyddsmyndigheten. I Sverige är det Datainspektionen.”

Skyldighet att lämna uppgifterna
Exempel: “Du är inte skyldig att lämna uppgifter till arbetsgivaren, men gör du det inte så kan vi inte anställa dig eftersom vi då inte kan utföra nödvändig administration kring anställningen.”

Tre frågor om facket

Får klubben spara uppgifter på företaget server?
Företaget och facket är olika juridiska personer. Det finns en risk att arbetsgivaren ses som personuppgiftsansvarig om uppgifterna behandlas på företagets dator.
Lägg in i policy att man inte får använda företagets datorer för fackklubbens behov.

Måste man dra fackavgift? Hur uformar vi informationen?
Fackavgiften dras enligt kollektivavtal och i så fall är rättslig förpliktelse den rättsliga grund man använder. Man bör också informera om att man delar personuppgifter med fackklubben.

Är facket biträde när vi lämnar LAS-lista?
Nej. Företaget och facket är egna juridiska personer, dvs man är ansvarig för sina egna behandlingar.

 Vill du läsa mer om hur du kan anpassa dig till Dataskyddsförordningen? Kika in på vår sida om GDPR för småföretag.

Tips! Det finns stöd för GDPR i vårt löneprogram Visma Lön

 

Lev ut din passion

Här är bokföringsprogrammet för dig som driver företag eller som har en helt-fantastisk-affärsidé-du-måste-förverkliga-nu. Bokföringen puttrar på tryggt och säkert i bakgrunden och skapas av sig självt, simsalabim.

Visma eEkonomi

Lev ut din passion