Skickar du fortfarande ut lönebesked till dina anställda via mejl? Om ja, sluta genast med detta. Det är inte en säker hantering av personuppgifter enligt GDPR, den dataskyddsförordning som ersatt den tidigare personuppgiftslagen, mer känd under förkortningen PUL.
GDPR, General Data Protection Regulation, är en europeisk förordning för att stärka och harmonisera skyddet för individer vid hantering av personuppgifter. De flesta svenskar känner till förordningen, men det är färre som vet vad den verkligen innebär.
Många av bestämmelserna i GDPR fanns redan i personuppgiftslagen, men en del är nya. En nyhet med GDPR är att böterna för ett företag som bryter mot reglerna kan bli så höga som fyra procent av bolagets totala omsättning.
Lagen säger att det inte går att ha ett generellt tillstånd för att behandla personuppgifter. Varje uppgift som samlas in och lagras måste vara nödvändig för att fylla ett specifikt syfte. Vid inhämtning och lagring av uppgifter ska man bedöma om de innebär en risk för den person vars uppgifter registreras. Ett syfte med GDPR är att förhindra att personuppgifter sparas för att de kan vara “bra att ha”. Därför finns sex rättsliga grunder då det är tillåtet att behandla personuppgifter. Dit hör när det är nödvändigt för att uppfylla ett avtal eller en rättslig förpliktelse.
Hur länge får uppgifterna sparas?
Eftersom det inte är tillåtet att spara personuppgifter med motiveringen att de kan vara användbara i framtiden, finns det också regler för hur länge uppgifterna får sparas. I vissa fall får uppgifter sparas så länge de behövs, vilket innebär att det prövas från fall till fall. Några exempel:
- Ansökningar till en tjänst ska sparas i två år. Under denna tid kan nämligen tillsättningen ifrågasättas. Om någon som sökt ett jobb, men inte fått det, anser sig ha blivit diskriminerad och därför anmäler företaget, kan de ansökningshandlingar som kommit in vara ett bevis för att så inte har skett.
- Anställningsavtal ska sparas tills den anställde uppnått pensionsålder. Anledningarna till detta är två. För det första kan den som tidigare varit anställd ha rätt till återanställning under en viss tid. För det andra kan en anställd hävda att något är fel i dennes pensionsunderlag.
- Utbildningsbevis kan sparas under hela anställningen, men det kan vara motiverat att förstöra dem efter två år. Företrädesrätten löper egentligen ut efter ett år, men det kan vara idé att spara dokumenten ytterligare ett år, om en tvist skulle uppstå.
- Löneunderlag bör sparas i tio år, vilket är tre år längre än vad som är angivet som krav i bokföringslagen.
GDPR och lönehantering
När det gäller lönefrågor måste det finnas ett anställningskontrakt för att arbetsgivaren ska ha tillåtelse att hantera personuppgifterna. En lönespecifikation innehåller alltid personuppgifter, som namn, adress, personuppgifter, samt ofta också hälsa och facktillhörighet, skriver Datainspektionen på sin webbplats. Det innebär att lönespecifikationer ska behandlas på samma sätt som andra personuppgifter.
En lönespecifikation som innehåller uppgifter om den anställdas sjukfrånvaro innehåller indirekt uppgifter om hens hälsa, och därför är det viktigt att dessa uppgifter skyddas. Ett sätt att skydda uppgifterna kan vara genom kryptering. Vanlig e-post anses inte vara tillräckligt säker, och de anställda kan enligt Datainspektionen inte samtycka till otillräcklig säkerhet vid behandling av personuppgifter.
Löenspecifikationer som skickas över ett öppet nät kan läsas av andra än den avsedda mottagaren. Därför är det vanligt att lönespecifikationerna skyddas med en inloggning, exempelvis i ett lönesystem.