Hamn i solnedgång

GDPR på jobbet

01

Sveriges ledande juristbyrå inom arbetsrätt

02

Specialister i avancerade förhandlingar

03

Tjänster för arbetsgivare och arbetstagare – i Sverige och utomlands

Den 25 maj 2018 ersattes den svenska personuppgiftslagen med EU:s dataskyddsförordning (GDPR) i syfte att skapa ett enhetligt regelverk inom EU för hur personuppgifter ska hanteras på ett integritetsvänligt sätt av myndigheter, företag och andra aktörer. Personuppgifter är all information som direkt eller indirekt kan identifiera en levande person. GDPR gäller för alla företag som är verksamma inom EU och som syftar till att hantera personuppgifter.

GDPR i arbetslivet

Hur GDPR på jobbet fungerar är viktigt för företag att veta eftersom de är ansvariga för att arbetstagare och kunders personuppgifter hanteras säkert så känsliga uppgifter inte kan utnyttjas på ett otillbörligt sätt. Ett tydligt regelverk om hur personuppgifter ska hanteras på jobbet är oerhört viktigt för att säkerhetsställa att uppgifterna hanteras korrekt och säkert. GDPR på jobbet har en stor påverkan på hur arbetsgivare får och måste hantera känsliga uppgifter.

I arbetslivet används personuppgifter till alltifrån databaser, löner och interna system det är därför viktigt att det finns tydliga rutiner på hur reglerna i GDPR på jobbet ska hanteras för att undvika att känsliga uppgifter hamnar i fel händer.

Det är viktigt att det finns en balans mellan vilka uppgifter som samlas in på arbetsplatsen. Om informationen är särskilt känslig eller detaljerad kan arbetstagarens intresse av att inte delge uppgifterna triumfera arbetsgivarens intresse att hantera uppgifterna. Som arbetstagare är det också viktigt att tänka på att man befinner sig i en beroendeställning gentemot sin arbetsgivare och många gånger kan känna sig tvingad att låta arbetsgivaren hantera ens uppgifter som de vill.

Användningen av personuppgifter ska ske enligt integritetsvänliga principer som stadgas i GDPR som att insamlingen av data måste ha ett definierat och nödvändigt syfte och en rättslig grund som exempelvis ett samtycke. Samtycke kan som utgångspunkt inte användas som laglig grund för att hantera personuppgifter i anställningsförhållandet pga. beroendeställningen den anställde befinner sig i.

Tillsyn

Det är integritetsskyddsmyndigheten som är tillsynsmyndigheten för GDPR som bevakar efterföljandet av dess regelverk. Ifall ett företag inte följer riktlinjerna i GDPR kan de bestraffas genom en mycket hög sanktionsavgift. Arbetsgivaren måste i vissa situationer utse ett dataskyddsombud som är en särskild person som har till uppgift att se till så att organisationen efterlever de kraven som ställs i GDPR.

Kan arbetsgivare kringgå GDPR?

Trots GDPR:s breda regelverk kan lagen kringgås på olika sätt av arbetsgivaren. En arbetsgivare kan kringgå reglerna som gäller enligt GDPR på jobbet under särskilda förutsättningar. En arbetsgivares skyldighet att informera arbetstagaren om hanteringen av personuppgifterna behöver inte ske om informationen har lämnats tidigare. Om uppgifterna inte samlas in från den anställda själv finns det fler undantag från skyldigheten att informera, exempelvis om det visar sig vara omöjligt eller skulle innebära en oproportionerlig ansträngning. Dessa undantag är dock sällan tillämpliga i ett anställningsförhållande.

Enligt GDPR kan även en reglering i kollektivavtalet ge arbetsgivaren rätten att behandla arbetstagarens personuppgifter vilket också inkluderar känsliga uppgifter. Sverige har tolkat GDPR som att allmänt intresse kan fastställas i kollektivavtal som är en laglig grund för att få behandla personuppgifter. Enligt Dataskyddslagen 2 kap 3 § kan ett kollektivavtal utgöra rättslig grund för behandling av personuppgifter vilket innebär att ett kollektivavtal kan reglera när en personuppgift får hanteras. En arbetsgivare kan således välja att ha ett kollektivavtal med väldigt förmånliga möjligheter när man får behandla en arbetstagares personuppgifter.

Ett annat enkelt sätt för arbetsgivare att kringgå GDPR är att vid kritik eller granskning efterhandskonstruera rutiner och riktlinjer. Den enda tillsynsmyndigheten som finns är integritetsmyndigheten som enbart kan kontrollera ett fåtal företag. Därför kan många arbetsgivare kringgå efterföljandet av GDPR.

Ett annat sätt att kringgå GDPR på jobbet är att gå utanför förordningens tillämpningsområde, genom att flytta verksamheten utanför EU och på så sätt inte behöva uppfylla de kraven som GDPR ställer på arbetsgivaren. Eftersom GDPR endast är tillämpligt på aktörer inom EU skulle en förflyttning av ett företags verksamhet innebära att de inte längre behöver följa GDPR.

En arbetsgivare kan också kontrollera sina arbetstagares användning av datorer. En arbetsgivare har rätt att kontrollera anställdas datorer och uppgifter som förekommer i datorn, däremot får det inte vara mer ingripande än nödvändigt. Vid misstanke om illojalitet kan det vara tillåtet av arbetsgivaren att ta del av innehållet av anställdas privata filer och uppgifter i deras epostmeddelanden och på så sätt kringgå GDPR.

8852607-successful-agreement
quote

Jag har hela mitt yrkesliv arbetat med förhandling, bland annat företrätt hela branschorganisationer i EU och deltagit vid förhandling av frihandelsavtal, inget har dock kunnat matcha det förhandlingsteam och framförallt den förhandlingsmetodik och taktik som utbildas av Arbetsrättsexperten och som tillhandahålls av Arbetsrättsexperten.

Sakkunnig förhandlare, Karl Gustavsson
quote

Jag hade redan jobbat med arbetsrätt i 15 år när jag började på Arbetsrättsexperten, men det var först när jag kom hit som jag verkligen lärde mig avancerad arbetsrätt.

Jur. Kand. Kristoffer Eriksson
quote

Arbetsrättsexperten är en pragmatisk arbetsplats där juristens prestation bedöms efter klientens resultat. Det är oerhört utvecklande och motiverande för oss jurister att det viktiga inte är att ha rätt utan att få rätt.

Jur. Kand. Anna Lundgren