Personuppgifter och medarbetarnas rättigheter enligt GDPR

Vad räknas egentligen som personuppgifter och vilka rättigheter har de anställda? GDPR ställer en hel del krav när du ska digitalisera HR-processer.

Det juridiska 

Många HR-avdelningar behöver hjälp och stöd för att kunna arbeta i enlighet med GDPR, men också för att kunna förändra de interna processerna så att de matchar kraven. 

Det gäller att ha koll på lagstiftningen och vad det innebär i praktiken för att göra det möjligt. Här fokuserar vi på de interna processerna. Se artikeln som en guide till hur du kommer igång och digitaliserar HR-arbetet på ett datasäkert sätt. Ta gärna hjälp av en jurist för att stämma av vad som gäller rent juridiskt för just ditt företag - vi är inte jurister. 

Från pärmar till molnet

Digitalisering har påverkat HR-arbetet positivt överlag. Information om personal har tidigare förvarats i pärmar, avtal har signerats manuellt och anteckningar från medarbetarsamtal har sparats så att HR-avdelningen har bra kontroll över personuppgifterna. Men HR-avdelningen har också belastats med en hel del manuellt arbete.

Digitala lösningar har effektiviserat HR-arbetet, men som med alla förändringar har det kommit med nya utmaningar. Ofta finns information och medarbetardata utspritt över flera olika platser i molnet. Många företag använder flera interna system som hanterar olika typer av HR-processer – ett för rekrytering, ett annat för introduktion och ett tredje för medarbetarsamtal, till exempel. Kanske har du själv upplevt någon av de här situationerna:

• Personuppgifter skickas okrypterat via mail
• Anteckningar i Word-dokument från medarbetarsamtal sparas lokalt på laptops
• Lönerevision i Excel skickas okrypterat via mail

Det är upp till företaget att se till att inga personuppgifter läcker ut. Det är viktigt att komma ihåg att den mänskliga faktorn kan ställa till det. Känslig information får aldrig komma på villovägar. 

En undersökning av Deloitte visade intressant statistik om detta:

• 75% av företagen förstår behovet av datasäkerhet…
• … men bara 22% har bra skydd och system för säker hantering och lagring av personuppgifter

Tillhör ditt företag de 22 procenten? Se över era HR-processer och välj GDPR-anpassade system. Enklaste vägen att gå är att samla all känslig data i ett och samma system.

Vad är en personuppgift?

Många pratar om personuppgifter och vikten av att skydda dem enligt GDPR. Men vad räknas egentligen som en personuppgift? Det finns inget solklart svar. Ta en titt på det här knepiga exemplet:

Ett bolag som grundades 2010 vill jämföra hur många sjukdagar företagets säljare hade 2010, jämfört med hur många sjukdagar säljarna i företaget har idag. 

Om det bara fanns en säljare 2010, räknas det då som en personuppgift?

När du börjar gräva i det, inser du snabbt att det inte är helt lätt att avgöra vad som är en personuppgift och inte. Svaret på frågan är ja – det räknas som en personuppgift, eftersom det går att räkna ut vem säljaren är.

Ha med dig följande definition i bakhuvudet när du jobbar med GDPR:

“Alla uppgifter som kan användas för att identifiera en person är personuppgifter”

Även bilder räknas som personuppgifter, liksom digitala ljudinspelningar – även om det inte förekommer några namn i dem. 

Särskilda personuppgifter

Med särskilda personuppgifter menas exempelvis personnummer och samordningsnummer. Den här typen av personuppgifter får hanteras och registreras om personen i fråga har gett sitt samtycke. Om en anställd inte ger sitt samtycke får särskilda personuppgifter bara användas när det är motiverat, exempelvis vid löneutbetalningar eller för att kunna skriva anställningsavtal. 

Känsliga personuppgifter

Man brukar också prata om känsliga personuppgifter. Här ingår till exempel:

• Etniskt ursprung
• Politiska åsikter
• Sexuell läggning
• Uppgifter om hälsa
• Facktillhörighet

Matpreferenser eller allergier kan också räknas som känsliga personuppgifter, eftersom det kan härledas till information om hälsa och religiös åskådning. 

Känsliga personuppgifter har ett starkare skydd och är i regel olagligt att hantera. Undantag förekommer vid exempelvis lönerevision, då arbetsgivaren kan behöva känna till facklig tillhörighet. Samma sak gäller för hälsostatus, som arbetsgivaren kan behöva känna till för att kunna hantera sjuklön och rehabiliteringsärenden. 

Den anställdes rättigheter

Enligt GDPR har anställda vissa rättigheter när det gäller hanteringen av personuppgifter. 

Rätt till information

En person har rätt att få information om hur och när personuppgifter behandlas. För att tillmötesgå detta kan en bilaga följa med anställningsavtalet. I bilagan bör det framgå hur lönehantering och schemaläggning går till, hur och varför du hanterar information om medarbetarens hälsa och liknande. Berätta också om varför och på vilket sätt externa parter, som Skatteverket och Försäkringskassan, kan få tillgång till vissa uppgifter.

Rätt till registerutdrag

Vilka kategorier av uppgifter behandlas om personen? Hur behandlas dessa uppgifter? Hur länge lagras dem och var? Vad är syftet med behandlingen och vilka personer får tillgång till uppgifterna? De här frågorna har varje anställd rätt att få svar på. Det är med andra ord mycket information som ska ingå i ett så kallat registerutdrag, och för att kunna lösa det krävs en bra struktur (och i bästa fall systemstöd) för att hålla ordning på allt. 

Rätt till rättelse

Anställda har också rätt att ändra uppgifter som inte stämmer, och lägga till uppgifter som saknas. Använder du flera olika HR-system kan du behöva uppdatera informationen i allihop. Det kan innebära en hel del manuellt arbete, men det är arbete som måste göras.

Rätt till radering

Rätten att bli glömd – kanske den viktigaste rättigheten av de alla – ingår i medarbetarnas rättigheter enligt GDPR. Den innebär att varje person har rätt att vända sig till företaget för att få personuppgifter raderade. Uppgifterna måste raderas i följande fall: 

• Om uppgifterna inte behövs i det syfte de samlades in för. Till exempel behöver ni inte längre ha uppgifter om närmast anhörig eller profilbilder när en person har slutat.
• Om behandlingen grundar sig i personens samtycke och personen tar tillbaka samtycket, måste ni också radera informationen.

Kom igång idag

Nu har du fått en övergripande bild av hur HR-avdelningen behöver tänka kring GDPR. Dags för nästa steg – att ta kontroll över din HR-data och GDPR-anpassa de interna processerna.

Tills dess - kom ihåg att GDPR ställer sig starkt emot att spara personuppgifter för att det “kan vara bra att ha i framtiden”.