Känsliga personuppgifter
Känsliga personuppgifter är uppgifter om
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.
Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.
Det är förbjudet att behandla känsliga personuppgifter om inte något undantag gäller. För att behandlingen ska vara tillåten krävs dessutom att den lever upp till grundläggande principer och har stöd i en rättslig grund.
Här beskrivs några av undantagen.
På grund av skyldighet eller rättighet inom arbetsrätten
Dataskyddsförordningen gör undantag från förbudet att behandla känsliga personuppgifter om behandlingen är nödvändig för att den personuppgiftsansvariga eller den registrerade ska kunna fullgöra sina skyldigheter eller utöva sina särskilda rättigheter inom arbetsrätten.
Bestämmelsen möjliggör behandling av känsliga personuppgifter som är nödvändig för att arbetsgivare, arbetstagare, fackliga organisationer och arbetsgivarorganisationer ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter med koppling till arbetslivet. Sådana skyldigheter och rättigheter kan följa av lagstiftning, myndighetsbeslut, kollektivavtal eller andra avtal, beroende på vilken rättslig grund som är tillämplig för behandlingen.
Undantagsbestämmelsen i dataskyddsförordningen på arbetsrättens område gäller i den omfattning som behandlingen är tillåten enligt unionsrätten eller den nationella rätten eller ett kollektivavtal. Förutsättningen är då att lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och friheter fastställs där.
Generellt stöd på arbetsrättens område i dataskyddslagen
Ett generellt stöd för att behandla känsliga personuppgifter på arbetsrättens område finns i dataskyddslagen. För att få lämna ut känsliga personuppgifter som behandlas med stöd av bestämmelsen i dataskyddslagen till tredje part, krävs att det finns en skyldighet för den personuppgiftsansvariga att göra det inom arbetsrätten, eller att den registrerade uttryckligen har samtyckt till utlämnandet.
Med tredje part menas utlämnanden till andra än den registrerade, den personuppgiftsansvariga, personuppgiftsbiträdet, eller de personer som under den personuppgiftsansvarigas eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.
Begränsningen av möjligheten att lämna ut känsliga personuppgifter på arbetsrättens område motsvarar vad som gällde tidigare enligt personuppgiftslagen. I förarbetena till den bestämmelsen uttalades att genom denna begränsning garanteras att den känsliga frågan om spridningen av uppgifterna får särskild uppmärksamhet vid utformningen av kollektivavtal och lagstiftning. Begränsningen är avsedd att tillgodose kravet i dataskyddsförordningen på lämpliga skyddsåtgärder.
För att arbetsgivare och fackliga organisationer ska kunna dela uppgifter om anställdas fackliga tillhörighet med varandra som behandlas med stöd av denna bestämmelse i dataskyddslagen, krävs alltså att det finns en uttrycklig skyldighet för dessa att lämna ut uppgiften till varandra enligt arbetsrätten, eller att den anställda uttryckligen har samtyckt till utlämnandet.
Samtycket ska uppfylla kraven på samtycken i dataskyddsförordningen. Det är svårt att förutse i vilka situationer eller i vilken omfattning samtycke kan användas i praktiken. Finns det ingen verklig möjlighet att säga nej till den specifika åtgärden, åtminstone inte utan negativa konsekvenser, är det knappast fråga om ett giltigt samtycke.
Att samtycket är en skyddsåtgärd innebär att integritetsintrånget ska minska för den enskilda. Samtycke kan inte användas till stöd för utlämnande av känsliga uppgifter som är till nackdel för den anställda, utan bör normalt endast komma ifråga för utlämnanden som är till fördel för den anställda. Det är här viktigt att arbetsgivaren har tydliga rutiner för insamling och gallring av samtycken och för att dokumentera de avvägningar som gjorts.
Stöd för behandling av känsliga personuppgifter i andra regler
Även andra bestämmelser än dataskyddslagen kan leva upp till kraven i dataskyddsförordningen och ge stöd för att få behandla känsliga personuppgifter på arbetsrättens område. Behandlingen kan vara tillåten enligt ett kollektivavtal eller annan författning än dataskyddslagen om de innehåller bestämmelser om lämpliga skyddsåtgärder.
Dessutom kan andra undantagsbestämmelser i dataskyddsförordningen vara tillämpliga samtidigt, till exempel om ett utlämnande är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.
Kom ihåg rättslig grund och principer
Även om det finns ett tillämpligt undantag från förbudet att behandla känsliga personuppgifter enligt dataskyddsförordningen och dataskyddslagen, krävs det också att behandlingen kan stödjas på en rättslig grund. Det kan finnas flera olika rättsliga grunder för behandling av personuppgifter med koppling till arbetslivet, exempelvis en rättslig förpliktelse eller en uppgift av allmänt intresse som följer av lagstiftning, myndighetsbeslut, eller ett kollektivavtal.
Exempel på när det är nödvändigt att behandla känsliga personuppgifter på grund av en skyldighet eller rättighet inom arbetsrätten är när uppgifter om anställdas sjukdom behövs för att beräkna sjuklön, utreda frånvarorätt eller i vissa fall inleda en rehabiliteringsutredning. Ytterligare exempel är om behandlingen av uppgift om fackligt medlemskap är nödvändig för att arbetsgivaren ska kunna fullgöra sin förhandlingsskyldighet enligt lagen om medbestämmande i arbetslivet.
Arbetsgivaren måste alltid komma ihåg att följa grundläggande principer i dataskyddsförordningen. När det är aktuellt att behandla känsliga personuppgifter på grund av en skyldighet eller rättighet inom arbetsrätten ska arbetsgivaren se till att uppgifterna är adekvata, relevanta och inte för omfattande i förhållande till ändamålet. När det gäller uppgifter om anställdas sjukdom behöver en arbetsgivare normalt inte behandla diagnoser. Det är inte tillåtet att samla in eller bevara uppgifter slentrianmässigt. Behovet av att behandla uppgifter ska finnas vid insamlingen och under hela bevarandetiden. Det innebär att en arbetsgivare till exempel i samband med lönerevision behöver överväga hur uppgifter om facklig tillhörighet ska samlas in och att det kan finnas problem med att upprätta en permanent förteckning över facklig tillhörighet. Det följer också av kravet på personuppgifternas kvalitet, det vill säga att uppgifterna ska vara riktiga och uppdaterade för ändamålet.
Begränsad möjlighet att behandla känsliga uppgifter med stöd av ett samtycke
En arbetsgivare kan normalt inte stödja sin behandling av anställdas personuppgifter på samtycke. Det gäller inte minst när det är fråga om känsliga uppgifter.
Endast i undantagsfall kan en arbetsgivare få behandla känsliga personuppgifter om anställda enbart med stöd av samtycke. Ett exempel är en arbetsgivare som tillfälligt har behov av att behandla uppgifter om allergier i samband med personalaktiviteter som innefattar måltider.
Arbetsgivaren ska kunna visa att samtycket är giltigt.
En förutsättning för att behandlingen ska vara tillåten är att den uppfyller de grundläggande principerna, till exempel att behandlingen kan anses skälig och att uppgifterna är adekvata, relevanta och inte för omfattande i förhållande till ändamålet.
För att hävda rättsliga anspråk
Det är inte förbjudet att behandla känsliga personuppgifter som är nödvändiga för att fastställa, göra gällande eller försvara rättsliga anspråk. Det kan till exempel vara tillåtet att behandla känsliga personuppgifter i samband med att rättigheter och skyldigheter på grund av anställningsförhållanden övergår till en ny arbetsgivare vid en verksamhetsövergång, i samband med arbetsrättsliga tvister, eller i situationer när uppgifterna behövs som grund för uppsägning.
Ett annat exempel är när uppgift om medlemskap i fackförening behövs för att veta var en domstolstalan ska väckas. Även här krävs det att behandlingen uppfyller de grundläggande principerna, till exempel att bara behandla uppgifter som är adekvata, relevanta och inte för omfattande i förhållande till ändamålet.
Om den anställda valt att själv tydligt offentliggöra uppgiften
Det är inte förbjudet att behandla känsliga personuppgifter som arbetstagaren själv har offentliggjort på ett tydligt sätt. Behandlingen av de offentliggjorda uppgifterna är då tillåten förutsatt att den följer grundläggande principer och har stöd i en rättslig grund.
Att delta på ett möte som anordnats av en fackförening räcker inte för att en person tydligt ska anses ha offentliggjort sitt medlemskap i fackföreningen. Troligtvis räcker det inte heller att ta på sig ett uppdrag som facklig företrädare på en arbetsplats för att själv anses ha offentliggjort uppgiften på ett tydligt sätt. Det bör i så fall krävas att personen åtagit sig att utåt representera den fackliga organisationen.