Hoppa till innehåll på sidan

Rättslig grund

Här kan du läsa om de olika rättsliga grunderna för personuppgiftsbehandling.

För att en arbetsgivare ska få behandla personuppgifter om arbetstagare krävs att behandlingen har stöd i en rättslig grund. De grundläggande principerna måste alltid vara uppfyllda. Till exempel ska ändamålet med behandlingen anges tydligt i förväg och de personuppgifter som behandlas ska ha en koppling till anställningen. Om uppgifterna om de anställda har en stark koppling till privatlivet, till exempel är av mycket personlig karaktär, och inte är av central betydelse för anställningsförhållandet talar det starkt för att det inte är tillåtet att behandla uppgifterna.

På grund av avtal

Personuppgifter får behandlas om det är nödvändigt för att anställningsavtalet ska kunna uppfyllas. Avtalet ska ha ingåtts med arbetstagaren själv. Ett avtal mellan arbetsgivaren och en juridisk person, till exempel ett bemanningsföretag, ger alltså inte stöd för att behandla uppgifter om personer som är anställda hos bemanningsföretaget. Då krävs att arbetsgivaren har stöd i någon annan grund. Det finns flera typer av system där personuppgifter kan behandlas på grund av avtal, till exempel:

  • system för löneberäkning
  • registrering av sjukfrånvaro
  • tidredovisningssystem.


På grund av en rättslig förpliktelse

En arbetsgivare får samla in och registrera personuppgifter om det är nödvändigt för att fullgöra en rättslig förpliktelse. En rättslig förpliktelse för arbetsgivaren innebär att det finns lagar eller andra regler, exempelvis i kollektivavtal, som gör att arbetsgivaren måste behandla vissa personuppgifter i sin verksamhet. Det finns också lagar och förordningar som innebär att arbetsgivaren är skyldig att lämna ut vissa uppgifter om anställda, till exempel redovisa skatter och sociala avgifter för arbetstagarna.

Efter en intresseavvägning eller med stöd av ett allmänt intresse

En arbetsgivare får behandla uppgifter om anställda som är nödvändiga för ändamål som rör berättigade intressen. Det förutsätter att inte den anställdas intresse av skydd för sina personuppgifter väger tyngre. Arbetsgivare behöver alltså göra en så kallad intresseavvägning. Hur intresseavvägningen faller ut beror bland annat på vilken typ av personuppgifter som ska behandlas, förhållandena på den aktuella arbetsplatsen, vilket slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras och vad den anställda rimligen kan förvänta sig. Arbetsgivaren ska kunna redogöra för sin bedömning i enlighet med principen om ansvarsskyldighet. Det kan därför vara lämpligt att dokumentera sina överväganden.

En offentlig arbetsgivare kan normalt inte använda sig av en intresseavvägning. Behandlingen får då istället prövas enligt den rättsliga grunden allmänt intresse, det vill säga om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Uppgifter av allmänt intresse kan följa av lag eller annan författning, av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning.

En bedömning av om arbetsgivaren kan stödja behandlingen på ett allmänt intresse bör utgå från om behandlingen är nödvändig för myndighetens verksamhet.

Anställdas inställning

När en arbetsgivare stödjer sin behandling av uppgifter om anställda på en intresseavvägning eller ett allmänt intresse kan det ibland vara lämpligt att först fråga den anställda. Arbetstagarens inställning till en viss behandling kan nämligen ha betydelse för om behandlingen är tillåten. Det är till exempel bra att fråga den anställda innan man publicerar bilder, eftersom många upplever bildpublicering som särskilt känsligt och kan ha särskilda skäl att inte få sin bild spridd.

Rätt att invända

Den anställda har, av skäl som rör dennas specifika situation, rätt att när som helst invända mot behandling som utförs med stöd av en intresseavvägning eller ett allmänt intresse. Den anställda ska få information om sin rätt att invända mot behandlingen senast i samband med att uppgifterna ifråga samlas in. Om behandlingen grundar sig på en intresseavvägning ska arbetsgivaren dessutom informera sina anställda om sitt eller tredje parts berättigade intresse. Av informationen bör tydligt framgå att de anställda på begäran kan få närmare information om hur bedömningen har gjorts.

Om den anställda invänder mot behandlingen behöver arbetsgivaren så snart som möjligt (utan onödigt dröjsmål) ta ställning till om behandlingen får fortsätta, eller om uppgifterna ska raderas och informera den anställda om vilka åtgärder som vidtagits på grund av invändningen. För att arbetsgivaren ska få fortsätta att behandla uppgifter om en anställd som invänt mot behandlingen måste arbetsgivaren kunna ge avgörande berättigade skäl för behandlingen som väger tyngre, eller visa att behandlingen sker för att fastställa, utöva eller försvara rättsliga anspråk.

Anhöriglistor

Exempel på när en arbetsgivare kan behandla personuppgifter med stöd av en intresseavvägning eller ett allmänt intresse är så kallade anhöriglistor. Både arbetsgivaren och den anställda har ofta ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig om den anställda drabbas av olyckshändelse eller sjukdom under arbetstid. IMY anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning eller, om arbetsgivaren är en myndighet, ett allmänt intresse. Arbetsgivaren ska dock undvika att samla in uppgifter om vilken relation den anhöriga har till den anställda, eftersom en sådan uppgift kan komma att indirekt avslöja en fysisk persons sexuella läggning och därmed utgöra känsliga personuppgifter. Se punkt 117-128 i EU-domstolens dom i målet Vyriausioji tarnybinės etikos komisija, C-184/20. 

EU-domstolens dom 

Arbetsgivaren behöver även följa övriga regler i dataskyddsförordningen. Det innebär att arbetsgivaren bland annat måste begränsa tillgången till personuppgifterna till dem som i sitt arbete behöver använda dem för det aktuella ändamålet. Som utgångspunkt krävs information till de registrerade. Information till anhöriga kan till exempel lämnas på ett formulär där den anhöriga fyller i sina kontaktuppgifter.

Samtycke endast i undantagsfall

Ett giltigt samtycke innebär varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, där den anställda, antingen genom ett uttalande eller genom en entydigt bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

En arbetsgivare kan vid bedömningen av om en behandling är tillåten eller inte i vissa fall behöva ta hänsyn till den anställdas inställning. Det kan göras genom att arbetsgivaren antingen frågar den anställda i förväg eller upphör med behandlingen om den anställda invänder mot den.

Däremot kan en arbetsgivare normalt inte använda samtycke som rättslig grund för att behandla personuppgifter om anställda. Det beror på att anställda är i beroendeställning till arbetsgivaren och därför som regel inte kan lämna sådana frivilliga samtycken som dataskyddsförordningen kräver. Utrymmet för arbetsgivare att behandla anställdas personuppgifter med stöd av samtycke är därför mycket begränsat.

Bara i undantagsfall kan en arbetsgivare använda samtycke som rättslig grund för behandling av personuppgifter om anställda. Det kan gälla situationer där den anställda har ett verkligt fritt val, utan direkta eller indirekta påtryckningar, erbjuds rimliga alternativ, och senare kan återkalla samtycket utan att det medför några nackdelar.

Tänk på att det inte är tillräckligt att arbetsgivaren säger att det är frivilligt, om den anställda utifrån omständigheterna ändå kan känna sig pressad att göra ett visst val, till exempel av rädsla för att framstå som besvärlig. Att man kan låta bli att samtycka är inte ett sådant rimligt alternativ som avses här.

För att ett samtycke ska vara giltigt ska det gå att återkalla. En anställd ska alltså utan problem kunna ta tillbaka sitt samtycke. Vid en återkallelse av ett samtycke ska arbetsgivaren stoppa behandlingen. Det betyder att behandlingen ska avbrytas och att ytterligare personuppgifter inte får behandlas. Arbetsgivaren måste radera uppgifterna om det inte finns någon annan rättslig grund för att ha kvar de tidigare insamlade uppgifterna.

För att kunna använda samtycke som rättslig grund krävs också att den anställda får tydlig och klar information. Den anställda ska kunna förstå vad hen samtycker till. En arbetsgivare som vill använda samtycke som rättslig grund ska kunna visa att den anställda har lämnat ett giltigt samtycke.

Samtycke som rättslig grund

EU-gemensamma riktlinjer om samtycke

Senast uppdaterad: 31 juli 2024
Sidans etiketter Dataskydd