Verksamhet
Dataskydd Vi guidar dig Lönespecifikationer i e-postLönespecifikationer kan se olika ut men innehåller i princip alltid uppgifter om namn, adress och personnummer och i vissa fall även uppgifter om hälsa och facktillhörighet. Alla dessa uppgifter kan indirekt eller direkt hänföras till en fysisk person som är i livet och är personuppgifter.
Lönespecifikationer ska behandlas på ett sätt som säkerställer lämplig säkerhet
Det finns ingenting som säger att lönespecifikationer kan undantas från kraven som ställs i dataskyddsförordningen. Behandlingen av lönespecifikationer ska därför göras på samma sätt som övrig personuppgiftsbehandling. Lönespecifikationer ska behandlas på ett sätt som säkerställer lämplig säkerhet.
Bedömningen av vilken säkerhet som behövs beror bland annat på vilka uppgifter som uppges i lönespecifikationen och om dessa uppgifter är av känslig och/eller integritetskänslig karaktär. Lönespecifikationer som innehåller uppgifter om hälsa och facktillhörighet bör exempelvis hanteras extra varsamt då dessa uppgifter bedöms som känsliga. Vid hantering av känsliga personuppgifter måste den personuppgiftsansvariga i många fall vidta särskilda säkerhetsåtgärder för att säkerställa att endast avsedda personer får åtkomst till de uppgifterna och att de överförs på ett säkert sätt (exempelvis genom kryptering).
Anställda kan inte samtycka till att lönespecifikationer skickas per oskyddad e-post
De anställda kan inte samtycka till otillräcklig säkerhet. Det går inte att kringgå säkerhetskravet enligt dataskyddsförordningen. Alla typer av personuppgift ska behandlas på ett sätt som säkerställer lämplig säkerhet.
Den personuppgiftsansvarigas ansvar
Att skicka lönespecifikationer över öppet nät innebär risker då andra än den avsedda mottagaren kan ta del av meddelandet. Den personuppgiftsansvariga ansvarar för att se till att den digitala kommunikationskanalen för lönespecifikationer är säker.
Den personuppgiftsansvariga måste därför bedöma vilken säkerhet som är lämplig med tanke på personuppgifterna som behandlas i lönespecifikationerna.
Den personuppgiftsansvariga bör även här göra en risk- och sårbarhetsanalys för hanteringen av lönespecifikationer och utifrån den bestämma vilka lämpliga åtgärder som behöver vidtas för att minska eller eliminera identifierade risker för de anställdas integritet.
Det är upp till den personuppgiftsansvariga att göra en egen bedömning av hanteringen av lönespecifikationer och bestämma vilka rutiner och riktlinjer som ska finnas inom verksamheten. Den personuppgiftsansvariga ska också instruera dem som hanterar lönespecifikationer inom verksamheten.