Arbetsgivaren behandlar en mängd persondata om sina anställda. 25 maj träder den nya dataskyddsförordningen; GDPR, i kraft och ersätter därmed personuppgiftslagen, PUL. Mycket känns igen i de regler som återfinns i dag men till viss del får vi genom införandet av GDPR en åtstramning, bland annat vad avser arbetsgivares rätt att behandla arbetstagares persondata.
Utgångspunkten är att uppgifter om en person endast får behandlas med stöd i förordningen eller i annan lag. Personuppgifter får även behandlas när samtycke finns från den registrerade eller om det är nödvändigt för att till exempel en arbetsgivare ska kunna fullgöra sina arbetsrättsliga skyldigheter. Vidare kan en arbetsgivare också få behandla personuppgifter om arbetsgivarens intresse av att få behandla personuppgifterna väger tyngre än intrånget i den enskildes integritet. Ett exempel på detta skulle kunna vara att kontrollera och övervaka anställda i ett inpasseringssystem om detta krävs av säkerhetsskäl.
Den nya förordningen ger tillsynsmyndigheten – Datainspektionen – möjlighet att vid allvarliga överträdelser av förordningen döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning. För den som inte redan påbörjat förberedelsearbetet finns det således all anledning att göra det.
Denna artikel är skriven av advokat Anneli Lönnborg verksam vid Advokatfirman Nova.