Samtidigt som GDPR trädde i kraft trädde också den nya dataskyddslagen i kraft. Dataskyddslagen är en kompletterande nationell lag till förordningen. Den klargör vissa frågor förordningen inte berör.

Trots att den nya dataskyddsförordningen redan trätt ikraft känner många att det råder stor oklarhet på området. Behovet av klargörande hur man som arbetsgivare ska förhålla sig till den nya förordningen är fortsatt stort.

Många räds de stora sanktionsavgifterna som kan aktualiseras vid överträdelser. För att inte riskera sanktionsavgift verkar de flesta ha antagit approachen; behandla så lite personuppgifter som möjligt och informera (!) den vars personuppgifter behandlas. Approachen är inte helt fel.

Med arbetsgivaransvaret följer naturligt behovet av att behandla personuppgifter. Till exempel måste arbetsgivaren behandla arbetstagares kontouppgifter, personnummer och adressuppgifter till fullgörandet av skyldigheten att betala lön och dra preliminärskatt på lönen. Så, lite förenklat, hur ska man tänka som arbetsgivare efter att dataskyddsförordningen trätt i kraft?

Utgångspunkten är att personuppgifter får behandlas om behandlingen är nödvändig till fullgörande av en rättslig förpliktelse som följer av lag, annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning. Låter krångligt? Vad det för arbetsrättens del betyder är att personuppgifter får behandlas när det är en nödvändighet för att fullgöra en arbetsrättslig förpliktelse.

Anneli Lönnborg är advokat på advokatfirman Nova. Hon skriver om arbetsrätt i tidningen Resultat.