Bild: Mostphotos

Ny dataskyddslag ger anställda rätt till insyn

INTEGRITET2018-04-18
Den 25 maj börjar EUs dataskyddsförordning, GDPR, att gälla. Den som får sina person­uppgifter registrerade får tyd­ligare rättigheter – och det gäller bland annat anställda gentemot arbetsgivare. En förändring är att den registrerade får rätt till insyn.

EUs nya dataskyddsförordning blir lag i alla EU-länder och den som bryter mot den riskerar höga sanktionsavgifter. I Sverige ersätter reglerna personuppgiftslagen, pul.

För anställda innebär de nya bestämmelserna en del förändringar i förhållande till arbetsgivaren, säger STs förbundsjurist Veera Littmarck.

Enligt dataskyddslagen ska den vars personuppgifter registreras få tydligare information än tidigare. Vad behöver arbetsgivare göra?

– De ska tala om vilka uppgifter som registreras, på vilken rättslig grund det sker, hur uppgifterna hanteras och hur länge de sparas. Om uppgifter registreras på grundval av en intresseavvägning ska det framgå vilka överväganden som gjorts.

Vad får arbetsgivaren registrera?

– Allt som behövs för att kunna fullgöra anställningsavtalet, som bankkonto och antal arbetade timmar. Uppgifter får också registreras om den anställde samtycker, eller på grundval av en intresseavvägning mellan arbets­givarens behov av uppgifterna och den enskildes rätt till integritet. En annan grund är kollektivavtal. Även det som tidigare kallades känsliga personuppgifter – om bland annat etniskt ursprung, reli­giös över­tygelse och hälsa – kan få registreras i vissa fall.

Vad kan en intresseavvägning innebära?

– Sådana görs redan i dag enligt pul. Ett exempel på när Datainspektionen godkänt registrering efter intresse­avvägning är när medarbetare använder passerkort och uppgifterna registreras av arbetsgivaren.

Finns några risker med det?

– Det blir problematiskt om arbetsgivaren säger sig använda kontroller av passerkorten av säkerhetsskäl, men sedan använder uppgifterna för att se om medarbetare sköter sina arbets­tider. Datainspektionen har accepterat sådana »ändamålsglidningar« i ganska stor utsträckning, men vi vet inte hur det blir nu när vi får en europeisk data­skyddsmyndighet.

Och vad innebär samtycke?

– Det är svårt för arbetsgivare att få ett giltigt samtycke, eftersom den anställde anses vara i underläge. Därför bör de typiskt sett använda andra grunder för registrering. Men om man använder samtycke måste det vara en otvetydig, dokumenterad viljeyttring. Man ska kunna vägra utan några som helst konsekvenser, och även kunna ta tillbaka samtycket.

Anställda har rätt att veta vad arbets­givaren registrerat om dem och på vilka grunder det har skett, säger STs förbundsjurist Veera Littmarck.
Bild: Casper Hedberg
Anställda har rätt att veta vad arbets­givaren registrerat om dem och på vilka grunder det har skett, säger STs förbundsjurist Veera Littmarck.

Dyrt att bryta mot nya förordningen

  • Dataskyddsförordningen blir direkt verkande lag i alla EU-länder.
  • Dataskyddsförordningens engelska förkortning GDPR står för General data protection regulation.
  • Tillsynsmyndigheten Data­inspektionen kan besluta om sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av ett företags omsättning vid brott mot förordningen.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

ÄMNEN:

GDPR
Innehållet i detta fält är privat och kommer inte att visas offentligt.
Genom att trycka på "Skicka" godkänner jag att mitt inlägg kan publiceras på webben och i papperstidningen. Redaktionen förbehåller sig rätten att granska och redigera kommentarer på samma sätt som insändare. Publicering sker först sedan inlägget granskats. Detta sker normalt under kontorstid. Publikt publicerar inte inlägg som innehåller personangrepp. Inte heller publiceras inlägg som handlar om något annat än ämnet för artikeln.