Hjälp! Måste HR kräva samtycke av alla anställda nu?

Det har väl knappast undgått någon att det är stora förändringar på gång avseende hanteringen av personuppgifter? Den 25 maj 2018 ersätts nuvarande personuppgiftslagen (PUL) av ett nytt regelverk för behandling av personuppgifter. HR-avdelningar runt om i Sverige vrider sig av oro. Vad kommer att krävas av oss framöver?

     

den 15 januari 2018

Det är onekligen så att det nya regelverket kommer att innebära en hel del förändringar för de som behandlar personuppgifter, vilket i stort sett alla företag och organisationer gör på ett eller annat sätt. De som inte lever upp till de nya kraven riskerar stora bötesbelopp på upp till 20 miljoner euro eller fyra procent av den globala omsättningen. Hissnande summor som kan sänka det mest välmående företag.

Samtidigt finns det ingen anledning till masshysteri. Det nya regelverket skiljer sig i grund och botten inte nämnvärt från PUL, vilket innebär att de företag och organisationer som efterlevt lagstiftningen tidigare inte har anledning till större oro. Därmed inte sagt att de inte har ett gediget jobb framför sig för att visa på hur de efterlever integritetsskyddet.

Dataskyddslagstiftningen har funnits i Sverige sedan 1973. Ända sedan dess har det inte varit tillåtet att uttrycka sig på ett sätt som objektivt sett kan anses kränkande för en individ. Utgångspunkten i lagstiftningen är alltså att skapa respekt för den enskildes personliga integritet. Det handlar ytterst om att värna mänskliga rättigheter.

Inom HR hanteras känslig information på daglig basis. Anställningsavtal, lönespecifikationer, sjukfrånvaro, rehabiliteringsutredningar, löneöversyner, prestationsmätningar, vaccinationer, läkarintyg, skyddade adresser, lönekartläggningar, sjukförsäkringar, medarbetarsamtal, uppgifter till nära anhörig, arbetsskadestatistik, behov av tolk, trakasserier… Ja, listan kan göras lång. Frågan är om HR har rätt att hantera denna information framöver?

Jo, naturligtvis måste arbetsgivare få hantera denna information även framledes, även utan särskilt samtycke från medarbetarna – det finns ett berättigat intresse. Den stora frågan är hur vi hanterar den och att vi fortsätter informera medarbetarna om att vi gör det. En grundprincip som man kommer långt med är att utgå från att medarbetarna har rätt att se all information om sig själv. Då inser man fort att det även blir viktigt att reflektera kring hur man uttrycker sig om andra individer i fritext på egen hårddisk, i anteckningar från medarbetarsamtal eller kompetensutvecklingsplaner.