Många personer undrar om det är tillåtet att skicka lönespecifikationer till anställda via e-post enligt GDPR.
Huvudregeln enligt GDPR är att behandling av känsliga personuppgifter är förbjuden (Artikel 9 – GDPR). Exempel på känsliga personuppgifter är uppgifter om en persons hälsa, religösa övertygelse, etniska ursprung, politiska åsikter m.m.
Enligt GDPR måste företag och organisationer som hanterar personuppgifter uppfylla vissa säkerhetskrav. Ju känsligare personuppgifter, desto högre säkerhet behöver bli tillämpad.
Många tror att personnummer räknas som en känslig personuppgift. Men det är en offentlig uppgift, som inte utgör en känslig personuppgift. Företagsuppgifter, exempelvis organisationsnummer och adress, utgör inte personuppgifter enligt GDPR.
Uppgifter om hälsa i lönsepecifikationer
Uppgifter om en persons hälsa är en känslig personuppgift enligt GDPR. Ofta finns det sådana uppgifter i en lönespecifikation, exempelvis uppgift om facktillhörighet och sjukfrånvaro. Sådana känsliga personuppgifter kan vara integritetskränkande om de hamnar i orätta händer. Detta innebär att ett företag bör vara väldigt försiktiga med hur sådana personuppgifter blir lagrade. Företag ska även iaktta hög säkerhetsnivå när uppgifterna ska bli skickade till den anställde.
Lönespecifikationer som innehåller känsliga personuppgifter ska bli behandlade på ett som säkerställer en lämplig säkerhet och i enlighet med GDPR. I många fall måste man vidta särskilda säkerhetsåtgärder, för att säkerställa att behandling sker korrekt.
Lönespecifikationer via e-post enligt GDPR
Okrypterade meddelanden via e-post och öppna nät är inte ett säkert sätt att skicka ut sådan känslig information på. Om företaget vill skicka lönespecifikationer via e-post, är det viktigt att meddelandet är krypterat. Det ska även i övrigt uppfylla kraven i GDPR.
Exempelvis kan man använda digitala brevlådor som är GDPR-anpassade. Men i sådana fall är det viktigt att ha med rätt villkor i sitt personuppgiftsbiträdesavtal med leverantören av systemet.
Det är upp till den personuppgiftsansvarige att göra en bedömning av hanteringen och vilken säkerhet som är lämplig. Analysen ska ske med beaktande av antalet och typen av personuppgifter som framgår i lönespecifikationen ifråga. Därefter ska instruktionerna kring behandlingen bli lämnad till de personer som hanterar lönespecifikationer inom organisationen, för att de ska hantera sådana ärenden korrekt.
