meny

Behandling av lönespecifikationer i e-post

Lönespecifikationer innehåller personuppgifter

Lönespecifikationer kan se olika ut men innehåller i princip alltid uppgifter om bl.a. namn, adress och personnummer och i vissa fall även uppgifter om hälsa (sjukfrånvaro) och facktillhörighet. Alla dessa uppgifter kan indirekt eller direkt hänföras till en fysisk person som är i livet och anses därmed vara personuppgifter.

Läs mer om vad som menas med personuppgifter

Lönespecifikationer ska behandlas på ett sätt som säkerställer lämplig säkerhet

Det finns ingenting som säger att lönespecifikationer kan undantas från kraven som ställs i dataskyddsförordningen. Behandlingen av lönespecifikationer ska därför göras på samma sätt som övrig personuppgiftsbehandling. Lönespecifikationer ska behandlas på ett sätt som säkerställer lämplig säkerhet och bedömningen av vilken säkerhet som behövs beror bland annat på vilka uppgifter som uppges i lönespecifikationen och om dessa uppgifter är av känslig och/eller integritetskänslig karaktär. Lönespecifikationer som innehåller uppgifter om hälsa och facktillhörighet bör exempelvis hanteras extra varsamt då dessa uppgifter bedöms som känsliga. Vid hantering av känsliga personuppgifter måste den personuppgiftsansvarige i många fall vidta särskilda säkerhetsåtgärder för att säkerställa att rätt person får åtkomst till de uppgifterna och att de överförs på ett säkert sätt (exempelvis genom kryptering).

Läs mer om känsliga personuppgifter

De anställda kan inte samtycka till att lönespecifikationer skickas per e-post

De anställda kan inte samtycka till otillräcklig säkerhet. Det går inte att kringgå säkerhetskravet enligt dataskyddsförordningen. All typ av personuppgift ska behandlas på ett sätt som säkerställer lämplig säkerhet.

Den personuppgiftsansvariges ansvar

Att skicka lönespecifikationer över öppet nät kan innebära stora risker då andra än den avsedda mottagaren kan ta del av meddelandet. Det ligger i den personuppgifts-ansvariges ansvar att se till att den digitala kommunikationskanalen för lönespecifikationer är säker. Den personuppgiftsansvarige måste därför bedöma vilken säkerhet som är lämplig med beaktande av personuppgifterna som behandlas i lönespecifikationerna. Den personuppgiftsansvarige bör även här göra en risk- och sårbarhetsanalys vad gäller hanteringen av lönespecifikationer och utifrån denna bestämma vilka lämpliga åtgärder som behöver vidtas för att minska eller eliminera identifierade risker för de anställdas integritet.

Det är upp till den personuppgiftsansvarige att göra en egen bedömning av hanteringen av lönespecifikationer och bestämma vilka rutiner och riktlinjer som ska finnas inom verksamheten. Den personuppgiftsansvarige ska vidare instruera de som hanterar lönespecifikationer inom verksamheten.