Fackligt medlemskap är en känslig uppgift

För att uppfylla sina skyldigheter enligt kollektivavtal, MBL eller LAS behöver arbetsgivaren ibland behandla anställdas personuppgifter. En sådan uppgift kan vara vilket fackförbund som den anställde tillhör. Eftersom medlemskap i ett fackförbund klassas som en känslig personuppgift är det viktigt att hanteringen följer reglerna i dataskyddsförordningen (GDPR).

– Typexempel på när en arbetsgivare behöver hantera uppgifter om anställdas fackliga medlemskap kan vara för att fullgöra sin förhandlingsskyldighet vid arbetsbristsituationer och för att genomföra lönerevisioner. Dessutom kan arbetsgivaren behöva hantera uppgifterna för att göra löneavdrag för anställdas medlemsavgift till IF Metall, säger Teknikföretagens jurist Anton Wemander Grahm.

Utgångspunkten när det gäller känsliga personuppgifter är att varje ändamål med behandlingen av dem måste kopplas till en viss specifik rättslig grund i GDPR, exempelvis rättslig förpliktelse eller avtal. Dessutom är arbetsgivarens behandling av känsliga personuppgifter, såsom uppgifter om fackligt medlemskap, endast tillåten om det är nödvändigt för att det behövs inom arbetsrätten eller för att slå fast eller försvara rättsliga anspråk.

Information före insamling

Men innan arbetsgivaren får samla in känsliga personuppgifter, som fackligt medlemskap, måste den anställde informeras om ändamålet för insamlingen. Det finns begränsade möjligheter att göra en så kallad ändamålsglidning när det gäller känsliga personuppgifter, påpekar Anton Wemander Grahm.

– Det är alltså tveksamt att behandla uppgifterna om fackligt medlemskap för ändamål som inte uppgetts vid insamlingen av personuppgifterna.

I utvecklingsavtalet finns bestämmelser om rätt till facklig information på betald tid. Innebär dessa att tjänstemäns uppgifter om fackligt medlemskap kan så att säga behandlas på permanent basis?

– Vår bedömning är att detta inte är möjligt eftersom det som regel räcker att arbetstagaren vid varje informationstillfälle styrker sitt medlemskap. Därefter bör uppgiften om fackligt medlemskap gallras om de inte kan fortsätta behandlas på någon annan grund, säger Anton Wemander Grahm.

Radera efter användning

Personuppgifter får inte behandlas längre än vad som behövs för att uppnå ändamålet med behandlingen. Arbetsgivaren har som regel inte rätt att hålla löpande listor på fackligt medlemskap. Därför är det viktigt att ha en gallringsrutin, alltså en fastställd tidpunkt för när personuppgiften ska tas bort ur systemet. 

– Om företaget till exempel har samlat in personuppgifter inför en förhandling och vill spara dem till den kommande lönerevisionen så får företaget som regel inte göra det. Uppgifterna ska raderas när de inte längre behövs. Vid varje förhandling om arbetsbrist och lönerevision behöver arbetsgivaren normalt sett begära in uppgifter om de anställdas fackliga medlemskap för att kunna uppfylla lagens eller kollektivavtalets skyldigheter, påpekar Anton Wemander Grahm.

Det är också viktigt att som arbetsgivare komma ihåg att för respektive ändamål för behandlingen av känsliga personuppgifter ska det också finnas begränsningar som anger vilka i företaget som ska ha tillgång till uppgifterna.

– Behörigheten till de känsliga personuppgifterna behöver alltså begränsas, exempelvis genom att de personer som endast vid enstaka tillfällen behöver ha tillgång till uppgifterna endast ges behörighet vid dessa specifika tidpunkter.

Böter på upp till 20 miljoner euro

Vad kan följden bli för företag som inte hanterar de känsliga personuppgifterna enligt GDPR? Integritetsskyddsmyndigheten (tidigare Datainspektionen) är tillsynsmyndighet och gör regelbundna kontroller. Myndigheten kan besluta att ett företag som inte följer reglerna i GDPR ska betala en administrativ sanktionsavgift, vilket är en form av böter.

– I extrema fall kan sanktionsavgiften vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Det talades väldigt mycket om de höga sanktionsavgifterna när GDPR började gällande, men så pass höga belopp har vi inte sett i Sverige än. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig, säger Anton Wemander Grahm.