Skao har förstått att Skao:s tidigare information om registrering av känsliga personuppgifter väckt många frågor och funderingar. Det har känts viktigt att komplettera denna.
Vi vill härmed förtydliga och nyansera tidigare information från Skao och betona särskilt att denna inte hade att göra med den ransomeware attack som skett mot Svenska kyrkan – Skao är väl medvetet om att den incidenten hanteras och har anmälts till Integritetsskyddsmyndigheten.
I stället omfattade Skao:s information förbudet mot att registrera känslig personuppgift, såsom facklig tillhörighet, i register eller personaladministrativa system, utom när det finns laglig grund enligt Dataskyddsförordningen såsom att det är erforderligt med hänsyn till lagstiftning eller annan reglering. Skao är av uppfattningen att reglerna och praxis kring hantering av känsliga personuppgifter är sträng och att många organisationer av olika skäl inte är tillräckligt uppmärksamma på vad detta innebär. Det är därför viktigt att Skao, i sin roll som företrädare för arbetsgivare, synliggör denna uppfattning och upplyser dessa om reglerna och tillämpningen i detta avseende, inte minst för arbetstagarorganisationerna.
Nödvändig behandling
Det finns som bekant ett antal regler och principer som alltid måste efterlevas när en organisation behandlar personuppgifter. De kommer främst till uttryck i de inledande artiklarna i GDPR, såsom i artikel 5 och artikel 6. Här kan som exempel nämnas kraven på uppgiftsminimering och lagringsminimering (se artikel 5.1). En viktig princip som så att säga svävar över all behandling enligt GDPR är att behandlingen ska vara nödvändig (se artikel 6.1). Om en eller flera av dessa principer inte efterlevs så uppkommer en ansvarsskyldighet för personuppgiftsansvarig. Principen om ansvarsskyldighet (artikel 5.2) innebär till exempel att organisationen ska dokumenterade rutiner och säkerhetsåtgärder på plats. Det kan också krävas att organisationen har gjort en konsekvensbedömning för att kunna behandla vissa typer av personuppgifter för vissa typer av syften.
Känsliga personuppgifter
Utöver dessa grundläggande principer så ställer GDPR dessutom särskilt höga krav på behandling av så kal-lade känsliga personuppgifter. Vissa personuppgifter är särskilt känsliga och skyddsvärda, och att behandling av sådana kan innebära betydande risker för individers grundläggande fri- och rättigheterna. Det är i artikel 9 GDPR som behandling av ”särskilda kategorier av personuppgifter” (dvs känsliga personuppgifter) regleras. Av skäl 51 GDPR framgår att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana personuppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna.
Enligt GDPR betraktas personuppgifter som avslöjar medlemskap i en fackförening som känsliga. De anses lika känsliga som uppgifter om ett läkarbesök eller om sexuell läggning.
Huvudregel och undantag
Huvudregeln är därför att känsliga personuppgifter inte får behandlas överhuvudtaget. För att behandling ska vara tillåten krävs att något av undantagen i artikel 9 är tillämpliga, dock inte för en arbetsgivare att löpande, eller under en längre period, behandla uppgift om anställds medlemskap i fackförening. Däremot får sådana personuppgifter behandlas för vissa specifika syften under en begränsad tidsperiod – detta med stöd av arbetsrättsliga regler, bestämmelser i kollektivavtal mm. Några exempel är för löneöversyn eller inför en facklig förhandling. När lönerevision eller förhandlingen är avslutad, dvs när syftet med behandlingen av denna personuppgift inte längre föreligger, ska uppgiften raderas. Ny insamling får därefter göras vid nästa års löneöversyn eller nästa förhandling. Det kan givetvis finnas regler som hindrar radering, tex om uppgiften ingår i en allmän handling, och då får personuppgiftsansvarig göra en annan bedömning. Det som beskrivs i denna information syftar främst på behandlingar (registreringar) i HR-system och liknande system.
Under den tidsperiod som den känsliga personuppgiften behandlas ska lämpliga skyddsåtgärder vidtas. Det kan således krävas mer omfattande säkerhetsåtgärder än de åtgärder som vidtas vid behandling av icke-känsliga personuppgifter.
Man skulle kunna tro att ett anställningsavtal som tydligt anger att arbetsgivaren får behandla uppgift om individens fackliga tillhörighet skulle vara tillräckligt för att få registrera och spara uppgift om facklig tillhörighet. Men avtal som rättslig grund för att få behandla känsliga personuppgifter enligt artikel 9 GDPR ingår inte bland undantagen.
Om någon har gett sitt uttryckliga samtycke så utgör detta i och för sig ett undantag enligt artikel 9 GDPR, och behandlingen av den känsliga personuppgiften är tillåten med stöd av samtycket - men inte när det är en anställds samtycke till att arbetsgivaren får behandla uppgift om facklig tillhörighet. En anställd anses nämligen inte kunna ge ett giltigt samtycke eftersom den anställde är i beroendeställning i relation till sin arbetsgivare. Ett sådant samtycke är därför inte frivilligt i den mening som GDPR avser.
Skao:s rekommendation
Det är Skao:s uppfattning att om en organisation fortsätter att registrera i HR-system eller likande, dvs behandla känsliga personuppgifter, efter det att syftet med behandlingen, tex en löneöversyn eller facklig förhandling, inte längre föreligger, så efterlever inte organisationen GDPR. Samma sak föreligger om personuppgiftsansvarig har samlat in uppgifter om facklig tillhörighet för en löneöversyn, och därefter, när löneöversynen är färdig, använder uppgiften om facklig tillhörighet när en facklig förhandling ska genomföras. Då används personuppgiften för ett nytt ändamål, dvs facklig förhandling, och inte för det ändamål för vilken den samlades in, nämligen för löneöversyn. Detta är en överträdelse av GDPR. Skao menar att när ändamålet är uppfyllt så ska uppgiften raderas. Därefter finns det en risk, enligt vår bedömning, för att en pågående personuppgiftsincident föreligger.
Man kan ha olika uppfattningar om sådan icke-radering och användande av känsliga personuppgifter för nya ändamål ”bara” är en överträdelse av GDPR och dess grundläggande principer eller om det även är en person-uppgiftsincident. Skao:s uppfattning är att tidigare (historiska) behandlingar av känsliga personuppgifter kan undantas från rapporteringsskyldighet under förutsättning att personuppgiftsansvarig dokumenterar detta och därefter raderar dessa uppgifter, medan aktuella behandlingar i strid med gällande regelverk kan undantas från rapporteringsskyldighet om det rör sig om en ringa behandling under begränsad kort tid. Det är upp till varje personuppgiftsansvarig att, i samråd med sitt dataskyddsombud, göra en sådan bedömning.
Enligt Dataskyddsförordningen föreligger krav på dokumentation av sina ställningstaganden, det är därför enligt Skao, viktigt att man gör en bedömning och dokumenterar denna. Då kan organisationen framåt ta lärdom och se över sina rutiner och säkerhetsåtgärder. Man kan se hela dataskyddsregleringen som ett självinstruerande instrument som förändras allteftersom.
Rekommendationer i stället för beslut
En stor mängd av bestämmelserna i GDPR lämnar ett stort tolkningsutrymme – vilket är beklagligt när det gäller tvingande lagstiftning. En hel del frågetecken föreligger vad gäller den praktiska innebörden av reglerna. Det är därför upp till varje personuppgiftsansvarig att själv ta ställning till hur denne uppfyller kraven i GDPR och de risker som det innebär att kraven kanske inte uppfylls. Integritetsskyddsmyndigheten (IMY) och övriga dataskyddsmyndigheter i EU ger bara rekommendationer (förutom i efterhand när beslut fattas i tillsynsärenden).
Skao som serviceorganisation till arbetsgivare vill ge varje arbetsgivare möjligheter att ta ställning till de risker som arbetsgivaren tar om denne inte efterlever GDPR och hur denne ska göra för att försöka efterleva bestämmelserna.