Lönespecifikationer och GDPR

En het fråga i samband med införandet av GDPR är om det inte längre är tillåtet att skicka lönespecifikationer (lönebesked) till anställda via e-post. Kärnfrågan är om e-post kan anses som ett tillräckligt säkert system enligt kraven i GDPR.  

2018-02-28
Känsliga personuppgifter

Både i personuppgiftslagen (PUL) och GDPR, som ersätter PUL 25 maj 2018, skiljer man mellan personuppgifter och känsliga personuppgifter. Distinktionen har betydelse bland annat för vilka tekniska skyddsåtgärder du som personuppgiftsansvarig kan vara skyldig att vidta. Naturligtvis är kraven på skydd högre när det gäller känsliga uppgifter.

Se alla lönespecifikationer som känslig uppgift

Frågan är alltså om en lönespecifikation innehåller känsliga uppgifter. Svaret är att det beror på. Till känsliga uppgifter hör bland annat uppgifter om hälsa och sjukdom. Även fackföreningstillhörighet räknas som en känslig uppgift. Så, om ett lönebesked innehåller sådana uppgifter (t ex gällande sjukfrånvaro eller avdragen avgift för fackligt medlemskap) ska tillräckliga skyddsåtgärder vidtas så att inte informationen riskerar att nå andra än den är avsedd för. Men vårt tips är att se på alla lönebesked som extra skyddsvärda och inte skicka dem som vanlig, okrypterad e-post.  

Säkra sätt att skicka lönespecifikationer

Säkra sätt att skicka lönespecifikationer till de anställda är exempelvis att använda krypterad e-post eller använda sig av digitala brevlådor som kräver inloggning. Kivra är den kanske mest använda digitala brevlådan i dag. Företagets intranät är ett annat alternativt distributionssätt, förutsatt att miljön är lösenordskyddad. En vanlig lösning blir sannolikt också att den anställde laddar ner en app för att ta del av sina lönebesked.

Vi har så här långt inte nämnt möjligheten att skicka lönebeskeden med posten till den anställde. Det kan kanske bli aktuellt under en övergångsperiod för vissa men det känns inte som någon rimlig permanent lösning i digitaliseringens tidevarv... 

Mer GDPR?

Vill du veta mer rekommenderar vi webbkursen GDPR för små och medelstora företag.