Ny branschkod för GDPR i löneprocessen

I samband med hantering av löner behandlas en stor mängd personuppgifter.

Erik Douglasson är en av Hogias mest rutinerade experter inom HR-frågor och har varit delaktig i Srf konsulternas arbete med att ta fram riktlinjer för GDPR i löneprocessen.

För att underlätta för företag att leva upp till kraven som följer av den nya lagstiftningen i GDPR har branschorganisationen Srf konsulterna tagit fram riktlinjer som en vägledning i arbetet. Hogias HR-expert Erik Douglasson har varit delaktig i Srf konsulternas arbete och berättar här om värdet av en gemensam branschkod.

Den 25 maj i år ersattes Personuppgiftslagen (PuL) av EU:s dataskyddsförordning GDPR – General Data Protection Regulation. GDPR är bindande för alla medlemsstater inom EU, men för att tillämpa förordningen till gällande lagstiftning och föreskrifter på nationell nivå krävs vissa anpassningar. Srf konsulterna, som är en branschorganisation inom redovisning och lön, har arbetat fram riktlinjer som resulterat i en branschkod för GDPR baserad på gällande lagstiftning i Sverige.

Som arbetsgivare måste man behandla uppgifter kring en person och dess anställning i samband med löneprocessen för att uppfylla överenskommelser enligt avtal och lag.

Den rättsliga grunden för behandling av personuppgifter varierar dock beroende på vilken personuppgift det gäller. Branschkoden innehåller viktig vägledning kring behandling av personuppgifter i det löpande GDPR-arbetet för lönespecialister i Sverige.

Flera av Sveriges lönesystemleverantörer har varit delaktiga i Srf konsulternas arbete med att ta fram riktlinjerna och står bakom innehållet i branschkoden. Det är dock viktigt att understryka att innehållet kommer att justeras i takt med att rättspraxis utvecklas och att Datainspektionen ska ge sina synpunkter.

En gemensam branschkod är värdefull och till stor hjälp för alla löneavdelningar som nu ska leva upp till den nya lagstiftningen. I mitt arbete möter jag dagligen företag och organisationer runt om i Sverige som upplever en stor oro och osäkerhet i hur man ska tolka GDPR. Vi som systemleverantör har ett ansvar att hjälpa våra kunder så att personuppgifter som utgör underlag till löneprocessen hanteras på ett ansvarsfullt och korrekt sätt med rutiner för gallring. För att kunna skydda personuppgifter krävs det till exempel att endast de med behörighet har åtkomst. Det är därför viktigt att det finns väl utvecklade funktioner för roll- och behörighetsstyrning av alla användare i it-systemen.