Kan arbetsgivare använda samtycke som rättslig grund för behandling av arbetstagares personuppgifter?

Detta har att göra med att för att ett samtycke ska vara giltigt, krävs det att det är uttryckligt, för det specifika ändamålet med behandlingen i fråga, att det går att återkalla och något som kanske verkar självklart, att det är frivilligt. 

I begreppet frivilligt ligger beträffande personuppgiftslagstiftningen att det handlar om ett faktiskt fritt val och att den registrerade, den anställde i detta fall, har kontroll över beslutet och inte drabbas av några negativa konsekvenser om denne inte samtycker. Återigen känns det självklart, men den registrerade ska kunna säga nej till behandlingen för att det ska anses frivilligt. 

Ojämlikt förhållande mellan arbetsgivare och arbetstagare

Inte heller är ett samtycke giltigt när maktförhållandena är ojämlika. Här brukar relationen mellan myndighet kontra medborgare och arbetsgivare kontra arbetstagare tas upp som exempel. 

Maktförhållandet mellan arbetsgivare och arbetstagen är inte jämlikt och redan där stöter arbetsgivare på problem med att få ett giltigt samtycke från anställda eftersom det inte kan anses lämnat frivilligt.  

Dessutom är det svårt för arbetsgivaren att t.ex. acceptera ett nej till samtycke att behandla personuppgifter som ett kontonummer eller personnummer. Arbetsgivaren skulle i sådant fall inte kunna betala ut lön eller betala in arbetsgivaravgifter. Utan behandling av namn skulle det av förklarliga skäl bli knepigt att hålla ordning på sin personaladministration. Det skulle milt uttryckt ses som negativa konsekvenser om den anställde inte samtycker, om denne inte får sin lön eller om utvecklingssamtalet inte handlar om den anställde personligen då namn inte behandlats. Ett samtycke går därför inte heller att ge frivilligt, och skulles därför inte vara giltigt. 

Rättslig grund enligt GDPR

För behandling av personuppgifter krävs att det finns en rättslig grund för behandlingen. De sex rättsliga grunder som räknas upp i EUs dataskyddsförordning (GDPR) som en personuppgiftsansvarig, arbetsgivaren i det här fallet, kan använda sig av är;

• Samtycke,
• Avtal,
• Rättslig förpliktelse,
• Myndighetsutövning, 
• Uppgift av allmänt intresse,
•  Intresseavvägning (även kallad berättigat intresse).  

Det är därför bättre för arbetsgivare att grunda sin behandling på en annan rättslig grund, t.ex. den rättsliga grunden Avtal. Eller närmare bestämt som det står i GDPR att ”Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.” De flesta behandlingar av en arbetstagares personuppgifter är nödvändiga för att fullgöra det anställningsavtal som gäller mellan parterna. 

Vissa behandlingar för anställda är dock inte nödvändiga, t.ex. filmer som ska läggas upp på hemsidan där personer syns i bild eller liknande. Det kan därför vara svårt att använda Avtal som rättslig grund, om det inte för den tjänsten anses vara en nödvändig behandling. Som ett undantag när det gäller rättslig grund för behandling av arbetstagares personuppgifter, kan då faktiskt samtycke som rättslig grund användas. Det krävs då naturligtvis fortfarande att arbetstagarna faktiskt kan säga nej utan att det får några negativa konsekvenser och att samtycket kan återkallas. Annars är samtycket, som följer av ovan, inte giltigt.