GDPR och lönebesked via e-post
Den här instruktionen gäller BL Lön och BL Lön Plus |
Känsliga personuppgifter ska hanteras på ett extra säkert sätt enligt GDPR. Det gäller t ex uppgifter om hälsa (sjukfrånvaro, karensdag, rehabilitering, etc) och facklig tillhörighet (fackavdrag t ex). Dessa personuppgifter ska inte exponeras på ett sätt som gör att obehöriga kan ta del av dem, t ex genom överföring mellan avsändare och mottagare som kan avlyssnas/läsas/hackas. Det är mot den bakgrunden diskussionen om det är okej att maila lönespecifikationer blivit aktuell – hur ska detta tolkas och vad finns det för alternativ?
Vanliga personuppgifter såsom namn, adress, personnummer etc kan hanteras med normal säkerhet, dvs dessa personuppgifter kan t ex mailas. Så ett lönebesked utan känsliga uppgifter kan mailas även fortsättningsvis – men problemet blir förstås att det för många kommer att dyka upp åtminstone sjuklön etc. Mindre företag med bara ägare/närstående kanske aldrig hanterar sjuklön utan fortsätter betala ut vanlig lön även vid sjukdom, och då kan mail även fortsättningsvis användas utan problem.
Säkerhetsfrågor mail
Från den anställde till arbetsgivaren/byrån
Den anställde kan lämna sina löneuppgifter till sin arbetsgivare (eller den byrå som sköter lönerna) muntligen, skriftligen, via företagets intranät, via t ex BL Signering & Avisering eller annan inloggad tjänst – eller via mail.
Om arbetsgivaren tillser att följande rutiner är uppställda och fullgörs så fungerar det att maila in löneuppgifterna enligt vår mening idag (kan ändras med praxis eller efter uttalanden av Integritetsskyddsmyndigheten):
- Den anställde använder efter instruktion från arbetsgivaren ett känt mailprogram som gör att själva överföringen är krypterad. Den anställde tar själv ansvar för sina avsända mail och sin mail på sin dator/telefon.
- Mailen skickas till den/de med behörighet att läsa mail i den avsedda inkorgen, dvs lönehanterare/chefer och/eller en redovisningsbyrå. Dessa behöriga har fått instruktion av arbetsgivaren om att mailen inte ska skickas vidare utan att uppgifterna omgående ska föras över till lönesystemet eller liknande och att mailen därefter ska raderas.
Från arbetsgivaren till byrån
Om ett företag nyttjar en byrås tjänster för att hantera lönerna kan inrapporteringen av underlag till byrån göras via vår tjänst BL Signering & Avisering eller genom anonymiserat innehåll, t ex genom att uppgifterna knyts till ett anställnings-id istället för till namn och personnummer. Byrån kan i sin tur överföra lönelistor för attest eller kännedom tillbaka via BL Signering & Avisering eller genom anonymiserade uppgifter. Man kan förstås även nyttja andra inloggade tjänster såsom Kivra, Dropbox, mfl.
Från arbetsgivaren/byrån till den anställde
Om avsändare och mottagare har krypterad mail – så att innehållet inte visas i klartext såvida man inte har krypteringskoden för att öppna meddelandet – kan även känsliga uppgifter mailas från arbetsgivaren/byrån utan att reglerna i GDPR överträds. Detta är dock ovanligt. Krypteringskoden måste ju då tillställas mottagaren på annat sätt än via mail vilket gör förfarandet svårt att hantera i praktiken.
Däremot är det vanligt med krypterad överföring när man mailar (denna möjlighet har de större kända mailprogrammen) och detta anser många tolkare av GDPR och Datainspektionens uttalanden har en tillräckligt hög säkerhet. Men det är en uppfattning som inte delas av alla – Datainspektionens uttalanden kan läsas och tolkas som att denna överföringskryptering inte håller. Det är ju så oerhört lätt att maila till fel personer, att sprida vidare (med eller utan avsikt), eller att någon får se innehållet i klartext på en skärm.
Lönebesked via e-post i BL Administration
I BL Administration kommer vi att ha kvar möjligheten att maila ut lönebesked till de anställda, men användning av den sker på användarens eget ansvar, dvs denne måste se till att ha en krypterad överföring om känsliga uppgifter ingår och helst även kryptering för att kunna se innehållet i klartext, eller någon metod för att förhindra medveten eller omedveten spridning och oönskad exponering (automatstängning av skärmar/viloläge med inloggning för att återaktivera, insynsskydd, låsta lokaler, osv).
Läs mer om hur du gör inställningarna för att skicka lönebesked via e-post på Anställdakortet.
Alternativ till lönebesked via e-post
Det finns flera alternativ till att distribuera lönebeskeden via okrypterad e-post
- Appen Bjorn Lunden
- Kivra, lär mer om integrationen här
- Krypterad mail.
- BL Signering & Avisering
- Företagets eget intranät.
- Annan inloggningsbar tjänst där lönebeskeden kan läggas.
- Som ett sista alternativ går det förstås även att skriva ut lönebeskeden och lämna dem på papper/brev.