Choose language

GDPR och lönesystem i kommun – FAQ för HR och löneadministratörer

GDPR och lönesystem i kommun – FAQ för HR och löneadministratörer
6:00

Du som jobbar med HR, lön eller IT i offentlig sektor vet hur det är: regelverken tar aldrig rast. Det räcker inte med att bara ha koll på siffrorna, du måste också vara säker på att systemen följer både GDPR och de senaste lagkraven. 

Vi har sammanställt en FAQ för att ge dig och ditt dataskyddsombud ett konkret stöd i arbetet. 

Övergripande ansvar för GDPR i kommunalt lönesystemima127070-1

Är kommunen personuppgiftsansvarig för lönesystemet?

Ja. Kommunen är normalt personuppgiftsansvarig för all behandling av personuppgifter i lönesystemet, även om systemet driftas av en extern leverantör. Leverantören är då personuppgiftsbiträde. 

Vilket ansvar har HR-chefen om lönesystemet bryter mot GDPR?

HR-chefen har ett operativt ansvar för att rutiner följs, behörigheter är korrekt satta och incidenter rapporteras. Kommunen bär det juridiska ansvaret. 

Hur säkerställer vi att vårt lönesystem uppfyller GDPR i en kommun?

  • Dokumentera rättslig grund
  • Ha uppdaterat personuppgiftsbiträdesavtal
  • Genomföra riskbedömning eller DPIA
  • Säkerställa behörighetsstyrning och loggning
  • Fastställa gallringsrutiner
  • Dokumentera behandling i registerförteckning

Behöver kommunen göra en DPIA (konsekvensbedömning avseende dataskydd) för lönesystem?

Ja, i de flesta fall. Ett lönesystem i offentlig sektor innebär ofta behandling av uppgifter om en stor mängd registrerade och innefattar känsliga personuppgifter, såsom hälso- och sjukdata eller facktillhörighet (via medlemsavgifter). Om ni dessutom implementerar AI-funktioner, till exempel för att analysera sjukfrånvaro eller prediktera personalbehov, är en konsekvensbedömning (DPIA) i princip obligatorisk.

Personuppgiftsbiträdesavtal och leverantörerima242563-1

Vad ska finnas med i ett personuppgiftsbiträdesavtal för lönesystem?

  • Syfte och typ av behandling
  • Säkerhetsåtgärder
  • Hantering av underbiträden
  • Incidentrapportering
  • Radering/återlämnande av uppgifter
  • Tredjelandsöverföring

Vad gäller vid upphandling av nytt HR- eller lönesystem?

GDPR-krav bör ingå i upphandlingsunderlaget, inklusive säkerhet, loggning, datalagring inom EU och revisionsmöjligheter. 

Känsliga personuppgifter i lönesystem

Får man lagra uppgifter om sjukfrånvaro i lönesystemet?

Ja, om det är nödvändigt för att fullgöra arbetsrättsliga skyldigheter, som utbetalning av sjuklön. IMY betonar dock ändamålsbegränsning: du får lagra att någon är sjuk och omfattningen av frånvaron, men detaljerade diagnoser eller läkarintyg med medicinsk information ska normalt inte finnas i lönesystemet.

Behandlas andra känsliga uppgifter i ett lönesystem?

Ja, en vanlig men ofta förbisedd uppgift är facktillhörighet. Om kommunen gör avdrag för fackföreningsavgifter direkt på lönen avslöjar det medlemskap i en fackförening. Enligt artikel 9 i GDPR klassas detta som en känslig personuppgift, vilket ställer extra höga krav på säkerhet och behörighetsbegränsning.

Får man behandla personnummer i kommunens lönesystem?

Ja, personnummer får behandlas när det är klart motiverat, exempelvis för säker identifiering, samkörning med skatteregister och lagstadgad rapportering till myndigheter.

Hur ska man hantera skyddade personuppgifter i HR-system?

Skyddade uppgifter kräver extra säkerhet:

    • Strikt behörighet: Endast ett fåtal namngivna administratörer bör ha åtkomst.
    • Förstärkt loggning: Täta kontroller av vem som tittat på uppgifterna.
    • Isolering: Minimera spridning av dessa uppgifter till underliggande system eller statistikverktyg.

kinsarvik-hordaland-norway-summer-forest-in-har-2026-01-08-22-28-45-utc

Får vi använda löneuppgifter för statistik och analys?

Ja, om syftet är förenligt med ursprunglig behandling och anonymisering används där möjligt. Moderna system bör ha inbyggt dataskydd som automatiskt avidentifierar data vid export för analys

Gallring och lagringstid

Hur länge får en kommun spara löneuppgifter?

Till skillnad från privata bolag får en kommun inte radera uppgifter hur som helst. I offentlig sektor väger Arkivlagen och gallringsbeslut tyngre än GDPR:s "rätt att bli bortglömd". Lagring styrs av bokföringslag, arbetsrätt, arkivlagen och preskriptionsregler. Gallring ska dokumenteras. 

Här är en lista på typ av uppgift och tidsperiod som ofta tillämpas i praktiken:

  •  Löner som bokföringsunderlag: Minst 7 år enligt bokföringslagen. 

  •  Personalakter/lönehistorik kopplat till anställningsförhållande: Vanligtvis 10 år efter avslutad anställning i arkivreglemente (kan variera). Men det är kommunens lokala arkivreglemente som styr juridiskt.

  •  Övriga allmänna handlingar utan specifik laglig tid: Sparas enligt gallringsplan/reglemente, först efter beslut om gallring. 

  •  GDPR‑krav på dataskydd: Uppgifter ska inte sparas längre än nödvändigt, utom när lagstiftning kräver längre lagring. 

Måste man radera gamla anställdas uppgifter?

 Ja, när de inte längre behövs, men hänsyn ska tas till arkivregler. 

Personuppgiftsincidenter i lönesystem

Vad räknas som en personuppgiftsincident i ett lönesystem?

Exempel på personuppgiftsincident är om fel person får tillgång, uppgifter skickas fel, ett systemintrång eller oavsiktlig radering. 

Hur snabbt måste kommunen anmäla en incident?

Inom 72 timmar till IMY om risk för de registrerades rättigheter finns. 

Hur dokumenterar vi en GDPR-incident internt?

Dokumentera vad som hänt, vilka uppgifter som berörts, riskbedömning, åtgärder och beslut om anmälan. 

Risker och sanktionersca43500-1

Vilka är de största GDPR-riskerna i kommunala lönesystem?

  • För breda behörigheter
  • Bristande loggkontroll
  • Avsaknad av gallring
  • Otillåtna tredjelandsöverföringar
  • Otillräckliga avtal

Vad händer om en obehörig ser en anställds lön?

 Det kan utgöra en incident. Kommunen måste utreda, bedöma risk, vidta åtgärder och eventuellt anmäla. 

Kan en kommun få sanktionsavgift enligt GDPR?

Ja, IMY kan besluta om sanktionsavgifter och andra tillsynsåtgärder även mot offentliga aktörer. För myndigheter finns dock ett tak för sanktionsavgifter. I Sverige är det maximala beloppet för en myndighet/kommun 10 miljoner kronor (vid de allvarligaste överträdelserna) eller 5 miljoner kronor (vid mindre allvarliga). Detta till skillnad från privata företag som kan få miljardbelopp i böter.

Offentlighetsprincipen och löneuppgifter i kommunattractions-of-mariehamn-view-from-badhusberget-h-2024-04-29-19-36-31-utc

Är anställdas löner offentliga i en kommun?

Ja, de är normalt allmänna handlingar enligt tryckfrihetsförordningen, men viss sekretess kan gälla vid skyddade personuppgifter. 

Hur förhåller sig offentlighetsprincipen till GDPR?

GDPR hindrar inte utlämnande av allmänna handlingar när stöd finns i grundlag. Kommunen måste pröva begäran, sekretess och lämna ut uppgifter om ingen sekretess gäller. 

Finns det undantag – kan löneuppgifter sekretessbeläggas?

Ja, till exempel vid skyddade personuppgifter, risk för hot eller säkerhetskänslig verksamhet. Varje begäran prövas individuellt. 

Måste kommunen informera den anställde innan lönen lämnas ut?

Nej, ingen skyldighet finns; prövningen ska ske skyndsamt. 

Är hela lönesystemet offentligt?

Nej, endast specifika handlingar lämnas ut, inte direktåtkomst till systemet. 


Läs mer om vårt lönesystem för offentlig sektor

Vill du framtidssäkra dina löneprocesser? Läs mer i vår guide

Upptäck hur ett modernt lönesystem kan hjälpa dig att följa GDPR och arkivlagen

Categories