HR och GDPR: Vad får behandlas med stöd av anställningsavtalet?

3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 23 juli 2025
  1. Exempel på uppgifter som kan omfattas av den rättsliga grunden “avtal”

Behandling av personuppgifter inom HR baseras ofta på anställningsavtalet. Men enligt GDPR är det inte alla uppgifter som kan behandlas med hänvisning till avtalet. Den rättsliga grunden i artikel 6.1 b gäller endast för behandling som är nödvändig för att uppfylla eller ingå ett avtal. Det innebär att varje behandling måste kunna kopplas direkt till en specifik avtalsförpliktelse. Om uppgiften inte är nödvändig i den bemärkelsen, kan inte “avtal” som legal grund användas. Det gäller även om uppgiften är praktiskt relevant eller används i syfte att underlätta anställningsförhållandet, det vill säga även om behandlingen är till gagn för både arbetsgivare och arbetstagare. Arbetsgivare bör därför göra en noggrann genomgång av vilka personuppgifter som faktiskt kan behandlas med stöd av avtalet och dokumentera rättslig grund för varje behandling.

I sammanhang där grunden “avtal” inte kan tillämpas kan samtycke framstå som ett alternativ. Samtycke är dock generellt en olämplig rättslig grund i en arbetstagar-arbetsgivarrelation. Det beror på att det normalt inte föreligger en balans mellan arbetsgivare och arbetstagare som möjliggör ett frivilligt, informerat och otvunget samtycke. Risken är att den anställde känner sig pressad att lämna samtycke, vilket strider mot kraven på vad som utgör ett giltigt samtycke enligt GDPR. Samtycke bör därför endast användas i undantagsfall där det finns verkliga alternativ och där det inte påverkar anställningen negativt om samtycke inte ges.

Enligt artikel 6.1 b i GDPR får personuppgifter behandlas om det är nödvändigt för att fullgöra ett avtal med den registrerade. För HR innebär det att vissa uppgifter – som kontaktuppgifter, bankuppgifter för löneutbetalning eller uppgifter som krävs för att uppfylla anställningsvillkor – kan behandlas med stöd av denna rättsliga grund.

Exempel på uppgifter som kan omfattas av den rättsliga grunden “avtal”

Följande är exempel på personuppgifter som typiskt sett kan behandlas med stöd av artikel 6.1 b i GDPR, eftersom de är nödvändiga för att uppfylla skyldigheter enligt anställningsavtalet eller för att arbetstagaren ska kunna fullgöra sina arbetsuppgifter:

  • Namn, adress och kontaktuppgifter för att kommunicera i anställningsärenden.
  • Bankuppgifter för att betala ut lön.
  • Uppgifter om närvaro, semester och arbetstider.
  • Arbetsrelaterade kompetenser och erfarenheter som är nödvändiga för tjänsten.
  • Uppgifter som krävs för att administrera anställningsförmåner enligt avtal.

Däremot omfattar inte denna rättsliga grund behandling som inte är direkt kopplad till fullgörandet av anställningen, exempelvis användande av personuppgifter i reklammaterial eller för deltagande i frivillig företagshälsovård.

Morling Consulting kan hjälpa till att kartlägga och dokumentera rättslig grund för personuppgiftsbehandling i HR-processer. Kontakta våra dataskyddsjurister för stöd i er GDPR-regelefterlevnad.

Senaste inlägg

Bilden visar en jurist som analyserar ett avtal.

6 november 2025

Vad gör en GDPR-advokat?
Läs mer
Bilden visar en man som står brerdvid ett när som representerar gdpr.

5 november 2025

GDPR-audit i praktiken – så testar du din efterlevnad innan IMY gör det
Läs mer
En illustration i Material Design-stil som visar en server där binärkod rinner ut som ett digitalt läckage. Runt servern finns en transparent sköld med ett vitt paragraftecken (§), som symboliserar juridiskt skydd mot dataläckage. Bilden går i ljusa blå toner med inslag av turkos och små orangea detaljer.

4 november 2025

IMY inleder granskning efter Miljödata-läckan
Läs mer