GDPR hindrade inte företag från att dela anställdas data med fackförening
I enlighet med kraven i ett kollektivavtal ska ett företag lämna över kopior av anställningsavtal till den lokala fackliga organisationen. Med hänvisning till dataskyddsreglerna valde företaget dock att maskera personuppgifterna i avtalen. Fackförbundet invände och hävdade att företaget bröt mot kollektivavtalet. Arbetsdomstolen höll med.
Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.
Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.
Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.
Kollektivavtalet utgjorde laglig grund för behandlingen
Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.
Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.
Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.
Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.
En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.
På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.
IUNO menar
Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.
IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.
Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.
[AD 2021 nr 23]
Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.
Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.
Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.
Kollektivavtalet utgjorde laglig grund för behandlingen
Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.
Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.
Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.
Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.
En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.
På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.
IUNO menar
Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.
IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.
Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.
[AD 2021 nr 23]
Registrera dig för vårt nyhetsbrev
Anders
Etgen Reitz
Partner, advokatLiknande
Polisassistent avskedades för flera dataintrång
Artificiell intelligens på arbetsplatsen - nya regler från EU har trätt i kraft
Anställd var inte bunden av oskälig konkurrensklausul
Nya regler från EU om plattformsarbete
Registrera eller riskera
Att lämna tidigt innebar att lämna för gott
Laget
Alexandra
Jensen
Associate
Alma
Winsløw-Lydeking
Senior legal assistant
Anders
Etgen Reitz
Partner, advokat
Cecillie
Groth Henriksen
Senior associate, advokat
Elias
Lederhaas
Legal assistant
Emilie
Louise Børsch
Associate
Johan
Gustav Dein
Associate
Kirsten
Astrup
Managing associate, advokat
Maria
Kjærsgaard Juhl
Legal advisor
Sunniva
Løfsgaard
Legal assistant