GDPR hindrade inte företag från att dela anställdas data med fackförening
I enlighet med kraven i ett kollektivavtal ska ett företag lämna över kopior av anställningsavtal till den lokala fackliga organisationen. Med hänvisning till dataskyddsreglerna valde företaget dock att maskera personuppgifterna i avtalen. Fackförbundet invände och hävdade att företaget bröt mot kollektivavtalet. Arbetsdomstolen höll med.
Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.
Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.
Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.
Kollektivavtalet utgjorde laglig grund för behandlingen
Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.
Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.
Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.
Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.
En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.
På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.
IUNO menar
Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.
IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.
Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.
[AD 2021 nr 23]
Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.
Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.
Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.
Kollektivavtalet utgjorde laglig grund för behandlingen
Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.
Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.
Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.
Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.
En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.
På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.
IUNO menar
Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.
IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.
Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.
[AD 2021 nr 23]
Registrera dig för vårt nyhetsbrev
Anders
Etgen Reitz
PartnerLiknande
Snabbspårstillstånd för högkvalificerade arbetstagare
Två fall för historieböckerna
Diagnos: ingen diskriminering
Hjulen gick inte runt för bilbesiktningsingenjören
Könsändringar skyddade mot könsdiskriminering
För lite vila klarade inte säkerhetskontrollen
Laget
Alexandra
Jensen
Juridisk rådgivare
Alma
Winsløw-Lydeking
Junior juristassistent
Anders
Etgen Reitz
Partner
Cecillie
Groth Henriksen
Advokat
Johan
Gustav Dein
Biträdande jurist
Julie
Meyer
Senior juristassistent
Kirsten
Astrup
Managing associate (tjänstledighet)
Maria
Kjærsgaard Juhl
Juridisk rådgivare