SE
HR-juridik Teknologi

GDPR hindrade inte företag från att dela anställdas data med fackförening

logo
Juridiknytt
calendar 13 september 2021
globus Sverige

I enlighet med kraven i ett kollektivavtal ska ett företag lämna över kopior av anställningsavtal till den lokala fackliga organisationen. Med hänvisning till dataskyddsreglerna valde företaget dock att maskera personuppgifterna i avtalen. Fackförbundet invände och hävdade att företaget bröt mot kollektivavtalet. Arbetsdomstolen höll med.

Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.

Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.

Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.

Kollektivavtalet utgjorde laglig grund för behandlingen

Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.

Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.

Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.

Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.

En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.

På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.

IUNO menar

Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.

IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.

Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.

[AD 2021 nr 23]

Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.

Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.

Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.

Kollektivavtalet utgjorde laglig grund för behandlingen

Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.

Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.

Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.

Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.

En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.

På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.

IUNO menar

Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.

IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.

Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.

[AD 2021 nr 23]

Registrera dig för vårt nyhetsbrev

Anders

Etgen Reitz

Partner

Liknande

logo
HR-juridik

11 augusti 2022

Ny arbetsrättsreform har trätt i kraft

logo
HR-juridik

29 maj 2022

Ny arbetsrättsreform på gång

logo
HR-juridik

24 april 2022

Obefogat att avskeda en anställd som trakasserade sina kollegor

logo
HR-juridik

27 mars 2022

Tillbaka till arbetet – riktlinjer för företag

logo
Teknologi

24 mars 2022

Kameraövervakning 24/7 på arbetsplatsen var ett brott mot dataskyddsreglerna

logo
HR-juridik

27 februari 2022

Nya krav för anställningsavtal på gång

Laget

Akina

Ørum Masaki

Juristassistent

Amalie

Starup Poulsen

Juridisk rådgivare

Anders

Etgen Reitz

Partner

Cecillie

Groth Henriksen

Biträdande jurist

Emma

Sandner

Junior juristassistent

Johan

Gustav Dein

Biträdande jurist

Julie

Meyer

Kommunikation assistent

Katrine

Matilde Ahlberg Purhus

Biträdande jurist

Kirsten

Astrup

Advokat

Mathilde

Baudry

Kommunikation assistent

Sofie

Aurora Braut Bache

Advokat

Søren

Hessellund Klausen

Partner