SE
HR-juridik Teknologi

GDPR hindrade inte företag från att dela anställdas data med fackförening

logo
Juridik nytt
calendar 13 september 2021
globus Sverige

I enlighet med kraven i ett kollektivavtal ska ett företag lämna över kopior av anställningsavtal till den lokala fackliga organisationen. Med hänvisning till dataskyddsreglerna valde företaget dock att maskera personuppgifterna i avtalen. Fackförbundet invände och hävdade att företaget bröt mot kollektivavtalet. Arbetsdomstolen höll med.

Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.

Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.

Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.

Kollektivavtalet utgjorde laglig grund för behandlingen

Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.

Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.

Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.

Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.

En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.

På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.

IUNO menar

Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.

IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.

Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.

[AD 2021 nr 23]

Enligt ett kollektivavtal som ett stort snusföretag var bundet av måste företaget dela kopior av anställningsavtal som överstiger en månad med den lokala fackliga organisationen.

Efter att kopior av avtalen begärts delade företaget reviderade versioner av cirka 50 avtal där de anställdas personuppgifter hade maskerats. All information som avslöjade den anställdes namn, personnummer, anställningsnummer, adress, signatur och telefonnummer doldes således för fackförbundet.

Fackförbundet hävdade att maskering av personuppgifterna var ett brott mot kollektivavtalet och yrkade ersättning för det. Arbetsdomstolen var därför tvungen att avgöra om tillämpliga dataskyddsregler hindrade företaget från att dela uppgifterna enligt kollektivavtalet, eller om företaget hade brutit mot sina skyldigheter genom att maskera uppgifterna.

Kollektivavtalet utgjorde laglig grund för behandlingen

Tvisten bottnade i tolkningen av skyldigheten att tillhandahålla avtalskopior enligt kollektivavtalet, och om personuppgifterna i avtalen skulle maskeras eller inte.

Inledningsvis konstaterade Arbetsdomstolen att frågan om hur personuppgifter i avtalen skulle behandlas inte hade diskuterats under förhandlingarna om skyldigheten i kollektivavtalet att dela avtalen med den fackliga organisationen. Därför fann Arbetsdomstolen att det inte fanns någon gemensam partsavsikt som domstolen kunde förlita sig på för att klargöra frågan.

Arbetsdomstolen kom sedan fram till att ordalydelsen för skyldigheten i kollektivavtalet var tydlig. Skyldigheten innebar att icke-reviderade avtalskopior skulle delas med facket, inklusive alla personuppgifter.

Däremot kräver behandling av personuppgifter alltid laglig grund enligt tillämplig dataskyddslagstiftning. Arbetsdomstolen var därför också tvungen att överväga om företaget på samma gång kunde uppfylla sina skyldigheter enligt kollektivavtalet och dataskyddsreglerna.

En laglig grund för behandling av uppgifter är när det är nödvändigt för att uppfylla en rättslig förpliktelse. Enligt Arbetsdomstolen kunde företaget därför lagligt dela sina anställdas personuppgifter med fackförbundet för att fullgöra sina rättsliga skyldigheter enligt kollektivavtalet.

På den grunden drog Arbetsdomstolen slutsatsen att företaget både kunde ha delat omaskerade kopior av avtalen med facket utan att ha brutit kollektivavtalet och utan att ha brutit mot gällande dataskyddsregler. Företaget fick därför böter för att ha brutit mot sina skyldigheter enligt kollektivavtalet.

IUNO menar

Detta avgörande visar på vikten av att företag är medvetna om hur dataskyddsregler samspelar med andra rättsliga skyldigheter. I Sverige är företag särskilt föremål för omfattande skyldigheter enligt kollektivavtal, vilket kan ge upphov till diverse överväganden för att säkerställa att också dataskyddskraven efterlevs samtidigt.

IUNO rekommenderar att företag alltid ser till att det finns en lämplig laglig grund innan personuppgifter delas med tredje parter och vid tveksamhet, att söka juridisk rådgivning i förväg.

Läs mer om hur IUNO kan hjälpa ditt företag att säkerställa att GDPR följs här.

[AD 2021 nr 23]

Registrera dig för vårt nyhetsbrev

Anders

Etgen Reitz

Partner

Liknande

logo
Teknologi

9. september 2021

Underlåtenhet att följa lagringstiderna resulterade i en bot på 1,75 miljoner euro

logo
HR-juridik

27. juni 2021

Avsked för odokumenterad sjukskrivning upprätthölls

logo
HR-juridik

30. maj 2021

Företag ansvarigt för platschefs sexuella trakasserier

logo
HR-juridik

25. april 2021

Skådespelare var en arbetstagare, inte uppdragstagare

logo
HR-juridik

24. mars 2021

Anställds privata köp genom företaget var konsumentköp

logo
Teknologi

11. mars 2021

Kamerabevakning på arbetsplatsen

Laget

Akina

Ørum Masaki

Juristassistent

Anders

Etgen Reitz

Partner

Caroline

Wochner

Kommunikation assistent

Cecillie

Groth Henriksen

Biträdande jurist

Julie

Meyer

Kommunikation assistent

Kirsten

Astrup

Advokat

Nora

Tägtgård Coter

Juristassistent

Sofie

Aurora Braut Bache

Biträdande jurist

Søren

Hessellund Klausen

Partner