Sedan skyldigheten att föra elektroniska personalliggare (t.ex. genom ID06-systemet) på byggarbetsplatser infördes har det funnits frågor i byggbranschen kring hur man får använda informationen.
Den information som samlas in i personalliggaren innehåller personuppgifter som gör att det bl.a. går att identifiera vilka som varit på byggarbetsplatsen under vilka tider. Skyldigheten att dokumentera personuppgifterna i personalliggaren följer av skatteförfarandelagen och tillkom mot bakgrund av att man ville minska förekomsten av svartarbete i byggbranschen och skapa sundare konkurrensförhållanden. Det är dock inte svårt att förstå att uppgifter i personalliggaren även kan vara intressant i andra sammanhang, t.ex. för en beställare som ska betala för arbete på löpande räkning och vill stämma av att entreprenörens fakturaunderlag stämmer överens med information i personalliggaren.
GDPR och edition
För ungefär fem år sedan kom dock GDPR-lagstiftningen. Vad har då det med saken att göra? Jo (förenklat) får man till att börja med inte samla in personuppgifter hur som helst – (minst) en av de sex rättsliga grunderna i GDPR måste stödja behandlingen av personuppgifter. Den rättsliga grunden för behandling av uppgifterna i personalliggaren är att den är nödvändig för att fullgöra den rättsliga förpliktelsen som följer av skatteförfarandelagen (att föra personalliggare). Huvudregeln är sedan att man inte får vidarebehandla insamlade uppgifter för något annat ändamål än de samlades in för (den s.k. finalitetsprincipen).
GDPR har alltså betydelse för hur man får använda informationen i personalliggaren. Att använda uppgifterna i personalliggaren för jämförelse med t.ex. fakturaunderlag faller inte under samma rättsliga grund som personuppgifterna samlades in för. Utgångspunkten är alltså – även om jag hört sägas annat – att beställaren och entreprenören inte får använda informationen i personalliggaren för att t.ex. stämma av fakturaunderlag.
I rättegångsbalken, som reglerar svensk processrätt, finns det processrättsliga verktyget edition. Edition innebär att en domstol på parts begäran kan förpliktiga någon att utge handlingar som kan antas ha betydelse som bevis i en tvist. Beställare eller entreprenörer som vill ha del av uppgifterna i personalliggaren bör tillsvidare gå via domstol och använda sig av edition för att inte riskera att göra fel enligt GDPR.
Pågående process
För ganska precis fem år sedan påbörjades en process i tingsrätten där en entreprenör ville ha betalt av beställaren för arbeten som skulle ersättas enligt självkostnadsprincipen. Beställarens skäl för att inte betala var bl.a. att det ifrågasattes att entreprenören verkligen lagt ned all den tid som ersättning begärdes för. Beställaren begärde edition av personalliggaren för att den kunde ha betydelse som motbevisning av att entreprenörens personal varit på plats i den omfattning som gjordes gällande. Entreprenören invände att GDPR utgjorde hinder mot edition eftersom personuppgifterna hade insamlats i syfte att Skatteverket skulle kunna kontrollera verksamheten och att det inte var förenligt med detta ändamål att lämna ut uppgifterna.
Såväl tingsrätten som hovrätten beviljade editionsyrkandet och förelade bolaget som innehade personalliggaren att lämna ut denna. Högsta domstolen beslutade att – innan de själva tar ställning i målet – inhämta ett förhandsavgörande från EU-domstolen för vissa klargöranden (eftersom GDPR är EU-rättslig lagstiftning). Detta mot bakgrund bl.a. av att ingen verkade ha tänkt på att GDPRs finalitetsprincip (att vidarebehandling inte får ske för annat ändamål än det ändamål personuppgifterna insamlats för) riskerade att utgöra ett generellt hinder mot edition.
EU-domstolens förhandsavgörande kom i mars i år och, föga förvånande, klargjordes att GDPR är tillämplig vid edition. Det framgick även att domstolen vid prövningen av editionsfrågan måste ta hänsyn till de vars personuppgifter är registrerade – en nyhet för svensk rätt och något som kommer medföra att editionsprövningarna blir mer komplexa för domstolar. EU-domstolen fann vidare att behandling av personuppgifter i en personalliggare i samband med handläggning av mål i domstol utgör vidarebehandling av personuppgifterna för ett nytt ändamål i förhållande till det ursprungliga behandlingsändamålet som var skattekontroll. För att då ändå vara tillåten vidarebehandling krävs att vidarebehandlingen har 1) stöd i svensk lagstiftning och – därutöver – att behandlingen är 2) nödvändig och 3) proportionell samt 4) att behandlingsändamålet är att skydda ett av de mål som anges i artikel 23.1 i GDPR.
Kommentarer och uppmaning till försiktighet
Jag ska inte påstå att jag helt förstår eller kan ta till mig hela resonemanget i EU-domstolens dom som är väldigt lagtekniskt komplext. Huvudregeln enligt GDPR är i vart fall att finalitetsprincipen hindrar vidarebehandling för nytt ändamål (i fallet med personalliggaren annat än skattekontroll). Det klargjordes genom EU-domstolens dom att finalitetsprincipen förvisso inte i alla lägen hindrar vidarebehandling av uppgifter i personalliggaren för annat ändamål än det ursprungliga. Den möjlighet som EU-domstolen redogjorde för att vidarebehandla inhämtade personuppgifter till att avse ett nytt ändamål var dock begränsade. Det är svårt att spontant se vad mer än edition som skulle kunna ta sig igenom det nålsögat när det gäller frågan om att lämna ut personalliggaren i något annat syfte än skattekontroll. Att beställare/entreprenör ska hålla händerna borta från personalliggaren framstår därför som ett sunt grundråd.
Jag nöjer mig med denna förenklade bild av problematiken (även om det i och för sig finns mycket mer av betydelse i sammanhanget). Jag ska också vara öppen med att GDPR inte tillhör mitt verksamhetsområde så jag vill inte heller ta mig vatten över huvudet. GDPR är lagtekniskt mycket komplext och inte särskilt lättläst. Det kan tänkas bero på att GDPR – på liknande sätt som AB och ABT – är ett kompromissverk där flera olika viljor behövt enas om formuleringar trots att man kanske inte var helt överens i alla frågor. För att komma framåt kan bestämmelser då ha fått otydliga formuleringar som alla kan acceptera för att otydligheten gör att var och en kan tolka bestämmelsen i enlighet med sin uppfattning. Hur det än gick till slutade det i vart fall med att GDPR – liksom standardavtalen – innehåller bestämmelser som blir svårtolkade när de ska tillämpas i praktiken.
Detta är inte särskilt lyckat mot bakgrund av att den som behandlar personuppgifter i strid med GDPR riskerar att få betala mycket höga sanktionsavgifter. Detta fick t.ex. ett välkänt företag som tillhandahåller betalningslösningar nyligen erfara då de dömdes att betala 6 MSEK i sanktionsavgift (som bestämdes i relation till företagets årsomsättning) för överträdelser av GDPR. I det fallet ansågs överträdelsen ändå vara av ”låg allvarlighetsgrad”. I värsta fall hade bolaget kunnat få betala 404 MSEK istället. Medskicket till läsaren är att det kan bli väldigt dyrt att hantera personuppgifter i strid med vad GDPR tillåter. Stor försiktighet är därför påkallad när det är osäkert vad som är tillåtet.
Hur Högsta domstolens prövning slutar är ännu inte klart och den som är intresserad av frågan får hålla ögonen öppna för domstolens avgörande som borde meddelas någon gång under hösten.
Artikeln skriven av Cecilia Wesslén Mikaelsson
Advokat på JKN Advokat
070-823 93 74
cecilia.wesslen@jkn.se