Behandling av personuppgifter i anställningsförhållanden.

2018-12-04 i PUL/GDPR
FRÅGA
Hej,Får min arbetsgivare lämna ut mina personuppgifter till tredjepart (en kund till min arbetsgivare). För att jag skall få ett inpasseringskort hos dem?Jag har inte fått frågan om det är okej att lämna ut dessa uppgifter.
SVAR

Tack för att du vänder dig till Lawline med din fråga!

Din fråga handlar om behandling av personuppgifter som regleras i dataskyddsförordningen (GDPR). Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns (artikel 4 p.1 GDPR).

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4 p.2 GDPR).

Arbetsgivaren i det här fallet utgör personuppgiftsansvarig i den mening som avses i GDPR och bestämmer ändamålen och medlen för behandlingen (artikel 4 p.7 GDPR). Arbetsgivaren är skyldig att uppfylla grundläggande principer som anges i GDPR vid behandling av dina personuppgifter (artikel 5 GDPR). Principerna innebär bl.a. att arbetsgivaren i sin egenskap av personuppgiftsansvarig:

- måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter

- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål - inte ska behandla fler personuppgifter än vad som behövs för ändamålen

- ska se till att personuppgifterna är riktiga

- ska radera personuppgifterna när de inte längre behövs

- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

- ska kunna visa att och hur arbetsgivaren lever upp till dataskyddsförordningen

Arbetsgivaren måste vidare ha en rättslig grund för att behandlingen av dina personuppgifter ska vara laglig (artikel 6 GDPR). Samtycke är en sådan rättslig grund, men bör helst inte användas i anställningsförhållanden av arbetsgivare för att lagligen kunna behandla anställdas personuppgifter.

Utgångspunkten är att personuppgifter får behandlas om behandlingen är nödvändig till fullgörande av en rättslig förpliktelse som följer av lag, annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning. Vad det för arbetsrättens del betyder är att personuppgifter får behandlas när det är en nödvändighet för att fullgöra en arbetsrättslig förpliktelse. Till exempel för att betala ut lön. Om det är nödvändigt att hantera personuppgiften för att fullgöra en arbetsrättslig förpliktelse som grundas på lag, annan författning, kollektivavtal etcetera så är det alltså tillåtet att behandla uppgiften.

En viktig rättslig grund inom arbetslivet är "intresseavvägning". En intresseavvägning innebär att arbetsgivaren gör en avvägning mellan behovet eller nödvändigheten av att få behandla personuppgifter, och den andra sidan skyddet för den anställdes personliga integritet. Arbetsgivaren måste alltid ställa sig frågan: Är behandlingen av personuppgifter nödvändig för att fullgöra en arbetsrättslig förpliktelse?

Visar denna intresseavvägning att arbetsgivaren har berättigade skäl som är "starkare" än den enskildes skäl mot en personuppgiftsbehandling, får arbetsgivaren anses ha en rättslig grund att stödja personuppgiftsbehandlingen på. Som exempel kan nämnas utlämnande av anställdas uppgifter till friskvårdsföretag eller hantering av anställdas e-post som inte kan hänföras till någon av de andra lagliga grunderna.

GDPR innehåller dock en begränsning för myndigheter vad gäller intresseavvägning. Myndigheter får inte använda den rättsliga grunden. Eftersom myndigheter inte får använda intresseavvägning som laglig grund får man falla tillbaka på alternativa rättsliga grunder. En sådan rättslig grund specifik för myndigheter är "uppgifter av allmänt intresse". Den rättsliga grunden "uppgifter av allmänt intresse" kan nyttjas som rättslig grund för till exempel dagliga administrativa sysslor inom en myndighet, inklusive personaladministration och andra HR-frågor.

Sammanfattningsvis kan sägas att arbetsgivaren får lämna ut dina personuppgifter om behandlingen är nödvändig för att fullgöra en arbetsrättslig förpliktelse. I det här fallet kan anses att det kan vara nödvändigt att lämna ut personuppgifter för att få ett inpasseringskort i samband med arbetet.

Det bör dock framhållas att de personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter (se art. 12-21 GDPR).

Det innebär att du har rätt att få information om när och hur dina personuppgifter behandlas och kontrollera den här processen. Dessutom har du rätt att invända mot den personuppgiftsansvariges behandling av dina personuppgifter. Om du invänder mot behandlingen får din arbetsgivare endast fortsätta om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än dina intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

Hoppas du har fått svar på din fråga!

Med vänliga hälsningar

Galina Krasteva
Fick du svar på din fråga?