I tidigare nyhetsbrev (länk) redogjorde vi för en ännu relativt ny dom från Arbetsdomstolen (AD) om lönegranskning. I domen tillämpades den tidigare gällande personuppgiftslagen (PUL). Kan domen tillämpas sedan dataskyddsförordningen GDPR trädde i kraft?

2018 års dom

I AD 2018 nr 65 kom domstolen fram till att det varit kollektivavtalsbrott att till fackförbund inte lämna ut löneuppgifter avseende personer som inte var medlemmar i förbundet. Den rättsliga grunden för personuppgiftsbehandlingen, dvs. utlämnandet av uppgifterna, var den s.k. intresseavvägningen i 10 f § PUL.

AD ansåg att de tre rekvisiten i 10 f § var uppfyllda. Bolaget var skyldigt att tillämpa kollektivavtalet även på de oorganiserade anställda och därför hade förbundet ett berättigat intresse av att bevaka avtalstillämpningen också avseende dem. Eftersom förbundet inte på annat sätt kunde kontrollera avtalstillämpningen ansåg AD också att personuppgiftsbehandling var nödvändig. Förbundets intresse övervägde dessutom arbetstagarnas intresse av integritetsskydd.

Intresseavvägning enligt GDPR

GDPR innehåller, liksom den tidigare gällande PUL, en bestämmelse om intresseavvägning (se artikel 6(1)(f)). Den har dessutom tre snarlika rekvisit. Bestämmelsen är dock inte identisk med 10 f § PUL, varför AD:s dom inte utan vidare kan appliceras på GDPR.

Kortfattat är intresseavvägningen i GDPR bredare. I AD 2018 nr 35 vägde AD, i enlighet med PUL, fackförbundets intresse av att bevaka avtalstillämpningen mot de anställdas intresse av skydd mot intrång i den personliga integriteten. Enligt GDPR ska fackförbundets intresse vägas mot ” den registrerades intressen eller grundläggande rättigheter och skyldigheter”. Detta är en bredare formulering där t.ex. den negativa föreningsfriheten att avstå från medlemskap i fackförbund ingår. Det är tänkbart att en enskilds val att inte organisera sig fackligt är ett uttryck för ett allmänt avståndstagande som ska vägas in i bedömningen enligt GDPR. Det beaktades dock inte i AD:s dom eftersom det var PUL som gällde.

Vi vet alltså inte resultatet om domen hade avgjorts med stöd av intresseavvägningen i GDPR.

Kollektivavtalet som ny rättslig grund

I dataskyddslagen, som kompletterar GDPR, möjliggörs numera personuppgiftsbehandling med kollektivavtalet som rättslig grund (se 2 kap 1-2 §§). Detta gäller under förutsättning att kollektivavtalet medför en uppgift av allmänt intresse eller en rättslig förpliktelse för den som är personuppgiftsansvarig.

Utlämnande av personuppgifter om utanförstående anställda till fackförbund kan alltså numera ske med stöd av kollektivavtal. Även i fall då kollektivavtalet ger stöd för sådan personuppgiftsbehandling är det dock viktigt att parterna noggrant utreder dataskyddet. Detta kan med fördel göras på förhand gemensamt på förbundsnivå, även om de lokala parterna självklart alltid måste göra en bedömning i det enskilda fallet. I nuläget saknas vägledande praxis varför denna typ av personuppgiftsbehandling bör göras med största försiktighet.

Betydelsen av den rättsliga grunden

Tack vare PUL var Sverige relativt väl rustat när GDPR tog över förra året, men det finns också viktiga skillnader mellan de båda regelverken. Det är viktigt att vara uppmärksam på dessa skillnader, även de som är små. Trots att intresseavvägningen i GDPR är mycket lik den som tidigare fanns i PUL är det inte givet att 2018 års dom kan tillämpas idag.

Det kan vara möjligt att istället använda kollektivavtalet som rättslig grund för personuppgiftsbehandlingen. Det förutsätter att kollektivavtalet faktiskt innehåller en sådan grund men också en utförlig utredning av dataskyddet, helst både på förbundsnivå och i det enskilda fallet.

En arbetsgivare som behandlar personuppgifter utan rättslig grund kan dra på sig stora kostnader för brott mot GDPR. Det är alltså lika viktigt som svårt att ha koll på grunden för sin behandling av anställdas uppgifter.