Ny dom från Arbetsdomstolen förtydligar begränsning i GDPR
I ett nytt fall från Arbetsdomstolen prövades om en arbetsgivare bröt mot GDPR när en chef tog emot och läste ett belastningsregisterutdrag som en anställd lämnat i ett förslutet kuvert. Arbetsgivaren fick rätt i målet då domstolen ansåg att GDPR inte var tillämplig på den aktuella behandlingen.
Efter att en anställd hade börjat sin anställning bad arbetsgivaren honom att visa upp ett utdrag ur belastningsregistret. Den anställde hämtade själv utdraget från Polismyndigheten och lämnade det till sin chef i ett förslutet kuvert. Chefen tog emot kuvertet, öppnade det och läste innehållet, där det framgick att den anställde tidigare dömts för brott.
Facket ansåg att arbetsgivaren därmed hade behandlat personuppgifter om lagöverträdelser (brottsuppgifter) i strid med GDPR och krävde 60 000 kronor i skadestånd
Domstolen konstaterade att själva läsningen visserligen är en form av behandling av personuppgifter, men att GDPR enligt artikel 2.1 bara gäller för manuell hantering om uppgifterna ingår i, eller ska ingå i, ett register. Eftersom det inte fanns något som tydde på att arbetsgivaren tänkte registrera eller på annat sätt strukturera uppgifterna i ett register ansågs GDPR inte vara tillämplig i detta fall. Därför hade arbetsgivaren inte heller gjort något fel enligt GDPR, och den anställdes krav på skadestånd avslogs.
Domstolen ansåg inte heller att det behövdes ett förhandsavgörande från EU‑domstolen. Fackförbundet fick dessutom stå för arbetsgivarens rättegångskostnader, även om en domare var oenig i frågan om att begära ett förhandsavgörande.
Det nya är att domstolen tydligt ringar in gränsen för när GDPR alls blir tillämplig vid manuell hantering av personuppgifter.
- Att begära in och läsa personuppgifter är i och för sig ”behandling” av personuppgifter i GDPR:s breda mening.
- Men GDPR gäller som utgångspunkt inte vid manuell hantering. För att manuell (icke-automatiserad) hantering ska omfattas av GDPR:s tillämpningsområde krävs att uppgifterna ingår i eller är avsedda att ingå i ett register (t.ex. personalakt, ärendesystem, ATS).
- I detta fall ansåg AD att hanteringen föll utanför GDPR:s materiella tillämpningsområde, eftersom uppgifterna inte sparades eller strukturerades som ett register.
- Läsa går bra. Att ta in belastningsregisterutdrag och läsa dem är inte behandling enligt GDPR.
- Skapa inte ett eget register. Spara inte utdragen. Det går dock att göra en notering i personalakten ”kryss i en ruta”, att registerutdrag har visats upp.
Det är nu klarlagt att GDPR inte omfattar agerande i enlighet med det förfarande som var aktuellt i målet. Det finns fortfarande behov av arbetsrättsliga och integritetsmässiga avvägningar kring när det är rimligt att begära registerutdrag och hur sådana kontroller utformas. Den frågan var inte uppe till prövning i det här målet.
När det finns lagkrav på registerkontroll i verksamheten, som till exempel vid arbete med barn, arbete med försäkringsdistribution kan arbetsgivaren åläggas att dokumentera att registerkontroll har skett och bedömningen av lämpligheten för anställning. Vilka brott och ytterligare lagkrav kan du läsa mer om i Arbetsgivarguiden och hos Polisen.
Almega utbildar i GDPR. Läs mer om kursen GDPR – praktisk tillämpning för arbetsgivare.