Vår tolkning är att det inte handlar om en situation där leverantören kan agera personuppgiftsbiträde, vilket således inte föranleder krav på personuppgiftsbiträdesavtal (”PuB-avtal”).
Det är viktigt att utreda vem eller vilka parter som är personuppgiftsansvarig för de uppgifter som ingår i personalliggaren, för att veta vem som har rätt att ta beslut angående hantering av dessa personuppgifter (och eventuell överlämning till leverantören, som blir frågan här).
En kort utredning gällande ansvarsrollerna enligt GDPR för byggherren respektive de entreprenörer som genomför arbete på byggarbetsplatsen. Vår bedömning är baserad på följande:
- Kravet på personalliggare framgår av 39 kap. 11a§ skatteförfarandelagen (2011:1244). Det är byggherren som är ansvarig för att tillhandahålla utrustningen för personalliggare, eller den leverantör som fått det i uppdrag genom skriftligt avtal enligt 11c§. Den/de som bedriver verksamhet (utför arbete) på en byggarbetsplats ska föra en elektronisk personalliggare enligt 11a§. Enligt 39 kap. 12§ ska byggherren kunna uppvisa personalliggaren för Skatteverket, samt entreprenören likaså.
Det innebär att:
- Varje entreprenör ska ha tillgång till utrustning för att föra en elektronisk personalliggare.
- Byggherren (eller den som byggherren överlåtit ansvaret till) ska omedelbart kunna visa personalliggaren för Skatteverket vid kontrollbesök, (39 kap. 12§ skatteförfarandelagen).
- Entreprenören (den som utför byggverksamhet) ska omedelbart kunna visa personalliggaren för Skatteverket vid kontrollbesök, (39 kap. 12§ skatteförfarandelagen).
Varje arbetsgivare på en byggarbetsplats respektive byggherren (eller den som övertagit ansvaret från byggherren) behöver ha tillgång till personuppgifterna i personalliggaren för att uppfylla sina skyldigheter enligt skatteförfarandelagen. Vår bedömning är att byggherren respektive de enskilda entreprenörerna agerar enskilt personuppgiftsansvariga, även om parterna har liknande skyldighet så omfattar det inte samma mängd personuppgifter. Enskild entreprenör ska ha sin personalliggare tillgänglig, medan byggherren ska ha en samlad personalliggare tillgänglig.
Frågan rör den personalliggare som byggherren ansvarar för, eftersom det är den aktör som önskar anlita leverantören. Personalliggaren som leverantören behöver tillgång till innehåller personuppgifter kring dennes anställda samt underleverantörers anställda och som vi ovan har utrett att byggherren är personuppgiftsansvarig för. Leverantören behöver tillgång till den personalliggaren för att genomföra sina inspektioner.
Leverantörens tjänst inte är ett lagkrav. Till skillnad från Skatteverket som har rättslig möjlighet att genomföra kontroller av personalliggare, så är detta något som personuppgiftsansvarig i så fall genomför på frivillig basis.
Om leverantörens tjänst beskrivs på följande sätt: ”Syftet med behandlingen av personuppgifter är kontrollera Kundens samt underleverantörers efterlevnad av skatteförfarandelagstiftning, arbetstidslagstiftning, direktiv runt utstationering samt efterlevnad av avtalsbundet användande av ID06 på arbetsplatser där Kunden tillhandhåller elektroniska personalliggare.”. I den informationen är det svårt att utläsa hur de planerar att behandla personuppgifterna.
Vad som dock kan utläsas är att leverantören ska genomföra oberoende kontroller och analyser. Förutsättningarna tillåter dock inte att leverantör är personuppgiftsbiträde, eftersom ett personuppgiftsbiträde endast får behandla personuppgifter enligt personuppgiftsansvariges instruktion. Om vi jämför med exempelvis revisorer, så får de inte ta emot instruktioner om utförandet av sina arbetsuppgifter från uppdragsgivaren och samma gäller även här, det skulle motverka deras funktion med att obereonde kontrollera byggarbetsplatsen. Det är därför rent av olämpligt att leverantören är personuppgiftsbiträde. För att ge ett kanske lite långsökt men ändå talande exempel så skulle deras roll som personuppgiftsbiträde innebära att om leverantören identifierar någon brist, exempelvis en arbetare på arbetsplatsen som inte registrerat sig i personalliggaren, kan personuppgiftsansvarig be dem radera den individens personuppgifter (”sopa undan spåren”). Ansvarsrollernas fördelning utgår framförallt utifrån faktiska omständigheter och det är därför jag kommer till slutsatsen att det inte möjligt för leverantören att utföra sin tjänst i rollen som personuppgiftsbiträde.
I stället skulle deras behandling av personuppgifter ske i rollen som personuppgiftsansvarig, då de (för den behandling som sker hos dem) bestämmer vad uppgifterna ska användas till och hur det ska genomföras.
Den behandling, i form av kontroller och analyser, som leverantören önskar genomföra är beroende av att personuppgiftsansvarig, bedömer att de kan lämna ut personuppgifterna i personalliggaren till leverantören i enlighet med dataskyddslagstiftningen. GDPR kräver bl.a. att personuppgifterna inte får behandlas för annat ändamål än för vilka de samlats in. Vilket gör att det måste vara planerat och bestämt att uppgifterna även ska lämnas ut till extern aktör för granskning. All behandling behöver även stödjas på en laglig grund.
Byggherrens behandling att hålla en samlad personalliggare tillgänglig sker med stöd av den lagliga grunden rättslig förpliktelse. Likt krav på elektronisk körjournal som kan genomföras via installerad gps i fordon, får insamlad information inte användas för andra ändamål, se IMY:s exempel här. Om byggherren bedömer att de kan lämna över uppgifter till leverantören krävs bl.a. att arbetarna informeras ordentligt.