Med personuppgifter kan i detta sammanhang menas till exempel namn, titel, personnummer, anställningsnummer, adresser och foton. GDPR verkar dock ha fört med sig att aktörer i byggbranschen funderar i högre grad på vad de får och inte får göra med de personuppgifter de behandlar. Nedan går jag igenom ett par återkommande frågeställningar som vi har stött på.
Elektroniska personalliggare
Skatteverket kräver att det finns elektroniska personalliggare på arbetsplatser. Detta sker genom ett ID06-system. Denna reglering har alltså medfört att det måste finnas personuppgifter om de personer som befinner sig på en arbetsplats i digital och organiserad form.
Detta är inte sällan intressant information, inte minst för en beställare som ska betala utfört arbete per timme. Men vad får man egentligen göra med dessa uppgifter?
Kan beställare använda den elektroniska liggaren för att kontrollera vilka personer som varit på en arbetsplats och när de varit där? Den centrala frågan blir vad ändamålet med att behandla uppgifter i en elektronisk liggare är. Skatteverket anger att det är ”för att motverka svartarbete och främja en sundare konkurrens i byggbranschen”. Skatteverket har rätt att ta ut en kontrollavgift om en personalliggare inte finns på plats.
Den legala grunden för behandling av personuppgifterna i fråga är således att byggherren (eller den som tagit över ansvaret för personalliggaren) har en rättslig plikt att behandla dessa personuppgifter för det ändamål som följer av lag. Att föra personalliggare är således i sig förenligt med GDPR.
Den behandling som sker ska dock ske enligt GDPR, vilket bland annat innebär att uppgifterna inte får behandlas för annat ändamål än för vilka de samlats in. En personalliggare kan därför inte användas för att Beställaren vill utreda om fakturerade antal timmar på individnivå stämmer överens med verkligheten. Skatteverket får däremot använda dessa uppgifter för att kontrollera att alla skatterättsliga förpliktelser har uppfyllts, främst för att kontrollera att det inte förekommer svartjobb.
Ersättningsmodell enligt självkostnadsprincipen i AB 04 och ABT 06?
Vad gäller då om det är fråga om en samverkansentreprenad, med en ersättningsmodell baserad på självkostnadsprincipen i standardavtalen?
Av ABT 06 följer att ersättning enligt självkostnadsprincipen ska utgå för arbetare och arbetsledning samt att beställaren har rätt att granska samtliga originalverifikationer. Sedvanan är att detta sker enligt principen om ”öppna böcker”. Är GDRP ett hinder för entreprenören att visa denna information?
Det följer av GDPR att entreprenören som personuppgiftsansvarig för sina anställdas uppgifter självständigt ska bedöma om behandlingen av dessa personuppgifter är laglig.
Entreprenören har tecknat anställningsavtal med anställda, samt eventuellt avtal med underentreprenörer som i sin tur har anställningsavtal med sina anställda. Syftet med dessa anställningsavtal är att personalen ska utföra arbete i entreprenader enligt de kontrakt som gäller med beställarna i varje entreprenad.
Skyldigheten att tillhandahålla denna typ av verifikationer har länge förelegat (sedan i vart fall ABT 94 samt i enlighet med branschpraxis). Det följer också av GDPR att man som personuppgiftsansvarig ska informera de registrerade om hur man behandlar de uppgifter man är ansvarig för. Därmed ska entreprenören ha säkerställt att det framgår av information till de registrerade att sådana uppgifter kan lämnas över till beställare.
De anställningsavtal som finns kan alltså i sig utgöra en laglig grund för behandlingen, dvs. att det är lagligt för entreprenören att hålla tillgängligt identifierbara uppgifter till beställaren om dessa utgör nödvändig information som ska tillhandahållas enligt avtal med beställaren, eller enligt branschpraxis. Vidare föreligger grund för behandling enligt intresseavvägning. Entreprenören har ett berättigat intresse (ekonomisk förpliktelse mot tredje man) och behandlingen är nödvändig. Vidare ligger denna behandling inom ramen för vad den anställde (”den registrerade”) kan anse som rimligt, med betänkande av användning av ABT/AB och deras anställning som sådan. Integritetskränkningen för de registrerade är liten. Entreprenörens intresse väger därför tyngre än de enskildas intresse av att deras uppgifter behandlas på sätt som nu är i fråga.
På motsvarande sätt föreligger ett berättigat intresse för beställaren att få tillgång till dessa uppgifter, och det är likaledes nödvändigt för beställaren att behandla uppgifterna för det i avtalet mellan parterna angivna ändamålet. Beställarens intresse väger således också tyngre än de enskildas intresse, av samma skäl som anges ovan. Beställaren som får tillgång till personuppgifterna blir personuppgiftsansvarig för uppgifterna, som får behandlas för ett givet och begränsat ändamål som följer av avtalet mellan entreprenören och beställaren.
Om verifikationerna som tillhandahålls inte innehåller tillräckligt mycket information för att faktiskt verifiera lönekostnaderna, så bryter entreprenören sannolikt mot de skyldigheter som denne har enligt AB/ABT, som i detta exempel gäller mellan parterna. Om verifikationerna som tillhandahålls innehåller mer information än vad som är nödvändigt för att beställaren ska kunna verifiera fakturerade lönekostnader, bryter entreprenören mot GDPR. Det är onekligen en balansgång, men den är alls inte omöjlig, utan ska kunna hanteras rutinmässigt.
Det är också viktigt att beställarna behandlar de tillhandahållna uppgifterna korrekt och säkert. För alla parter i en entreprenad gäller således att man bör granska sin hantering av personuppgifter avseende egna och eventuellt andras anställda.
Sara Malmgren, advokat på Foyen Advokatfirma sara.malmgren@foyen.se
