Rätt att veta vem uppgift lämnas till

Den 12 januari 2023 prövade EU-domstolen om personuppgiftsansvarige har en skyldighet att utlämna identiteten på mottagare av personuppgifter i avgörandet C-154/21. 

Arbetstagaren hade bett att få tillgång till de personuppgifter som rörde denne och om uppgifterna lämnats till tredje man önskade arbetstagaren veta till vilka. En personuppgiftsansvarig är enligt artikel 15(1)(c) GDPR skylig att ge den registrerade information om de mottagare eller kategorier av mottagare som personuppgifterna utlämnats till ifall den registrerade begär det. Företaget presenterade i detta fall kategorier av mottagare såsom exempelvis reklamföretag och It-företag.  

EU-domstolen klargjorde att rätten för den registrerade att få tillgång till personuppgifter som rör denna innebär en skyldighet för den personuppgiftsansvarige att tillhandahålla den konkreta identiteten på mottagare när uppgiften har eller ska lämnas ut. Detta i syfte att säkerställa den registrerades andra rättigheter som följer av dataskyddsförordningen, såsom rätten att kontrollera att uppgifter som rör denne är korrekta och att uppgifterna behandlas på lagenligt sätt. Detsamma gäller i syfte att utöva sin rätt till rättelse, rätt till radering eller för att föra en talan till följd av skada. 

Att observera är att rätten till skydd av personuppgifter inte är en absolut rättighet utan tillämpas i förhållande till sin funktion i samhället och ska vägas mot andra rättigheter. Rätten att ta del av identiteten av mottagaren begränsas därför om det är omöjligt att ange identiteten på de konkreta mottagarna eller om den registrerades begäran om tillgång är uppenbart orimlig eller ogrundad. Skulle så vara fallet är det godtagbart att den personuppgiftsansvarige endast informerar den registrerade om kategorier av mottagare.

Att tänka på

Av avgörandet följer sammanfattningsvis att den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på mottagare såvida det inte är omöjligt att identifiera dem eller om den personuppgiftsansvarige kan visa att begäran är uppenbart ogrundad eller orimlig. Vid tolkning av EU-rätten bör hänsyn tas till regleringens syfte och kontexten.  

EU-domstolens avgörande visar ytterligare på den vikt som arbetsgivaren måste lägga på sitt ansvar vid personuppgiftshantering. I synnerhet krävs enligt avgörandet, som utgångspunkt, en transparens. Arbetsgivaren behöver vara transparant med hur personuppgiftshanteringen sker och ha full kontroll över vilka konkreta mottagare informationen utlämnas till. Arbetsgivaren ska också vara beredd på att presentera denna information ifall arbetstagaren ber om det. Detta innebär att arbetsgivare i egenskap av den personuppgiftsansvarige bör säkerställa rutiner vid ett utlämnande av personuppgifter.

Sammanfattningsvis

  • Känn till processen: Ett anställningsavtal fastställer arbetsrelationen mellan arbetsgivare och arbetstagare och det är viktigt att förstå hur och när detta avtal ingås.
  • Den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på mottagare, förutsatt att det inte är omöjligt att identifiera dem eller att begäran är uppenbart ogrundad eller orimlig.
  • Vid tolkning av EU-rätten bör hänsyn tas till regleringens syfte och kontexten.
  • Arbetsgivaren har en betydande skyldighet och ansvar vid hanteringen av personuppgifter enligt EU-domstolens avgörande.
  • En grundläggande princip är transparens, där arbetsgivaren måste vara öppen med hur personuppgiftshanteringen sker och ha kontroll över vilka konkreta mottagare informationen utlämnas till.
  • Arbetsgivaren ska ha rutiner på plats för att säkerställa korrekt hantering och utlämnande av personuppgifter vid begäran från den registrerade.

Relaterade artiklar

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Alex AB (publ), orgnr. 559338-7698 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata