Dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018. Av förordningens införande följde höjda krav på hanteringen av personuppgifter. I ett anställningsförhållande behandlas ofta personuppgifter. Det är därför av stor vikt att arbetsgivaren är medveten om vilka skyldigheter som åligger denne samt hur personuppgifterna ska behandlas. Under våren 2023 har EU-domstolen behandlat mål som rör personuppgiftshantering inom anställningsförhållanden. Nedan kommer redogöras för ett mål som behandlar vilken information arbetsgivaren, som personuppgiftsansvarig, är skyldig att presentera på begäran av arbetstagaren.
Den 12 januari 2023 prövade EU-domstolen om personuppgiftsansvarige har en skyldighet att utlämna identiteten på mottagare av personuppgifter i avgörandet C-154/21.
Arbetstagaren hade bett att få tillgång till de personuppgifter som rörde denne och om uppgifterna lämnats till tredje man önskade arbetstagaren veta till vilka. En personuppgiftsansvarig är enligt artikel 15(1)(c) GDPR skylig att ge den registrerade information om de mottagare eller kategorier av mottagare som personuppgifterna utlämnats till ifall den registrerade begär det. Företaget presenterade i detta fall kategorier av mottagare såsom exempelvis reklamföretag och It-företag.
EU-domstolen klargjorde att rätten för den registrerade att få tillgång till personuppgifter som rör denna innebär en skyldighet för den personuppgiftsansvarige att tillhandahålla den konkreta identiteten på mottagare när uppgiften har eller ska lämnas ut. Detta i syfte att säkerställa den registrerades andra rättigheter som följer av dataskyddsförordningen, såsom rätten att kontrollera att uppgifter som rör denne är korrekta och att uppgifterna behandlas på lagenligt sätt. Detsamma gäller i syfte att utöva sin rätt till rättelse, rätt till radering eller för att föra en talan till följd av skada.
Att observera är att rätten till skydd av personuppgifter inte är en absolut rättighet utan tillämpas i förhållande till sin funktion i samhället och ska vägas mot andra rättigheter. Rätten att ta del av identiteten av mottagaren begränsas därför om det är omöjligt att ange identiteten på de konkreta mottagarna eller om den registrerades begäran om tillgång är uppenbart orimlig eller ogrundad. Skulle så vara fallet är det godtagbart att den personuppgiftsansvarige endast informerar den registrerade om kategorier av mottagare.
Av avgörandet följer sammanfattningsvis att den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på mottagare såvida det inte är omöjligt att identifiera dem eller om den personuppgiftsansvarige kan visa att begäran är uppenbart ogrundad eller orimlig. Vid tolkning av EU-rätten bör hänsyn tas till regleringens syfte och kontexten.
EU-domstolens avgörande visar ytterligare på den vikt som arbetsgivaren måste lägga på sitt ansvar vid personuppgiftshantering. I synnerhet krävs enligt avgörandet, som utgångspunkt, en transparens. Arbetsgivaren behöver vara transparant med hur personuppgiftshanteringen sker och ha full kontroll över vilka konkreta mottagare informationen utlämnas till. Arbetsgivaren ska också vara beredd på att presentera denna information ifall arbetstagaren ber om det. Detta innebär att arbetsgivare i egenskap av den personuppgiftsansvarige bör säkerställa rutiner vid ett utlämnande av personuppgifter.