EU & arbetsrätt 1 2025

Även kollektivavtal om persondata måste uppfylla alla GDPR:s principer

•Kollektivavtal om arbetsgivarens hantering av känsliga personuppgifter måste följa de övergripande principerna i dataskyddsförordningen (2016/679), och nationella domstolar har full frihet att pröva om kollektivavtalet respekterar förordningen. Detta framgår av en dom från EUdomstolen.

Det var den Federala arbetsdomstolen i Tyskland som begärt förhandsavgörande från EU-domstolen. Tvisten stod mellan en arbetstagare och dennes arbetsgivare. Mannen yrkade ersättning för immateriell skada som han påstod sig ha lidit till följd av att arbetsgivaren felaktigt behandlat hans personuppgifter på grundval av en verksamhetsöverenskommelse (kollektivavtal) med företagsrådet.

Dataskyddsförordningen utgör i princip en fullständig harmonisering av skyddet för personuppgifter. Artikel 88 innehåller dock en så kallad öppningsklausul som ger möjlighet att sluta kollektivavtal om ”mer specifika regler”.

EU-domstolen förklarar att dessa kollektivavtal inte får kringgå dataskyddsförordningens regler som syftar till att säkerställa en hög skyddsnivå för de anställda när arbetsgivaren behandlar deras personuppgifter. Därför måste kollektivavtal enligt artikel 88 uppfylla följande krav:

• Principerna i artikel 5 om laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet.

• Principen i artikel 6 om att behandling av personuppgifter är laglig endast om den uppfyller minst ett av en rad angivna villkor; bland andra att den registrerade samtyckt och att behandling är nödvändig för att uppfylla en avtalsförpliktelse eller rättslig förpliktelse.

• Principerna i artikel 9 om förutsättningarna för att behandla känsliga personuppgifter, dvs. för arbetsmarknadens vidkommande att behandlingen är nödvändig för att fullgöra skyldigheter och utöva rättigheter enligt arbetsrätten, i den mån det är tillåtet enligt unionsrätten, nationell lag eller ett kollektivavtal där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

Kollektivavtalsparternas utrymme för skönsmässig bedömning blir på detta sätt detsamma som för medlemsstaterna.

EU-domstolen slår vidare fast att en nationell domstol har möjlighet att pröva hur parterna i kollektivavtalet använt sitt utrymme för skönsmässig bedömning för att avgöra om en behandling av personuppgifter är ”nödvändig”. Om den nationella domstolen bedömer att ett visst kollektivavtal inte är förenligt med reglerna i dataskyddsförordningen, ska den avstå från att tillämpa kollektivavtalets regler. För att säkerställa att kollektivavtalsparterna inte gjort kompromisser av ekonomiska eller praktiska skäl som på ett otillbörligt sätt skulle kunna undergräva dataskyddsförordningens syfte måste en domstol kunna göra en fullständig domstolsprövning av kollektivavtalet

EU-domstolen tydliggör föga förvånande att nationella domstolar kan och ska genomföra en fullständig prövning av kollektivavtal mot förordningens artiklar 5, 6, 9 om de övergripande principerna för behandling av personuppgifter. Trots domstolens hänvisningar till fördelarna med en hög grad av handlingsfrihet för kollektivavtalsparterna förvånar det inte heller att en sådan stark partsautonomi som utmärker den nordiska arbetsrätten står sig slätt mot det i hög grad individuella EU-harmoniserade skyddet vid behandling av personuppgifter.

Niklas Selberg, docent

Lunds universitet

C-65/23 MK mot K GmbH, dom den 19 december 2024