Krav på att lämna ut personnummer på anställda till försäkringsbolag - GDPR

2019-11-17 i PUL/GDPR
FRÅGA
Hej!Vårt företag fick i uppdrag att åtgärda vattenskada. Nu begär uppdragsgivare från oss förutom faktura med detaljerad fakturaspecifikation som innehåller lista med allt använt material och antal arbetande timmar med datum, också personuppgifter på våra anställda som arbetade på just detta objekt inklusive deras personnumren samt kopior på materialfakturor samt kvitton. Motivering är att försäkringsbolag nöjer sig inte av bara vår faktura med fakturaspecifikation och vill inte därför betala. Min fråga är - får försäkringsbolag begära personuppgifter på arbetande anställda med tanke att företag ansvarar för utfört arbete och inte anställda personligen? Är det tillåtet enligt ny lag om hantering av personuppgifter skicka personlig information om anställda till tredje part om den inte är myndighet?
SVAR

Hej och tack för att du vänder dig till oss här på Lawline med din fråga.

Tillämpliga lagrum
Bestämmelser som är tillämpliga på din fråga hittar vi i Dataskyddsförordningen (GDPR) och dess kompletterande lagstiftning som reglerar behandling av personuppgifter.

Som huvudregel krävs samtycke
För att försäkringsbolaget ska få rätt till era anställdas personuppgifter krävs det som huvudregel att de anställda har givit sitt samtycke till detta. Det framgår av 3 kap. 10 § i den kompletterande lagstiftningen till GDPR. Är det däremot så att era anställda inte samtycker till att ge ut sina personnummer får de bara ges ut om försäkringsbolaget kan styrka att deras krav är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller annat beaktansvärt skäl.

Dessutom ska behandlingen uppfylla de krav som framgår av artikel 5 och 6 i GDPR som tar upp följande:

"Artikel 5
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

..."

"Artikel 6
Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn."

Råd
Om det är så att era anställda inte ger sitt samtycke till att ge ut sina personuppgifter till försäkringsbolaget är min bedömning att ni i nuläget inte behöver göra det. För att försäkringsbolaget ska ha rätt att kräva dessa uppgifter krävs det att de klart kan motivera varför de behöver dem och att detta motiv väger tyngre än skyddet för era anställdas personuppgifter. Mitt råd till er är med andra ord att meddela er uppdragsgivare att ni inte kommer ge ut personuppgifterna i enlighet med den rådande lagregleringen på området och hänvisa till att försäkringsbolaget får ta kontakt med er direkt istället om de har ett motiverat skäl till behovet av dessa uppgifter.

Jag hoppas att ni fick svar på er fråga och är det så att ni har några följdfrågor är det bara att kontakta mig på Lisa.Gustafsson@Lawline.se så återkommer jag. Annars önskar jag er lycka till!

Vänligen

Lisa Gustafsson
Fick du svar på din fråga?
Relaterat innehåll
Senaste besvarade frågorna inom PUL/GDPR (162)
2019-12-08 Bilder av personer på allmän plats
2019-12-07 Min praktikplats har begärt ut mitt brottsregister - Kan de det?
2019-11-30 Är GDPR tillämplig avseende personuppgifter som är att hänföra till en fysisk person med utomeuropeiskt medborgarskap?
2019-11-29 Grupparbete i privatjuridik

Alla besvarade frågor (75494)