KRÖNIKA – Av William Höglund, biträdande jurist & Margarita Kozlov, advokat. Båda vid Baker McKenzie
Rätten till registerutdrag enligt GDPR är central – men inte absolut. EU-domstolen klargör i en ny dom att begäranden kan avslås om de är orimliga eller görs i otillbörligt syfte. I målet C-526/24 (Brillen Rottler) förtydligas under vilka förutsättningar rätten till tillgång (till personuppgifter) i undantagsfall kan begränsas.
Rätten till tillgång
Utgångspunkten är att den registrerade har rätt att få bekräftelse på om personuppgifter behandlas och, i så fall, få tillgång till uppgifterna och den information som gör det möjligt att bedöma om behandlingen av personuppgifter är laglig.
I HR-sammanhang aktualiseras rätten till tillgång i praktiken ofta när relationer skaver, där anställda begär registerutdrag i samband med ett disciplinärende, en uppsägning eller en förhandling om att avsluta sin anställning. Även i rekryteringsprocesser förekommer situationer där registerutdrag begärs snabbt efter kontakt, och där drivkrafterna kan vara svåra att bedöma. I dessa lägen uppstår en balansgång: arbetsgivaren vill respektera rätten till tillgång enligt GDPR, samtidigt som man vill undvika att GDPR används som ett verktyg i en pågående konflikt.
EU-domstolens dom innebär inte en öppning för generella möjligheter att avslå begäranden. Kärnfrågan är om begäran görs i ett otillbörligt syfte. Den personuppgiftsansvarige har ett begränsat utrymme att hantera begäranden när de är uppenbart ogrundade eller orimliga. I dessa fall kan en rimlig avgift tas ut, motsvarande de administrativa kostnaderna, eller begäran avslås. Detta undantag ska tolkas restriktivt och det är den personuppgiftsansvarige som har bevisbördan och måste kunna visa att begäran är uppenbart ogrundad eller orimlig.
Rätten till tillgång gäller även i konflikter Utgångspunkten i GDPR är tydlig: den registrerade behöver inte ange skäl för sin begäran. Enligt Europeiska dataskyddsstyrelsens (European Data Protection Board, EDPB) riktlinjer ska den personuppgiftsansvarige normalt inte analysera varför någon utövar rätten till tillgång till personuppgifter, utan i stället fokusera på vad som begärs och om personuppgifter behandlas. Riktlinjerna klargör också att syftet är att ge individen insyn samt tillräcklig och lättillgänglig information, för att kunna vara medveten om och verifiera behandlingens laglighet.
Det innebär att en arbetsgivare inte kan behandla en begäran om registerutdrag som mindre legitim bara för att den sammanfaller med en potentiell eller pågående arbetsrättslig tvist. Konflikten i sig förändrar inte rättighetens omfattning. Inte heller är det i sig ett giltigt argument att en begäran kan komma att användas i en arbetsrättslig process. Denna typ av motivprövning är normalt inte förenlig med hur rätten till tillgång är tänkt att fungera.
Samtidigt är det just i konfliktlägen som den personuppgiftsansvarige riskerar att göra fel. Registerutdrag i anställningsförhållanden kan vara resurskrävande och kräver tydliga processer och rutiner. Kraven på noggrannhet blir därför viktiga.
När en begäran blir orimlig
Mot denna bakgrund blir Brillen Rottler-målet särskilt intressant. EU-domstolen klargör att en begäran kan bedömas vara otillbörlig även om det är en första begäran. Det avgörande är om den personuppgiftsansvarige kan visa att begäran görs i ett otillbörligt syfte. Domstolen kopplar detta till missbruksprincipen i EU-rätten. Det kan handla om situationer där den registrerade, trots formell efterlevnad av villkoren, använder rätten att begära ut personuppgifter för att skapa förutsättningar för att få en fördel, exempelvis ett skadeståndsanspråk.
Domstolen anger vidare att uppgifter om ett systematiskt – otillbörligt – beteende kan vara en omständighet i bedömningen om en enskild begäran att få ut personuppgifter. Det kan till exempel handla om uppgifter som visar att en person återkommande lämnar liknande begäranden och därefter riktar ersättningskrav. Men det måste bedömas holistiskt och kan inte baseras på en enskild faktor.
Tröskeln är fortsatt hög och kriterierna – och undantagen – måste tolkas och tillämpas restriktivt. Det är den personuppgiftsansvarige som måste kunna visa att en begäran är uppenbart ogrundad eller orimlig. EDPB:s riktlinjer pekar också på att orimlighet kan omfatta missbrukssituationer, exempelvis när rätten används för att orsaka skada eller störa en process och inte för att utöva rätten i dess avsedda funktion.
För HR-avdelningen innebär detta att en begäran som görs med otillbörligt syfte måste hanteras med stor noggrannhet, och att en konflikt i sig inte är ett otillbörligt syfte. Att en anställd vill få insyn i vad som finns dokumenterat om denne i ett disciplinärende, eller att en sökande vill förstå hur uppgifter har behandlats i en rekrytering, ligger i kärnan av rätten till tillgång enligt GDPR. Otillbörligt syfte handlar om situationer där rätten inte används för insyn, utan uteslutande för att skapa ett ersättningsanspråk eller för att sätta press på bolaget.
Skadestånd kräver faktisk skada
Brillen Rottler-domen innehåller också ett viktigt förtydligande om skadestånd. EU-domstolen slår fast att den registrerade kan ha rätt till ersättning för skada som denne har lidit till följd av att rätten till tillgång har åsidosatts. Det kan gälla även när överträdelsen handlar om avslag på en rättighetsbegäran och inte om en ”klassisk” olaglig behandling i snäv mening.
Det är samtidigt tydligt att en överträdelse i sig inte är tillräcklig för att erhålla ett skadestånd. Den registrerade måste visa både faktisk materiell eller immateriell skada och ett orsakssamband mellan överträdelsen och skadan. Överträdelser av GDPR kan ge rätt till ersättning, men den registrerade har bevisbördan för överträdelse, såväl skada som orsakssamband.
Detta är betydelsefullt i en rättsutveckling där skadeståndsanspråk ibland har drivits med utgångspunkt att själva överträdelsen är tillräcklig. Domstolen markerar att så inte är fallet.
Domstolen framhåller att orsakssambandet kan brytas om den registrerades eget handlande är den avgörande orsaken till den påstådda skadan. Det blir särskilt relevant i situationer där den registrerade försöker konstruera ett scenario för att senare påstå skada och kräva ersättning. Även om immateriell skada kan bestå i förlust av kontroll eller ovisshet, krävs att skadan faktiskt kan visas och att den kan knytas till överträdelsen.
Detta är en viktig korrigering i en debatt där skadeståndsbestämmelsen (artikel 82.1) i GDPR ibland framställs som en genväg till ersättning. Domen visar att ersättningsbedömningen är mer strukturerad och att missbruk kan få betydelse vid bedömning av orsakssamband, utan att någon generell motivprövning av registerutdrag införs.
Balansgång för arbetsgivare – rätt till tillgång och gränser för missbruk
Brillen Rottler pekar ut den balansgång som arbetsgivare måste hantera. Å ena sidan måste arbetsgivare hantera registerutdrag metodiskt och rättssäkert även vid konflikter, inte minst eftersom brister i tydlighet och fullständighet kan få tillsynsrättsliga konsekvenser och ett felaktigt avslag kan bli en egen tvistfråga. Samtidigt finns ett begränsat utrymme att hantera ett uppenbart missbruk, men endast i vissa undantagsfall och om arbetsgivaren kan visa de omständigheter som krävs.
GDPR är inte ett generellt verktyg i konfliktfyllda situationer – men GDPR gäller även i konfliktfyllda situationer. För HR innebär det att frågan om otillbörligt syfte måste hanteras sakligt och restriktivt, och att huvudregeln fortsatt är att rätten till tillgång ska kunna utövas utan motivprövning.
För företagen handlar det om att se över sina rutiner och processer för att minska onödig administrativ börda. Brillen Rottler erbjuder en ventil mot missbruk, men det är en snäv ventil som bygger på bevisning, inte på antaganden.
