Krockande intressen

När arbetsgivare ska lämna ut uppgifter om anställda omfattas de av olika regelverk som dataskyddsförordningen, GDPR, och offentlighets- och sekretesslagen, OSL.

OSL gäller bara för offentliga verksamheter. Lagen begränsar insynen, men bara om det anses behövas för att skydda så kallade särskilt skyddsvärda intressen. Det kan exempelvis vara rikets säkerhet eller enskildas personliga eller ekonomiska förhållanden.

GDPR gäller för alla arbetsgivare och skyddar individers uppgifter.

Utgångspunkten i GDPR är att inte fler personuppgifter än nödvändigt ska hanteras. Det förklarar Anders Haag, jurist på Integritetsskyddsmyndigheten, IMY, som är den myndighet som utövar tillsyn över GDPR i Sverige.

Anders Haag. Foto: Kristian Pohl

– Det handlar alltid om uppgiftsminimering. Dina personuppgifter ska vara skyddade och inte spridas, säger Anders Haag, specialiserad på frågor som rör GDPR i arbetslivet.

Enligt Anders Haag gäller följande: Uppgifter om anställdas hälsa är normalt känsliga personuppgifter och huvudregeln, enligt GDPR, är att de är förbjudna att behandla, vilket bland annat innebär att sprida dem.

Men det finns undantag. Om den enskilde ger sitt samtycke eller om spridningen är nödvändig för att arbetsgivaren ska göra det som krävs inom områdena arbetsrätt, social trygghet och socialt skydd.

Det finns också en lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning som stadgar att känsliga personuppgifter endast får lämnas ut om det finns en skyldighet för den personuppgiftsansvarige att göra det.

– När det gäller skyddsombud så finns arbetsmiljölagen som ger skyddsombud en rättighet att ta del av handlingar och få upplysningar som behövs för skyddsombudets verksamhet, säger Anders Haag.

Han konstaterar att arbetsmiljölagen ger skyddsombudet rätt till uppgifter som behövs för skyddsombudets uppdrag. Samtidigt som arbetsgivaren, enligt GDPR, har en skyldighet att inte sprida uppgifter för mycket och för brett. Det uppstår en fråga om avvägning av vad som är nödvändigt.

Anders Haag känner inte till att myndigheten prövat något ärende där en sådan gjorts.

– Såvitt jag vet har vi inte prövat vad skyddsombudet skulle behöva och inte. Det blir en avvägning. Framför allt om man inte kan få samtycke från personen.

Kan man inte förstå det av förarbetena?

– En sådan gräns brukar dras i praxis. Och vad jag känner till så har vi inte prövat var den gränsen går.

Anders Haag förklarar att om en handling är en så kallad allmän handling och begärs ut enligt offentlighetsprincipen så är denna behandling, utlämning, undantagen från GDPR. Däremot kan den eventuellt omfattas av någon sekretessbestämmelse i offentlighets- och sekretesslagen. Det kan hindra att den lämnas ut.

Men utlämnandet av en allmän handling prövas inte av Integritetsmyndigheten. In träder i stället Allmänna förvaltningsdomstolen. Begär ett skyddsombud i offentlig sektor ut en allmän handling av sin arbetsgivare och får nej kan ombudet överklaga det beslutet till kammarrätten.

Peder Liljeqvist är expert på sekretessfrågor och kammarrättslagman i Kammarrätten i Stockholm. Han har bland annat koll på vad som gäller för de offentliga arbetsgivarna och vilka undantag från sekretessen som finns i offentlighets- och sekretesslagen. Undantaget liknar det i GDPR.

Peder Liljeqvist. Foto: Press

– En myndighet kan inte åberopa sekretesskyddet för enskildas hälsotillstånd när den ska lämna ut uppgifter till skyddsombud om det i lag finns någonting som säger att de är skyldiga att lämna ut informationen, förklarar Peder Liljeqvist.

Inte heller Peder Liljeqvist har stött på ett ärende om undantaget, vare sig i sin roll som domare i kammarrätten eller i sin arbetsgivarfunktion. Även i OSL ges undantaget genom arbetsmiljölagen.

– Egentligen är det kristallklart. Men problemet här är att den sekretessbrytande bestämmelsen bara gäller om upplysningen behövs för skyddsombudet. Och där kan man hamna i tvist. Arbetsgivaren kan tycka att skyddsombudet inte behöver handlingen och ombudet kan tycka att det gör jag visst.

Peder Liljeqvist påpekar att han inte är någon expert på arbetsmiljölagen men att det framgår av OSL att det är i arbetsmiljölagen frågan avgörs. Det gäller oavsett om det är en offentlig eller privat arbetsgivare.

– Det blir samma fråga. Allting kokar ner till vilka handlingar eller uppgifter som behövs i ombudets verksamhet.

Spelar det någon roll att skyddsombuden har tystnadsplikt?

– Egentligen inte, för uppgiftsskyldigheten är inte villkorad. Den bygger bara på om uppgiften behövs eller inte.

Peder Liljeqvist sammanfattar att det kan vara svårt för ett skyddsombud att få ut handlingar om en arbetsgivare vägrar. Ett skyddsombud som inte får ut en uppgift från en offentlig arbetsgivare kan begära ut den som en allmän handling. Först måste det finnas ett beslut från exempelvis myndigheten som skyddsombudet kan överklaga.

Så gick det också till i ärendet som Allt om arbetsmiljö tidigare skrivit om, där ett huvudskyddsombud på Högskolan i Halmstad ville veta om en anställds sjukskrivning var arbetsrelaterad. Skyddsombudet bad specifikt arbetsgivaren om en upplysning och inte om läkarjournalen eftersom han visste att han inte skulle få den. Peder Liljeqvist menar att Kammarrätten i Göteborg gjorde en korrekt bedömning när den stödde arbetsgivarens nej. Rätten säger dock, påpekar Peder Liljeqvist, att en sådan arbetssituation som beskrivs kan motivera att skyddsombudet har rätt till viss information men att ombudet inte har visat att just de efterfrågade uppgifterna behövdes.

– Men jag kan tycka att arbetsgivaren borde ha kunnat gå in i läkarintyget och sedan svarat på om det stod någonting som antyder att det var arbetsrelaterat eller inte. Den upplysningen hade de kunnat ge. Men det kan inte kammarrätten pröva, för den kan bara pröva rätten att få ut handlingar. Kammarrätten kan inte säga att någon har rätt att få en upplysning.

Enligt Peder Liljeqvist skulle skyddsombudet kanske ha kunnat ta en annan väg och använt sig av överklagandebestämmelserna i kapitel 9 i arbetsmiljölagen. De gäller bara överklagande av myndighetsbeslut och hanteras först i förvaltningsrätten.

Hade det kunnat göra någon skillnad för skyddsombudet?

– I mångt och mycket blir det samma prövning som i kammarrätten, men det blir fler instanser och en vidare prövning än att få ut en läkarjournal, en specifik handling. Då skulle man behöva gå in och titta lite mer på vad som är avsikten bakom uppgiftsskyldigheten i arbetsmiljölagens sjätte kapitel, paragraf sex. Det skulle kunna handla om rätten att få ut information.