Är arbetsgivaren personuppgiftsansvarig eller biträde när de upplåter sin IT-miljö åt en facklig organisation?

Varje behandling måste bedömas för sig, men här utgår vi från att arbetsgivaren inte har något intresse eller behov av de personuppgifter som den fackliga organisationen behandlar. Den fackliga organisationen är personuppgiftsansvarig eftersom uppgifterna behandlas för dennas ändamål (artikel 4 p. 7).

Arbetsgivaren behandlar personuppgifter för den fackliga organisationens räkning, till exempel genom att lagra uppgifterna, men har inget eget ändamål med behandlingarna. Detta innebär att arbetsgivaren är ett personuppgiftsbiträde (artikel 4 p. 8). Det är inte möjligt att avtala om en annan fördelning av personuppgiftsansvar än den som följer av GDPR.

Vad arbetsgivaren har för skäl att upplåta sina datorer, servrar etc. åt den fackliga organisationen har ingen betydelse för fördelningen av personuppgiftsansvar (t.ex. om det är för att de är tvungna att tillhandahålla ”skrivmedel” enligt lag, eller om de gör det frivilligt).

För det fall arbetsgivaren också har ett behov, ett ändamål, med behandlingen av de personuppgifter som den fackliga organisationen utför hos arbetsgivaren så är de båda organisationerna (gemensamt) personuppgiftsansvariga. Detta skulle exempelvis kunna vara fallet vid vissa förhandlingar.