Personalliggare GDPR

GDPR och elektronisk personalliggare

På byggarbetsplatser är det lagkrav att föra en elektronisk personalliggare – en skyldighet som kommer från enligt skatteförfarandelagen. Det innebär att arbetsgivaren måste dokumentera vilka som är verksamma på platsen, inklusive tider för in- och utpassering och kunna visa detta för Skatteverket vid förfrågan.

Kravet från skatteförfarandelagen är att föra elektronisk personalliggare, inte att ha ett ID06-kort. Trots det har ID06 system och identitetskort blivit branschstandard. Det används av en majoritet av företag för att hantera just detta krav – men också för mycket mer. ID06 AB erbjuder ett komplett system med flera tjänster: beställning, utfärdande, aktivering, administration och användning av ID06-kort, samt funktioner som ID06 Status Control, ID06 Kompetensdatabas, ID06 Bolagsdeklaration och ID06 Stamp.

Många ser ID06-kortet bara som ett identitetskort för byggarbetsplatser. Men bakom kortet finns ett system som gör det enklare att uppfylla lagens krav – samtidigt som det väcker frågor om GDPR. För även om ID06-systemet underlättar hanteringen av en digital personalliggare, så är det fortfarande företaget som skickar anställda eller underentreprenörer till byggarbetsplatsen som ansvarar för personuppgiftsbehandlingen. Det är avgörande att förstå vem som är personuppgiftsansvarig och vad det innebär ur ett dataskyddsperspektiv.

En kvinna i kostym står och presenterar ett diagram.

Roller för personalliggare och GDPR under ID06

Som anslutet företag är det enligt avtalen med ID06 personuppgiftsansvarig för personalliggaren – oavsett om företagets roll är byggherre, huvudentreprenör eller underentreprenör. Uppgifter i personalliggaren görs tillgängliga via ID06 Stamp och kan lämnas till Skatteverket vid förfrågan. Det är företagets ansvar att säkerställa att alla personuppgiftsbiträden (både ID06 AB i tillämpliga fall och dess partners) omfattas av giltiga biträdesavtal och att behandlingen sker på ett säkert och korrekt sätt.

 

Det innebär att företaget måste ha insyn och skaffa sig förståelse för hur personuppgifter hanteras enligt GDPR i personalliggaren, vilka aktörer som är involverade och vilka juridiska roller dessa har. Missar i detta kan få konsekvenser – både i form av böter och förlorat förtroende. Rollfördelningen kan förenklat beskrivas (det är dock alltid företagets ansvar att värdera rollerna för sin egen behandling):

  • ID06 AB är personuppgiftsansvarig för identitetskortet.
  • ID06 AB är personuppgiftsbiträde för ID06 Stamp (personalliggaren).
  • Du som företag är personuppgiftsansvarig för personalliggaren (som ligger i ID06 Stamp).
  • Partners (exempelvis Infobric med systemet Ease) är personuppgiftsbiträden till er som företag.
  • Företaget behöver ha koll på vilka system som används och ha rätt avtal på plats.

Roller och ansvar

Vem är personuppgiftsansvarig – och vem är biträde?

Denna beskrivning följer de avtal som ID06 hade tillgängliga på sin hemsida i mitten av 2025 och som nämnts tidigare är det alltid det företag som utför behandling av personuppgifter som ska göra en egen värdering av behandlingsrollerna. När det gäller ID06 Stamp – tjänsten där uppgifterna som utgör personalliggaren hanteras – är det det anslutna företaget som är personuppgiftsansvarig. ID06 AB är personuppgiftsbiträde, enligt de allmänna bestämmelserna för anslutning till systemet.

De uppgifter som hamnar i personalliggaren kommer från ID06:s partners – alltså de tekniska systemleverantörer som tillhandahåller exempelvis inpasseringssystem. Dessa partners är i sin tur personuppgiftsbiträden till det anslutna företaget. Det innebär att varje företag måste ha ett personuppgiftsbiträdesavtal inte bara med ID06 AB, utan också med varje partner som förser ID06 med uppgifter.

När det gäller själva ID06-kortet är ID06 AB personuppgiftsansvarig. Det är alltså de som bestämmer ändamålet och medlen för behandlingen av personuppgifter i samband med exempelvis beställning och administration av kort. Företaget som beställer kort för sina anställda är inte ansvarig för behandlingen i detta sammanhang – men är däremot exempelvis ansvariga för att säkerställa att det finns laglig grund för att beställa ett ID06-kort.

Hjälp med bedömning av personalliggare enligt GDPR

Rollfördelningen i behandlingen med personalliggare kan vara snårig, särskilt i och med att flera aktörer är inblandade i olika led. Våra GDPR-jurister hjälper gärna till att kartlägga behandlingsroller, behandlingsändamål och se till att art. 30-registret är korrekt och komplett.

Tre personer i kostym står och diskuterar ett dokument som finns bakom dem.

Vanliga frågor och svar om personalliggare och GDPR

GDPR ställer krav på hur personuppgifter behandlas, även i personalliggare.

Företag måste:

  • Säkerställa att det finns rättslig grund för behandlingen.
  • Ha biträdesavtal med alla aktörer som behandlar uppgifterna på det egna personuppgiftsansvaret.
  • Ta sitt ansvar som personuppgiftsansvarig.
  • Dokumentera behandlingen i sitt register enligt artikel 30 i GDPR.

Det är det anslutna företaget, alltså byggherren, huvudentreprenören eller underentreprenören som använder systemet, som är personuppgiftsansvarig för uppgifterna i personalliggaren (lagras i Stamp-tjänsten). ID06 AB är endast personuppgiftsbiträde för denna behandling.

Du behöver biträdesavtal med:

  • ID06 AB (för ID06 Stamp).
  • Alla partners och systemleverantörer som hanterar personuppgifter åt under ert personuppgiftsansvar, exempelvis Infobric och deras system Ease.
  • Eventuella andra IT- eller tjänsteleverantörer som har tillgång till uppgifterna.
  • ID06 AB är personuppgiftsansvarig för kortet och behandlingen kring beställning, utfärdande och administration.
  • Företaget som använder kortet är ansvarigt för behandlingen av uppgifter i personalliggaren, exempelvis inpassering via ID06 Stamp.

Brister kan leda till:

  • Tillsyn från Integritetsskyddsmyndigheten (IMY).
  • Administrativa sanktionsavgifter.
  • Skadat förtroende från personal och partners.

Vi erbjuder:

  • Granskning av era biträdesavtal.
  • Kartläggning av behandlingsroller och ansvar.
  • Upprättande eller kontroll av artikel 30-register.
  • Juridisk rådgivning vid införande eller granskning av system för att föra en personalliggare.

Ja, enligt GDPR har varje individ rätt att få information om hur deras personuppgifter behandlas.

  • Ni måste lämna tydlig information om syftet med personalliggaren.
  • Det ska framgå vilka uppgifter som samlas in, hur länge de sparas och vilka som får tillgång till dem.
  • Informationen ska vara lättillgänglig, exempelvis via intranät eller personuppgiftspolicy.

Nej, samtycke är inte en lämplig rättslig grund i detta fall. Behandlingen baseras på rättslig förpliktelse enligt skatteförfarandelagen och det vore därmed inte frivilligt att samtycka, vilket är en av flera förutsättningar för ett giltigt samtycke.

Personuppgifter får inte sparas längre än nödvändigt. Enligt 8 kap § 5 st 3 Skatteförfarandeförordning (2011:1261) ska uppgifterna i personalliggaren sparas i två år efter utgången av det kalenderår då beskattningsåret avslutades. Därefter ska uppgifterna gallras eller anonymiseras.

Ett korrekt biträdesavtal ska bland annat innehålla:

  • Ändamålet med behandlingen.
  • Vilka typer av personuppgifter som behandlas.
  • Tydlig rollfördelning.
  • Regler för säkerhet, incidentrapportering och underbiträden.
  • Villkor för återlämning eller radering av uppgifter vid avtalets slut.

Att använda en elektronisk personalliggare innebär att personuppgifter behandlas löpande, ofta i realtid. Några risker att vara medveten om:

  • Otillräcklig åtkomstkontroll, där obehöriga kan se uppgifter om in- eller utpassering.
  • Otydlig ansvarsfördelning mellan leverantörer och entreprenörer.
  • Bristande loggning och spårbarhet vid incidenter.
  • Lagring av uppgifter längre än nödvändigt, vilket strider mot principen om lagringsminimering.

Att identifiera och åtgärda dessa risker är avgörande för att uppfylla kraven i GDPR. En strukturerad genomgång av systemen, avtalen och rutinerna kan minska risken för både överträdelser och sanktioner.

Exempel på vad juridisk rådgivning inom digitala personalliggare och GDPR kan omfatta:

  • Granskning av personuppgiftsbiträdesavtal med ID06 AB och systemleverantörer.
  • Hjälp att formulera korrekt och laglig information till anställda och underentreprenörer.
  • Stöd vid upprättande av registerförteckning enligt artikel 30 GDPR.
  • Juridisk analys av rollfördelning och ansvar mellan byggaktörer.

Riskbedömning av hantering av personuppgifter i elektroniska personalliggare och andra ID06-baserade system.

Kontakt

Felix Morling

Kontakta oss

Om du föredrar telefon, välkommen att kontakta Felix Morling på +46 70 444 42 85

*” anger obligatoriska fält