Personuppgiftshantering i konkurser
Nr 5 2020 Årgång 86Bland annat med hänsyn till risken att drabbas av sanktionsavgifter är dataskyddsförordningen av särskilt intresse för konkursförvaltare och deras biträden. Mot bakgrund av Rekons rekommendationer kommenterar Peter Savin och Malin Kulander i denna artikel behandling av personuppgifter vid handläggning av konkurser.
Dataskyddsförordningen [1] syftar till att reglera hur, när och varför personuppgifter får behandlas och hur otillåten behandling ska förhindras och sanktioneras. Med hänsyn bland annat till risken att drabbas av sanktionsavgifter är dataskyddsförordningen av särskilt intresse för konkursförvaltare och deras biträden. Mot bakgrund av Rekons rekommendationer [2] finns det skäl att kommentera behandling av personuppgifter vid handläggning av konkurser.
Rättslig grund och ändamål för behandlingen
En avgörande förutsättning för all personuppgiftsbehandling är att det finns en rättslig grund för behandlingen. De rättsliga grunder behandlingen kan baseras på är samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse eller grundläggande intresse. Det är en alltför spridd uppfattning att all personuppgiftsbehandling kräver samtycke. Så är inte fallet. Inom ramen för konkurshandläggningen torde den rättsliga grunden samtycke aldrig bli aktuell att tillämpa.
Rekon har bedömt att det inom ramen för konkurshandläggning kan vara nödvändigt att behandla personuppgifter för att a) fullgöra de rättsliga förpliktelserna som konkursförvaltare har enligt konkurslagen och annan i konkursärendet tillämplig lagstiftning och rättsfallspraxis, b) fullgöra god advokat-, förvaltar- och bokföringssed, c) fullgöra avtal inom ramen för konkursen, d) utföra en uppgift som ett led i den personuppgiftsansvariges myndighetsutövning, eller e) tillvarata intresset hos borgenärerna och övriga intressenter i konkursen om detta väger tyngre än den registrerades intressen. Vår bedömning är att det vanligaste skälet för personuppgiftsbehandling i konkurser är det som anges under a ovan.
Eftersom rättslig grund är en avgörande förutsättning för att personuppgiftsbehandlingen ska vara laglig är det nödvändigt att konkursförvaltaren noga överväger med stöd av vilket av de under a–e ovan angivna skälen som personuppgiftsbehandlingen sker. Överväganden kring sådana ställningstaganden redovisas lämpligen i advokatbyråns rutin avseende personuppgiftsbehandling.
Personuppgifter får enbart behandlas för det ändamål som uppgiften har samlats in för. Inför en förestående överlåtelse av en verksamhet med ett omfattande kundregister är det nödvändigt att konkursförvaltaren överväger om det är möjligt att medverka till en sådan försäljning eftersom överlåtelsen skulle kunna medföra att personuppgifter kommer att behandlas för annat ändamål än det som var avsett med den ursprungliga insamlingen. Enbart förekomsten av personuppgifter i allmänhet kan inte begränsa eller förhindra förvaltaren från att överlåta verksamheten tillsammans med personuppgifterna. Förvaltaren har inte heller något ansvar för förvärvarens hantering av sådana personuppgifter. Däremot måste det finnas ett sakligt samband mellan den överlåtna verksamheten och förvärvarens behov av tillgång till dessa personuppgifter. Avgörande är det ändamål som uppgifterna har samlats in för. En överlåtelse av ett kundregister till någon som inte förvärvar den rörelse i vilken registret har använts utan enbart önskar använda personuppgifterna i marknadsföringssyfte torde innebära att förvaltaren utför en behandling – överlåtelsen – som strider mot GDPR. Skälet till detta är att förvaltaren därigenom använder personuppgifterna för ett annat ändamål än det ursprungliga.
Vem bär ansvaret för uppgifterna och hanteringen?
Ansvaret för personuppgiftsbehandling vid konkurshandläggning kan antingen åvila konkursförvaltaren eller konkursboet. Vid hantering av personuppgifter som sker för att konkursförvaltaren ska fullgöra rättsliga förpliktelser som åvilar denne enligt konkurslagen är det konkursförvaltaren som bär ansvaret. När det gäller åtgärder som vidtas inom ramen för konkursboets verksamhet är det däremot konkursboet som ansvarar. Avgränsningen för vad som utgör åtgärder inom ramen för konkursboets verksamhet och vad som utgör åtgärder i konkursärendet är i GDPR-hänseende inte helt tydlig. Rekons uppfattning är att behandling som genomförs inom ramen för fortsatt drift, indrivning av kundfordringar, återvinning och försäljning av tillgångar ska betraktas som konkursboets ansvar.
Gränsen mellan konkursförvaltarens och konkursboets ansvar har betydelse i fråga om exempelvis den information som ska lämnas till den registrerade. Den registrerade har rätt att få veta vem som är ansvarig för behandlingen av den registrerades personuppgifter. I ett praktiskt hänseende är emellertid vår bedömning att konsekvenserna av en felaktig personuppgiftsbehandling ytterst drabbar konkursförvaltaren. Oaktat vem som är personuppgiftsansvarig i dataskyddsförordningens mening är det konkursförvaltaren som för boets räkning behandlar personuppgifterna. Om det skulle visa sig att personuppgifter inom ramen för konkursboets ansvar har hanterats i strid med dataskyddsförordningen har konkursförvaltaren åsamkat konkursboet en skada. Om boet drabbas av en sanktionsavgift på grund av felaktig personuppgiftshantering har förvaltaren ådragit konkursboet en massaskuld.
Information till den registrerade
Dataskyddsförordningen innehåller förhållandevis långtgående skyldigheter för den personuppgiftsansvarige att lämna information till den registrerade om behandlingen i samband med att personuppgifterna samlas in. [3] Denna informationsskyldighet gäller såväl när uppgifterna har hämtats in från den registrerade som när de har hämtats in från annan än den registrerade. Informationen ska vara klar, tydlig och lätt tillgänglig. Den enklaste åtgärden för att lämna informationen är enligt vår uppfattning genom att hänvisa till advokatbyråns policy för personuppgiftsbehandling, såvida denna finns enkelt tillgänglig på advokatbyråns webbplats.
Vår bedömning är att det inte är nödvändigt att regelmässigt ta in hänvisningar i de dokument konkursförvaltaren enligt konkurslagen upprättar under handläggningen av konkursen. Skälet till detta är att flertalet av dessa handlingar inte kommer till den registrerades kännedom. I de fall handlingen ändå skickas till den registrerade har det som regel dessförinnan redan förekommit kontakter mellan konkursförvaltaren och den registrerade då informationen har lämnats. Vår bedömning avviker i detta avseende från Rekons rekommendationer avseende handläggningsåtgärder, som utgår från att information ska lämnas i såväl inledande information till tillsynsmyndigheten som i bouppteckning och berättelser.
Om personuppgifter hämtas in från annan än den registrerade har konkursförvaltaren en skyldighet att senast inom en månad fullgöra informationsskyldigheten i förhållande till den registrerade.
Vår bedömning är att det vid konkurshandläggning i stor utsträckning förekommer behandling av personuppgifter som härrör från annan än den registrerade. Såvitt avser sådana uppgifter avser de i stor utsträckning personer som det inom ramen för konkurshandläggningen inte finns skäl att kontakta. Detta kan exempelvis avse uppgifter i Bolagsverkets akt om tidigare funktionärer i konkursbolaget eller uppgifter om privatpersoner som förekommer i konkursbolagets bokföring eller kundreskontra. Att lämna information till alla personer vars personuppgifter kan finnas registrerade på detta sätt skulle bli alltför resurskrävande och kostsamt.
Vi anser därför att någon information i sådana situationer inte behöver lämnas. Denna bedömning baserar vi på att åtgärderna att lämna information i dessa avseenden skulle medföra en oproportionerlig ansträngning för konkursförvaltaren. [4]
Information ska inte heller lämnas i den mån uppgifterna omfattas av tystnadsplikt. [5] Detta undantag är tillämpligt på konkursförvaltarens underrättelse enligt konkurslagen 7 kap. 16 §.
Hantering av begäran om registerutdrag
Den registrerade, det vill säga den person vars personuppgifter behandlas, kan när som helst fråga en personuppgiftsansvarig om vilka personuppgifter som behandlas om vederbörande, en förfrågan om registerutdrag.6 Den begärda informationen ska lämnas ut utan onödigt dröjsmål och senast inom en månad från begäran. Detta innebär att konkursförvaltaren i större konkurser måste ha resurser för att kunna identifiera och sammanställa vilka uppgifter som behandlas om en registrerad. Detta ställer inte endast krav på ordning och reda inom konkursförvaltarens administration utan även på de tekniska resurser som krävs för att på ett smidigt sätt kunna få fram och sammanställa uppgifterna. Vi förväntar oss att den här typen av förfrågningar exempelvis kan komma från konkursbolagets anställda, personer med andra typer av engagemang i bolaget eller personer konkursboet under avvecklingen har kontakter med. Konkursförvaltaren måste inte bara vara beredd att hantera förfrågningar om registerutdrag under en pågående konkurs. Förfrågningar kan även komma att aktualiseras och behöva hanteras långt efter det att konkursen är avslutad.
Praktisk handläggning
När det gäller hantering av korrespondens i konkurser är Rekons rekommendation att detta i allmänhet kan göras med e-post men att dokument som innehåller känsliga uppgifter ska skickas med den ordinarie posten. Korrespondens som innefattar känsliga personuppgifter kan exempelvis avse beslut om lönegaranti och lönespecifikationer. Detsamma gäller underrättelser enligt 7 kap. 16 § konkurslagen.
Skälet till att e-post ska undvikas när det gäller korrespondens innehållande känsliga personuppgifter är att överföringar över ett öppet nät bedöms som mer riskfyllt eftersom andra än den avsedda mottagaren kan ta del av meddelandet. Även om den registrerade har samtyckt till att uppgifterna skickas med e-post befriar inte detta den personuppgiftsansvarige från att följa dataskyddsförordningens krav på säkerhetsåtgärder.
Sammanfattning
Med hänsyn till de kostsamma sanktioner som kan drabba konkursförvaltaren är det nödvändigt att konkursförvaltarkåren inte endast skaffar nödvändig kunskap rörande handläggningen av personuppgifter i konkurser utan även håller sig underrättad om den rättsutveckling som kan komma att ske inom detta område.
Peter Savin
Advokat
Malin Kulander
Advokat
Peter Savin åtar sig sedan 1980-talet uppdrag som konkursförvaltare och är medförfattare till Norstedts kommentar till konkurslagen.
Malin Kulander biträder vid handläggning av konkurser och arbetar även med frågor som rör personuppgiftsbehandling.
1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan benämnd dataskyddsförordningen eller GDPR, samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
2. Rekommendationer om god konkursförvaltarsed avseende behandling av personuppgifter (GDPR i konkursärenden, antagna av Rekon 18/9 2019).
3. GDPR art. 13 och 14.
4. GDPR art. 14.5 b samt Artikel 29-arbetsgruppens riktlinjer om öppenhet enligt förordning (EU) 2016/679 p. 61.
5. GDPR art. 14.5 d.
6. GDPR art. 12.