På en byggarbetsplats ska det enligt skatteförfarandelagen (2011:1244) finnas tillgång till en elektronisk personalliggare. I denna ska nödvändiga identifikationsuppgifter dokumenteras för de personer som är verksamma där. Det gäller bl.a. deras namn och personnummer, samordningsnummer eller motsvarande utländska nummer och tidpunkten då var och en av dem började och slutade sitt arbetspass. Personalliggaren ska hållas tillgänglig för Skatteverket och byggherren, och uppgifterna i den ska bevaras i två år. Det grundläggande syftet med kravet på upprättande av en personalliggare är att minska förekomsten av svartarbete i branschen.
Ett bolag (utföraren) utförde en byggnadsentreprenad som avsåg kontorshus i Stockholmsområdet åt beställaren. Sedan entreprenaden hade färdigställts och slutbesiktigats 2017 uppstod tvist mellan parterna. I målet påstår beställaren att utföraren inte har utfört och lagt ned all den tid som bolaget begär ersättning för.
Beställaren yrkade på ett editionsföreläggande mot utföraren, om att få ut personalliggaren för tiden den 1 augusti 2016 till den 30 november 2017, i andra hand med maskering av personnummer. Enligt beställaren kan personalliggaren ha betydelse för dennes möjlighet att motbevisa att utförarens personal varit på plats i den omfattning som görs gällande. Leverantören av den elektroniska personalliggaren, ett IT-bolag, överlämnade till tingsrätten att besluta om innehållet i den skulle företes, men utföraren bestred editionsyrkandet. Tingsrätten kom fram till att IT-bolaget var skyldigt att förete personalliggaren i omaskerat skick, och hovrätten har fastställt beslutet.
Men nu uppstod en principiellt viktig fråga ur GDPR-synpunkt som utföraren ville få prövad. Personuppgifter som insamlas för ett speciellt ändamål som t ex personalliggare får bara användas för de ändamål som angetts som syftet med insamlingen.
I en prejudicerande dom tydliggör HD vad som gäller. Personuppgifterna får lämnas ut maskerade.