GDPR för byggbranschen — personnummer, underentreprenörer och PUB-avtal
Byggföretag hanterar personnummer, underentreprenörskedjor och känslig försäkringsdata. Förstå GDPR-kraven specifika för bygg och kontrollera er digitala compliance.
Byggbranschen hanterar personuppgifter i former som är specifika för sektorn: personnummer på offerter och avtal för enskilda firmor, personaldata för personal på byggarbetsplatser (inklusive ID06-systemet), underentreprenörskedjor med komplexa PUB-relationer, och känsliga försäkringsuppgifter vid skador och olyckor.
ID06-systemet, som används för behörighetskontroll på byggarbetsplatser, är ett av de mer GDPR-känsliga systemen i branschen: det samlar in personnummer, biometriska data (i avancerade implementationer), och geografisk positionsdata för alla som arbetar på platsen. Systemet administreras av ID06 AB och är ett typexempel på ett system som kräver tydliga PUB-avtal och transparens mot de registrerade (arbetstagarna).
Den digitala ytan — webbplatsen, projekthanteringssystem, offertverktyg — kräver korrekt GDPR-compliance liksom alla andra branscher. Men bygg har dessutom branschspecifika krav: personnummer på juridiska handlingar, sub-entrepreneur-kedjor med GDPR-ansvar, och personaldata för tillfällig platspersonal med hög omsättning.
En Northverify-skanning kontrollerar de digitala compliance-brister som är relevanta för ett byggföretags webbplats: säkerhetskonfiguration, integritetspolicy, cookie-hantering och kontaktformulärsdata.
Kontrollera er compliance på några minuter
Kontrollera webbplatsens SSL-certifikat och HTTPS gratis
Kör gratis skanningPersonnummer på offerter och avtal
I byggbranschen skrivs avtal och offerter ofta med enskilda firmor och hantverkare som kräver personnummer för identifieringsändamål. Personnummer är en skyddad uppgift under Dataskyddslagen 3 kap 10 § och får behandlas utan samtycke om det klart är nödvändigt med hänsyn till ändamålet.
För identifiering av avtalsparten (enskild firma) är behandlingen av personnummer motiverad — men kräver dokumentation i Art. 30-förteckningen. Personnummer bör inte behandlas bredare än nödvändigt: om ett organisationsnummer räcker för identifieringsändamålet ska personnummer inte användas.
Personnummer i e-postkommunikation, som inte krypteras, utgör en säkerhetsrisk. Standardisera hur personnummer hanteras i offertkommunikationen: använd säkra formulär eller krypterad e-post för utbyte av personnummeruppgifter.
Underentreprenörskedjor och PUB-avtal
Byggprojekt involverar typiskt en kedja av underentreprenörer: generalentreprenör → UE1 → UE2 (subentre). Varje led i kedjan behandlar personuppgifter om arbetsplatspersonal (ID06-data, platsinloggningar, arbetsrapporter) och kräver tydliga PUB- och underbiträdesavtal.
För generalentreprenören som är primär avtalspart gentemot beställaren uppstår ett ansvar för att säkerställa att även underentreprenörer hanterar personuppgifter korrekt. Branschorganisationen Byggföretagen och Entreprenadjuristernas rekommendationer inkluderar nu GDPR-klausuler i standardavtal — men implementeringen varierar.
I praktiken: om UE2 hanterar personaldata (t.ex. arbetstidsregistrering) som delas med UE1 och generalentreprenören, och om generalentreprenören bestämmer ändamålet med behandlingen, kan generalentreprenören vara personuppgiftsansvarig och UE1/UE2 personuppgiftsbiträden.
ID06 och biometriska uppgifter
ID06-systemet används för att registrera närvaro och behörighet på byggarbetsplatser. Grundimplementationen samlar in personnummer och YKB-certifieringsdata. Avancerade implementationer (digital stämpelklocka med kortläsare) kan samla in biometrisk data om systemet använder fingeravtrycksläsning.
Biometriska uppgifter är känsliga uppgifter under GDPR Art. 9. Behandling av biometrisk data för identifieringsändamål kräver ett av de begränsade undantagen i Art. 9.2 — vanligtvis explicit samtycke (Art. 9.2.a) eller nödvändigt för arbetsgivarens skyldigheter inom arbetsrätten (Art. 9.2.b) med stöd i kollektivavtal.
Arbetstagarna (inklusive underentreprenörers personal) är registrerade och måste informeras om behandlingen: vem som är personuppgiftsansvarig, ändamålet, lagringstiden, och deras rätt att invända.
Försäkringsdata och personuppgifter
Vid olyckor och skador på byggarbetsplatsen uppstår försäkringsärenden som innehåller känsliga uppgifter: skadebeskrivning (möjligen hälsorelaterad), vittnesuppgifter, och personuppgifter om den skadade. Försäkringsbolaget är typiskt personuppgiftsansvarig för sin behandling av skadedatan, men byggföretaget behöver hantera sin del av skadedokumentation korrekt.
Skaderapporter och olycksutredningar som innehåller hälsorelaterade uppgifter (Art. 9-data) kräver skydd utöver standardskrav: begränsad åtkomst, krypterad lagring, och tydlig lagringstid (typiskt tills anspråkstiden löpt ut — vanligtvis 10 år).
Webbplats och projektportfölj
Byggföretags webbplatser innehåller ofta projektportföljer med fotografier från byggarbetsplatser. Fotografier som visar identifierbara arbetstagare är personuppgifter och kräver rättslig grund — vanligtvis samtycke från de avbildade. Publicering av arbetsplatsfoton utan samtycke kan vara ett GDPR-brott, särskilt om foton visar arbetstagare i känsliga situationer.
Säkerhetskameror på byggarbetsplatsen (CCTV) är ett eget behandlingsmoment: arbetstagare och besökare måste informeras via tydliga skyltar, lagringstiden måste begränsas (vanligtvis max 30 dagar), och åtkomstkontroll för inspelningsmaterialet måste dokumenteras.
Personnummer, offerter och PUB-avtal i bygg
Byggbranschen hanterar personuppgifter längs en komplex underentreprenörskedja. Personnummer dyker upp i ID06-system för yrkeskort, i offerter, på lönelistor och i ROT-avdragsunderlag. Varje led i kedjan – byggherren, generalentreprenören och underentreprenörerna – delar personuppgifter och kräver formella PUB-avtal eller klausuler i entreprenadjuridiska avtal.
ID06-systemet är ett branschgemensamt system för identifiering av yrkespersoner på byggarbetsplatser. Behandlingen av personnummer i ID06 faller under dataskyddslagen (GDPR-lagen) §10 om personnummer och kräver att byggherre och entreprenör kan visa laglig grund. ID06 AB är personuppgiftsansvarig för den centrala ID06-databasen; arbetsgivarna är separata personuppgiftsansvariga för sina anställdas registrering.
IMY har granskat ID06-systemet och konstaterat att personnummer vid kontrollscan måste ha stöd i antingen kollektivavtal eller rättslig förpliktelse (AML-lagen – lagen om åtgärder mot penningtvätt tillåter identitetskontroll). Brott mot detta kan ge sanktioner upp till 4 % av global omsättning.
Anbudshandlingar innehåller ofta namn på projektledare, platschefer och specialister. Dessa uppgifter ska hanteras med konfidentialitet under anbudstiden och raderas om anbudet inte antas. En klar policy för anbuds-data-retention är obligatorisk.
Försäkringskador vid byggrisk-försäkringar innebär att byggherren delar personuppgifter med försäkringsbolaget om den drabbade parten. Minsta nödvändiga data-principen gäller: dela bara det som krävs för skaderegleringen, inte hela projektregistret.
Digitala bygglovsansökningar via kommunala plattformar behandlar fastighetsbeteckning kopplad till fastighetsägare – personuppgifter enligt GDPR. Kontrollera att kommunens system har uppdaterade DPA-avtal och att digital inlämning sker via säkra kanaler.
GDPR och miljörapportering i byggprojekt korsar varandra i digitala miljökontroller: när personuppgifter om fastighetsägare och boende samlas in vid bullermätningar eller markprover. Minimera personkopplingen – använd fastighets-ID i stället för ägarnamn i teknisk dokumentation. Digitala byggmöten och BIM-modeller (Building Information Modelling) kan innehålla personuppgifter om kontaktpersoner. Kontrollera att BIM-plattformar (t.ex. Autodesk Construction Cloud, Trimble) har EU-datalagring aktiverad och DPA på plats. Visselblåsarsystem (obligatoriska för företag med >50 anställda fr.o.m. 17 december 2023 enligt direktiv 2019/1937) ska vara anonym och hanterar personuppgifter om anmälare och utpekad person. Systemet kräver ett eget DPA-avtal med leverantören (t.ex. WhistleB, Navex) och en policy för dataretention – typiskt max 2 år efter avslutat ärende. Byggföretag med underentreprenörskedjor måste säkerställa att systemet är tillgängligt för hela projekthierarkin men med separata åtkomstnivåer per bolag.
Drönare och 3D-scanning av byggplatser genererar fotogrammetri-data som kan innehålla identifierbara personuppgifter om de fångar arbetstagare eller besökare. Enligt GDPR kräver detta behandlingsändamål dokumentation och eventuellt information till de avbildade personerna. Sätt upp skyltning om drönare används och begränsa lagringstiden för rådata till projekttiden. Vid 3D-scanning av befintliga byggnader där boende befinner sig kräver informationsplikt och eventuellt samtycke per lägenhet. Kontrollera om er drönarleverantör (DJI, Parrot m.fl.) har EU-DPA på plats.
IMY-precedent
IMY och arbetsplatskontroll — tillsynstrend byggbranschen
IMY har i tillsynsbeslut 2023–2025 granskat ID06-implementationer och arbetsplatskameraövervakning. Besluten konstaterar att arbetsgivare måste informera all platspersonal (inklusive underentreprenörers anställda) om behandlingen av deras personuppgifter i ID06-systemet, och att lagringstiderna för kameramaterial ska begränsas. Underlåtenhet att informera arbetstagare om behandling har resulterat i tillsynsanmärkningar.
Alla IMY-beslutGuide: PUB-avtal för underentreprenörsled i bygg
Hur PUB-avtalen ska struktureras i en underentreprenörskedja. Vem är PUA, vem är PUB, och vad krävs av underbiträdesavtalen.
Läs guidenVanliga frågor
Relaterade guider
Hur compliance-redo är din webbplats?
Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.
Skanna gratis →