Datatilsynet offentliggjorde den 1. december 2020 en revideret udgave af vejledning om regler om databeskyttelse, der er særligt relevante i ansættelsesforhold.
Dataansvar ved tillidsrepræsentanters brug af arbejdsgivers it-udstyr
Datatilsynet har foretaget en revision af afsnittet om tillidsrepræsentanters brug af arbejdsgivers it-udstyr på baggrund af drøftelser med arbejdsmarkedets parter.
Der er tale om behandling af personoplysninger, når en tillidsrepræsentant benytter arbejdsgivers it-udstyr, fx e-mailsystem, i forbindelse med tillidsrepræsentantsfunktion. Det kan være, at tillidsrepræsentanten skriver med medarbejderne om fortrolige forhold på e-mail. Det er tillidsrepræsentanten eller den faglige organisation, der træffer beslutning om formålet med den pågældende behandling. Arbejdsgiverens rolle i den forbindelse vil typisk alene være af teknisk og sikkerhedsmæssig karakter, herunder ved beslutning om, hvilke hjælpemidler der skal anvendes til behandlingen.
Tillidsrepræsentanten eller den faglige organisation vil dermed være dataansvarlig for behandlingen af personoplysninger, når behandlingen foretages som led i tillidsmandsfunktionen, da formålet med behandlingen i så fald alene fastlægges af tillidsrepræsentanten eller den faglige organisation.
Ifølge Datatilsynets vejledning vil arbejdsgivers opbevaring af personoplysninger fx i e-mailsystemet dog indebære en behandling af personoplysninger, som arbejdsgiver er selvstændig dataansvarlig for, da opbevaringen af personoplysninger ifølge Datatilsynet udgør et selvstændigt formål, der adskiller sig fra tillidsrepræsentantens behandlingsformål. Datatilsynet anser det for en "særlig videregivelse" men uddyber ikke, hvilken hjemmel der kan anvendes til det.
Datatilsynet anbefaler, at der indgås en aftale mellem arbejdsgiver og tillidsrepræsentant eller den faglige organisation om, at arbejdsgiver alene må tilgå de personoplysninger, som behandles af tillidsrepræsentanten eller den faglige organisation, når særlige it-sikkerhedsmæssige forhold nødvendiggør dette. På denne måde sikres fortroligheden. Dette vil også betyde, at opfyldelse af blandt andet indsigtsretten udelukkende vil kunne varetages af tillidsrepræsentanten eller den faglige organisation med kun teknisk bistand fra arbejdsgiver.
Datatilsynets vejledning bryder med den sædvanlige fortolkning af databeskyttelsesforordningen, dels i forståelse af rollen som databehandler, idet opbevaring normalt ikke anses for et selvstændigt behandlingsformål, og dels, da der ikke i artikel 9, stk. 2 i databeskyttelsesforordningen er hjemmel til at foretage denne "særlige videregivelse". Datatilsynet uddyber ikke, om hjemlen til både videregivelsen og det selvstændige opbevaringsformål skulle være bestemmelsen om ansættelsesforhold i § 12 i databeskyttelsesloven. Vi afventer derfor tilsynets præcisering af dette afgørende forhold.
Vi anbefaler dog, at både arbejdsgivere og tillidsrepræsentanter bør overveje, om det er hensigtsmæssigt og nødvendigt at anvende arbejdsgiverens it-udstyr til det formål eller om mere sikre muligheder er tilgængelige.
Ændret praksis om forståelsen af databeskyttelsesforordningen
Behandling af følsomme oplysninger er omfattet af et forbud i databeskyttelsesforordningens artikel 9, stk. 1. Databeskyttelsesforordningens artikel 9, stk. 2, indeholder dog undtagelser, hvorefter behandling af sådanne oplysninger alligevel er tilladt.
Det har tidligere været Datatilsynets opfattelse, at dataansvarlige, som behandler følsomme oplysninger skal finde hjemmel i databeskyttelsesforordningens artikel 9, stk. 2. Med baggrund af koordinering på EU-niveau ændrede Datatilsynet opfattelse tilbage i 2019, så behandling af følsomme oplysninger nu kræver behandlingsgrundlag både i databeskyttelsesforordningens artikel 9, stk. 2 og et lovligt grundlag for behandling i databeskyttelsesforordningens artikel 6. Datatilsynet har foretaget konsekvensrettelser i vejledningen på baggrund af den ændrede praksis.
Rettigheder for stillingsansøgere og ansatte
Datatilsynet har opdateret vejledningens afsnit om rettigheder for stillingsansøgere og ansatte, herunder blandt andet om indsigtsretten. Retten til indsigt efter databeskyttelsesforordningens artikel 15 indebærer blandt andet, at medarbejdere har ret til en kopi af de personoplysninger, som behandles af arbejdsgiveren om den pågældende.
Det er tilføjet i vejledningen, at en arbejdsgiver i visse situationer kan have oplysninger, som det ikke findes hensigtsmæssigt at give stillingsansøgere eller ansatte indsigt i. Efter databeskyttelseslovens § 22, stk. 1 og 2, har man som arbejdsgiver adgang til at undlade at imødekomme en anmodning om indsigt, hvis afgørende hensyn til blandt andet private eller offentlige interesser overstiger hensynet til medarbejderens interesse i at få indsigt. Der er tale om en konkret vurdering af, hvorvidt indsigt kan afslås.
Det er Datatilsynets opfattelse, at hensynet til arbejdsgivers forhandlingsposition fx i forbindelse med lønforhandlinger efter en konkret vurdering af hensynet til arbejdsgivers forhandlingsposition over for hensynet til medarbejderens interesse i at få indsigt kan begrunde, at der ikke kan gives indsigt i personoplysninger. Omvendt kan interne oplysninger ikke undtages fra indsigtsretten alene med den begrundelse, at de behandles til internt brug.
Kontrol af medarbejdere
Datatilsynet har desuden opdateret vejledningen med et nyt afsnit om arbejdsgivers oplysningspligt ved kontrolforanstaltninger.
En arbejdsgiver skal således informere sine medarbejdere om anvendte kontrolforanstaltninger og kontrolformålet på en klar og utvetydig måde forud for, at kontrolforanstaltningen iværksættes. Datatilsynet mener i den forbindelse, at underretningen som hovedregel bør ske seks uger, før kontrolforanstaltningen iværksættes. Dette er fx i overensstemmelse med aftale om kontrolforanstaltninger mellem DA og LO, hvorefter arbejdsgiveren skal underrette lønmodtagere om nye kontrolforanstaltninger senest seks uger inden de iværksættes. Datatilsynet anbefaler derfor nu, at alle arbejdsgivere overholder underretningsfristen på seks uger, uanset at aftale om kontrolforanstaltninger mellem DA og LO ikke er gældende på arbejdspladsen. Der er dog kun tale om en anbefaling, da databeskyttelseslovgivningen ikke eksplicit indeholder dette krav, og da Datatilsynet ikke kan lovgive på området.
Datatilsynet anbefaler, at arbejdsgivere udarbejder procedurer eller retningslinjer for opfyldelse af oplysningspligten og underretning om kontrolforanstaltninger. Det bør blandt andet fremgå, hvordan og hvornår medarbejdere skal underrettes.
Oplysninger om fratrædelse
Datatilsynet har tilføjet i vejledningen, at der i konkrete tilfælde kan være tungtvejende hensyn, som medfører, at en arbejdsgiver helt undtagelsesvis kan videregive oplysninger om årsagen til en afskedigelse eller fratrædelse. Her skal det blandt andet tillægges betydning, hvilken stilling vedkommende har haft, herunder om der er tale om en leder.
Der kan også være situationer, hvor en arbejdsgiver kan være berettiget til at videregive oplysninger om en afskedigelse eller fratrædelse til tredjemand, fx hvor der er konkret mistanke om, at en konkurrenceklausul er eller vil blive brudt ved medarbejderens ansættelse hos en ny arbejdsgiver. I sådanne tilfælde vil arbejdsgiveren være berettiget til at informere den nye arbejdsgiver i medfør af artikel 6, stk. 1, litra f i databeskyttelsesforordningen.
Fokus på databeskyttelse
En arbejdsgiver behandler mange personoplysninger om sine medarbejdere, og det er vigtigt, at en arbejdsgiver er opmærksom på de regler om databeskyttelse, der er særligt relevante i relation til ansættelsesforhold.
Vi anbefaler derfor, at arbejdsgiver læser Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold. Det er i øvrigt vigtigt, som arbejdsgiver, at være opmærksom på, at også de ansættelsesretlige regler og kollektive overenskomster kan have betydning for den behandling af personoplysninger, der sker i virksomheder, fx særregulering i helbredsoplysningsloven eller forskelsbehandlingsloven, som kan begrænse en behandling af personoplysninger, som man ellers kunne foretage efter de databeskyttelsesretlige regler. Databeskyttelsen bryder også ind i det kollektive område og kan medføre en bod i Arbejdsretten, hvis medarbejdere overvåges uberettiget.
Læs Datatilsynets vejledning - december 2020:
Databeskyttelse i forbindelse med ansættelsesforhold