Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne

Bech-Bruun
11/07/2017
Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne
Artikel 29-gruppen har offentliggjort en ny udtalelse om arbejdsgiveres behandling af personoplysninger om medarbejdere. Gruppen udtaler blandt andet, at medarbejderes samtykke til arbejdsgiverens behandling af personoplysninger ikke i alle tilfælde er gyldigt og bør begrænses mest muligt.


Den 8. juni 2017 har Artikel 29-gruppen i en ny udtalelse revurderet sit syn på arbejdsgiverens behandling af medarbejderes personoplysninger. Udtalelsen har betydning for fortolkningen og anvendelsen af både den nugældende persondatalov og den kommende forordning.


Den nye udtalelse


Med udtalelsen fremsætter Artikel 29-gruppen igen en række principper for databehandling fra 2001, og som også kan udledes af forordningens Artikel 5. Herefter bør arbejdsgivere:

  • Sikre, at oplysninger kun bliver behandlet til specifikke og legitime formål, som er nødvendige og proportionale,

  • tage princippet om formålsbegrænsning med i deres overvejelser og sikre, at oplysninger er korrekte, relevante og ikke uforholdsmæssige i forhold til formålet,

  • anvende principperne om proportionalitet og saglighed uafhængigt af hjemmelsgrundlaget,
    være transparente i anvendelsen af overvågning af medarbejdere,

  • gøre det muligt for medarbejdere at gøre brug af deres rettigheder som registrerede, såsom ret til indsigt, berigtigelse, sletning og blokering af oplysninger,

  • sørge for, at oplysninger er ajourførte og ikke opbevares i længere tid end nødvendigt, og

  • foretage alle nødvendige foranstaltninger for at beskytte oplysninger mod uautoriseret adgang og sikre, at medarbejdere er tilstrækkeligt informerede om krav til databeskyttelse.


Artikel 29-gruppen understreger yderligere de særlige risici, som anvendelse af moderne teknologier på arbejdspladsen indebærer, så som Data Loss Prevention værktøj, wearable devices, Mobile Device Management og behovet for, at arbejdsgivere foretager en sagligheds- og proportionalitetsvurdering, inden indførelsen af sådanne teknologier.

Derudover er udtalelsens hovedpunkter:

  • Arbejdstagerbegrebet: Alle, der arbejder på arbejdspladsen, er omfattet af arbejdstagerbegrebet i en persondataretlig sammenhæng, uanset om de har en ansættelseskontrakt eller ej. Det betyder, at også freelancere og konsulenter kan være omfattet af begrebet.

  • Medarbejderens samtykke: En medarbejders samtykke i ansættelsesforhold er kun gyldigt, hvis der ikke er konsekvenser knyttet til afgivelsen af det.

  • Beskyttelse af medarbejderens kommunikation: Indhold fra digital kommunikation nyder samme grundlæggende ret til beskyttelse som indhold fra analog kommunikation. E-mails og almindelige breve nyder således den samme beskyttelse.

  • Overvågning: Overvågning af medarbejdere må ikke ske, hvis formålet med overvågning kan opnås med en mindre indgribende foranstaltning. Ved overvågning skal medarbejderen oplyses, at selve overvågningen foregår samt formålet med den.

  • Sletning af medarbejderoplysninger: Arbejdsgivere skal slette personoplysninger om en medarbejder, så snart informationen ikke længere er nødvendig.

  • Cloud-løsninger: Brug af cloud-løsninger medfører ofte, at medarbejderoplysninger bliver overført til tredjelande uden for EU. Arbejdsgiveren bør derfor sørge for digitale ”sikre rum” til medarbejderne, såsom et fil-drev eller lignende, som arbejdsgiveren ikke har adgang til.



Samtykke i ansættelsesforhold 


Samtykket har indtil nu være meget brugt som hjemmel til behandling af personoplysninger i ansættelsesforhold, hvilket Artikel 29-gruppen endnu engang ønsker at gøre op med.

Artikel 29-gruppen mener, at samtykke højst sandsynligt ikke kan udgøre hjemmelsgrundlaget for behandling af personoplysninger i et ansættelsesforhold, med mindre medarbejderen kan nægte af afgive samtykke, uden at det får negative konsekvenser for medarbejderen.  Baggrunden for dette synspunkt er, at medarbejderen er i et afhængighedsforhold til arbejdsgiveren, og at medarbejderens beslutning om at afgive samtykke kan være påvirket af en frygt for konsekvenserne af ikke at afgive samtykket. Artikel 29-gruppen mener altså, at samtykket i så fald ikke er frivilligt afgivet, hvilket er et krav efter både persondataloven og den kommende forordning. Fremover vil et samtykke derfor kun være gyldigt, hvis medarbejderen uden konsekvenser kan nægte at afgive det.

Behandling af personoplysninger kan dog stadig finde sted uden samtykke, hvis behandlingen fx er nødvendig for arbejdsgiverens forfølgelse af en legitim interesse eller til opfyldelse af en kontrakt, som medarbejderen er part i.


Medarbejderens kommunikation


Artikel 29-gruppen læggerogså vægt på, at indholdet af medarbejderens kommunikation bliver beskyttet, og at medarbejderens ret til privatliv skal respekteres. At arbejdsgiveren ejer det elektroniske medie, trumfer derfor ikke i alle tilfælde medarbejderens ret til hemmeligholdelse af sin kommunikation og lokalitetsdata.


Cloud-løsninger, online applikationer og internationale overførsler


Gruppen sætter fokus på de risici, der kan være forbundet med anvendelse af nyere teknologi som cloud-løsninger. Når medarbejdere forventes at anvende onlineløsninger som cloud-løsninger, vil medarbejdernes brug ofte medføre, at der samtidig behandles personoplysninger.

Når sådanne løsninger anvendes, mener Artikel 29-gruppen, at arbejdsgivere bør give medarbejdere mulighed for at oprette private rum, såsom privat en mailbox eller en dokumentmappe, som arbejdsgiveren ikke har adgang til.

Brug af en cloud-løsning kan resultere i, at der sker en overførsel af personoplysninger til usikre tredjelande. Hvis dette er tilfældet, skal der sikres et tilstrækkeligt beskyttelsesniveau fx ved brug af BCR eller Kommissionens standardkontrakter.


Bech-Bruuns kommentarer


Udtalelsen er på mange punkter en genfremsætning af Artikel 29-gruppens hidtidige holdning til behandling af personoplysninger i ansættelsesforhold. Der har indtil nu udviklet sig ret forskellige nationale praksisser i de forskellige EU lande i relation til behandling af medarbejderoplysninger. Med forordningen og Artikel 29-gruppens udtalelse må vi forvente en mere ensrettet praksis fremadrettet.  Især Artikel 29-gruppens holdning til brug af samtykket i ansættelsesforhold kan få stor praktisk betydning for behandling af personoplysninger på danske arbejdspladser.

Helt generelt vil forordningen indebære, at arbejdsgivere, herunder HR-afdelinger i danske virksomheder, skal have et helt andet fokus på personoplysninger samt konsekvenserne af behandlingen samt sikkerheden ved den anvendte eller påtænkte anvendte teknologi, end de hidtil har haft. Bech-Bruun følger nøje udviklingen på dette område.

Læs udtalelsen her.

 



 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted