Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne

Bech Bruun
11/07/2017
200
Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne
Bech Bruun logo
Artikel 29-gruppen har offentliggjort en ny udtalelse om arbejdsgiveres behandling af personoplysninger om medarbejdere. Gruppen udtaler blandt andet, at medarbejderes samtykke til arbejdsgiverens behandling af personoplysninger ikke i alle tilfælde er gyldigt og bør begrænses mest muligt.


Den 8. juni 2017 har Artikel 29-gruppen i en ny udtalelse revurderet sit syn på arbejdsgiverens behandling af medarbejderes personoplysninger. Udtalelsen har betydning for fortolkningen og anvendelsen af både den nugældende persondatalov og den kommende forordning.


Den nye udtalelse


Med udtalelsen fremsætter Artikel 29-gruppen igen en række principper for databehandling fra 2001, og som også kan udledes af forordningens Artikel 5. Herefter bør arbejdsgivere:

  • Sikre, at oplysninger kun bliver behandlet til specifikke og legitime formål, som er nødvendige og proportionale,

  • tage princippet om formålsbegrænsning med i deres overvejelser og sikre, at oplysninger er korrekte, relevante og ikke uforholdsmæssige i forhold til formålet,

  • anvende principperne om proportionalitet og saglighed uafhængigt af hjemmelsgrundlaget,
    være transparente i anvendelsen af overvågning af medarbejdere,

  • gøre det muligt for medarbejdere at gøre brug af deres rettigheder som registrerede, såsom ret til indsigt, berigtigelse, sletning og blokering af oplysninger,

  • sørge for, at oplysninger er ajourførte og ikke opbevares i længere tid end nødvendigt, og

  • foretage alle nødvendige foranstaltninger for at beskytte oplysninger mod uautoriseret adgang og sikre, at medarbejdere er tilstrækkeligt informerede om krav til databeskyttelse.


Artikel 29-gruppen understreger yderligere de særlige risici, som anvendelse af moderne teknologier på arbejdspladsen indebærer, så som Data Loss Prevention værktøj, wearable devices, Mobile Device Management og behovet for, at arbejdsgivere foretager en sagligheds- og proportionalitetsvurdering, inden indførelsen af sådanne teknologier.

Derudover er udtalelsens hovedpunkter:

  • Arbejdstagerbegrebet: Alle, der arbejder på arbejdspladsen, er omfattet af arbejdstagerbegrebet i en persondataretlig sammenhæng, uanset om de har en ansættelseskontrakt eller ej. Det betyder, at også freelancere og konsulenter kan være omfattet af begrebet.

  • Medarbejderens samtykke: En medarbejders samtykke i ansættelsesforhold er kun gyldigt, hvis der ikke er konsekvenser knyttet til afgivelsen af det.

  • Beskyttelse af medarbejderens kommunikation: Indhold fra digital kommunikation nyder samme grundlæggende ret til beskyttelse som indhold fra analog kommunikation. E-mails og almindelige breve nyder således den samme beskyttelse.

  • Overvågning: Overvågning af medarbejdere må ikke ske, hvis formålet med overvågning kan opnås med en mindre indgribende foranstaltning. Ved overvågning skal medarbejderen oplyses, at selve overvågningen foregår samt formålet med den.

  • Sletning af medarbejderoplysninger: Arbejdsgivere skal slette personoplysninger om en medarbejder, så snart informationen ikke længere er nødvendig.

  • Cloud-løsninger: Brug af cloud-løsninger medfører ofte, at medarbejderoplysninger bliver overført til tredjelande uden for EU. Arbejdsgiveren bør derfor sørge for digitale ”sikre rum” til medarbejderne, såsom et fil-drev eller lignende, som arbejdsgiveren ikke har adgang til.



Samtykke i ansættelsesforhold 


Samtykket har indtil nu være meget brugt som hjemmel til behandling af personoplysninger i ansættelsesforhold, hvilket Artikel 29-gruppen endnu engang ønsker at gøre op med.

Artikel 29-gruppen mener, at samtykke højst sandsynligt ikke kan udgøre hjemmelsgrundlaget for behandling af personoplysninger i et ansættelsesforhold, med mindre medarbejderen kan nægte af afgive samtykke, uden at det får negative konsekvenser for medarbejderen.  Baggrunden for dette synspunkt er, at medarbejderen er i et afhængighedsforhold til arbejdsgiveren, og at medarbejderens beslutning om at afgive samtykke kan være påvirket af en frygt for konsekvenserne af ikke at afgive samtykket. Artikel 29-gruppen mener altså, at samtykket i så fald ikke er frivilligt afgivet, hvilket er et krav efter både persondataloven og den kommende forordning. Fremover vil et samtykke derfor kun være gyldigt, hvis medarbejderen uden konsekvenser kan nægte at afgive det.

Behandling af personoplysninger kan dog stadig finde sted uden samtykke, hvis behandlingen fx er nødvendig for arbejdsgiverens forfølgelse af en legitim interesse eller til opfyldelse af en kontrakt, som medarbejderen er part i.


Medarbejderens kommunikation


Artikel 29-gruppen læggerogså vægt på, at indholdet af medarbejderens kommunikation bliver beskyttet, og at medarbejderens ret til privatliv skal respekteres. At arbejdsgiveren ejer det elektroniske medie, trumfer derfor ikke i alle tilfælde medarbejderens ret til hemmeligholdelse af sin kommunikation og lokalitetsdata.


Cloud-løsninger, online applikationer og internationale overførsler


Gruppen sætter fokus på de risici, der kan være forbundet med anvendelse af nyere teknologi som cloud-løsninger. Når medarbejdere forventes at anvende onlineløsninger som cloud-løsninger, vil medarbejdernes brug ofte medføre, at der samtidig behandles personoplysninger.

Når sådanne løsninger anvendes, mener Artikel 29-gruppen, at arbejdsgivere bør give medarbejdere mulighed for at oprette private rum, såsom privat en mailbox eller en dokumentmappe, som arbejdsgiveren ikke har adgang til.

Brug af en cloud-løsning kan resultere i, at der sker en overførsel af personoplysninger til usikre tredjelande. Hvis dette er tilfældet, skal der sikres et tilstrækkeligt beskyttelsesniveau fx ved brug af BCR eller Kommissionens standardkontrakter.


Bech-Bruuns kommentarer


Udtalelsen er på mange punkter en genfremsætning af Artikel 29-gruppens hidtidige holdning til behandling af personoplysninger i ansættelsesforhold. Der har indtil nu udviklet sig ret forskellige nationale praksisser i de forskellige EU lande i relation til behandling af medarbejderoplysninger. Med forordningen og Artikel 29-gruppens udtalelse må vi forvente en mere ensrettet praksis fremadrettet.  Især Artikel 29-gruppens holdning til brug af samtykket i ansættelsesforhold kan få stor praktisk betydning for behandling af personoplysninger på danske arbejdspladser.

Helt generelt vil forordningen indebære, at arbejdsgivere, herunder HR-afdelinger i danske virksomheder, skal have et helt andet fokus på personoplysninger samt konsekvenserne af behandlingen samt sikkerheden ved den anvendte eller påtænkte anvendte teknologi, end de hidtil har haft. Bech-Bruun følger nøje udviklingen på dette område.

Læs udtalelsen her.

 



 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
06/08/2020
Persondata
Datatilsynet indstiller hotelkæde til bøde på 1,1 mio. kr. for manglende sletning
Datatilsynet indstiller hotelkæde til bøde på 1,1 mio. kr. for manglende sletning
05/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
Følg Jurainfo.dk på:
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted