Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne

Bech Bruun
11/07/2017
Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne
Bech Bruun logo
Artikel 29-gruppen har offentliggjort en ny udtalelse om arbejdsgiveres behandling af personoplysninger om medarbejdere. Gruppen udtaler blandt andet, at medarbejderes samtykke til arbejdsgiverens behandling af personoplysninger ikke i alle tilfælde er gyldigt og bør begrænses mest muligt.


Den 8. juni 2017 har Artikel 29-gruppen i en ny udtalelse revurderet sit syn på arbejdsgiverens behandling af medarbejderes personoplysninger. Udtalelsen har betydning for fortolkningen og anvendelsen af både den nugældende persondatalov og den kommende forordning.


Den nye udtalelse


Med udtalelsen fremsætter Artikel 29-gruppen igen en række principper for databehandling fra 2001, og som også kan udledes af forordningens Artikel 5. Herefter bør arbejdsgivere:

  • Sikre, at oplysninger kun bliver behandlet til specifikke og legitime formål, som er nødvendige og proportionale,

  • tage princippet om formålsbegrænsning med i deres overvejelser og sikre, at oplysninger er korrekte, relevante og ikke uforholdsmæssige i forhold til formålet,

  • anvende principperne om proportionalitet og saglighed uafhængigt af hjemmelsgrundlaget,
    være transparente i anvendelsen af overvågning af medarbejdere,

  • gøre det muligt for medarbejdere at gøre brug af deres rettigheder som registrerede, såsom ret til indsigt, berigtigelse, sletning og blokering af oplysninger,

  • sørge for, at oplysninger er ajourførte og ikke opbevares i længere tid end nødvendigt, og

  • foretage alle nødvendige foranstaltninger for at beskytte oplysninger mod uautoriseret adgang og sikre, at medarbejdere er tilstrækkeligt informerede om krav til databeskyttelse.


Artikel 29-gruppen understreger yderligere de særlige risici, som anvendelse af moderne teknologier på arbejdspladsen indebærer, så som Data Loss Prevention værktøj, wearable devices, Mobile Device Management og behovet for, at arbejdsgivere foretager en sagligheds- og proportionalitetsvurdering, inden indførelsen af sådanne teknologier.

Derudover er udtalelsens hovedpunkter:

  • Arbejdstagerbegrebet: Alle, der arbejder på arbejdspladsen, er omfattet af arbejdstagerbegrebet i en persondataretlig sammenhæng, uanset om de har en ansættelseskontrakt eller ej. Det betyder, at også freelancere og konsulenter kan være omfattet af begrebet.

  • Medarbejderens samtykke: En medarbejders samtykke i ansættelsesforhold er kun gyldigt, hvis der ikke er konsekvenser knyttet til afgivelsen af det.

  • Beskyttelse af medarbejderens kommunikation: Indhold fra digital kommunikation nyder samme grundlæggende ret til beskyttelse som indhold fra analog kommunikation. E-mails og almindelige breve nyder således den samme beskyttelse.

  • Overvågning: Overvågning af medarbejdere må ikke ske, hvis formålet med overvågning kan opnås med en mindre indgribende foranstaltning. Ved overvågning skal medarbejderen oplyses, at selve overvågningen foregår samt formålet med den.

  • Sletning af medarbejderoplysninger: Arbejdsgivere skal slette personoplysninger om en medarbejder, så snart informationen ikke længere er nødvendig.

  • Cloud-løsninger: Brug af cloud-løsninger medfører ofte, at medarbejderoplysninger bliver overført til tredjelande uden for EU. Arbejdsgiveren bør derfor sørge for digitale ”sikre rum” til medarbejderne, såsom et fil-drev eller lignende, som arbejdsgiveren ikke har adgang til.



Samtykke i ansættelsesforhold 


Samtykket har indtil nu være meget brugt som hjemmel til behandling af personoplysninger i ansættelsesforhold, hvilket Artikel 29-gruppen endnu engang ønsker at gøre op med.

Artikel 29-gruppen mener, at samtykke højst sandsynligt ikke kan udgøre hjemmelsgrundlaget for behandling af personoplysninger i et ansættelsesforhold, med mindre medarbejderen kan nægte af afgive samtykke, uden at det får negative konsekvenser for medarbejderen.  Baggrunden for dette synspunkt er, at medarbejderen er i et afhængighedsforhold til arbejdsgiveren, og at medarbejderens beslutning om at afgive samtykke kan være påvirket af en frygt for konsekvenserne af ikke at afgive samtykket. Artikel 29-gruppen mener altså, at samtykket i så fald ikke er frivilligt afgivet, hvilket er et krav efter både persondataloven og den kommende forordning. Fremover vil et samtykke derfor kun være gyldigt, hvis medarbejderen uden konsekvenser kan nægte at afgive det.

Behandling af personoplysninger kan dog stadig finde sted uden samtykke, hvis behandlingen fx er nødvendig for arbejdsgiverens forfølgelse af en legitim interesse eller til opfyldelse af en kontrakt, som medarbejderen er part i.


Medarbejderens kommunikation


Artikel 29-gruppen læggerogså vægt på, at indholdet af medarbejderens kommunikation bliver beskyttet, og at medarbejderens ret til privatliv skal respekteres. At arbejdsgiveren ejer det elektroniske medie, trumfer derfor ikke i alle tilfælde medarbejderens ret til hemmeligholdelse af sin kommunikation og lokalitetsdata.


Cloud-løsninger, online applikationer og internationale overførsler


Gruppen sætter fokus på de risici, der kan være forbundet med anvendelse af nyere teknologi som cloud-løsninger. Når medarbejdere forventes at anvende onlineløsninger som cloud-løsninger, vil medarbejdernes brug ofte medføre, at der samtidig behandles personoplysninger.

Når sådanne løsninger anvendes, mener Artikel 29-gruppen, at arbejdsgivere bør give medarbejdere mulighed for at oprette private rum, såsom privat en mailbox eller en dokumentmappe, som arbejdsgiveren ikke har adgang til.

Brug af en cloud-løsning kan resultere i, at der sker en overførsel af personoplysninger til usikre tredjelande. Hvis dette er tilfældet, skal der sikres et tilstrækkeligt beskyttelsesniveau fx ved brug af BCR eller Kommissionens standardkontrakter.


Bech-Bruuns kommentarer


Udtalelsen er på mange punkter en genfremsætning af Artikel 29-gruppens hidtidige holdning til behandling af personoplysninger i ansættelsesforhold. Der har indtil nu udviklet sig ret forskellige nationale praksisser i de forskellige EU lande i relation til behandling af medarbejderoplysninger. Med forordningen og Artikel 29-gruppens udtalelse må vi forvente en mere ensrettet praksis fremadrettet.  Især Artikel 29-gruppens holdning til brug af samtykket i ansættelsesforhold kan få stor praktisk betydning for behandling af personoplysninger på danske arbejdspladser.

Helt generelt vil forordningen indebære, at arbejdsgivere, herunder HR-afdelinger i danske virksomheder, skal have et helt andet fokus på personoplysninger samt konsekvenserne af behandlingen samt sikkerheden ved den anvendte eller påtænkte anvendte teknologi, end de hidtil har haft. Bech-Bruun følger nøje udviklingen på dette område.

Læs udtalelsen her.

 



 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Dygtige jurister til et politisk og udfordrende miljø i Transportministeriets departement
Faglig stærk jurist med viden om og interesse for ophavsret - også i en politisk kontekst
Forhandlingskonsulent (jurist) til Radiograf Rådet
Uddannet jurist (gerne nyuddannet) til Københavns Universitetets Rektorsekretariat
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Cloud-computing og Schrems II
Cloud-computing og Schrems II
23/11/2021
Persondata, IT- og telekommunikation
Cloud-computing – sådan overvindes faldgruberne
Cloud-computing – sådan overvindes faldgruberne
17/11/2021
IT- og telekommunikation, Persondata
Erhvervsstyrelsen vil fremover nedprioritere tilsynet med hjemmesiders brug af simple statistikcookies – men kravet om samtykke gælder stadig
Erhvervsstyrelsen vil fremover nedprioritere tilsynet med hjemmesiders brug af simple statistikcookies – men kravet om samtykke gælder stadig
10/11/2021
Persondata, E-handel og markedsføring
Cloud-computing – hvad går det ud på, og hvad er faldgruberne?
Cloud-computing – hvad går det ud på, og hvad er faldgruberne?
09/11/2021
IT- og telekommunikation, Persondata
Norges Datatilsyn fravælger Facebook
Norges Datatilsyn fravælger Facebook
05/11/2021
Persondata
Datingtjeneste får kritik for håndtering af persondata
Datingtjeneste får kritik for håndtering af persondata
04/11/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted