Artikel 29-gruppen, som blandt andet består af repræsentanter fra EU-medlemsstaternes databeskyttelsesmyndigheder, har offentliggjort en udtalelse, som primært fokuserer på databehandling på arbejdspladsen, herunder arbejdsgiverens overvågning og kontrol af medarbejdere. Udtalelsen tager sigte på, hvordan man kan øge beskyttelsen af medarbejdernes personoplysninger.
De vigtigste punkter fra udtalelsen er som følger:
Samtykke
Artikel 29-gruppen har i udtalelsen særlig fokus på brug af samtykke som et retligt grundlag for behandlingen af medarbejdernes personoplysninger. Den nuværende retsstilling er således, at arbejdsgiveren ved indhentelse af et gyldigt samtykke i langt de fleste tilfælde må behandle personoplysninger om medarbejderen, forudsat at de generelle behandlingsprincipper er opfyldt. Et gyldigt samtykke foreligger, hvis samtykket er udtrykkeligt, informeret, genkaldelig, specifikt og – frivilligt.
Artikel 29-gruppen peger nu på, at kravet om frivillighed sjældent vil være opfyldt i et arbejdsgiver-arbejdstager-forhold. I dette forhold ligget implicit et uligevægtigt styrkeforhold (ubalance), hvorfor en afvisning af en samtykkeanmodning fra arbejdsgiver kun i meget få tilfælde vil være uden direkte eller indirekte konsekvenser for arbejdstageren. Derfor anbefaler Artikel 29-gruppen generelt, at medarbejderes samtykke ikke anvendes som retligt grundlag for behandling af deres personoplysninger.
Proportionalitet og dataminimering
Artikel 29-gruppen understreger flere steder i udtalelsen, at mange arbejdsgiveres overvågning og kontrol med ansattes kommunikationsapparater, herunder mail, internethistorik, brug af mobiltelefon mv., skal minimeres. Denne dataminimering skal ske gennem teknisk indretning af IT-systemer. Som eksempel nævner Artikel 29-gruppen, at arbejdsgiveren bør indrette internetadgangen, så den afskærer medarbejderen fra at misbruge sin internetadgang i arbejdstiden, i stedet for at anvende en model, hvor arbejdsgiveren gennemgår al medarbejderens søgehistorik. Herigennem vil princippet om proportionalitet også være opfyldt, da det sikres, at arbejdsgiveren undgår at behandle flere personoplysninger om medarbejderen end nødvendigt.
Cloud-baserede løsninger og online applikationer
I de tilfælde, hvor arbejdsgiveren anvender cloud-baserede løsninger til opbevaring af personoplysninger, kan personoplysningerne i mange tilfælde blive overført til lande uden for EØS. Artikel 29-gruppen understreger i udtalelsen, at det er arbejdsgiverens ansvar at sikre, at der alene overføres personoplysninger til lande, som kan yde et tilstrækkeligt beskyttelsesniveau, og at det alene er de nødvendige personer, som har adgang til de overførte personoplysninger.
Endelig anbefaler Artikel 29-gruppen, at arbejdsgiveren, i de tilfælde hvor medarbejderen benytter online applikationer som led i jobbet, får oprettet et rum for privat kommunikation, hvortil arbejdsgiveren under ingen omstændigheder har adgang. Som eksempler på sådanne "private rum" nævner Artikel 29-gruppen, at arbejdsgiveren kunne oprette en privat og sikret e-mail eller mappe til medarbejderen.
Se Artikel 29-gruppens udtalelse
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg)
-medium.jpg)
-medium.jpg)
