Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold

Bech Bruun
04/12/2020
689
Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold
Bech Bruun logo
Datatilsynet har opdateret deres vejledning om behandling af personoplysninger i ansættelsesforhold. Bech-Bruun opsummerer de væsentligste ændringer her.

Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold er relevant for alle, der behandler personoplysninger om medarbejdere. Vejledningen beskriver, hvad man skal være opmærksom på ved behandling af personoplysninger under rekruttering og i det løbende ansættelsesforhold.


Som følge af Datatilsynets praksis er vejledningen blevet opdateret på følgende punkter:


  • Tillidsrepræsentanters brug af arbejdsgivers it-udstyr
  • Konsekvensrettelser som følge af tilsynets ændrede praksis om forståelsen af databeskyttelsesforordningens artikel 6 og 9
  • Justeringer i forhold til rettigheder for stillingsansøgere, ansatte og kontrol af medarbejdere på baggrund af konkrete sager.

Tillidsrepræsentanters brug af arbejdsgivers it-udstyr

Vejledningen klarlægger nu den situation, hvor en tillidsrepræsentant anvender sin arbejdsgivers it-udstyr i forbindelse med udførelse af tillidsrepræsentantfunktioner.


Ifølge Datatilsynet vil tillidsrepræsentanten eller den faglige organisation være dataansvarlig for den behandling af personoplysninger, som foretages med henblik på at forfølge behandlingsformålet.


Arbejdsgiveren kan i denne situation ikke anses for at være databehandler, ligesom der heller ikke er grundlag for et fælles dataansvar. Dette betyder, at der er tale om en videregivelse, hvor arbejdsgiveren og tillidsrepræsentanten er selvstændige dataansvarlige, da begge parter vil have et selvstændigt formål med behandlingen af personoplysningerne på arbejdsgiverens it-udstyr. Der er hjemmel til denne videregivelse i databeskyttelsesforordningens artikel 6 og databeskyttelseslovens § 12.


Datatilsynet anbefaler, at parterne indgår en aftale om, at arbejdsgiveren kun må tilgå de personoplysninger, som behandles af tillidsrepræsentanten eller den faglige organisation, hvis særlige it-sikkerhedsmæssige forhold fordrer dette. På den måde undermineres fortroligheden ikke unødigt. Desuden anbefales det at indgå aftale om, hvordan arbejdsgiveren skal assistere med anmodninger fra registrerede og sikkerhedsbrud. Derudover skal tillidsrepræsentanten eller den faglige organisation foretage en risikovurdering efter databeskyttelsesforordningens artikel 32, hvor der kan lægges særlig vægt på indholdet af denne aftale.


Konsekvensrettelser

Datatilsynet ændrede i november 2019 praksis for behandlingsgrundlaget for behandling af følsomme personoplysninger.


Som følge heraf har dataansvarlige, som behandler følsomme oplysninger omfattet af forbuddet mod behandling i databeskyttelsesforordningens artikel 9, stk. 1 siden november 2019, skulle finde et behandlingsgrundlag i forordningens artikel 6.  I tillæg hertil har den dataansvarlige skulle finde en undtagelse i forordningens artikel 9, stk. 2 eller bestemmelser, der gennemfører forordningens artikel 9 som behandlingsgrundlag


Vejledningen er nu konsekvensrettet for at tage højde for denne nye praksis.


Rettigheder for stillingsansøgere og ansatte

Datatilsynet har opdateret vejledningens afsnit om rettigheder for stillingsansøgere og ansatte samt kontrol af medarbejdere på baggrund af tilsynssager og  andre konkrete sager.


Det fremgår således nu, at arbejdsgiver i visse situationer kan undlade at give en medarbejder indsigt i forbindelse med fx lønforhandlinger.


Derudover har Datatilsynet tilføjet et afsnit, som vedrører den dataansvarliges oplysningspligt ved kontrolforanstaltninger, som skal leve op til databeskyttelsesforordningens artikel 13 og 14 og udsendes senest 6 uger inden kontrolforanstaltningerne iværksættes. Datatilsynet anbefaler, at arbejdsgiveren udarbejder procedurer for efterlevelsen af reglerne om oplysningspligt og forudgående information i forbindelse med kontrolforanstaltninger over for medarbejdere.


Datatilsynet har endvidere tilføjet et nyt afsnit angående kontrol af medarbejderes komme-gå-tider, hvor det fremgår, at det kan ske ved til- og frakobling af alarmsystemer og scanning af nøglekort eller nøglebrikker.


Det er dog fortsat Datatilsynets opfattelse, at kontrol af medarbejderens komme-gå-tider ikke må finde sted ved, at medarbejdernes fingeraftryk scannes ved ankomst og afgang fra arbejdspladsen. Datatilsynet har dog tidligere i år tilladt brug af fingeraftryk i en sag, hvor en fødevarevirksomhed brugte oplysninger om fingeraftryk med henblik på entydig identifikation af, hvilken medarbejder der tilgår og forlader arbejdspladsen. I den konkrete sag var det afgørende for fødevaresikkerheden, at uvedkommende ikke kunne få adgang til produktionen, samt at det skulle kunne identificeres, hvem der var til stede i produktionen af et givent produkt.


Det må derfor antages, at brug af fingeraftryk under særlige omstændigheder stadig kan være tilladt.


Bech-Bruuns bemærkninger

På baggrund af den opdaterede vejledning anbefaler vi, at organisationer gennemgår deres databeskyttelsespolitikker og procedurer inden for HR, for at sikre, at de er i overensstemmelse med de nye retningslinjer. Særligt anbefaler vi, at man har fokus på:


  • Behandlingsgrundlag i relation til behandling af ansøgninger og følsomme oplysninger
  • Opfyldelse af oplysningspligt i relation til kontrolforanstaltninger.

Den opdaterede vejledning medfører en pligt for arbejdsgivere til at indgå en aftale med deres tillidsrepræsentanter/fagforeningerne vedrørende brug af arbejdsgiverens it-udstyr, hvis tillidsrepræsentanten benytter arbejdsgiverens it-systemer til udførelse af tillidsmandsfunktionen. Vi anbefaler derfor, at organisationer undersøger behovet for indgåelse af en sådan aftale.


Arbejdsgivere skal endvidere være opmærksomme på, at Datatilsynets afgørelse fra tidligere i år angående brug af fingeraftryk ikke er en blåstempling af dette middel til at kontrollere komme-gå-tider, da det er Datatilsynets overordnede anbefaling, at der ikke bruges fingeraftryk til dette formål.


Har din organisation brug for rådgivning i relation til behandling af personoplysninger i forbindelse med ansættelsesforhold, så står vores specialistteam indenfor databeskyttelsesret klar til at hjælpe dig.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Kontrollerer I jeres it-systemer regelmæssigt?
Kontrollerer I jeres it-systemer regelmæssigt?
12/01/2021
Persondata
Databeskyttelse i 2021 – et kig i krystalkuglen
Databeskyttelse i 2021 – et kig i krystalkuglen
11/01/2021
Persondata
Brexit: Handels­aftalens rammer for overførsel af person­oplysninger til Storbritannien
Brexit: Handels­aftalens rammer for overførsel af person­oplysninger til Storbritannien
05/01/2021
Persondata
Brexit – Må man overføre personoplysninger til UK efter den 31. december 2020?
Brexit – Må man overføre personoplysninger til UK efter den 31. december 2020?
04/01/2021
Persondata, Internationale retsforhold
Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag
Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag
14/12/2020
Persondata
To nye vejledninger fra Det Europæiske Databeskyttelsesråd
To nye vejledninger fra Det Europæiske Databeskyttelsesråd
14/12/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted