Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold

Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold er relevant for alle, der behandler personoplysninger om medarbejdere. Vejledningen beskriver, hvad man skal være opmærksom på ved behandling af personoplysninger under rekruttering og i det løbende ansættelsesforhold.

Som følge af Datatilsynets praksis er vejledningen blevet opdateret på følgende punkter:

• Tillidsrepræsentanters brug af arbejdsgivers it-udstyr
• Konsekvensrettelser som følge af tilsynets ændrede praksis om forståelsen af databeskyttelsesforordningens artikel 6 og 9
• Justeringer i forhold til rettigheder for stillingsansøgere, ansatte og kontrol af medarbejdere på baggrund af konkrete sager.

Tillidsrepræsentanters brug af arbejdsgivers it-udstyr

Vejledningen klarlægger nu den situation, hvor en tillidsrepræsentant anvender sin arbejdsgivers it-udstyr i forbindelse med udførelse af tillidsrepræsentantfunktioner.

Ifølge Datatilsynet vil tillidsrepræsentanten eller den faglige organisation være dataansvarlig for den behandling af personoplysninger, som foretages med henblik på at forfølge behandlingsformålet.

Arbejdsgiveren kan i denne situation ikke anses for at være databehandler, ligesom der heller ikke er grundlag for et fælles dataansvar. Dette betyder, at der er tale om en videregivelse, hvor arbejdsgiveren og tillidsrepræsentanten er selvstændige dataansvarlige, da begge parter vil have et selvstændigt formål med behandlingen af personoplysningerne på arbejdsgiverens it-udstyr. Der er hjemmel til denne videregivelse i databeskyttelsesforordningens artikel 6 og databeskyttelseslovens § 12.

Datatilsynet anbefaler, at parterne indgår en aftale om, at arbejdsgiveren kun må tilgå de personoplysninger, som behandles af tillidsrepræsentanten eller den faglige organisation, hvis særlige it-sikkerhedsmæssige forhold fordrer dette. På den måde undermineres fortroligheden ikke unødigt. Desuden anbefales det at indgå aftale om, hvordan arbejdsgiveren skal assistere med anmodninger fra registrerede og sikkerhedsbrud. Derudover skal tillidsrepræsentanten eller den faglige organisation foretage en risikovurdering efter databeskyttelsesforordningens artikel 32, hvor der kan lægges særlig vægt på indholdet af denne aftale.

Konsekvensrettelser

Datatilsynet ændrede i november 2019 praksis for behandlingsgrundlaget for behandling af følsomme personoplysninger.

Som følge heraf har dataansvarlige, som behandler følsomme oplysninger omfattet af forbuddet mod behandling i databeskyttelsesforordningens artikel 9, stk. 1 siden november 2019, skulle finde et behandlingsgrundlag i forordningens artikel 6.  I tillæg hertil har den dataansvarlige skulle finde en undtagelse i forordningens artikel 9, stk. 2 eller bestemmelser, der gennemfører forordningens artikel 9 som behandlingsgrundlag

Vejledningen er nu konsekvensrettet for at tage højde for denne nye praksis.

Rettigheder for stillingsansøgere og ansatte

Datatilsynet har opdateret vejledningens afsnit om rettigheder for stillingsansøgere og ansatte samt kontrol af medarbejdere på baggrund af tilsynssager og  andre konkrete sager.

Det fremgår således nu, at arbejdsgiver i visse situationer kan undlade at give en medarbejder indsigt i forbindelse med fx lønforhandlinger.

Derudover har Datatilsynet tilføjet et afsnit, som vedrører den dataansvarliges oplysningspligt ved kontrolforanstaltninger, som skal leve op til databeskyttelsesforordningens artikel 13 og 14 og udsendes senest 6 uger inden kontrolforanstaltningerne iværksættes. Datatilsynet anbefaler, at arbejdsgiveren udarbejder procedurer for efterlevelsen af reglerne om oplysningspligt og forudgående information i forbindelse med kontrolforanstaltninger over for medarbejdere.

Datatilsynet har endvidere tilføjet et nyt afsnit angående kontrol af medarbejderes komme-gå-tider, hvor det fremgår, at det kan ske ved til- og frakobling af alarmsystemer og scanning af nøglekort eller nøglebrikker.

Det er dog fortsat Datatilsynets opfattelse, at kontrol af medarbejderens komme-gå-tider ikke må finde sted ved, at medarbejdernes fingeraftryk scannes ved ankomst og afgang fra arbejdspladsen. Datatilsynet har dog tidligere i år tilladt brug af fingeraftryk i en sag, hvor en fødevarevirksomhed brugte oplysninger om fingeraftryk med henblik på entydig identifikation af, hvilken medarbejder der tilgår og forlader arbejdspladsen. I den konkrete sag var det afgørende for fødevaresikkerheden, at uvedkommende ikke kunne få adgang til produktionen, samt at det skulle kunne identificeres, hvem der var til stede i produktionen af et givent produkt.

Det må derfor antages, at brug af fingeraftryk under særlige omstændigheder stadig kan være tilladt.

Bech-Bruuns bemærkninger

På baggrund af den opdaterede vejledning anbefaler vi, at organisationer gennemgår deres databeskyttelsespolitikker og procedurer inden for HR, for at sikre, at de er i overensstemmelse med de nye retningslinjer. Særligt anbefaler vi, at man har fokus på:

• Behandlingsgrundlag i relation til behandling af ansøgninger og følsomme oplysninger
• Opfyldelse af oplysningspligt i relation til kontrolforanstaltninger.

Den opdaterede vejledning medfører en pligt for arbejdsgivere til at indgå en aftale med deres tillidsrepræsentanter/fagforeningerne vedrørende brug af arbejdsgiverens it-udstyr, hvis tillidsrepræsentanten benytter arbejdsgiverens it-systemer til udførelse af tillidsmandsfunktionen. Vi anbefaler derfor, at organisationer undersøger behovet for indgåelse af en sådan aftale.

Arbejdsgivere skal endvidere være opmærksomme på, at Datatilsynets afgørelse fra tidligere i år angående brug af fingeraftryk ikke er en blåstempling af dette middel til at kontrollere komme-gå-tider, da det er Datatilsynets overordnede anbefaling, at der ikke bruges fingeraftryk til dette formål.

Har din organisation brug for rådgivning i relation til behandling af personoplysninger i forbindelse med ansættelsesforhold, så står vores specialistteam indenfor databeskyttelsesret klar til at hjælpe dig.