Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Bliv forfatter Bliv kursusudbyder Bliv verificeret specialist Bliv jobannoncør
Artikel

Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold

Bech Bruun
04/12/2020
Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold
Bech Bruun logo
Datatilsynet har opdateret deres vejledning om behandling af personoplysninger i ansættelsesforhold. Bech-Bruun opsummerer de væsentligste ændringer her.

Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold er relevant for alle, der behandler personoplysninger om medarbejdere. Vejledningen beskriver, hvad man skal være opmærksom på ved behandling af personoplysninger under rekruttering og i det løbende ansættelsesforhold.


Som følge af Datatilsynets praksis er vejledningen blevet opdateret på følgende punkter:


  • Tillidsrepræsentanters brug af arbejdsgivers it-udstyr
  • Konsekvensrettelser som følge af tilsynets ændrede praksis om forståelsen af databeskyttelsesforordningens artikel 6 og 9
  • Justeringer i forhold til rettigheder for stillingsansøgere, ansatte og kontrol af medarbejdere på baggrund af konkrete sager.

Tillidsrepræsentanters brug af arbejdsgivers it-udstyr

Vejledningen klarlægger nu den situation, hvor en tillidsrepræsentant anvender sin arbejdsgivers it-udstyr i forbindelse med udførelse af tillidsrepræsentantfunktioner.


Ifølge Datatilsynet vil tillidsrepræsentanten eller den faglige organisation være dataansvarlig for den behandling af personoplysninger, som foretages med henblik på at forfølge behandlingsformålet.


Arbejdsgiveren kan i denne situation ikke anses for at være databehandler, ligesom der heller ikke er grundlag for et fælles dataansvar. Dette betyder, at der er tale om en videregivelse, hvor arbejdsgiveren og tillidsrepræsentanten er selvstændige dataansvarlige, da begge parter vil have et selvstændigt formål med behandlingen af personoplysningerne på arbejdsgiverens it-udstyr. Der er hjemmel til denne videregivelse i databeskyttelsesforordningens artikel 6 og databeskyttelseslovens § 12.


Datatilsynet anbefaler, at parterne indgår en aftale om, at arbejdsgiveren kun må tilgå de personoplysninger, som behandles af tillidsrepræsentanten eller den faglige organisation, hvis særlige it-sikkerhedsmæssige forhold fordrer dette. På den måde undermineres fortroligheden ikke unødigt. Desuden anbefales det at indgå aftale om, hvordan arbejdsgiveren skal assistere med anmodninger fra registrerede og sikkerhedsbrud. Derudover skal tillidsrepræsentanten eller den faglige organisation foretage en risikovurdering efter databeskyttelsesforordningens artikel 32, hvor der kan lægges særlig vægt på indholdet af denne aftale.


Konsekvensrettelser

Datatilsynet ændrede i november 2019 praksis for behandlingsgrundlaget for behandling af følsomme personoplysninger.


Som følge heraf har dataansvarlige, som behandler følsomme oplysninger omfattet af forbuddet mod behandling i databeskyttelsesforordningens artikel 9, stk. 1 siden november 2019, skulle finde et behandlingsgrundlag i forordningens artikel 6.  I tillæg hertil har den dataansvarlige skulle finde en undtagelse i forordningens artikel 9, stk. 2 eller bestemmelser, der gennemfører forordningens artikel 9 som behandlingsgrundlag


Vejledningen er nu konsekvensrettet for at tage højde for denne nye praksis.


Rettigheder for stillingsansøgere og ansatte

Datatilsynet har opdateret vejledningens afsnit om rettigheder for stillingsansøgere og ansatte samt kontrol af medarbejdere på baggrund af tilsynssager og  andre konkrete sager.


Det fremgår således nu, at arbejdsgiver i visse situationer kan undlade at give en medarbejder indsigt i forbindelse med fx lønforhandlinger.


Derudover har Datatilsynet tilføjet et afsnit, som vedrører den dataansvarliges oplysningspligt ved kontrolforanstaltninger, som skal leve op til databeskyttelsesforordningens artikel 13 og 14 og udsendes senest 6 uger inden kontrolforanstaltningerne iværksættes. Datatilsynet anbefaler, at arbejdsgiveren udarbejder procedurer for efterlevelsen af reglerne om oplysningspligt og forudgående information i forbindelse med kontrolforanstaltninger over for medarbejdere.


Datatilsynet har endvidere tilføjet et nyt afsnit angående kontrol af medarbejderes komme-gå-tider, hvor det fremgår, at det kan ske ved til- og frakobling af alarmsystemer og scanning af nøglekort eller nøglebrikker.


Det er dog fortsat Datatilsynets opfattelse, at kontrol af medarbejderens komme-gå-tider ikke må finde sted ved, at medarbejdernes fingeraftryk scannes ved ankomst og afgang fra arbejdspladsen. Datatilsynet har dog tidligere i år tilladt brug af fingeraftryk i en sag, hvor en fødevarevirksomhed brugte oplysninger om fingeraftryk med henblik på entydig identifikation af, hvilken medarbejder der tilgår og forlader arbejdspladsen. I den konkrete sag var det afgørende for fødevaresikkerheden, at uvedkommende ikke kunne få adgang til produktionen, samt at det skulle kunne identificeres, hvem der var til stede i produktionen af et givent produkt.


Det må derfor antages, at brug af fingeraftryk under særlige omstændigheder stadig kan være tilladt.


Bech-Bruuns bemærkninger

På baggrund af den opdaterede vejledning anbefaler vi, at organisationer gennemgår deres databeskyttelsespolitikker og procedurer inden for HR, for at sikre, at de er i overensstemmelse med de nye retningslinjer. Særligt anbefaler vi, at man har fokus på:


  • Behandlingsgrundlag i relation til behandling af ansøgninger og følsomme oplysninger
  • Opfyldelse af oplysningspligt i relation til kontrolforanstaltninger.

Den opdaterede vejledning medfører en pligt for arbejdsgivere til at indgå en aftale med deres tillidsrepræsentanter/fagforeningerne vedrørende brug af arbejdsgiverens it-udstyr, hvis tillidsrepræsentanten benytter arbejdsgiverens it-systemer til udførelse af tillidsmandsfunktionen. Vi anbefaler derfor, at organisationer undersøger behovet for indgåelse af en sådan aftale.


Arbejdsgivere skal endvidere være opmærksomme på, at Datatilsynets afgørelse fra tidligere i år angående brug af fingeraftryk ikke er en blåstempling af dette middel til at kontrollere komme-gå-tider, da det er Datatilsynets overordnede anbefaling, at der ikke bruges fingeraftryk til dette formål.


Har din organisation brug for rådgivning i relation til behandling af personoplysninger i forbindelse med ansættelsesforhold, så står vores specialistteam indenfor databeskyttelsesret klar til at hjælpe dig.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Databeskyttelsesjurist - hvor dit arbejde betyder noget for borgernes ret til privatliv
HR-juridisk specialist til Forhandling og Vilkår – Center for HR og Uddannelse
Erfaren personalejuridisk konsulent til Odder Kommune
Advokatfuldmægtig inden for insolvens
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Nyt dansk resumé af Databeskyttelsesrådets (EDPB) årsberetning
Nyt dansk resumé af Databeskyttelsesrådets (EDPB) årsberetning
13/10/2021
Persondata
Regeringens lovprogram 2021/2022 i databeskyttelsesretligt perspektiv
Regeringens lovprogram 2021/2022 i databeskyttelsesretligt perspektiv
12/10/2021
Persondata
GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
11/10/2021
Persondata
Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud
Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud
08/10/2021
Persondata
Datatilsynet: Forsikringsselskab nægter uberettiget en kunde indsigt i overvågningsmateriale
Datatilsynet: Forsikringsselskab nægter uberettiget en kunde indsigt i overvågningsmateriale
07/10/2021
Persondata
Det irske datatilsyn: bøde på 225 mio. EUR til WhatsApp
Det irske datatilsyn: bøde på 225 mio. EUR til WhatsApp
06/10/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted