Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

GDPR-bøde og påbud om at lovliggøre behandling af medarbejderoplysninger

Bech Bruun
12/08/2019
283
GDPR-bøde og påbud om at lovliggøre behandling af medarbejderoplysninger
Bech Bruun logo
Det græske datatilsyn har givet et internationalt revisionshus en bøde på 150.000 euro grundet navnlig anvendelse af en forkert hjemmel for behandling af medarbejdernes personoplysninger og deraf følgende fejlinformation til medarbejderne i informationen om deres rettigheder.

Som svar på en klage har det græske datatilsyn undersøgt, om et internationalt revisionshus har overholdt databeskyttelsesreglerne, når de har krævet, at medarbejderne skulle give samtykke til virksomhedens behandling af deres personoplysninger.

Tilsynsmyndigheden bemærker i afgørelsen, at personoplysningerne i den konkrete sag skulle anvendes til udførsel af handlinger direkte forbundet med ansættelseskontrakten, til efterlevelse af retlige forpligtelser, som påhviler den dataansvarlige, samt til den smidige og effektive drift af virksomheden, som er virksomhedens legitime interesse.

Det græske tilsyn fandt på den baggrund at samtykke (GDPR art. 6, stk. 1, litra a) ikke var det rigtige grundlag for behandlingen af de omhandlede oplysninger om medarbejderne. Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne.

Det græske tilsyn fandt endvidere, at grundprincippet om lovlig, rimelig og gennemsigtig behandling (GDPR art. 5, stk. 1, litra a) medfører, at samtykke kun kan anvendes som retsgrundlag for behandlingen, når ingen andre behandlingsgrundlag er anvendelige.

Der var givet forkert information til medarbejderne, som aldrig var blevet informeret om de rigtige retsgrundlag. Dette var et brud med princippet om transparens (GDPR art. 5, stk. 1, litra a) og forpligtelsen til at informere medarbejderne (oplysningspligten efter GDPR art. 13 og 14).

Det græske tilsyn fandt også, at revisionshuset overtrådte princippet om ansvarlighed (GDPR art. 5, stk. 2), da det ikke kunne fremlægge bagvedliggende dokumentation for behandlingens lovlighed, og ved at revisionshuset havde overført bevisbyrde til de ansatte.

Sagen har givet det græske datatilsyn anledning til at bruge to af de korrigerende beføjelser, som tilsynet har til rådighed efter GDPR:

  • Revisionshuset er blevet pålagt at bringe behandlingsaktiviteterne i overensstemmelse med bestemmelserne i GDPR indenfor tre måneder.

  • Revisionshuset er blevet pålagt en administrativ bøde på 150.000 euro (hvilket i forhold til den oplyste nettoomsætning på 41.936.426 euro svarer 0.35% af omsætningen.



Bech-Bruuns kommentarer


Sagen understreger vigtigheden af, at de dataansvarlige myndigheder og virksomheder identificerer de korrekte retsgrundlag for behandling af personoplysninger. Hvis retsgrundlaget er forkert, bliver informationen til de registrerede også forkert og evt.  utilstrækkelig og vildledende. Dette forstærkes af, at de registreredes rettigheder er forskellige, alt efter hvilket retsgrundlag der er tale om.

Opfyldelse af oplysningsforpligtelsen overfor medarbejdere er også et af de emner, der kommer på agendaen, når det danske datatilsyn foretager tilsyn senere i år. I en nyhed af 2. juli 2019 publicerede Datatilsynet sine planer for tilsyn, som i andet halvår af 2019 bl.a. omfatter spørgsmål om databeskyttelse i forbindelse med ansættelsesforhold, herunder:

  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?

  • Sletning af oplysninger indsamlet i forbindelse med rekruttering.


For de dataansvarlige myndigheder og virksomheder kan dette være en anledning til at gennemgå de anvendte privatlivspolitikker og oplysningsmeddelelser samt den øvrige GDPR-dokumentation, som skal være på plads.

Bech-Bruun yder blandt andet bistand til virksomheder og myndigheder, som ønsker kvalitetssikring af deres oplysningspligtsmeddelelser og privatlivspolitikker – fx for at sikre, at de beskrevne retsgrundlag er korrekte.

Du er velkommen til at kontakte os, hvis du er interesseret i at høre om mulighederne for at få gennemgået jeres GDPR-dokumentation eller anden bistand.

Læs mere om Datatilsynets planer om tilsyn i Bech-Bruuns nyhed. 

Læs et resume af det græske datatilsyns afgørelse (på engelsk)

 






 






Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 44.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
22/09/2020
Persondata
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
06/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted