Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

GDPR-bøde og påbud om at lovliggøre behandling af medarbejderoplysninger

Bech Bruun
12/08/2019
GDPR-bøde og påbud om at lovliggøre behandling af medarbejderoplysninger
Bech Bruun logo
Det græske datatilsyn har givet et internationalt revisionshus en bøde på 150.000 euro grundet navnlig anvendelse af en forkert hjemmel for behandling af medarbejdernes personoplysninger og deraf følgende fejlinformation til medarbejderne i informationen om deres rettigheder.

Som svar på en klage har det græske datatilsyn undersøgt, om et internationalt revisionshus har overholdt databeskyttelsesreglerne, når de har krævet, at medarbejderne skulle give samtykke til virksomhedens behandling af deres personoplysninger.

Tilsynsmyndigheden bemærker i afgørelsen, at personoplysningerne i den konkrete sag skulle anvendes til udførsel af handlinger direkte forbundet med ansættelseskontrakten, til efterlevelse af retlige forpligtelser, som påhviler den dataansvarlige, samt til den smidige og effektive drift af virksomheden, som er virksomhedens legitime interesse.

Det græske tilsyn fandt på den baggrund at samtykke (GDPR art. 6, stk. 1, litra a) ikke var det rigtige grundlag for behandlingen af de omhandlede oplysninger om medarbejderne. Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne.

Det græske tilsyn fandt endvidere, at grundprincippet om lovlig, rimelig og gennemsigtig behandling (GDPR art. 5, stk. 1, litra a) medfører, at samtykke kun kan anvendes som retsgrundlag for behandlingen, når ingen andre behandlingsgrundlag er anvendelige.

Der var givet forkert information til medarbejderne, som aldrig var blevet informeret om de rigtige retsgrundlag. Dette var et brud med princippet om transparens (GDPR art. 5, stk. 1, litra a) og forpligtelsen til at informere medarbejderne (oplysningspligten efter GDPR art. 13 og 14).

Det græske tilsyn fandt også, at revisionshuset overtrådte princippet om ansvarlighed (GDPR art. 5, stk. 2), da det ikke kunne fremlægge bagvedliggende dokumentation for behandlingens lovlighed, og ved at revisionshuset havde overført bevisbyrde til de ansatte.

Sagen har givet det græske datatilsyn anledning til at bruge to af de korrigerende beføjelser, som tilsynet har til rådighed efter GDPR:

  • Revisionshuset er blevet pålagt at bringe behandlingsaktiviteterne i overensstemmelse med bestemmelserne i GDPR indenfor tre måneder.

  • Revisionshuset er blevet pålagt en administrativ bøde på 150.000 euro (hvilket i forhold til den oplyste nettoomsætning på 41.936.426 euro svarer 0.35% af omsætningen.



Bech-Bruuns kommentarer


Sagen understreger vigtigheden af, at de dataansvarlige myndigheder og virksomheder identificerer de korrekte retsgrundlag for behandling af personoplysninger. Hvis retsgrundlaget er forkert, bliver informationen til de registrerede også forkert og evt.  utilstrækkelig og vildledende. Dette forstærkes af, at de registreredes rettigheder er forskellige, alt efter hvilket retsgrundlag der er tale om.

Opfyldelse af oplysningsforpligtelsen overfor medarbejdere er også et af de emner, der kommer på agendaen, når det danske datatilsyn foretager tilsyn senere i år. I en nyhed af 2. juli 2019 publicerede Datatilsynet sine planer for tilsyn, som i andet halvår af 2019 bl.a. omfatter spørgsmål om databeskyttelse i forbindelse med ansættelsesforhold, herunder:

  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?

  • Sletning af oplysninger indsamlet i forbindelse med rekruttering.


For de dataansvarlige myndigheder og virksomheder kan dette være en anledning til at gennemgå de anvendte privatlivspolitikker og oplysningsmeddelelser samt den øvrige GDPR-dokumentation, som skal være på plads.

Bech-Bruun yder blandt andet bistand til virksomheder og myndigheder, som ønsker kvalitetssikring af deres oplysningspligtsmeddelelser og privatlivspolitikker – fx for at sikre, at de beskrevne retsgrundlag er korrekte.

Du er velkommen til at kontakte os, hvis du er interesseret i at høre om mulighederne for at få gennemgået jeres GDPR-dokumentation eller anden bistand.

Læs mere om Datatilsynets planer om tilsyn i Bech-Bruuns nyhed. 

Læs et resume af det græske datatilsyns afgørelse (på engelsk)

 






 






Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
07/04/2021
Persondata
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
31/03/2021
Persondata
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
30/03/2021
Persondata, E-handel og markedsføring
Databeskyttelses­rådets seneste vejledninger og udtalelser
Databeskyttelses­rådets seneste vejledninger og udtalelser
30/03/2021
Persondata
Videoovervågning på arbejdspladsen
Videoovervågning på arbejdspladsen
17/03/2021
Ansættelses- og arbejdsret, Persondata
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
04/03/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted