Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

GDPR-bøde og påbud om at lovliggøre behandling af medarbejderoplysninger

Bech-Bruun
12/08/2019
GDPR-bøde og påbud om at lovliggøre behandling af medarbejderoplysninger
Bech-Bruun logo
Det græske datatilsyn har givet et internationalt revisionshus en bøde på 150.000 euro grundet navnlig anvendelse af en forkert hjemmel for behandling af medarbejdernes personoplysninger og deraf følgende fejlinformation til medarbejderne i informationen om deres rettigheder.

Som svar på en klage har det græske datatilsyn undersøgt, om et internationalt revisionshus har overholdt databeskyttelsesreglerne, når de har krævet, at medarbejderne skulle give samtykke til virksomhedens behandling af deres personoplysninger.

Tilsynsmyndigheden bemærker i afgørelsen, at personoplysningerne i den konkrete sag skulle anvendes til udførsel af handlinger direkte forbundet med ansættelseskontrakten, til efterlevelse af retlige forpligtelser, som påhviler den dataansvarlige, samt til den smidige og effektive drift af virksomheden, som er virksomhedens legitime interesse.

Det græske tilsyn fandt på den baggrund at samtykke (GDPR art. 6, stk. 1, litra a) ikke var det rigtige grundlag for behandlingen af de omhandlede oplysninger om medarbejderne. Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne.

Det græske tilsyn fandt endvidere, at grundprincippet om lovlig, rimelig og gennemsigtig behandling (GDPR art. 5, stk. 1, litra a) medfører, at samtykke kun kan anvendes som retsgrundlag for behandlingen, når ingen andre behandlingsgrundlag er anvendelige.

Der var givet forkert information til medarbejderne, som aldrig var blevet informeret om de rigtige retsgrundlag. Dette var et brud med princippet om transparens (GDPR art. 5, stk. 1, litra a) og forpligtelsen til at informere medarbejderne (oplysningspligten efter GDPR art. 13 og 14).

Det græske tilsyn fandt også, at revisionshuset overtrådte princippet om ansvarlighed (GDPR art. 5, stk. 2), da det ikke kunne fremlægge bagvedliggende dokumentation for behandlingens lovlighed, og ved at revisionshuset havde overført bevisbyrde til de ansatte.

Sagen har givet det græske datatilsyn anledning til at bruge to af de korrigerende beføjelser, som tilsynet har til rådighed efter GDPR:

  • Revisionshuset er blevet pålagt at bringe behandlingsaktiviteterne i overensstemmelse med bestemmelserne i GDPR indenfor tre måneder.

  • Revisionshuset er blevet pålagt en administrativ bøde på 150.000 euro (hvilket i forhold til den oplyste nettoomsætning på 41.936.426 euro svarer 0.35% af omsætningen.



Bech-Bruuns kommentarer


Sagen understreger vigtigheden af, at de dataansvarlige myndigheder og virksomheder identificerer de korrekte retsgrundlag for behandling af personoplysninger. Hvis retsgrundlaget er forkert, bliver informationen til de registrerede også forkert og evt.  utilstrækkelig og vildledende. Dette forstærkes af, at de registreredes rettigheder er forskellige, alt efter hvilket retsgrundlag der er tale om.

Opfyldelse af oplysningsforpligtelsen overfor medarbejdere er også et af de emner, der kommer på agendaen, når det danske datatilsyn foretager tilsyn senere i år. I en nyhed af 2. juli 2019 publicerede Datatilsynet sine planer for tilsyn, som i andet halvår af 2019 bl.a. omfatter spørgsmål om databeskyttelse i forbindelse med ansættelsesforhold, herunder:

  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?

  • Sletning af oplysninger indsamlet i forbindelse med rekruttering.


For de dataansvarlige myndigheder og virksomheder kan dette være en anledning til at gennemgå de anvendte privatlivspolitikker og oplysningsmeddelelser samt den øvrige GDPR-dokumentation, som skal være på plads.

Bech-Bruun yder blandt andet bistand til virksomheder og myndigheder, som ønsker kvalitetssikring af deres oplysningspligtsmeddelelser og privatlivspolitikker – fx for at sikre, at de beskrevne retsgrundlag er korrekte.

Du er velkommen til at kontakte os, hvis du er interesseret i at høre om mulighederne for at få gennemgået jeres GDPR-dokumentation eller anden bistand.

Læs mere om Datatilsynets planer om tilsyn i Bech-Bruuns nyhed. 

Læs et resume af det græske datatilsyns afgørelse (på engelsk)

 






 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Datatilsynets årsberetning 2023
Datatilsynets årsberetning 2023
16/09/2024
Persondata
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
27/09/2024
Persondata
Borgere havde ret til indsigt i navn på utilsigtet modtager
Borgere havde ret til indsigt i navn på utilsigtet modtager
07/10/2024
Persondata
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
09/10/2024
Persondata
Tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework er nu evalueret for første gang
Tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework er nu evalueret for første gang
I går
Persondata
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
I går
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted