Fem nye afgørelser fra Datatilsynet sætter fokus på mangelfuld efterlevelse af oplysningspligten over for medarbejdere ved brug af kontrolforanstaltninger.
Datatilsynet udtalte alvorlig kritik i tre af sagerne og kritik i de to resterende sager.
I denne artikel kan du læse mere om oplysningspligten, hvordan du informerer dine medarbejdere ifølge reglerne, og hvad de skal informeres om.
Hvornår har du en oplysningspligt?
Som arbejdsgiver har du en oplysningspligt (i henhold til GDPR) over for dine medarbejdere, når du behandler, herunder opbevarer personoplysninger om dem. Denne oplysningspligt gælder også, når du som arbejdsgiver gør brug af kontrolforanstaltninger over for dine medarbejdere.
Eksempler på kontrolforanstaltninger kan være:
- Logning af brugen af internet og fagsystemer
- Logning af adgang til fysiske lokationer.
- Adgang til medarbejderes e-mails.
- Indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet.
- TV-overvågning.
- GPS-sporing af køretøjer.
Oplysningspligten skal bl.a. leve op til GDPR-reglernes princip om gennemsigtighed. Det betyder blandt andet, at den dataansvarlige som udgangspunkt skal give medarbejderne forudgående og let tilgængelig information om de anvendte kontrolforanstaltninger.
Forudgående og let tilgængelig information
For at sikre forudgående og let tilgængelig information om de anvendte kontrolforanstaltninger over for alle medarbejdere, kan oplysningerne eksempelvis skrives ind i ansættelseskontrakten eller i velkomstmailen til dine nye medarbejdere.
Det er ifølge Datatilsynet ikke tilstrækkeligt, at ansættelseskontrakten eller velkomstmailen blot henviser til et intranet, hvori information om kontrolforanstaltningerne kan findes. Det er heller ikke tilstrækkeligt udelukkende at informere om kontrolforanstaltningerne mundtligt.
Ifølge Datatilsynet må oplysningsteksten desuden ikke være overordnet og generel. Teksten skal give konkret information om de specifikke kontrolforanstaltninger samt formålet med at indsamle personoplysningerne, hvilke oplysninger der indsamles m.m.
Hvad skal medarbejderne informeres om?
Oplysningsteksten om kontrolforanstaltningerne skal hovedsageligt indeholde:
- Hvilke kontrolforanstaltninger er der på arbejdspladsen? F.eks. TV-overvågning eller logning af internetbrug.
- Hvad er formålet med, behandlingsgrundlaget for og omfanget af kontrolforanstaltningerne?
- Hvilke kategorier af personoplysninger indsamles der? Er der tale om personfølsomme oplysninger, kontakt- eller lokationsoplysninger?
- Hvor længe opbevares oplysningerne, og hvilke kriterier ligger til grund for dette tidsrum?
- Hvordan får medarbejderen slettet sine oplysninger?
- Hvilke kategorier af modtagere bliver oplysningerne eventuelt videregivet til? F.eks. politiet eller Google.
- Hvilke rettigheder har medarbejderen i henhold til GDPR?
- Information om klagevejledning.
- Kontaktinformation på virksomheden.
Der er derudover krav om skiltning ved TV-overvågning.
Du kan læse de fem afgørelser fra Datatilsynet her: Nye afgørelser: Tilsyn med efterlevelse af oplysningspligten.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at
kontakte mig.
-medium.jpg)
-medium.jpg)
