Datatilsynet har som et af deres fokusområder i 2026 overvågning af medarbejdere, herunder virksomheders brug af overvågning til kontrol af medarbejdere.
Det er derfor vigtigt, at din virksomhed har styr på brugen af overvågning, så den lever op til persondatareglerne. Læs mere om overvågning, betingelser og krav til dokumentation her.
Datatilsynet fører tilsyn med virksomhedernes overholdelse af persondatareglerne – herunder overvågning af medarbejdere.
Overvågning er generelt et indgribende middel, og det gør sig også gældende for overvågning af medarbejdere. Medarbejdere kan have svært ved at give udryk for deres utryghed og utilfredshed ved at blive overvåget og endnu sværere ved at skulle klage over uberettiget overvågning.
Det er derfor relevant for virksomheder at være opmærksomme på Datatilsynets fokusområde og sikre, at overvågning og kontrol af medarbejdere opfylder betingelserne i persondatareglerne. Når en virksomhed overvåger og kontrollerer medarbejdere, behandles der nemlig personoplysninger.
Hvad omfatter overvågning?
Overvågning af medarbejdere kan f.eks. omfatte registrering af medarbejdernes hjemmesidebesøg, sikkerhedskopiering og overvågning af medarbejdernes e-mails, samt registrering af de ansattes færden, herunder komme- og gåtider samt GPS-sporing af firmabiler.
Hvad er betingelserne for overvågning?
Registrering af hjemmesidebesøg og gennemgang af e-mails:
Når du som arbejdsgiver registrerer og dermed overvåger dine medarbejderes brug af internet og e-mail – f.eks. ved logning af hjemmesidebesøg eller ved at gennemgå e-mails – skal der være et gyldigt behandlingsgrundlag efter persondatareglerne. Det relevante retlige grundlag afhænger af, om overvågningen sker som led i en kontrolforanstaltning, der allerede er reguleret i en kollektiv aftale.
Hvis overvågningen eller den efterfølgende gennemgang af logfiler er fastsat i en kollektiv aftale om kontrolforanstaltninger, er det retlige grundlag databeskyttelseslovens § 12, stk. 1, som giver mulighed for at behandle personoplysninger, når kontrollen sker i overensstemmelse med en sådan aftale. Hvis der ikke findes en overenskomstbestemt regulering, skal behandlingen i stedet baseres på persondataforordningens art. 6:
- Art. 6, stk. 1, litra e anvendes af offentlige arbejdsgivere, når behandlingen er nødvendig for at udføre en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse.
- Art. 6, stk. 1, litra f kan anvendes af private arbejdsgivere, når behandlingen bygger på en legitim interesse, der vejer tungere end medarbejderens interesse i privatliv.
Når det retlige grundlag er fastlagt, skal selve kontrollen gennemføres i overensstemmelse med databeskyttelsesreglernes materielle krav. Det indebærer bl.a., at du som arbejdsgiver på forhånd skal have informeret medarbejderne klart og utvetydigt om, at internet- og e-mailbrug registreres, og at de registrerede oplysninger kan blive gennemgået ved mistanke om, at arbejdspladsens retningslinjer er overtrådt. Denne forudgående information er en forudsætning for, at kontrolforanstaltningen kan gennemføres lovligt.
GPS-sporing
Som arbejdsgiver kan du i flere tilfælde have interesse i at overvåge dine medarbejderes færden. Det kan f.eks. være GPS-sporing af firmakøretøjer og -telefoner. GPS-overvågning kan ske, hvis arbejdsgiver har en saglig og legitim interesse. Det kan eksempelvis være planlægning/optimering af ruter, overvågning af transport af personer/varer eller hensyn til de ansattes sikkerhed.
Det retlige grundlag skal ligesom ved anden overvågning fastlægges. Når det retlige grundlag er på plads, skal selve overvågningen leve op til de materielle krav i databeskyttelsesreglerne. Overvågningen skal altid være saglig, nødvendig og proportional i forhold til det formål, arbejdsgiveren ønsker at opfylde. Hvis GPS‑overvågningen er gennemført efter principperne i DA/LO‑aftalen om kontrolforanstaltninger eller tilsvarende aftaler, vil den som udgangspunkt også opfylde persondataforordningens krav om lovlighed, rimelighed og formålsbegrænsning.
Kravet om formålsbegrænsning betyder, at de indsamlede GPS‑data kun må bruges til det konkrete formål, som begrunder overvågningen. Oplysningerne må f.eks. ikke anvendes til løbende adfærdsmonitorering eller til at spore medarbejderens bevægelser i sammenhænge, der ikke er relevante for formålet.
Hvis arbejdsgiveren tillader, at køretøjet anvendes privat, skal medarbejderen have mulighed for at slå GPS‑funktionen fra under privat kørsel. Endelig skal den almindelige oplysningspligt efter persondataforordningen opfyldes overfor medarbejderne. Det indebærer, at medarbejderne – senest når overvågningen etableres – skal have klar information om formålet med GPS‑overvågningen, omfanget af overvågningen, og hvordan de indsamlede oplysninger vil blive anvendt.
Kontrol af komme- og gåtider
Arbejdsgivere kan registrere medarbejdernes komme‑ og gåtider for at kontrollere, om arbejdstiden overholdes i henhold til ansættelseskontrakten.
Det retlige grundlag skal også her fastlægges. Når det retlige grundlagt er fastlagt, skal selve kontrollen gennemføres i overensstemmelse med de generelle principper i persondataforordningens art. 5, herunder krav om lovlighed, rimelighed, transparens, formålsbegrænsning og dataminimering. Det betyder, at arbejdsgiveren på forhånd skal informere medarbejderne klart og utvetydigt om, at deres komme‑ og gåtider registreres, og med hvilket formål oplysningerne behandles. Registreringen kan ske gennem fx nøglekort, adgangsbrikker eller alarmsystemer. Derimod er det ikke tilladt at gennemføre kontrol ved hjælp af biometriske data som fingeraftryk, da en sådan behandling som udgangspunkt ikke kan anses for nødvendig eller proportional i forhold til formålet.
Krav til dokumentation
Når din virksomhed etablerer overvågning eller kontrol af medarbejdere, skal den kunne dokumentere både det retlige grundlag for behandlingen og de faktiske forhold, der gør kontrollen lovlig. Det retlige grundlag afhænger af, hvordan kontrolforanstaltningen er etableret. Hvis kontrollen følger af en kollektiv aftale, er det retlige grundlag databeskyttelseslovens § 12, som giver adgang til behandling af personoplysninger i ansættelsesforhold, når behandlingen er nødvendig for at overholde arbejdsretlige pligter eller rettigheder som fastlagt i lov eller overenskomst.
Hvis kontrollen ikke følger af en kollektiv aftale, beror behandlingen på persondataforordningens art. 6, hvor offentlige arbejdsgivere anvender art. 6, stk. 1, litra e, fordi behandlingen sker som led i en opgave i samfundets interesse eller offentlig myndighedsudøvelse, mens private arbejdsgivere baserer sig på art. 6, stk. 1, litra f om legitime interesser. Persondataforordningens art. 6 præciserer udtrykkeligt, at litra f ikke kan anvendes af offentlige myndigheder, når de handler i deres myndighedsrolle.
Når det retlige grundlag er fastlagt, skal virksomheden skriftligt kunne dokumentere en række forhold, der følger af persondataforordningens principper i art. 5 og øvrige krav.
For det første skal virksomheden kunne redegøre for det konkrete formål med kontrolforanstaltningen, og hvorfor formålet anses for sagligt og legitimt. Dokumentationen skal desuden vise, at behandlingen er nødvendig og proportional, hvilket følger af persondataforordningens grundlæggende principper om dataminimering og rimelighed i art. 5.
Derudover skal virksomheden dokumentere, hvordan den har opfyldt sin oplysningspligt efter art. 13. Det skal bl.a. fremgå, hvordan og hvornår medarbejderne er informeret, herunder hvad der registreres, til hvilke formål, på hvilket grundlag, og hvor længe oplysningerne opbevares. Oplysningspligten er en forudsætning for, at kontrollen kan anses for lovlig efter persondataforordningen.
Virksomheden skal også kunne beskrive sine procedurer for adgang og opbevaring. Dette omfatter, hvem der har adgang til de registrerede oplysninger, hvilken adgangsstyring der gælder, hvor længe oplysninger opbevares samt hvornår og hvordan de slettes. Disse krav følger af opbevaringsbegrænsningen i persondataforordningens art. 5, stk. 1, litra e og behandlingssikkerhed i art. 32, som kræver passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Afhængigt af kontrolforanstaltningens karakter skal virksomheden kunne dokumentere, at der er foretaget en relevant risikovurdering eller, hvis behandlingen indebærer høj risiko for medarbejdernes rettigheder, en egentlig konsekvensanalyse (DPIA). Dette følger af persondataforordningens art. 35, som kræver DPIA ved overvågningsaktiviteter, der indebærer systematisk monitorering i et ansættelsesforhold.
Endelig skal virksomheden have udarbejdet en fortegnelse over behandlingsaktiviteter i henhold til art. 30, hvori behandlingen som led i medarbejderkontrol skal være beskrevet. Fortegnelsen er obligatorisk og skal kunne fremvises til Datatilsynet efter anmodning.
Denne artikel er udgivet efter aftale med Hulgaard Advokater. Den er oprindeligt udgivet her.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
