Persondata: Hvad skal man som arbejdsgiver være opmærksom på, når man behandler personoplysninger om sine medarbejdere?
Den 25. maj 2018 trådte den meget omtalte databeskyttelsesforordning (hos mange omtalt som persondataforordningen) i kraft i hele EU. I Danmark har vi suppleret EU-forordningen med databeskyttelsesloven, som træder i stedet for den tidligere persondatalov.
Databeskyttelsesreglerne har det overordnede formål at styrke og ensrette databeskyttelsen for personer i EU. Reglerne skal overholdes af alle virksomheder, organisationer mv., som behandler personoplysninger.
Virksomheder behandler både personoplysninger om deres kunder, samarbejdspartnere og ikke mindst om deres medarbejdere.
Datatilsynet har udgivet en vejledning om databeskyttelse i ansættelsesforhold, som kan være et særligt komplekst område. Som arbejdsgiver og dataansvarlig bevæger man sig i et område, der ikke alene påvirkes af de overordnede databeskyttelsesregler, men tillige af de ansættelsesretlige regler, kollektive overenskomster mv.
Du kan læse Datatilsynets vejledning her
Vejledningen fra Datatilsynet går ikke i dybden med enhver situation, der kan opstå i forbindelse med et ansættelsesforhold, men giver en introduktion til de mest almindeligt forekommende problemstillinger ved behandling af personoplysninger i et ansættelsesforhold, herunder behandling af følsomme personoplysninger, behandling af CPR-nummer, oplysninger om strafbare forhold og tillidsrepræsentanters behandling af personoplysninger.
Som arbejdsgiver og ikke mindst dataansvarlig er det vigtigt, at man er opmærksom på, at medarbejderne har samme rettigheder som f.eks. virksomhedens kunder. Personoplysninger om medarbejderne skal derfor behandles efter de samme grundlæggende principper som f.eks. kundeoplysninger.
De grundlæggende principper følger direkte af databeskyttelsesreglerne. Behandling af medarbejdernes personoplysninger skal bl.a. behandles på en lovlig og gennemsigtig måde og alene anvendes til det formål, de oprindeligt er blevet indsamlet til. Arbejdsgiveren er den dataansvarlige og skal derfor sørge for, at personoplysningerne bliver behandlet i overensstemmelse med reglerne, herunder at der kun behandles nødvendige og ajourførte personoplysninger i den periode, det er nødvendigt for ansættelsesforholdet, samt at der er iagttaget de behørige sikkerhedsforanstaltninger.
Arbejdsgiveren behandler personoplysninger ved rekruttering, løbende i ansættelsesforholdet og endeligt, efter ansættelsesforholdet er ophørt. Det er derfor vigtigt, at man som arbejdsgiver er opmærksom på, at en ansøger til en stilling har samme rettigheder som en medarbejder, der er eller har været ansat i virksomheden.
Behandling af personoplysninger ved rekruttering
Behandling af personoplysninger indledes allerede ved rekrutteringsprocessen. Afhængigt af om det er en opfordret eller uopfordret rekrutteringsproces, giver det forskellige typer af udfordringer. Så snart arbejdsgiveren modtager en ansøgning, påbegyndes behandlingen af personoplysninger, og ansøgerens rettigheder ”aktiveres”, hvilket betyder, at også arbejdsgiverens forpligtelser, herunder særligt oplysningsforpligtelsen, indtræder.
En rekrutteringsproces forløber forskelligt i de enkelte virksomheder. Fælles for mange virksomheder er både en proces med anvendelse af en rekrutteringsvirksomhed og en proces med at videresende en ansøgning til de relevante personer i virksomheden – en proces, som kan skabe en række udfordringer, idet der potentielt opbevares personoplysninger flere steder end nødvendigt, og databeskyttelsesprincipperne kan være vanskelige at iagttage.
I en rekrutteringsproces er det vigtigt at være opmærksom på, hvilke personoplysninger man anmoder en ansøger om, og om man har det tilstrækkelige saglige grundlag for at anmode om oplysningen, f.eks. i forbindelse med indhentelse af straffeattester. Det er ligeledes vigtigt, at arbejdsgiveren er opmærksom på, om der er behov for ansøgerens samtykke til bl.a. at indhente referencer fra tidligere arbejdsgivere, samt om der er indhentet samtykke til, at arbejdsgiveren må opbevare ansøgningen efter endt rekrutteringsforløb.
Behandling af personoplysninger under ansættelsen
Efter rekrutteringsprocessen følger det løbende ansættelsesforhold, hvor der indsamles yderligere personoplysninger om medarbejderen, f.eks. CPR-nummer, helbredsoplysninger og oplysninger om pårørende og lignende. Her er det igen arbejdsgiveren, der har ansvaret for, at medarbejderen bliver oplyst om, hvilke personoplysninger arbejdsgiveren indsamler og til hvilke formål.
Den løbende ansættelse kan ofte give anledning til en række udfordringer, idet der løbende indhentes oplysninger på medarbejderne, som opbevares i personalemappen, f.eks. referat af MUS-samtaler og lignende. For at behandlingen af personoplysningerne er lovlig, kan det være nødvendigt at indhente samtykke fra medarbejderne. Det er f.eks. tilfældet ved offentliggørelse af billedmateriale. Hvis en arbejdsgiver ønsker at lægge et portrætbillede på sin hjemmeside af medarbejderne, kræver det et samtykke fra medarbejderen. Ønsker medarbejderen ikke at afgive samtykke, skal arbejdsgiveren respektere dette, uden at det får ansættelsesretlige konsekvenser for medarbejderen.
Som arbejdsgiver skal man derfor være opmærksom på, at hvis behandling af personoplysninger alene sker på baggrund af medarbejderens samtykke, så kan medarbejderen trække samtykket og dermed behandlingsgrundlaget tilbage, og arbejdsgiveren må herefter ikke behandle de pågældende personoplysninger. Det bemærkes i den forbindelse, at et tilbagetrukket samtykke alene gælder den fremtidige behandling af personoplysningerne.
Kontrol af medarbejdere
Arbejdsgiveren kan have brug for at udføre kontrol med deres medarbejderne. Udøvelse af kontrolforanstaltninger indebærer en behandling af personoplysninger og skal derfor ske i overensstemmelse med både databeskyttelsesreglerne og de aftaler, som er indgået mellem arbejdsmarkedets parter.
Hvis arbejdsgiveren f.eks. anvender GPS- eller tv-overvågning af medarbejderne, skal overvågningen være sagligt begrundet og med et fornuftigt formål. Medarbejderne skal orienteres om en sådan foranstaltning senest 6 uger inden iværksættelsen, og samtidigt med at formålet og opbevaringsperioden (særlige slettefrister for kriminalitetsforebyggende tv-overvågning) oplyses, skal arbejdsgiveren oplyse, i hvilke tilfælde indholdet af tv-overvågningen kan videregives til f.eks. Politiet.
Uanset om der er tale om GPS- eller tv-overvågning, må de indsamlede oplysninger ikke anvendes til andet formål, end det oprindeligt er indsamlet til. Hvis GPS-overvågning f.eks. er begrundet i overvågning af transport, er det ikke tilladt at viderebehandle oplysningerne til at overvåge medarbejderens adfærd.
Det bemærkes i den forbindelse, at såfremt der er installeret GPS-overvågning i et køretøj, som også må anvendes til privat kørsel, skal der være mulighed for at frakoble GPS-overvågningen, når der foretages privat kørsel i køretøjet.
Behandling af personoplysninger efter ansættelsesforholdet er ophørt
Når et ansættelsesforhold ophører, er det vigtigt, at arbejdsgiveren er opmærksom på, hvornår den fratrådte medarbejders personoplysninger ikke længere er nødvendige at opbevare. Det kan ofte være en udfordring, og det er derfor nødvendigt, at virksomheden har procedurer for, hvornår fratrådte medarbejderes personoplysninger kan slettes (så de ikke længere kan genskabes). Det gælder tillige den fratrådte medarbejders e-mail konto, som med adgang for enkelte betroede medarbejdere kan holdes aktiv så længe det er nødvendigt efter fratrædelsen, dog maksimalt i 12 måneder.
I vurderingen, af hvad der er nødvendigt, er hovedreglen, at der skal være et sagligt formål med den fortsatte opbevaring af personoplysningerne. Ifølge Datatilsynet er f.eks. hensynet til at dokumentere historikken i en personalesag at betragte som et sagligt formål, ligesom behovet for at kunne dokumentere årsagen til en afskedigelse er et sagligt formål.
Når det saglige formål ikke længere eksisterer, skal personoplysningerne om den fratrådte medarbejder altså slettes.
Kom i mål med persondata (GDPR)
Både før, under og efter ansættelsesforholdet har medarbejderen en række rettigheder, man kan gøre gældende. Det er derfor vigtigt, at man som arbejdsgiver er bekendt med medarbejderens rettigheder og har indrettet procedurer, som sikrer, at man kan imødekomme en medarbejders udøvelse af sine rettigheder, f.eks. indsigtsretten og retten til at blive glemt.
Hos Kielberg Advokater hjælper vi mange typer virksomheder med at få indrettet procedurer og dokumentation, der sikrer, at behandlingen af personoplysninger over for både kunder, samarbejdspartnere og medarbejdere sker i overensstemmelse med databeskyttelsesreglerne.
Vores rådgivning har særligt fokus på, hvad den enkelte virksomhed skal gøre for at sikre fornøden og passende databeskyttelse – både internt og eksternt. Vi arbejder ud fra et princip om, at virksomheden naturligvis skal implementere de tiltag, som er lovpligtige, men at det er mindst lige så vigtigt, at implementeringen er skræddersyet og skaber værdi i den enkelte virksomhed.
Hos Kielberg Advokater har vi derfor en praktisk tilgang til, hvordan databeskyttelse skal implementeres og kommunikeres.
Ønsker du at høre mere om, hvordan vi kan hjælpe din virksomhed med at overholde databeskyttelsesreglerne, så kontakt os for en uforpligtende samtale om din virksomheds behov.