fbpx

Revideret vejledning fra Datatilsynet om databeskyttelse i ansættelsesforhold

Skrevet af Kira Kolby Christensen, advokat og partner 03-12-2020

Datatilsynet - dør med logo

Datatilsynet har på baggrund af efterfølgende praksis og inspektioner på arbejdspladserne revideret deres vejledning om databeskyttelse i ansættelsesforhold.

Læs den nye vejledning her.

 

Hvilke dele er ændret?

Praksisændring vedrørende følsomme oplysninger

I den ændrede vejledning er blandt andet foretaget konsekvensrettelser i forhold til anvendelsen af bestemmelserne i databeskyttelsesforordningens artikel 6 og artikel 9 som grundlag for behandling af oplysninger.

Efter tidligere praksis havde man som dataansvarlig pr. automatik hjemmel i forordningens artikel 6 til også at behandle følsomme oplysninger, hvis behandlingen faldt under en af undtagelserne i forordningens artikel 9. Man skulle derfor ikke præcisere et hjemmelsgrundlag i artikel 6 ud over artikel 9.

I november 2019 ændrede Datatilsynet denne praksis (se nyhed her).

Ændringen havde grundlag i vindende, der blæste fra EU og de øvrige medlemsstater. Med den nye praksis skal man til behandling af følsomme oplysninger også præcisere en særskilt hjemmel i artikel 6.

Det betyder, at man i langt højere grad end tidligere vil have behandlinger, der baserer sig på interesseafvejningsbestemmelsen i artikel 6, stk. 1, litra f, fordi mange af undtagelserne i artikel 9 ikke genfindes med samme formuleringer i artikel 6. Hvis man for eksempel behandler følsomme oplysninger, fordi det er nødvendigt for at få fastlagt et retskrav, opfylder man undtagelsen i artikel 9, stk. 2, litra f. Artikel 6 indeholder imidlertid ikke en bestemmelse om retskrav som lovligt grundlag for behandling. Derfor kan man kun anvende interesseafvejningsbestemmelsen i artikel 6, stk. 1, litra f.

Dermed har praksisændringen også den helt konkrete konsekvens, at man som dataansvarlig skal være langt mere opmærksom på indsigelsesmuligheden i artikel 21, som den registrerede skal orienteres om på klar og utvetydig måde og senest i forbindelse med indsamlingen.

I mange tilfælde vil man som arbejdsgiver anvende hjemlen i databeskyttelseslovens § 12, som også indeholder en interesseafvejningsbestemmelse. Denne bestemmelse forudsætter ikke, at man specifikt orienterer om indsigelsesmuligheden i artikel 21, men forudsætter dog, at de berettigede interesser udspringer af arbejdsretlige regler.

 

Forholdet mellem tillidsrepræsentanter og arbejdsgiver

Tillidsrepræsentanternes status er en gråzone og præsenterer mange hensyn – både arbejdsretligt og databeskyttelsesretligt. Nogle fagforeninger har vurderet at være dataansvarlige for deres tillidsrepræsentanter. Andre har vurderet, at de ikke har tilstrækkelig instruksbeføjelse over deres tillidsrepræsentanter til at kunne foretage den nødvendige løbende kontrol og tilsyn mv. med henblik på at sikre beskyttelse af de data, man er dataansvarlig for.

Uanset hvilken ordning der gælder for den enkelte fagforening, opstår spørgsmålet, hvilke regler der gælder for data, der hører til tillidsrepræsentantens hverv, men som arbejdsgiver opbevarer, fordi arbejdsgiver i henhold til de arbejdsretlige regler skal stille systemer mv. til rådighed for tillidsrepræsentanten. Umiddelbart ligner det et forhold mellem dataansvarlig og databehandler, som herefter forudsætter en databehandlerkontrakt.

Datatilsynet er imidlertid nået frem til en mere pragmatisk løsning. Det betyder, at arbejdsgiver alene vil have en teknisk og sikkerhedsmæssig rolle i forhold til valg af hjælpemidler (men altså uden at være databehandler). Arbejdsgiver vil herefter være dataansvarlig for alene opbevaringen af de oplysninger, der ligger i arbejdsgivers systemer og skal derfor navnlig sørge for sikkerhed.

Derimod ligger dataansvaret for oplysningerne i øvrigt hos tillidsrepræsentanten eller dennes fagforening, hvilket betyder at forpligtelserne der knytter sig til de registreredes rettigheder samt til lovlig behandling mv. (de grundlæggende betingelser om lovlighed, formålsbestemthed, gennemsigtighed, proportionalitet mv.) ligger hos tillidsrepræsentanten eller fagforeningen.

Af hensyn til at sikre tillidsrepræsentantens data, foreslår Datatilsynet stadig, at der indgås en aftale med arbejdsgiver og fagforeningen henholdsvis tillidsrepræsentanten. Aftalen skal forpligte arbejdsgiver til at sikre, at den forudsatte fortrolighed omkring tillidsrepræsentantens data ikke undermineres. Arbejdsgiver skal herefter forpligtes til at instruere sine IT-medarbejdere om tavshedspligt og fortrolighed.

Aftalen vil dog ikke udgøre en databehandleraftale, der skal opfylde alle kriterierne herfor i databeskyttelsesforordningen.

 

Andre spørgsmål

I sin reviderede vejledning præciserer Datatilsynet desuden

  • at behandlingsgrundlaget for ansøgninger ikke er samtykke, men derimod er afvejningsinteressen i databeskyttelsesforordningens artikel 6, stk. 1, litra f, eventuelt kombineret med undtagelsen i forordningens artikel 9, stk. 1, litra f, om retskrav, eller databeskyttelseslovens § 8
  • at man i en koncern kan videregive/udveksle oplysninger om medarbejdere – altså også mellem de selvstændige juridiske enheder – og at udvekslingen vil ske  på grundlag af forordningens artikel 6, stk. 1, litra f (dog vil udveksling med 3. lande stadig skulle opfylde de særlige betingelser herfor)
  • at arbejdsgiver fortsat kan foretage kontrol af medarbejdere (eksempelvis gennemse mails og søgehistorik ved internetsøgninger), og at behandlingsgrundlaget er databeskyttelseslovens § 12, stk. 1, i det omfang arbejdsgiver er omfattet af arbejdsretlige aftaler herom, eller databeskyttelsesforordningens artikel 6, stk. 1, litra f.

 

Spørgsmål om vejledningen og databeskyttelse i øvrigt kan rettes til advokat Kira Kolby Christensen.

 

Kira Kolby Christensen

Partner

Læs også om