Revideret vejledning fra Datatilsynet om databeskyttelse i ansættelsesforhold

Skre­vet af Kira Kolby Chri­sten­sen, advo­kat og part­ner 03-12-2020

Datatilsynet - dør med logo

Data­til­sy­net har på baggrund af efter­føl­gende prak­sis og inspek­tio­ner på arbejds­plad­serne revi­de­ret deres vejled­ning om data­be­skyt­telse i ansættelsesforhold.

Læs den nye vejled­ning her.

 

Hvilke dele er ændret?

Praksisændring vedrørende følsomme oplysninger

I den ændrede vejled­ning er blandt andet fore­ta­get konse­kvens­ret­tel­ser i forhold til anven­del­sen af bestem­mel­serne i data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 6 og arti­kel 9 som grund­lag for behand­ling af oplysninger.

Efter tidli­gere prak­sis havde man som data­ansvar­lig pr. auto­ma­tik hjem­mel i forord­nin­gens arti­kel 6 til også at behandle følsomme oplys­nin­ger, hvis behand­lin­gen faldt under en af undta­gel­serne i forord­nin­gens arti­kel 9. Man skulle derfor ikke præci­sere et hjem­mels­grund­lag i arti­kel 6 ud over arti­kel 9.

I novem­ber 2019 ændrede Data­til­sy­net denne prak­sis (se nyhed her).

Ændrin­gen havde grund­lag i vindende, der blæste fra EU og de øvrige medlem­s­sta­ter. Med den nye prak­sis skal man til behand­ling af følsomme oplys­nin­ger også præci­sere en særskilt hjem­mel i arti­kel 6.

Det bety­der, at man i langt højere grad end tidli­gere vil have behand­lin­ger, der base­rer sig på inter­es­se­af­vej­nings­be­stem­mel­sen i arti­kel 6, stk. 1, litra f, fordi mange af undta­gel­serne i arti­kel 9 ikke genfin­des med samme formu­le­rin­ger i arti­kel 6. Hvis man for eksem­pel behand­ler følsomme oplys­nin­ger, fordi det er nødven­digt for at få fast­lagt et rets­krav, opfyl­der man undta­gel­sen i arti­kel 9, stk. 2, litra f. Arti­kel 6 inde­hol­der imid­ler­tid ikke en bestem­melse om rets­krav som lovligt grund­lag for behand­ling. Derfor kan man kun anvende inter­es­se­af­vej­nings­be­stem­mel­sen i arti­kel 6, stk. 1, litra f.

Dermed har prak­sis­æn­drin­gen også den helt konkrete konse­kvens, at man som data­ansvar­lig skal være langt mere opmærk­som på indsi­gel­ses­mu­lig­he­den i arti­kel 21, som den regi­stre­rede skal orien­te­res om på klar og utve­ty­dig måde og senest i forbin­delse med indsamlingen.

I mange tilfælde vil man som arbejds­gi­ver anvende hjem­len i data­be­skyt­tel­ses­lo­vens § 12, som også inde­hol­der en inter­es­se­af­vej­nings­be­stem­melse. Denne bestem­melse forud­sæt­ter ikke, at man speci­fikt orien­te­rer om indsi­gel­ses­mu­lig­he­den i arti­kel 21, men forud­sæt­ter dog, at de beret­ti­gede inter­es­ser udsprin­ger af arbejds­ret­lige regler.

 

Forholdet mellem tillidsrepræsentanter og arbejdsgiver

Tillids­re­præ­sen­tan­ter­nes status er en gråzone og præsen­te­rer mange hensyn – både arbejds­ret­ligt og data­be­skyt­tel­ses­ret­ligt. Nogle fagfor­e­nin­ger har vurde­ret at være data­ansvar­lige for deres tillids­re­præ­sen­tan­ter. Andre har vurde­ret, at de ikke har tilstræk­ke­lig instruks­be­fø­jelse over deres tillids­re­præ­sen­tan­ter til at kunne fore­tage den nødven­dige løbende kontrol og tilsyn mv. med henblik på at sikre beskyt­telse af de data, man er data­ansvar­lig for.

Uanset hvil­ken ordning der gælder for den enkelte fagfor­e­ning, opstår spørgs­må­let, hvilke regler der gælder for data, der hører til tillids­re­præ­sen­tan­tens hverv, men som arbejds­gi­ver opbe­va­rer, fordi arbejds­gi­ver i henhold til de arbejds­ret­lige regler skal stille syste­mer mv. til rådig­hed for tillids­re­præ­sen­tan­ten. Umid­del­bart ligner det et forhold mellem data­ansvar­lig og data­be­hand­ler, som heref­ter forud­sæt­ter en databehandlerkontrakt.

Data­til­sy­net er imid­ler­tid nået frem til en mere prag­ma­tisk løsning. Det bety­der, at arbejds­gi­ver alene vil have en teknisk og sikker­heds­mæs­sig rolle i forhold til valg af hjæl­pe­mid­ler (men altså uden at være data­be­hand­ler). Arbejds­gi­ver vil heref­ter være data­ansvar­lig for alene opbe­va­rin­gen af de oplys­nin­ger, der ligger i arbejds­gi­vers syste­mer og skal derfor navn­lig sørge for sikkerhed.

Deri­mod ligger data­ansva­ret for oplys­nin­gerne i øvrigt hos tillids­re­præ­sen­tan­ten eller dennes fagfor­e­ning, hvil­ket bety­der at forplig­tel­serne der knyt­ter sig til de regi­stre­re­des rettig­he­der samt til lovlig behand­ling mv. (de grund­læg­gende betin­gel­ser om lovlig­hed, formåls­be­stemt­hed, gennem­sig­tig­hed, propor­tio­na­li­tet mv.) ligger hos tillids­re­præ­sen­tan­ten eller fagforeningen.

Af hensyn til at sikre tillids­re­præ­sen­tan­tens data, fore­slår Data­til­sy­net stadig, at der indgås en aftale med arbejds­gi­ver og fagfor­e­nin­gen henholds­vis tillids­re­præ­sen­tan­ten. Afta­len skal forpligte arbejds­gi­ver til at sikre, at den forud­satte fortro­lig­hed omkring tillids­re­præ­sen­tan­tens data ikke under­mi­ne­res. Arbejds­gi­ver skal heref­ter forplig­tes til at instru­ere sine IT-medarbejdere om tavs­heds­pligt og fortrolighed.

Afta­len vil dog ikke udgøre en data­be­hand­ler­af­tale, der skal opfylde alle krite­ri­erne herfor i databeskyttelsesforordningen.

 

Andre spørgsmål

I sin revi­de­rede vejled­ning præci­se­rer Data­til­sy­net desuden

  • at behand­lings­grund­la­get for ansøg­nin­ger ikke er samtykke, men deri­mod er afvej­nings­in­ter­es­sen i data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 6, stk. 1, litra f, even­tu­elt kombi­ne­ret med undta­gel­sen i forord­nin­gens arti­kel 9, stk. 1, litra f, om rets­krav, eller data­be­skyt­tel­ses­lo­vens § 8
  • at man i en koncern kan videregive/udveksle oplys­nin­ger om medar­bej­dere – altså også mellem de selv­stæn­dige juri­di­ske enhe­der – og at udveks­lin­gen vil ske  på grund­lag af forord­nin­gens arti­kel 6, stk. 1, litra f (dog vil udveks­ling med 3. lande stadig skulle opfylde de særlige betin­gel­ser herfor)
  • at arbejds­gi­ver fort­sat kan fore­tage kontrol af medar­bej­dere (eksem­pel­vis gennemse mails og søge­hi­sto­rik ved inter­netsøg­nin­ger), og at behand­lings­grund­la­get er data­be­skyt­tel­ses­lo­vens § 12, stk. 1, i det omfang arbejds­gi­ver er omfat­tet af arbejds­ret­lige afta­ler herom, eller data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 6, stk. 1, litra f.

 

Spørgs­mål om vejled­nin­gen og data­be­skyt­telse i øvrigt kan rettes til advo­kat Kira Kolby Chri­sten­sen.

 

Kira Kolby Christensen

Partner

Læs også om