Skrevet af

Datatilsynet udgav i 2018 ”Vejledning om databeskyttelse i forbindelse med ansættelsesforhold”, som vi tidligere har beskrevet her. Vejledningen har til formål at opridse de mest almindelige databeskyttelsesretlige problemstillinger i forbindelse med behandling af personoplysninger i hele ansættelsesforholdets livscyklus (rekruttering, under ansættelsen og efter ansættelsesforholdets ophør). Vejledningen er nu blevet revideret på en række punkter og således, at den praksis, Datatilsynet har udviklet i kraft af sine afgørelser, nu indgår i vejledningen.

Når tillidsrepræsentanten sender e-mails
Datatilsynet har udarbejdet et særskilt afsnit i vejledningen om tillidsrepræsentanters brug af arbejdsgivers it-udstyr (fx e-mail) i forbindelse med udøvelse af tillidsrepræsentanthvervet efter tilsynets drøftelser med repræsentanter for arbejdsmarkedets parter.

Det fremgår af vejledningen, at når tillidsrepræsentanten udøver sin funktion som tillidsrepræsentant, er det i udgangspunktet tillidsrepræsentanten og/eller den faglige organisation, der er den dataansvarlige og ikke arbejdsgiver. Det skyldes, at tillidsrepræsentanten er den, der bestemmer formålene med behandlingen.

Det er dog vigtigt at være opmærksom på, at det følger af vejledningen, at når tillidsrepræsentanten benytter arbejdsgiverens it-systemer til varetagelse af funktionen, så sker der ”en særlig form for videregivelse”, eftersom arbejdsgiver opbevarer disse oplysninger, og derfor er arbejdsgiver dataansvarlig for opbevaringen, uden at dette forudsætter, at arbejdsgiver har adgang til oplysningerne. Datatilsynet lægger i vejledningen op til, at der bør indgås en aftale mellem arbejdsgiver og tillidsrepræsentant/faglig organisation herom.

Opmærksomhedspunkter ved kontrol af de ansatte
Arbejdsgivers kontrol med medarbejdere kan finde sted i mange afskygninger – tv-overvågning, GPS-overvågning, logning af ansattes e-mails, brug af internettet mv. – fælles for dem alle er, at arbejdsgiver skal opfylde oplysningspligten efter GDPR art. 13 og 14 på en for medarbejderen lettilgængelig og gennemsigtig måde. Det er naturligvis også væsentligt, at arbejdsgiver overvejer sine forpligtelser, hvis arbejdsgiver er omfattet af en kollektiv kontrolaftale. Datatilsynet har i den forbindelse mere generelt anført, at medarbejdere som hovedregel bør underrettes om kontrolforanstaltningen, 6 uger inden kontrolforanstaltningen iværksættes.

Datatilsynet har desuden tilføjet vejledningen, at det kan være berettiget for arbejdsgiveren at foretage kontrol af ansattes komme-gå-tider. Kontrollen kan gennemføres ved scanning af nøglekort eller nøglebrik, mens scanning af fingeraftryk ikke kan anvendes med det formål at føre kontrol med komme-gå-tider.

Øvrige justeringer
Vejledningen indeholder derudover justeringer af følgende punkter:

• Datatilsynets holdning til behandlingsgrundlaget ved behandling af følsomme personoplysninger (særlige kategorier af personoplysninger), som efter Datatilsynets praksisændring tidligere i år kræver både et grundlag i GDPR artikel 6 og i en (eller flere) af undtagelserne til forbuddet i artikel 9. Der er foretaget konsekvensrettelser af vejledningen i den forbindelse.
• Præcisering af afsnittet om behandling af personoplysninger i rekrutteringssituationen.
• Præcisering af begrænsningerne for offentlige arbejdsgivere ift. berigtigelse og sletning af medarbejderens personoplysninger.
• Yderligere bemærkninger om arbejdsgiveres håndtering af indsigtsanmodninger.

Datatilsynet har i øvrigt i forbindelse med offentliggørelsen af den reviderede vejledning gjort det klart, at Datatilsynet afventer den evaluering af implementeringen af Databeskyttelsesforordningen, som Justitsministeriet igangsatte tidligere i år, og at Datatilsynet forventer, at ”Vejledning om databeskyttelse i forbindelse med ansættelsesforhold” gennemgås og revideres endnu en gang i slutningen af 2021.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.