Datatilsynet udtaler alvorlig kritik i flere sager om efterlevelse af oplysningspligten over for medarbejdere
KORT OM DE FEM SAGER
Under de fem tilsyn, der alle blev foretaget i løbet af sommeren 2020, lagde Datatilsynet vægt på, om tre offentlige myndigheders og to private virksomhedernes iagttagelse af oplysningspligten levede op til princippet om gennemsigtighed. Datatilsynet udtalte kritik i alle fem sager, hvoraf tre af organisationerne modtog alvorlig kritik.
Vi gennemgår sagerne enkeltvist længere nede i artiklen.
LUND ELMER SANDAGERS KOMMENTARER
Datatilsynets afgørelser understreger vigtigheden af, at virksomheder efterlever de grundlæggende principper om proportionalitet og gennemsigtighed – især når det gælder kontrolforanstaltninger over for medarbejdere, som f.eks. kontrol af en medarbejders IT-udstyr, brug af internettet eller (GPS-)overvågning af en medarbejders færden. Kontrol af medarbejdere forudsætter, at medarbejderne på forhånd og på en klar og tydelig måde har fået information om iværksættelse af kontrollen, herunder formålet med kontrollen, og hvordan de oplysninger, der indhentes i forbindelse med kontrollen, bliver behandlet.
Ifølge Datatilsynets afgørelser skal arbejdsgiveren give medarbejderne alle de oplysninger, der følger af art. 13 i GDPR i forbindelse med iværksættelse af en kontrol, herunder oplysning om behandlingsgrundlag (hjemmel), formål med behandlingen og slettefrist for de oplysninger, der indhentes i forbindelse med kontrollen. Det er altså ikke nok, at virksomheden i persondatapolitikken eller personalehåndbogen generelt forbeholder sig ret til at foretage kontrol af medarbejdere uden at oplyse nærmere om, hvad formålet med kontrollen er, og hvordan medarbejderens personoplysninger vil blive behandlet i forbindelse med kontrollen.
Det er også værd at notere, at kontrolforanstaltninger som udgangspunkt ikke kan gennemføres med samtykke som behandlingsgrundlag. Kontrolforanstaltninger forudsætter således, at virksomheden vurderer, at virksomheden har en legitim interesse i at foretage kontrollen, hvorefter kontrollen efter omstændighederne ske med hjemmel i interesseafvejningsreglen, jf. GDPR art. 6, stk. 1, litra f.
I lyset af afgørelserne fra Datatilsynet vil der formentlig være mange virksomheder, der med fordel kan genbesøge deres eksisterende persondatapolitikker og/eller personalehåndbøger for at sikre, at der er oplyst fyldestgørende om de kontrolforanstaltninger, som virksomheden kan tænkes at benytte over for sine medarbejdere.
Har du spørgsmål til, hvordan din virksomhed skal forholde sig til de nye afgørelser fra Datatilsynet, så kontakt vores specialister i GDPR og IT-ret advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.
Gennemgang af de fem sager
TILSYN MED ARBEJDSMARKEDETS TILLÆGSPENSION (ATP)
Datatilsynet afsluttede i august 2020 et planlagt skriftligt tilsyn hos ATP, der fokuserede på ATP’s efterlevelse af reglerne om oplysningspligt ved brug af kontrolforanstaltninger over for deres medarbejdere, samt om oplysningspligten levede op til princippet om kravet om gennemsigtighed.
Efter tilsynet udtalte Datatilsynet alvorlig kritik af ATP’s behandling af personoplysninger, der blandt andet omfatter, at efterlevelsen af oplysningspligten har været mangelfuld. Datatilsynet har yderligere vurderet, at myndigheden ikke har givet medarbejderne tilstrækkelig og tydelig information om formålet med behandling af oplysningerne, retsgrundlaget for behandlingen, kategorierne af personoplysninger og det tidsrum, hvor oplysningerne vil blive opbevaret.
Datatilsynet finder grundlag for at udtale alvorlig kritik af, at ATP’s behandling ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 12-14. Kritikken bunder yderligere i, at ATP’s behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed, der fremgår af forordningens artikel 5.
Læs mere om afgørelsen her.
TILSYN MED KOLDING KOMMUNE
Datatilsynet afsluttede i august 2020 et skriftligt tilsyn hos Kolding kommune og har på baggrund af tilsynet udtalt alvorlig kritik af Koldings Kommunes behandling af personoplysninger.
Den alvorlige kritik bunder i, at Kolding Kommune i vidt omfang har iagttaget oplysningspligten mundtligt over for kommunens medarbejdere.
Datatilsynet udtaler derudover kritik af, at Kolding Kommunes efterlevelse af oplysningspligten har været mangelfuld, fordi kommunen ikke har givet medarbejderne tilstrækkelig information om formålet med behandlingen af personoplysninger, retsgrundlaget for behandlingen, kategorier af personlysninger, tidsrummet hvori personoplysningerne vil blive opbevaret og hvor oplysningerne bliver opbevaret.
Læs mere om afgørelsen her.
TILSYN MED NÆVNENES HUS
Datatilsynet har efter et planlagt skriftligt tilsyn i august 2020 udtalt kritik af nævnenes Hus’ behandling af personoplysninger.
I kritikken udtaler Datatilsynet blandt andet, at Nævnenes Hus’ efterlevelse af oplysningspligten i flere tilfælde har været mangelfuld, herunder ved at myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om identiteten på den dataansvarlige, formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger, eventuelle modtagere eller kategorier af modtagere af oplysningerne og i hvilket tidsrum personoplysningerne bliver opbevaret.
Datatilsynet har på baggrund af tilsynet vurderet, at Nævnenes hus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og 14 samt det grundlæggende princip om gennemsigtighed i forordningens artikel 5.
Læs mere om afgørelsen her.
TILSYN MED TDC A/S
Efter et afsluttet skriftligt tilsyn i august 2020 hos TDC A/S har Datatilsynet fundet anledning til at udtale kritik af TDC A/S behandling af personlysninger.
Kritikken bunder i, at TDC A/S’ efterlevelse af oplysningspligten i ét tilfælde har været mangelfuld, hvor virksomheden blandt ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne.
Datatilsynet begrunder kritikken med, at TDC A/S’ efterlevelse af oplysningspligten har været mangelfuld, og at behandlingen af personoplysninger ikke er sket i overensstemmelse med oplysningspligten. Datatilsynet har derudover vurderet, at TDC A/S’ behandling af personoplysninger ikke har fundet sted i overensstemmelse med det grundlæggende princip om gennemsigtighed.
Læs mere om afgørelsen her her.
TILSYN MED SIF GRUPPEN A/S
Datatilsynet har efter et skriftligt tilsyn i august 2020 udtalt alvorlig kritik af SIF Gruppen A/S’ behandling af personlysninger.
Den alvorlige kritik begrundes med, at SIF Gruppen A/S’ efterlevelse af oplysningspligten i forbindelse med brugen af GPS-overvågning har været mangelfuld. Kritikken omfatter blandt andet, at virksomheden ikke har givet medarbejderne tilstrækkelig information om retsgrundlaget for behandling af personoplysninger, den registreredes rettigheder og retten til at indgive klage til Datatilsynet. Derudover fremgår det, at SIF Gruppen A/S ikke har underrettet medarbejderne om den behandling af personoplysninger, der finder sted i forbindelse med tv-overvågning, hvorfor det heller ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, at tv-overvågningen kan anvendes i kontroløjemed.
Datatilsynet fandt derudover, at SIF Gruppens A/S’ behandling af personoplysninger i forbindelse med den manglende information om kontrolformålet i forhold til brugen af tv-overvågning ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed.
Læs mere om afgørelsen her.