Ny vejledning om ansættelsesforhold og GDPR fra Datatilsynet
Centrale elementer i den nye vejledning
Dataansvar i ansættelsesretlige sammenhænge
Vejledningen slår fast, at arbejdsgiveren er dataansvarlig i forbindelse med ansættelse, da det er arbejdsgiveren, der træffer beslutning om at ansætte og afskedige ansatte. Arbejdsgiveren er derfor også ansvarlig for behandlingen af de oplysninger, der indsamles i forbindelse med ansættelsen, under ansættelsen og efter ansættelsens ophør.
I relation til tillidsrepræsentanter har der hersket tvivl om, hvorvidt dataansvaret skal placeres hos tillidsrepræsentanten selv eller hos den faglige organisation, hvor tillidsrepræsentanten er tilknyttet. Vejledningen afklarer ikke endeligt dette spørgsmål, idet der fortsat skal foretages en konkret vurdering. Vejledningen påpeger dog en række af de forhold, der skal tages i betragtning ved denne vurdering, herunder rollefordelingen mellem tillidsrepræsentanten og den faglige organisation, evt. instruktionsbeføjelser og de aftaler, der er indgået på området.
Rettigheder for ansøgere og ansatte
Vejledningen fastslår overordnet, at de registreredes rettigheder, herunder rettighederne til indsigt, sletning, indsigelse, oplysning, og berigtigelse, også gælder i ansættelsesforhold med de undtagelser, der følger af ansættelsesforholdets særlige natur. Det anerkendes således i vejledningen, at arbejdsgivere kan have legitime grunde til at gemme oplysninger fra et ansættelsesforhold, eller ligefrem være forpligtet hertil, også selvom den ansatte anmoder om at oplysningerne slettes. Vejledningen fastslår dog også, at arbejdsgivere – som andre dataansvarlige – er forpligtet til at slette personoplysninger fra et ansættelsesforhold af egen drift, når det ikke længere er nødvendigt for arbejdsgiveren at opbevare disse.
Arbejdsgivers behandling af personoplysninger før, under og efter ansættelsesforholdet
Vejledningen gennemgår de typiske processer i forbindelse med ansættelsesforhold, hvor der indhentes og behandles personoplysninger, herunder i forbindelse med rekruttering, under ansættelsesforholdet og efter ansættelsens ophør. Vejledningen præciserer bl.a. hvad der vil gælde i forbindelse med indhentelse og behandling af:
- Referencer
- Straffeattester og børneattester
- Personlighedstest
- Oplysninger på sociale medier
- MUS-skemaer og APV’er
- Videregivelse af medarbejderoplysninger til pensions- og forsikringsselskaber
Kontrol af ansatte
Som et særskilt punkt behandler vejledningen de udfordringer, der kan være forbundet med arbejdsgiverens kontrol af ansatte, herunder arbejdsgiverens mulighed for at opstille kontrolforanstaltninger for brugen af de redskaber, som arbejdsgiveren stiller til rådighed for medarbejderne som f.eks. smartphones, computere, firmabil mv. Vejledningen gennemgår i den forbindelse reglerne for, hvornår arbejdsgiveren må foretage overvågning, herunder overvågning og adgang til fratrådte ansattes e-mail-konti.
Læs hele vejledningen fra Datatilsynet her.
Lund Elmer Sandagers kommentar
Vejledningen bekræfter i vid udstrækning Datatilsynets gældende praksis på området for behandling af personoplysninger i ansættelsesforhold og bygger videre på de tidligere udgivne GDPR-vejledninger fra Datatilsynet. Vejledningen skal derfor læses i sammenhæng med de tidligere vejledninger, herunder især vejledningen om samtykke og om de registreredes rettigheder.
Der er fortsat en række en række problemstillinger, hvor det i sidste ende vil være op til arbejdsgiveren at foretage en konkret vurdering af en påtænkt behandling af de ansattes personoplysninger. Det gælder f.eks. spørgsmålet om i hvilken udstrækning arbejdsgiveren skal indhente samtykke fra de ansatte, herunder i forbindelse med behandling af fotos mv.
Hvis du har spørgsmål til vejledningen, til GDPR i forbindelse med ansættelsesforhold eller andre GDPR-spørgsmål, er du velkommen til at rette henvendelse til specialistadvokat og leder af IT-retsafdelingen Torsten Hylleberg, advokatfuldmægtig Anders Linde Reislev eller advokatfuldmægtig Oliver Valcelli.