– revideret vejledning om databeskyttelse i forbindelse med ansættelsesforhold.
Den 1. december 2020 offentliggjorde Datatilsynet en revideret udgave af deres Vejledning om databeskyttelse i forbindelse med ansættelsesforhold, som blev udgivet første gang i 2018.
Vejledningen indeholder en gennemgang af de databeskyttelsesretlige regler, der især har betydning i forbindelse med ansættelsesforhold, herunder behandlingsaktiviteter i forbindelse med rekrutteringsprocessen, under ansættelsesforholdet, og i et vist omfang efter ansættelsesforholdet er endt.
Revisionen af vejledningen sker på baggrund af drøftelser med repræsentanter for arbejdsmarkedet samt udfaldet af konkrete sager og praksisændringer indenfor databeskyttelsesretten.
Opdateringen omhandler følgende punkter:
- Tillidsrepræsentanters brug af arbejdsgiverens it-udstyr,
- Konsekvensrettelser som følge af den nye forståelse af persondataforordningens artikel 6 og 9 (dobbelt hjemmelskrav), og
- Justeringer af rettighederne for stillingsansøgere og ansatte, herunder kontrol af medarbejdere.
Det er særlig vigtigt at være opmærksom på, at Datatilsynet introducerer en ny aftale, som Datatilsynet anbefaler arbejdsgivere og tillidsrepræsentanter at indgå ift. tillidsrepræsentanters behandling af personoplysninger på arbejdsgivers it-udstyr.
Tillidsrepræsentanters brug af arbejdsgivers it-udstyr
Den tidligere vejledning omfattede alene de overordnede forhold og databeskyttelsesretlige regler, der gælder ift. tillidsrepræsentanter og den faglige organisation, hvilket efterlod en række spørgsmål om de databeskyttelsesretlige problemstillinger, som blandt andet opstår, når tillidsrepræsentanter anvender arbejdsgivers it-udstyr til behandling af personoplysninger.
Det følger af den reviderede vejledning, at tillidsrepræsentanten i fællesskab med den faglige organisation er dataansvarlig for behandlingen af de personoplysninger, der sker som led i varetagelsen af tillidsfunktionen.
Årsagen hertil er, at det er tillidsrepræsentanten og/eller den faglige organisation, der bestemmer formålene med deres behandling. Arbejdsgiveren fastsætter således alene de tekniske hjælpemidler, der er nødvendige for den praktiske implementering af behandlingen. Datatilsynet anfører dog, at det som udgangspunkt ikke er muligt for tillidsrepræsentanten at instruere arbejdsgiveren, hvilket medfører, at arbejdsgiveren hverken er databehandler eller fælles dataansvarlig med tillidsrepræsentanten og/eller den faglige organisation.
Datatilsynet konkluderer på baggrund heraf, at arbejdsgiveren skal betragtes som selvstændig dataansvarlig i forhold til opbevaringen af de oplysninger, som tillidsrepræsentanten behandler i arbejdsgivers it-systemer. Dette medfører, at der ved tillidsrepræsentantens brug af arbejdsgiverens it-udstyr er tale om videregivelse af personoplysninger, som har hjemmel i persondataforordningens artikel 6 og i databeskyttelseslovens § 12.
Datatilsynet anbefaler i den forbindelse, at parterne indgår en aftale, hvori rammerne for denne videregivelse og de it-sikkerhedsmæssige forhold vedr. arbejdsgiverens adgang til personoplysningerne reguleres. Aftalen bør desuden fastlægge, hvordan arbejdsgiveren skal assistere i forbindelse med databrud og anmodninger fra de registrerede. Datatilsynet opfordrer desuden tillidsrepræsentanten eller den faglige forening til at foretage en risikovurdering efter persondataforordningens artikel 32, hvor nævnte aftale inddrages.
Dobbelt hjemmelskrav
I november forrige år offentliggjorde Datatilsynet en praksisændring for, hvordan dataansvarlige må behandle følsomme oplysninger omfattet af persondataforordningens artikel 9, stk. 1. Du kan læse Datatilsynets omtale af praksisændringen her.
Det er denne ændring, der nu er implementeret i vejledningen om databeskyttelse i forbindelse med ansættelsesforhold.
Det følger af denne praksisændring, at dataansvarlige, der behandler følsomme oplysninger som fx helbredsoplysninger om medarbejdere omfattet af behandlingsforbuddet i persondataforordningens artikel 9, stk. 1, skal kunne identificere:
- En undtagelse til forbuddet enten i forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9, og
- et lovlig grundlag for behandlingen i forordningens artikel 6.
Det har forinden Datatilsynets praksisændring været tilstrækkeligt, at den dataansvarlige alene identificerede en undtagelse til forbuddet i forordningens artikel 9, stk. 2 (punkt 1).
Datatilsynet understreger derudover, at persondataforordningens artikel 5, der fastlægger grundlæggende principper om fair og gennemsigtig behandling af personoplysninger, tillige altid skal være opfyldt.
Rettigheder for stillingsansøgere og ansatte
Det følger af den reviderede vejledning, at der er visse situationer, hvor arbejdsgiver ikke er forpligtet til at imødekomme en medarbejders indsigtsanmodning. Dette gælder fx i forbindelse med lønforhandlinger, hvor hensynet til arbejdsgiverens forhandlingsposition og generelle forhold på arbejdspladsen ud fra en konkret vurdering kan begrunde, at indsigten skal begrænses.
Datatilsynet har også inkluderet arbejdsgiverens oplysningspligt, der skal iagttages over for medarbejderne efter persondataforordningens artikel 13 og 14 i forbindelse med brug af kontrolforanstaltninger.
Det følger af vejledningen, at medarbejderne skal informeres tydeligt om eventuelle kontrolforanstaltninger, minimum 6 uger inden de iværksættes.
Datatilsynet foreslår endvidere, at arbejdsgiver skal udarbejde faste procedurer for, hvordan opfyldelsen af oplysningspligten sikres.
CLEMENS Advokatfirmas bemærkninger
Den nye reviderede udgave af Datatilsynets vejledning er en oplagt anledning til at gennemgå virksomhedens procedurer og politikker med henblik på at vurdere, om der er grundlag for eventuelle opdateringer.
Herudover anbefales det, at der udarbejdes de fornødne retningslinjer og aftaler mellem virksomheden og eventuelle tillidsrepræsentanter i forhold til tillidsrepræsentanters brug af virksomhedens it-udstyr.
I den forbindelse er det i øvrigt vigtigt at være opmærksom på, om opbevaring af personoplysninger, som tillidsrepræsentanten registrerer i virksomhedens it-systemer, er omfattet af virksomhedens artikel 30-fortegnelser.
Hvis du har spørgsmål til vejledningen eller brug for hjælp til udarbejdelse af en aftale med tillidsrepræsentanter, udarbejdelse af privatlivspolitik eller procedurer for iagttagelse af oplysningspligten, så står vores team af databeskyttelsesspecialister altid klar til at hjælpe.