Datatilsynet har den 26. november 2018 publiceret vejledning om databeskyttelse i relation til ansættelsesforhold. Vejledningen gennemgår de mest gængse GDPR-problemstillinger, når det gælder i ansættelsesforhold. Den bør dog læses i sammenhæng med Datatilsynets øvrige vejledninger.

Det er arbejdsgiveren, der træffer beslutning om at ansætte og afskedige, og som tilrettelægger udførelsen af det arbejde, som de ansatte skal udføre. Arbejdsgiveren er derfor dataansvarlig for behandlingen af de oplysninger, der indsamles i forbindelse med ansættelse mv.

Der har været stor tvivl om, hvem der er dataansvarlig i forhold til tillidsrepræsentanters arbejdsopgaver som tillidsvalgte – om det er tillidsrepræsentanten eller den faglige organisation. Tillidsrepræsentanten er ansat hos arbejdsgiveren, men er talsmand over for ledelsen som det lokale led i en faglig struktur. Vejledningen fastslår, at det afhænger af, hvordan den respektive faglige organisation har organiseret sig i relation til instruktionsbeføjelse til tillidsrepræsentanten, hvorvidt tillidsrepræsentanten eller den faglige organisation skal anses for dataansvarlig.

Samtykke

Mange havde håbet på, at vejledningen ville give yderligere vejledning om anvendelsen af samtykke i ansættelsesforhold. Det gør den desværre ikke, men nøjes med at henvise til den generelle vejledning for samtykke: Datatilsynets vejledning for samtykke - november 2017

Gennemgang af de vigtigste oplysninger

Vejledningen indeholder en fin gennemgang af de mest anvendte oplysninger i forbindelse med rekruttering, under og efter ansættelsen samt arbejdsgiverens muligheder for at videregive oplysninger til f.eks. pensionsselskaber, fagforeninger. Derudover beskriver den mulighederne for kontrol af medarbejdere, krav om sletning af oplysninger mv.

Oplysninger, som behandles ved rekruttering, kan f.eks. være:

  • Indhentning af referencer: Det vil normalt skulle ske på grundlag af samtykke. Her er det værd at holde sig for øje, hvilke oplysninger der skal indhentes, da samtykket skal være informeret og specificeret, og hvis der er tale om følsomme oplysninger, skal samtykket ligeledes være udtrykkeligt.
  • Straffeattester og børneattester: De kan alene indhentes, hvis det er sagligt og proportionalt, og kan normalt kun indhentes med samtykke fra ansøgeren.

Oplysninger, som behandles under ansættelsesforholdet, kan f.eks. være:

  • Oplysninger til pensionsselskaber: Videregivelse kan som udgangspunkt ske efter databeskyttelseslovens § 12, stk. 1, eller forordningens artikel 6, stk.1, litra b.
  • Oplysninger inden for koncerner: Vejledningen er meget forsigtig, når det gælder private arbejdsgiveres videregivelse inden for koncerner. Den henviser alene til, at der skal være hjemmel til videregivelse, da der er tale om selvstændige dataansvarlige. En henvisning til forordningens præambel 48 kunne måske have været en fin serviceoplysning. Af præambel 48 fremgår: "Dataansvarlige, der indgår i en koncern eller institutioner, som er tilknyttet et centralt organ, kan have en legitim interesse i at videregive personoplysninger inden for koncernen til interne administrative formål, herunder behandling af kunders eller medarbejderes personoplysninger. De generelle principper for overførsler af personoplysninger inden for en koncern til en virksomhed i et tredjeland forbliver uændrede".

Oplysningspligt og indsigtsret

Medarbejdere har samme rettigheder som andre registrerede i henhold til databeskyttelsesreglerne. Det betyder, at en arbejdsgiver skal tage aktive skridt for at oplyse medarbejderne om, hvilke informationer arbejdsgiveren behandler om medarbejderne. Der er imidlertid ikke noget formkrav til, hvordan oplysningspligten opfyldes.

Retten til indsigt indebærer, at medarbejderne efter anmodning har ret til at modtage oplysninger om bl.a. formålene med behandlingen af oplysninger om medarbejderne, kategorierne af oplysninger og eventuelle modtagere af oplysninger. Derudover skal medarbejderne have oplysning om retten til berigtigelse, sletning mv.

Da formålet med indsigtsretten er at skabe åbenhed om behandlingen af oplysningerne, udtaler Datatilsynet, at oplysninger om breve, notater og e-mails mv. udfærdiget eller sendt i arbejdsmæssig sammenhæng ikke er oplysninger omfattet af indsigtsretten.

Faglige organisationer og tillidsrepræsentanter

Vejledningen indeholder et større afsnit om fagforeningers behandling af personoplysninger. Udgangspunktet er, at en persons fagforeningsmæssige tilhørsforhold er en følsom oplysning og omfattet af databeskyttelsesforordningens art. 9. Fagforeningen har hjemmel til at behandle oplysningerne, når behandlingen sker som et led i foreningens arbejde som faglig organisation. Derudover har fagforeningen hjemmel til at behandle oplysningerne, når det er nødvendigt for at overholde foreningens eller den registreredes arbejdsretlige forpligtelser og specifikke rettigheder, som har hjemmel i lov eller kollektive aftaler. Læs eventuelt supplerende om udveksling af oplysninger mellem fagforening og tillidsrepræsentant og videregivelse af oplysninger til medlemmer i vejledningen.

kontakt

Marianne Lage

Partner

Mads Nygaard Madsen

Partner

Charlotte Kunckel

Specialistadvokat