Datatilsynet opdaterer vejledning om databeskyttelse i forbindelse med ansættelsesforhold

Datatilsynet har nu offentliggjort en revideret udgave af tilsynets vejledning fra november 2018 om databeskyttelse i forbindelse med ansættelsesforhold. Særligt konkrete afgørelser og tilsynets praksis, hvorefter behandling af følsomme personoplysninger kræver dobbelt behandlingsgrundlag, har givet anledning til denne opdatering. Vejledningen handler blandt andet om behandlingsgrundlaget for behandling af personoplysninger før, under og efter et ansættelsesforhold, om ansøgere og ansattes rettigheder samt om kontrolforanstaltninger.

Læs den nye vejledning her, og læs om to væsentlige forhold i vejledningen lige nedenfor.

Dobbelt behandlingsgrundlag

Virksomheder kan kun behandle følsomme personoplysninger, f.eks. fagforeningsmæssigt tilhørsforhold, helbredsoplysninger eller genetiske data, såfremt der er et dobbelt behandlingsgrundlag. Dvs. virksomheder skal både finde et behandlings-/lovgrundlag i forordningens artikel 9 (følsomme oplysninger) og i artikel 6 (almindelige oplysninger).

Ved siden af forordningen gælder databeskyttelsesloven. Databeskyttelseslovens § 12 indeholder et særskilt behandlingsgrundlag, når behandlingen af personoplysninger sker i ansættelsesforhold. I de situationer hvor databeskyttelseslovens § 12 finder anvendelse, er det derfor ikke nødvendigt at finde det et dobbelt behandlingsgrundlag i forordningens artikel 6 og 9. Behandlingen kan dermed støttes alene på databeskyttelseslovens § 12.

Databeskyttelseslovens § 12 kan anvendes ved behandling af både følsomme og almindelige oplysninger, når en behandling er nødvendig for at overholde virksomhedens forpligtelser i henhold til lovgivning og overenskomster, og når grundprincipperne om lovlighed, rimelighed, gennemsigtighed mv. i forordningen er opfyldt.

Læs mere om grundprincipperne og behandlingsgrundlag her.

Kontrolforanstaltninger

I den reviderede vejledning sættes der yderligere fokus på kontrolforanstaltninger. Kontrolforanstaltninger er f.eks. når virksomheden kræver registrering af arbejdssted, anvender tv-overvågning eller anvender GPS i firmabiler.

Når virksomheden iværksætter kontrolforanstaltninger, skal både de arbejdsretlige og persondataretlige regler iagttages. Virksomheder omfattet af GLS-A’s overenskomster skal efter de arbejdsretlige regler varsle medarbejderne om kontrolforanstaltninger 2 uger før de iværksættes. Herudover kræver iværksættelsen at kontrolforanstaltningerne er sagligt driftsmæssigt begrundet, proportionale og ikke krænker medarbejderne.

Efter databeskyttelsesreglerne skal virksomheden være opmærksom på oplysningspligten efter artikel 13 og 14. Det kan efter omstændighederne være hensigtsmæssigt at opfylde oplysningspligten efter databeskyttelsesreglerne sammen med varslet om iværksættelsen af kontrolforanstaltninger. Det er vigtigt at oplysningerne, herunder oplysninger om kontrolforanstaltningens formål, gives let tilgængeligt for medarbejderen. Læs mere om de registreredes rettigheder, herunder oplysningspligten, her.

Datatilsynet anbefaler at virksomheden udarbejder procedurer mv. for efterlevelse af reglerne om oplysningspligt og forudgående information i forbindelse med kontrolforanstaltningerne. Ved yderligere spørgsmål vedr. kontrolforanstaltninger kontakt sekretariatet.

Læs mere om persondata og databeskyttelse her, eller kontakt sekretariatet.