DAEN

MENU

Persondata i ansættelsesforhold

Arbejdsgivere behandler hver dag en stor mængde persondata både før, under og efter ansættelsen af medarbejdere, og der kan i den forbindelse opstå mange forskellige databeskyttelsesretlige problemstillinger. Vi har derfor her samlet et kort overblik over nogle problemstillinger, som forhåbentlig kan bidrage med at skabe et overblik over de lidt komplicerede databeskyttelsesreglers betydning i ansættelsesforhold.

Arbejdsgivere behandler hver dag en stor mængde persondata både før, under og efter ansættelsen af medarbejdere, og der kan i den forbindelse opstå mange forskellige databeskyttelsesretlige problemstillinger. Vi har derfor her samlet et kort overblik over nogle problemstillinger, som forhåbentlig kan bidrage med at skabe et overblik over de lidt komplicerede databeskyttelsesreglers betydning i ansættelsesforhold.

Databeskyttelsesreglernes anvendelsesområde

Databeskyttelsesreglerne, herunder databeskyttelsesforordningen (”forordningen”) og databeskyttelsesloven, finder anvendelse i alle tilfælde, hvor behandling af personoplysninger foretages enten helt eller delvist ved hjælp af automatisk behandling.

Personoplysninger er enhver oplysning, der kan henføres til bestemte personer. Der sondres mellem almindelige og følsomme personoplysninger. Almindelige oplysninger er f.eks. identifikationsoplysninger såsom navn og adresse, alder og uddannelse, mens følsomme oplysninger f.eks. er helbredsoplysninger og oplysninger om etnicitet, politisk, religiøs eller filosofisk overbevisning samt genetisk og biometrisk data.

Behandling omfatter enhver form for håndtering af personoplysninger, herunder indsamling, registrering, opbevaring, videregivelse mv.

Som arbejdsgiver behandler man en lang række personoplysninger i forbindelse med rekruttering samt under og efter ansættelsesforholdets ophør.

Det er ikke muligt at give et kortfattet og samtidig fyldestgørende overblik over de ganske komplicerede regler, hvorfor denne nyhed alene vil illustrere dele af reglernes betydning i ansættelsesforhold.

Grundlaget for behandling af personoplysninger

Behandling af personoplysninger må kun ske i det omfang, at der findes et grundlag for behandlingen. Det vil sige, at der skal være hjemmel til behandlingen i databeskyttelsesreglerne. Derudover skal der altid tages hensyn til dataminimeringsprincippet, hvilket betyder, at en arbejdsgiver kun må behandle oplysninger, som er nødvendige for ansættelsesforholdet.

Der kan kun ske behandling af følsomme personoplysninger, hvis der foreligger samtykke, en arbejdsretlig forpligtelse til behandling, behandlingen er nødvendig for fastlæggelse af et retskrav eller oplysningerne er offentliggjort af den registrerede selv, mens der for almindelige personoplysninger også kan ske behandling begrundet i samfundets interesse eller en interesseafvejning.

Herudover gælder særlige regler for behandling af oplysninger om strafbare forhold og personnumre i databeskyttelsesloven.

Rettigheder

Ansøgere og medarbejdere, hvis personoplysninger bliver behandlet af en arbejdsgiver, har en lang række rettigheder, hvoraf de vigtigste er:

  • Retten til at modtage oplysning om behandling af personoplysninger (oplysningspligt)
  • Retten til indsigt i personoplysningerne (indsigtsret)
  • Retten til at få urigtige oplysninger berigtiget (berigtigelsesret)
  • Retten til at få slettet oplysninger (sletningsret)
  • Retten til at gøre indsigelse mod en i øvrigt lovlig behandling (indsigelsesret).

Det er vigtigt, at man som arbejdsgiver er opmærksom på disse rettigheder.

Indhentning af oplysninger i rekrutteringsfasen

Som led i rekrutteringsfasen vil en arbejdsgiver oftest behandle personoplysninger. En del af disse oplysninger vil være modtaget på ansøgerens initiativ, og behandlingen heraf må som følge heraf anses for at ske med ansøgerens samtykke.

Der kan dog også opstå behov for indhentning af yderligere oplysninger, herunder f.eks. referencer. Indhentning af referencer må normalt kun ske med ansøgerens samtykke. Arbejdsgiveren skal i den forbindelse give ansøgeren besked om, hvilken type oplysninger der indhentes, herunder om det er almindelige og/eller følsomme personoplysninger.

Herudover kan arbejdsgiveren indhente oplysninger på sociale medier i det omfang, at der er tale om offentligt tilgængelige oplysninger. Selv behandling af oplysninger, der er offentligt tilgængelige, skal imidlertid altid begrænses til det, der er sagligt og proportionalt i forhold til formålet med behandlingen.

Generelt bør en arbejdsgiver også overveje, om det er nødvendigt at opbevare oplysninger om ansøgere, der er indhentet i rekrutteringsfasen, når stillingen er blevet besat. Hvis oplysningerne ønskes opbevaret med henblik på en mulig senere ansættelse, kan en sådan fortsat opbevaring alene ske med ansøgerens samtykke.

Straffe- og børneattester

I visse tilfælde vil det være relevant at indhente oplysninger om en ansøgers eventuelle strafbare forhold, herunder gennem indhentning af straffeattest og/eller børneattest.

En arbejdsgiver er kun berettiget til at anmode om eller indhente sådanne oplysninger, hvis det er relevant i forhold til den konkrete stilling, og det er realistisk, at den pågældende ansøger kan komme i betragtning til stillingen. Der sondres mellem offentlige og private straffeattester. Hvor offentlige straffeattester kun kan indhentes af nærmere bestemte offentlige myndigheder (som hovedregel med samtykke fra ansøgeren), vil private straffeattester som udgangspunkt blive indhentet af ansøgeren selv.

Hvis der er tale om en ansøger, der kan komme i direkte kontakt med børn under 15 år som led i ansættelsen, kan det være aktuelt at indhente en børneattest. I visse tilfælde vil det i øvrigt være obligatorisk at indhente en sådan attest. En børneattest kan kun indhentes, hvis vedkommende ansøger giver samtykke hertil, og det er begrundet i, at vedkommende som led i ansættelsen får kontakt med børn under 15 år.

Det gælder for indhentning af såvel straffeattester som børneattester, at en arbejdsgiver kun er berettiget til at behandle sådanne personoplysninger, hvis attesternes indhold er af afgørende betydning for ansættelsen, og der kun anmodes om attester fra de ansøgere, som er med i opløbet om stillingen.

I tråd hermed har Datatilsynet tidligere udtalt, at det var i uoverensstemmelse med den tidligere persondatalov, at en kommune havde en generel politik, hvorefter der standardmæssigt blev indhentet straffeattester for alle ansøgere, som kommunen påtænkte at ansætte. Det skulle i stedet bero på en konkret vurdering i de enkelte ansættelsessituationer, om indhentning af straffeattest var saglig og proportionel.

Kontrol af medarbejdere

Arbejdsgivere kan af flere forskellige grunde have behov for at indføre kontrol af deres medarbejdere.

Dette kan være i form af f.eks. overvågning, adgangskontrol eller narkotests. Sådanne former for kontrol vil i mange tilfælde indebære behandling af personoplysninger, hvorfor det er vigtigt, at det sikres, at de forskellige kontrolforanstaltninger overholder databeskyttelsesreglerne.

Medarbejdere skal som udgangspunkt informeres på forhånd, og en række ansættelsesforhold er tillige omfattet af kollektive aftaler om kontrol, som indeholder yderligere retningslinjer. 

dom af 2. marts 2020 (U.2020.1615H) tog Højesteret stilling til en sag, hvor en arbejdsgiver havde foretaget tv-overvågning af en medarbejder, herunder for at disciplinere og kontrollere medarbejderen. Højesteret fandt, at arbejdsgiveren ikke havde godtgjort, at der forelå saglige og proportionale arbejdsmæssige eller sikkerhedsmæssige grunde til at anvende tv-overvågningen, og at denne var i strid med den dagældende persondatalov.

Medarbejderen blev tilkendt en godtgørelse for tort, da Højesteret fandt, at overvågningen havde haft den fornødne grovhed og havde været egnet til at krænke medarbejderens selv- og æresfølelse. Selvom dommen blev afsagt efter den dagældende persondatalov, er dommen fortsat illustrativ for, hvordan en arbejdsgiver skal være opmærksom på databeskyttelsesreglerne, når arbejdsgiveren iværksætter overvågning af medarbejderne.

Datatilsynet udtalte i en afgørelse af 8. juli 2020, at en arbejdsgiver havde været berettiget til at anvende fingeraftryk som adgangskontrol, selvom fingeraftryk udgør biometriske oplysninger. Tilsynet lagde i den forbindelse vægt på, at adgangskontrollen var etableret i henhold til DA/LO-aftalen om kontrolforanstaltninger. Endvidere lagde tilsynet vægt på, at adgangskontrollen var afgørende for fødevaresikkerheden, idet man på den måde til enhver tid kunne identificere, hvem der havde deltaget i produktionen af et givent produkt. Det må formodes, at anvendelse af fingeraftryk som adgangskontrol kun i helt særlige tilfælde vil kunne anvendes.

Medarbejdere og tidligere medarbejderes e-mails

Hvis en arbejdsgiver overvejer at gennemgå medarbejdere eller tidligere medarbejderes e-mails, skal arbejdsgiveren være opmærksom på, at en sådan gennemgang i mange tilfælde kan være i strid med databeskyttelsesreglerne.

En arbejdsgiver er kun (i et vist omfang) berettiget til at læse medarbejderens arbejdsrelaterede e-mails, hvis der er et sagligt formål hermed.

I det omfang, at der er tale om private e-mails, er det ikke tilladt for arbejdsgiveren at læse sådanne, og det kan efter omstændighederne udgøre et brud på straffelovens regler om brevhemmelighed. Hvis medarbejderen i emnefeltet har markeret e-mailen som privat, må arbejdsgiveren derfor undlade at åbne e-mailen. I det tilfælde, at en e-mail ikke er markeret som privat, men det viser sig, at e-mailen er privat, skal arbejdsgiveren undlade at læse videre og straks lukke denne.

Højesterets dom af 4. februar 2015 (U.2015.1525H) omhandlede en situation, hvor en arbejdsgiver havde mistanke om, at en (tidligere) medarbejder havde videregivet forretningshemmeligheder til sin partner. Som følge heraf besluttede arbejdsgiveren at gennemgå medarbejderens e-mails. Højesteret fandt, at gennemgangen var berettiget, idet baggrunden herfor var mistanke om læk af fortrolige forhold, og arbejdsgiveren ikke havde søgt i og gennemlæst e-mails af privat karakter i videre omfang, end det var nødvendigt for at udskille den del af korrespondancen, der var relevant for undersøgelsens formål.

Deling af personoplysninger internt på arbejdspladsen

Hvis arbejdsgiveren ønsker at dele personoplysninger internt på arbejdspladsen, skal arbejdsgiveren også være opmærksom på overholdelse af databeskyttelsesreglerne.

F.eks. vil arbejdsgiveren godt kunne oplyse om en medarbejders fravær på grund af sygdom, hvis der ikke er nærmere oplysninger om sygdommen. Hvis oplysningen derimod siger noget specifikt om medarbejderens helbredsforhold, vil der være tale om en følsom helbredsoplysning, som kun kan behandles og videregives med medarbejderens samtykke.

Også i forbindelse med en medarbejders fratræden/afskedigelse kan en arbejdsgiver have behov for at informere de øvrige medarbejdere herom. En sådan information vil f.eks. kunne være nødvendig for at hindre rygtedannelse og uro på arbejdspladsen.

Som eksempel vil det være berettiget, at arbejdsgiveren oplyser, at en konkret medarbejder er blevet afskediget, men at afskedigelsen ikke er begrundet i forestående omorganiseringer.

Det vil imidlertid ikke være berettiget at oplyse, at årsagen til afskedigelsen var, at der var samarbejdsvanskeligheder, eller at medarbejderen havde udsat en anden kollega for sexchikane.

Brug af personoplysninger i markedsføringssammenhæng

Mange arbejdsgivere offentliggør personoplysninger om medarbejderne på hjemmesiden og sociale medier, herunder gennem arbejdsrelaterede oplysninger og fotografier.

Offentliggørelse af arbejdsrelaterede oplysninger, herunder navne, arbejdsområder og kontaktoplysninger, vil som udgangspunkt ikke kræve samtykke. Derimod vil offentliggørelse af private kontaktoplysninger eller andre oplysninger om medarbejdernes private forhold som hovedregel kræve samtykke.

Hvis man som arbejdsgiver ønsker at gøre brug af fotografier mv. i markedsføringsmæssige sammenhænge, er det vigtigt, at man er opmærksom på, at offentliggørelse af fotografier mv. af medarbejdere som altovervejende hovedregel kræver, at medarbejderne giver samtykke. Et sådant samtykke vil oftest kunne indhentes i forbindelse med indgåelse af en ansættelseskontrakt, idet arbejdsgiveren dog skal være opmærksom på, at samtykket skal gives særskilt og frivilligt. Hvis samtykket ikke er givet frivilligt, vil det ikke være gyldigt efter databeskyttelsesreglerne.

Betydningen af samtykkeerklæringer

Som tidligere nævnt udgør samtykke en hjemmel for behandling af såvel følsomme som almindelige personoplysninger.

Datatilsynet har imidlertid netop udtalt, at selvom en medarbejder har underskrevet en samtykkeerklæring til, at billeder og videoer anvendes i markedsføringsmæssigt øjemed, ændrer det ikke på, at medarbejderen har ret til at få slettet oplysningerne, når arbejdsgiverens behandling er baseret på samtykke, og der ikke er andet (rets)grundlag for behandlingen.

I den konkrete sag var der tale om en fratrådt medarbejder, der ønskede at få fjernet en video, som den tidligere arbejdsgiver havde lagt op på YouTube.

Datatilsynets afgørelse viser, at arbejdsgivere skal være opmærksomme på, at underskrevne samtykkeerklæringer ikke fraskriver (tidligere) medarbejdere retten til at få slettet personoplysninger, hvis der ikke er andet grundlag for den fortsatte behandling.

Medarbejderen kan således på ethvert tidspunkt tilbagekalde samtykket, hvilket vil gøre en fortsat behandling ulovlig efter databeskyttelsesreglerne, medmindre den fortsatte behandling kan hvile på andet grundlag, herunder f.eks. som følge af en arbejdsretlig forpligtelse.

Tag kontakt til en af vores specialister og få en dialog om jeres muligheder

Vi rådgiver om alle områder inden for persondatabeskyttelse, og vores team af specialister står klar til at bistå og vejlede arbejdsgivere med de konkrete juridiske og praktiske spørgsmål, der løbende måtte opstå i relation til persondata i ansættelsesforhold.

TILMELD DIG VORES NYHEDSBREVE

Her kan du tilmelde dig ét eller flere af vores faglige nyhedsbreve, som har fokus på den nyeste udvikling inden for netop det område, som du er interesseret i.