Databeskyttelse i ansættelsesforholdet

Databeskyttelsesforordningen er suppleret af dansk lovgivning i form af databeskyttelsesloven. Både databeskyttelsesforordningen og databeskyttelsesloven fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer.  

Databeskyttelse i forbindelse med ansættelsesforhold er et komplekst område, hvor bl.a. de overordnede databeskyttelsesretlige regler, ansættelsesretlige regler samt kollektive overenskomster og aftaler har betydning for de behandlinger af personoplysninger, der sker på arbejdspladsen.

Fælles for de to regelsæt er, at de finder anvendelse, når en virksomhed elektronisk eller manuelt behandler oplysninger om en person. E-mails, it-baseret sagsbehandling, cloudbaserede systemer og SMS’er er blot nogle eksempler på elektronisk behandling. Der er tale om manuel behandling, når oplysningerne indgår i et register (for eksempel kartotekskasser, arkivskab, fortegnelser og ringbind).

Som privat arbejdsgiver og arbejdsleder i en BPA-ordning behandler man blandt andet personoplysninger om ansøgere i forbindelse med rekruttering og om medarbejdere, både under ansættelsen og efter ansættelsens ophør. Persondatabeskyttelse i almindelighed handler om den måde, hvorpå arbejdsgiver håndterer og behandler personlige oplysninger fx om medarbejdere, ansøgere og tidligere ansatte fx i forbindelse med

• indsamling
• registrering
• systematisering
• opbevaring
• søgning
• brug
• deling/videregivelse
• sletning

Behandling af personoplysninger omfatter enhver form for håndtering af personoplysninger, og behandling må kun ske, hvis der er et behandlingsgrundlag, det vil sige en hjemmel til behandlingen.

Det er som udgangspunkt arbejdsgiver, der er dataansvarlig for behandlingen af oplysninger, der indsamles i forbindelse med ansættelse, som registreres og behandles om den ansatte under ansættelsen og som behandles efter ansættelsens ophør.

 

Hvad er personoplysninger

Personoplysninger dækker over mange forskellige typer oplysninger, og der kan ikke gives en udtømmende liste, idet personoplysninger er enhver form for information, der kan henføres til bestemte personer, og også oplysninger i form af et billede falder ind under betegnelsen personoplysning.

Personoplysninger opdeles i:

Almindelige personoplysninger (ikke-følsomme personoplysninger) – artikel 6 i databeskyttelsesforordningen omfatter alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger), fx

• Navn og adresse
• E-mail
• CV
• Fødselsdato
• Stilling
• Ansøgning
• Antal sygedage
• Kontaktoplysninger på familiemedlemmer
• Arbejdsopgaver
• Oplysninger om kontonummer
• Kurser
• Oplysninger om løn

Listen er ikke udtømmende.

Særlige kategorier af personoplysninger (følsomme personoplysninger) - artikel 9 i databeskyttelsesforordningen. Følsomme personoplysninger er udtrykkelig afgrænset i databeskyttelsesforordningen, og adgangen til at behandle sådanne oplysninger er snævrere end ved almindelige personoplysninger.

Følsomme oplysninger er oplysninger om:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Genetiske data
• Biometriske data med henblik på entydig identifikation
• Helbredsoplysninger
• Seksuelle forhold eller seksuel orientering.

Listen er udtømmende.

Oplysninger om strafbare forhold - artikel 10 i databeskyttelsesforordningen og § 8 i databeskyttelsesloven

Oplysninger om strafbare forhold anses efter databeskyttelsesforordningen for almindelige personoplysninger og er særskilt reguleret i databeskyttelsesloven.

Oplysninger om strafbare forhold er:

• Oplysning om, at en medarbejder har begået (eller er politianmeldt for) et strafbart forhold.
• Oplysning om overtrædelse af lovgivningen, uden at det har udløst (eller kan udløse) et egentligt strafansvar, men evt. andre sanktioner, f.eks. rettighedsfrakendelse.
• Oplysninger på straffeattest eller børneattest.

Oplysninger om personnummer (CPR) – forordningens art. 87 og databeskyttelseslovens § 11

Private må efter databeskyttelsesloven bl.a. behandle oplysninger om personnummer (CPR), når det følger af lov eller bestemmelser fastsat i henhold til lov, eller når den registrerede har givet sit udtrykkelige samtykke hertil.

 

Angivne og saglige formål

Der må kun ske behandling af personoplysninger, når der er hjemmel hertil i forordningen og/eller databeskyttelsesloven.

Enhver indsamling og behandling af personoplysninger skal opfylde en række generelle krav. Eksempelvis må indsamling af personoplysninger kun ske til udtrykkeligt angivne og saglige formål, og en senere brug af oplysningerne må ikke være uforenelig med disse formål.

 

Generelle ufravigelige principper

Udover at der skal være et gyldigt behandlingsgrundlag, skal følgende altid overholdes ved behandlingen af personoplysninger:

• Personoplysninger skal behandles i overensstemmelse med god databehandlingsskik.
• Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål.
• Oplysninger, der behandles skal være relevante og tilstrækkelige og må ikke omfatte mere end hvad opfyldelse af formålet med behandlingen kræver.
• Behandling af personoplysninger skal ske således, at der sker den fornødne ajourføring af oplysningerne, ligesom der skal føres fornøden kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger.

 

Hjemmel

Den enkelte behandling af personoplysninger skal have et grundlag (hjemmel) i lovgivningen. Eksempelvis giver loven mulighed for, at en virksomhed kan behandle en række almindelige oplysninger om sine egne medarbejdere for at opfylde sine forpligtelser i henhold til ansættelseskontrakten (f.eks. behandle oplysninger om medarbejderen ved udbetaling af løn).

I andre tilfælde kan en virksomhed behandle oplysninger om sine medarbejdere, hvis virksomhedens interesse i at behandle oplysningerne overstiger hensynet til medarbejderne (interesseafvejning).

Personoplysninger kan også behandles på baggrund af et klart samtykke fra den enkelte medarbejder.

Generelt bør en arbejdsgiver være opmærksom på, om den ansattes samtykke er nødvendigt, det vil sige om der reelt er brug for et samtykke, eller om arbejdsgiveren i stedet kan anvende en anden behandlingshjemmel.

Eksempler på hjemmel til behandling af almindelige personoplysninger (art. 6/§ 6):

• Samtykke
• Opfyldelse af en kontrakt
• Retlig forpligtelse
• Vitale interesser
• Offentlig myndighedsudøvelse
• Legitime interesser

Eksempler på hjemmel til behandling af følsomme oplysninger (art. 9/§7):

• Udgangspunkt: Forbud
• Undtagelser (ikke udtømmende):
  • Samtykke
  • Arbejds-, sundheds- og socialretlige forpligtelser efter lovgivning eller kollektiv overenskomst
  • Vitale interesser
  • Offentliggjort af vedkommende selv
  • Et retskrav kan fastlægges, gøres gældende eller forsvares

 

Vejledninger fra Datatilsynet

Datatilsynet har lavet en vejledning om regler om databeskyttelse, der er særligt relevante i forbindelse med ansættelsesforhold. Vejledningen berører helt centrale områder som opbevaring, videregivelse og sletning af personoplysninger, om rettigheder for ansatte og for ansøgere til ledige stillinger og om kontrol af medarbejdere.

I vejledningen kan du læse mere om, hvordan arbejdsgiver skal håndtere persondata fra følgende områder:

• Ansøgere
• Personlighedstest
• MU-samtale
• APV
• Oplysninger på sociale medier
• Straffeattest og børneattest
• Referencer

Vejledningen går på tværs af flere af de områder, Datatilsynet tidligere har udgivet vejledninger om, herunder bl.a. samtykke, registreredes rettigheder, dataansvarlige og databehandlere, mv., og den går derfor ikke i dybden med enhver situation, der kan opstå i forbindelse med ansættelsesforhold. Det anbefales derfor, at man læser videre i de specifikke vejledninger efter behov.

Samtidig skal man være opmærksom på, at vejledningen ikke indeholder en udtømmende beskrivelse af alle de situationer og databeskyttelsesretlige problemstillinger, der kan opstå i forbindelse med ansættelsesforhold.

Datatilsynet fører tilsyn med overholdelse af databeskyttelsesloven og databeskyttelsesforordningen.

Du kan læse mere om behandling af personoplysninger på Datatilsynets hjemmeside, hvor du også kan finde relevante vejledninger.

Vejledning om databeskyttelse i forbindelse med ansættelsesforholdet (eksternt link)