GDPR på arbejdspladsen
Behandling af personoplysninger på arbejdspladsen
Behandling af personoplysninger på arbejdspladsen er meget almindelig. Her kan du læse et resumé af, hvad der gælder for virksomheder i sådanne tilfælde. Oplysningerne er primært rettet mod private virksomheder og ikke aktører, der er aktive i den offentlige sektor.
Hvilke personoplysninger er almindelige at behandle i arbejdslivet?
Eksempler på fælles kategorier af personoplysninger, der er fælles for behandling på arbejdspladsen, er:
- Kontaktoplysninger
- Lønregister
- Adresselister
- Syg afsked.
Behandling af følsomme personoplysninger på arbejdspladsen
Ifølge GDPR er behandling af følsomme personoplysninger forbudt i henhold til den generelle regel, men der er visse undtagelser. Eksempler på følsomme personoplysninger er oplysninger om sundhed, religiøs overbevisning og fagforeningsmedlemskab.
Arbejdsgivere kan også behandle personoplysninger, der er følsomme over for privatlivets fred, på arbejdspladsen
Derudover er der andre personoplysninger, der er særligt beskyttelsesværdige, såkaldte privatlivsfølsomme personoplysninger. F.eks. oplysninger om sociale forhold og kortoplysninger. Jo vigtigere personoplysningerne er, jo højere er kravene til bl.a. sikkerhed.
Hvordan kan data om sygefravær, der er følsomme personoplysninger i henhold til GDPR, behandles af arbejdsgiveren?
I arbejdslivet er det normalt almindeligt, at arbejdsgivere behandler oplysninger om medarbejderes sygefravær, som er helbredsoplysninger og dermed udgør følsomme personoplysninger i henhold til artikel 9 i GDPR.
Retsgrundlag for behandlingen
Det retsgrundlag, som arbejdsgiveren ofte anvender til behandling af sådanne følsomme personoplysninger, er en retlig forpligtelse i henhold til artikel 6, stk. 1, litra c), i GDPR. Dette skyldes, at behandlingen er nødvendig for, at arbejdsgiveren kan opfylde sine retlige forpligtelser i henhold til gældende arbejdsret. For eksempel med henblik på at beregne og betale den korrekte sygedagpenge, rapportere til socialsikringen i henhold til gældende lov osv. Retsgrundlaget for en sådan type behandling er således primært arbejdsgiverens retlige forpligtelser i henhold til gældende lov og ikke kontrakten (ansættelseskontrakten) med den registrerede, selv om betalingen af løn er en del af arbejdsgiverens forpligtelser i henhold til ansættelseskontrakten.
Undtagelser for behandling af følsomme personoplysninger
Desuden fastsætter databeskyttelsesforordningens artikel 9, stk. 2, litra b), en specifik undtagelse for arbejdsgivere, der tillader behandling af følsomme personoplysninger. Dvs. i tilfælde, hvor behandlingen skal foretages af arbejdsgiveren, for at denne kan opfylde sine arbejdsretlige forpligtelser.
Bemærk, at det er vigtigt, at arbejdsgiveren f.eks. ikke sender en lønseddel med sygefravær pr. ukrypteret e-mail eller på anden måde, der ikke er tilstrækkelig sikker.
Hvad er arbejdsgiverens ansvar ved behandling af personoplysninger?
En arbejdsgiver, der behandler sine medarbejderes personoplysninger og beslutter, hvordan og hvorfor de skal behandles, er dataansvarlig for behandlingen.
Hvis en virksomhed f.eks. driver et revisionsfirma, kan revisionsfirmaet behandle personoplysninger enten som dataansvarlig eller som databehandler. Den behandler personoplysninger som persondatabehandler, når personoplysningerne tilhører kundens medarbejdere, og behandlingen finder sted på vegne af kunden.
Can the manager or owner of the company be the controller or processor of personal data?
Bemærk venligst, at det ikke er lederen af virksomheden eller ejeren, der personligt er den dataansvarlige eller databehandleren. I stedet er det virksomheden, der kan spille en sådan rolle i henhold til GDPR. Der kan dog være situationer, hvor en person har rollen, f.eks. hvis arbejdsgiveren driver en enkeltmandsvirksomhed, og hans personnummer er det samme som virksomhedens virksomhedsnummer.
Skal alle arbejdsgivere udpege en databeskyttelsesansvarlig i henhold til GDPR?
Nej, det er ikke alle arbejdsgivere, der skal udpege en databeskyttelsesansvarlig i henhold til GDPR. Det er kun nogle arbejdsgivere, der skal gøre det. GDPR fastsætter klare krav til, hvilke organisationer der skal udpege en databeskyttelsesansvarlig. En arbejdsgiver, der ikke er forpligtet til at udpege en databeskyttelsesansvarlig, kan dog vælge at gøre dette frivilligt. Alle databeskyttelsesansvarlige skal registreres og anmeldes til tilsynsmyndigheden, herunder deres kontaktoplysninger.
Hvis arbejdsgiveren har udpeget en databeskyttelsesansvarlig, har de ansatte ret til at kontakte den databeskyttelsesansvarlige i tilfælde af spørgsmål vedrørende behandlingen af deres personoplysninger. Det samme gælder for de øvrige registrerede.
Databeskyttelsesrådgiveren har intet personligt ansvar for organisationens overholdelse af GDPR, men det er organisationen, der har dette ansvar.
Myndighederne skal altid udpege en databeskyttelsesansvarlig, men ikke alle private virksomheder. Databeskyttelsesansvarlige høres bl.a., når virksomheden har til hensigt at foretage en konsekvensanalyse.
Rekrutteringssystemer og færdighedsdatabaser
Det er almindeligt for virksomheder at behandle personoplysninger, når de rekrutterer nye medarbejdere til virksomheden. Det samme gælder brugen af kompetencedatabaser til dette formål. Det er vigtigt at have et retsgrundlag for en sådan behandling af personoplysninger. Retsgrundlaget legitim interesse i henhold til artikel 6, stk. 1, litra f) GDPR kan være et passende retsgrundlag at bruge i sådanne tilfælde. Samtykke er normalt ikke hensigtsmæssigt at bruge, da der er et ulige magtforhold mellem en arbejdsgiver og en medarbejder.
Desuden kan det i visse tilfælde være nødvendigt at foretage en konsekvensanalyse, inden arbejdsgiveren begynder at behandle personoplysningerne. Hvis et vikarbureau f.eks. foretager baggrundskontrol i forbindelse med ansættelse af en ny person.
Forskellige typer overvågning
For eksempel, hvis en arbejdsgiver ønsker at implementere kameraovervågning på arbejdspladsen eller anden overvågning og behandler personoplysninger i forbindelse hermed, skal virksomheden overholde GDPR. Det er imidlertid arbejdsretten, der primært regulerer en arbejdsgivers ret til at overvåge og føre tilsyn med sine ansatte.
Overvågning af kameraer
Kameraovervågning er en krænkelse af privatlivets fred, og på arbejdspladser har medarbejderne en stærk interesse i generelt ikke at være underlagt en sådan overvågning. Der er dog situationer, hvor arbejdsgiveren kan have en større interesse. For eksempel i tilfælde af kameraovervågning inden for et lager, hvor der er luksusvarer. I nogle tilfælde kan det være relevant kun at have kameraerne i en lokal tændt i løbet af natten, når ingen medarbejdere er der, hvis formålet er at forhindre eller lettere klare indbrud.
Positioneringsteknikker
Nogle typer virksomheder kan have brug for positioneringsteknologi på arbejdstrucks, som medarbejderne bruger i tjenesten. Det er vigtigt ikke at bruge oplysningerne til f.eks. at kontrollere, hvor længe medarbejderne holder deres pauser. Oplysningerne må heller ikke bruges til at spore medarbejdere, mens de ikke arbejder, hvis de har lov til at bruge firmabilen i deres fritid.
Behandling af biometriske data på arbejdspladsen
Eksempler på biometriske data er fingeraftryk eller ansigtsgenkendelse. Biometriske data er følsomme personoplysninger i henhold til artikel 9 i GDPR. Det er data, der gør det muligt at identificere en person, da de henviser til en persons fysiologiske, adfærdsmæssige eller fysiske egenskaber. Det er derfor vigtigt at huske på, at reglerne er strengere ved behandling af sådanne følsomme personoplysninger. Virksomheder, der behandler biometriske data på arbejdspladsen, skal træffe passende sikkerhedsforanstaltninger for at beskytte personoplysninger.
Virksomheder kan få lov til at behandle biometriske data som arbejdsgivere, men ikke hvis det er muligt at opnå det samme formål på en mindre privatlivsfølsom måde. Det bør f.eks. ikke anvendes til fremmødekontrol, da det normalt er forbudt. I Sverige skulle en skole betale en bøde efter at have brugt ansigtsgenkendelse, når den kontrollerede elevernes deltagelse. For at kunne bruge biometriske data skal virksomheden have en stærk grund. Det kan desuden være nødvendigt at foretage en konsekvensanalyse, inden behandlingen påbegyndes.
Flere oplysninger om GDPR
Skab en god struktur
Jo større virksomheden er, desto vigtigere er det at have en klar struktur i databeskyttelsesarbejdet, fra topledelsen helt ned i hierarkiet til alle andre medarbejdere. I større virksomheder kan det f.eks. være nyttigt at udpege databeskyttelsesambassadører, som får ekstra træning i GDPR. Disse personer kan blandt andet hjælpe med at sprede relevant information til andre medarbejdere og besvare spørgsmål vedrørende GDPR. Hvis en stor virksomhed f.eks. har flere forskellige afdelinger, er det godt, at én person fra hver afdeling udnævnes til databeskyttelsesambassadør. Når ledelsen ønsker at dele nye oplysninger inden for organisationen, kan databeskyttelsesambassadører få til opgave at formidle dem til hver enkelt person inden for deres respektive afdeling.