10.1 Persondata. Af advokat Kåre Wanscher Indhold

Transkript

1 HR Jura Forlaget Andersen 10.1 Persondata Af advokat Kåre Wanscher Indhold Denne artikel omhandler spørgsmål vedrørende behandling af personoplysninger i ansættelsesforhold og har følgende indhold: 1. Hvad er personoplysninger? 2. Hvad omhandler persondataloven? 3. Hvem er dataansvarlig og databehandler? 4. Hvad er god databehandlingsskik? 5. Krav til behandling af ikke-følsomme oplysninger 6. Krav til behandling af følsomme oplysninger 7. Krav til behandling af semi-følsomme oplysninger 8. Behandling af personoplysninger om jobsøgende 9. Behandling af personoplysninger om medarbejdere 10. Behandling af personoplysninger om tidligere medarbejdere 11. Må arbejdsgiver offentliggøre personaleoplysninger på internettet? 12. Hjemmearbejdspladser 13. Hvornår er der anmeldelsespligt? 14. Whistleblower-systemer 15. Links 1. Hvad er person-oplysninger? Personoplysninger defineres i persondataloven som enhver oplysning, der kan henføres til en fysisk person. Enhver form for indsamling, registrering, systematisering, opbevaring, ændring, brug, videregivelse, formidling, sletning eller tilintetgørelse af personoplysninger udgør en behandling i lovens forstand. Når en arbejdsgiver indsamler og behandler personoplysninger om sine medarbejdere, er denne behandling omfattet af persondataloven. Dette gælder også indsamling af oplysninger om tidligere ansatte samt personer, som søger job hos arbejdsgiveren. Spørgsmålet om arbejdsgiverens ret til behandling af medarbejdernes personoplysninger har været genstand for megen debat. Ud over de allerede behandlede spørgsmål vedrørende internet- og politikker, medarbejderes brug af sociale netværkstjenester og videoovervågning, kan der opstå en række øvrige forhold, som kræver arbejdsgivers opmærksomhed i forhold til overholdelse af persondataloven. Kapitel Side 1/16. April 2013

2 2. Hvad omhandler persondataloven? Persondataloven indeholder en række grundlæggende regler, som skal overholdes ved enhver form for databehandling. Derudover findes en række særlige regler, som er afhængige af, hvilken form for personoplysninger der behandles. Persondataloven opererer med tre forskellige kategorier af personoplysninger: de ikke-følsomme, de følsomme og de såkaldt semi-følsomme oplysninger. Ikke-følsomme oplysninger er f.eks. identifikationsoplysninger som navn, adresse, fødselsdato, nær familie, telefonnummer, adresse, billede mv. samt oplysninger om uddannelse, tidligere beskæftigelse, udtalelser, nuværende stilling, sygefravær, sygdom, løn, skat, pension og bankoplysninger mv. Ligeledes er omfattet andre økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger. Følsomme oplysninger er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Endvidere er omfattet oplysninger om en persons fysiske eller psykiske lidelser og oplysninger om personens alkohol- og stofmisbrug. Det er værd at bemærke, at fagforeningsmæssige forhold er kategoriseret som følsomme oplysninger. Begrebet omfatter også selve oplysningen om, at en ansat er medlem af en fagforening. Semi-følsomme oplysninger er oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de ovenfor nævnte følsomme oplysninger. Herunder kan eksempelvis nævnes oplysninger om indholdet af en personlighedstest samt oplysninger om, at en medarbejder er blevet bortvist fra ansættelse på grund af misligholdelse af ansættelsesaftalen. Herudover findes der særlige regler for behandling cpr-numre. Særligt i den offentlige forvaltning (hos bl.a. SKAT) kan der være et legitimt behov for en sådan behandling uden indhentelse af tilladelsen fra den registrerede, hvilket der tages højde for i lovgivningen. 3. Hvem er dataansvarlig og databehandler? Den dataansvarlige er ansvarlig for overholdelse af persondataloven. Den dataansvarlige defineres som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. En arbejdsgiver, som indsamler oplysninger om sine ansatte, er i denne forbindelse dataansvarlig. Kapitel Side 2/16. April 2013

3 Databehandleren er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Et it-servicebureau, som varetager outsourcede it-opgaver for en virksomhed, er et eksempel på en databehandler. Der findes særlige krav til en databehandler, som f.eks. at databehandleren ikke må bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Såfremt en arbejdsgiver som dataansvarlig ønsker at lade arbejde udføre af en databehandler (f.eks. et it-servicebureau), kræves det, at der indgås en skriftlig aftale herom mellem arbejdsgiveren og it-servicebureauet (en såkaldt databehandleraftale). 4. Hvad er god databehandlingsskik? Persondataloven er underlagt et grundlæggende princip om, at al behandling af personoplysninger skal ske i overensstemmelse med god databehandlingsskik. Heri ligger, at behandlingen skal være rimelig og lovlig, men begrebet er ikke nærmere defineret. Således vil praksis fra Datatilsynet være afgørende for bestemmelsen af grænserne for god databehandlingsskik. Til nærmere fastlæggelse af de overordnede principper for behandling af personoplysninger og rammerne for god databehandlingsskik nævner persondataloven blandt andet følgende: Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Der skal foretages fornøden ajourføring og kontrol af oplysningerne, således at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Oplysninger må ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Ovennævnte betingelser kan ikke fraviges ved samtykke fra den ansatte og er således gældende for enhver behandling af personoplysninger. Persondataloven opererer således med et proportionalitetsprincip til afvejning af den dataansvarliges muligheder for behandling af personoplysninger i forhold til de registreredes rettigheder. Kapitel Side 3/16. April 2013

4 5. Krav til behandling af ikke-følsomme oplysninger Hovedreglen i persondataloven er, at den registrerede skal have givet sit samtykke til enhver behandling af personoplysninger. Loven indeholder en lang række undtagelser hertil, som blandt andet afhænger af, hvilken kategori af oplysninger der er tale om. En af de grundlæggende undtagelser er, at behandling af ikke-følsomme oplysninger kan ske, såfremt behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og at hensynet til den registrerede ikke overstiger denne interesse. Altså et udtryk for det før omtalte proportionalitetsprincip. Heraf følger blandt andet, at en arbejdsgiver kan indhente ikke-følsomme oplysninger om sine medarbejdere, i det omfang arbejdsgiveren skal bruge oplysningerne i forbindelse med virksomhedens drift. 6. Krav til behandling af følsomme oplysninger Den absolutte hovedregel er, at behandling af følsomme oplysninger kun kan finde sted på baggrund af den registreredes udtrykkelige samtykke. Et sådant samtykke kan foreligge i form af en mundtlig eller skriftlig bekræftelse, ligesom det kan foreligge ved en handling eller adfærd fra medarbejderens side. Der findes dog en række undtagelser hertil, hvoraf enkelte direkte vedrører oplysninger om medarbejdere. Helbredsoplysninger omfatter i denne forbindelse oplysninger om en ansats sygdom. Selve oplysningen om fraværets omfang er derfor ikke en helbredsoplysning. Såfremt den ansatte oplyser arbejdsgiveren om sygdommens art, er det som udgangspunkt ikke tilladt for arbejdsgiveren at opbevare disse oplysninger i sin personalesag. Dog kan oplysningerne opbevares af arbejdsgiveren, hvis det kan have betydning for en eventuel afskedigelsessag. Det er også tilladt for en arbejdsgiver at registrere helbredsoplysninger, i det omfang det er nødvendigt til opfyldelse af lovmæssige krav, som f.eks. krav ifølge dagpengeloven. Ligeledes er det tilladt at behandle oplysninger om fagforeningsmæssige tilhørsforhold, hvis behandlingen er nødvendig for overholdelsen af arbejdsgiverens arbejdsretlige forpligtelser. Bestemmelser i særlove, som f.eks. lov om brug af helbredsoplysninger på arbejdsmarkedet (se nærmere kapitel 3.) eller lov om forbud mod forskelsbehandling, kan medføre begrænsninger i adgangen til at behandle følsomme eller semi-følsomme oplysninger. Kapitel Side 4/16. April 2013

5 7. Krav til behandling af semi-følsomme oplysninger Også mht. semi-følsomme oplysninger gælder hovedreglen om, at behandling kræver den registreredes samtykke. Dog kan der for så vidt angår de semi-følsomme oplysninger ske behandling, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Eksempelvis kan en arbejdsgiver behandle oplysninger om strafbare forhold med henblik på indgivelse af politianmeldelse. 8. Behandling af personoplysninger om jobsøgende Den frie antagelsesret giver arbejdsgiveren ret til at ansætte medarbejdere efter sit frie skøn og samtidig også ret til at indsamle oplysninger om eventuelt kommende medarbejdere. Udgangspunktet er, at arbejdsgivere må indhente de oplysninger, som er relevante i forbindelse med ansættelsen. Lovgrundlaget er persondataloven, men der stilles også i den ansættelsesretlige lovgivning (ligestillingslovgivningen, forskelsbehandlingsloven og helbredsoplysningsloven) særlige krav til indsamling af personoplysninger, som kan medføre strengere krav, end der følger af persondataloven. Vidste du, at oplysninger, som offentliggøres af jobansøgere på Facebook, LinkedIn eller på anden måde, kan indsamles af arbejdsgiver uden samtykke? Udgangspunktet for behandling af personoplysninger er, at samtykke fra den registrerede er nødvendigt. Dog er situationen en anden, når det handler om oplysninger, som den registrerede selv har offentliggjort. I sådanne situationer kræves der ikke samtykke. Dette medfører, at oplysninger, som af den registrerede offentliggøres på internettet via blogs, hjemmesider, sociale netværk (Facebook, LinkedIn mv.), kan behandles af arbejdsgiveren, dog under iagttagelse af reglerne om god databehandlingsskik, jf. afsnit 4, samt øvrige almindelige krav ifølge persondataloven. Ej heller kræves der altid samtykke til at indhente oplysninger om en jobansøger fra f.eks. tidligere arbejdsgivere eller andre. Såfremt der er tale om ikke-følsomme eller semi-følsomme oplysninger, vil en sådan indsamling af oplysninger kunne ske uden samtykke, såfremt arbejdsgiveren kan siges at forfølge en berettiget interesse, som overstiger den registreredes interesser. Kapitel Side 5/16. April 2013

6 Uanset hvordan personoplysninger om en jobsøgende er indsamlet, medfører persondataloven en pligt for arbejdsgiveren til at informere den registrerede om formålet med indsamlingen, hvilke oplysninger der er indsamlet mv. Dette gælder dog kun, såfremt oplysninger opbevares i elektronisk form eller i et manuelt register, og således ikke hvis oplysningerne alene modtages mundtligt. Det er værd at bemærke, at informationspligten også gælder oplysninger, som uopfordret modtages fra den jobsøgende, medmindre oplysningerne straks slettes eller returneres. Det påhviler også arbejdsgiveren, efter begæring fra den registrerede, at oplyse, om der behandles personoplysninger, og, såfremt dette er tilfældet, at oplyse om 1) hvilke oplysninger der behandles, 2) behandlingens formål, 3) kategorierne af modtagere af oplysningerne og 4) tilgængelig information om hvorfra disse oplysninger stammer. Straffeattester må kun indhentes efter samtykke fra den registrerede (medarbejderen/ansøgeren). Der gælder særlige undtagelser for en række offentlige arbejdsgivere. Selvom der opnås samtykke til indhentelse af straffeattest, eller såfremt den jobsøgende selv udleverer sin straffeattest, kan arbejdsgiveren kun anvende oplysningerne i straffeattesten, såfremt kravene til saglighed og proportionalitet, jf. afsnit 4, er opfyldt. F.eks. har Datatilsynet statueret, at en kommunes generelle politik med at indhente alle jobsøgendes straffeattester var i strid med proportionalitetskravet. I forbindelse med indhentelse af helbredsoplysninger (se nærmere kapitel 3) gælder både persondatalovens og helbredsoplysningslovens regler. Det følger heraf, at en arbejdsgiver kun må bede om helbredsoplysninger, hvis det er væsentligt for ansættelsen at få belyst, om jobansøgeren lider eller har lidt af bestemte sygdomme. Arbejdsgiveren må derfor i almindelighed ikke spørge jobansøgeren om dennes helbred ved ansættelsessamtaler. Følgende formulering i en ansættelsesblanket er dog godkendt af retspraksis: Såfremt De lider, eller har lidt af en sygdom, som har væsentlig betydning for at passe Deres fremtidige arbejde, bedes dette oplyst. Hertil kommer, at jobansøgeren selv har pligt til at afgive helbredsoplysninger, som er af væsentlig betydning for udførelsen af det pågældende arbejde. Kreditoplysninger om en jobansøger kan indhentes af arbejdsgiveren, hvis de almindelige betingelser for behandling af personoplysninger er opfyldt, jf. afsnit 4. Dette medfører, at der skal være tale om relevante oplysninger, og at behandlingen af oplysningerne skal have et sagligt formål. Indsamling af kreditoplysninger kræver således, at jobansøgerens kreditværdighed har betydning for dennes udførelse af det eventuelt fremtidige arbejde. Kapitel Side 6/16. April 2013

7 Datatilsynet fortolker ovenstående således, at kreditoplysninger vedrørende jobansøgere kun kan indhentes af arbejdsgiveren, hvis der er tale om ansættelse i en særligt betroet stilling. Hvorvidt der er tale om en særlig betroet stilling må afgøres ved fortolkning, hvortil både Datatilsynets praksis og praksis ifølge funktionærloven mv. kan yde bidrag. Til vurdering af om der er tale om en særlig betroet stilling, kan der lægges vægt på, hvilke opgaver der skal udføres, og hvorvidt medarbejderen er underlagt rutinemæssige kontrolforanstaltninger mv. Den omstændighed, at medarbejderen håndterer værdier eller kontanter i arbejdet, gør ikke automatisk stillingen til særlig betroet. Der stilles ifølge persondataloven krav om, hvordan og hvor længe de indsamlede oplysninger må opbevares. Ligeledes stilles der krav om, at den registrerede skal modtage en række oplysninger om den dataansvarlige og de registrerede oplysninger. F.eks. bør jobsøgende oplyses om, at deres kreditværdighed er blevet undersøgt hos RKI mv. Såfremt der anvendes ekstern bistand i forbindelse med ansættelsen, som f.eks. et headhunterbureau eller lignende stillingsbesættende virksomhed, vil standardvilkårene for sådanne stillingsbesættende virksomheder sætte grænser for, hvilke personoplysninger der kan udveksles mellem arbejdsgiveren og den stillingsbesættende virksomhed. Der må i almindelighed kun behandles oplysninger, som efter deres art er nødvendige for vurderingen af stillingsbesættelsen, og der findes en række øvrige, temmelig stramme regler for sådan behandling af personoplysninger. Det kan være af interesse for arbejdsgiveren at opbevare personoplysninger om de personer, som har søgt et job, men som ikke fik jobbet. Sådan opbevaring af personoplysninger om ikke-ansatte kan tillades, såfremt de almindelge betingelser for behandling af personoplysninger, jf. afsnit 4, er opfyldt. Dette må anses for at være tilfældet i særligt to situationer: 1) Oplysningerne opbevares til brug for dokumentation i forbindelse med eventuelle krav fra den ikke-ansatte vedrørende diskrimination eller lignende, og 2) opbevaringen sker med henblik på eventuel senere ansættelse. Dette kræver dog den ikke-ansattes samtykke. Kapitel Side 7/16. April 2013

8 Det skal bemærkes, at oplysningerne kun kan opbevares, så længe det er nødvendigt, jf. afsnit 4. Dette kan være tilfældet hvis oplysningerne opbevares af hensyn til at kunne dokumentere forhold i forbindelse med et evt. senere opstået krav fra den registrerede, f.eks. vedrørende diskrimination, eller hvis oplysningerne opbevares med henblik på mulig senere ansættelse. 9. Behandling af personoplysninger om medarbejdere Ledelsesretten samt de persondataretlige regler giver arbejdsgiveren adgang til at indsamle de oplysninger om de ansatte, som er nødvendige for den løbende administration af ansættelsen. Yderligere kan der indsamles personoplysninger om de ansatte, såfremt det er tilladt ifølge de almindelige arbejdsretlige regler. Arbejdsgiveren antages også at kunne indsamle oplysninger fra tredjemand, som f.eks. en tidligere arbejdsgiver, såfremt det er sagligt begrundet. Herunder kan oplysninger, som er offentliggjort af den ansatte selv, f.eks. på sociale medier, indsamles uden samtykke, under forudsætning af at oplysningerne er relevante og at der er et sagligt formål med indsamlingen. Spørgsmålet er her, om den ansattes ytringer som privatperson er relevante for arbejdsgiveren. Systematisk overvågning af specifikke medarbejdere kræver samtykke eller særlig hjemmel. Indsamling af oplysninger om ansatte via kreditoplysningsbureauer kræver, at der er tale om ansatte med en særlig betroet stilling. Der stilles strenge krav hertil. Dog må der inden for særlige sektorer, som f.eks. den finansielle, antages at være videre adgang for arbejdsgiveren til at indhente økonomiske oplysninger om de ansatte som følge af arbejdets særlige karakter. Også ved en konkret mistanke om misbrug eller lignende vil kravene til en sådan indsamling af oplysninger være mindre. Vidste du, at arbejdsgiveren skal oplyse den ansatte om, at arbejdsgiveren behandler oplysninger om den ansatte, også når oplysningerne modtages uopfordret fra tredjemand i en eller lignende? Det er værd at bemærke, at arbejdsgiveren skal informere den ansatte om enhver indsamling af personoplysninger. Dette gælder også, såfremt arbejdsgiveren uopfordret modtager oplysninger fra tredjemand. Persondatalovens undtagelser til oplysningspligten finder kun anvendelse i særlige tilfælde, f.eks. hvor den ansattes interesser findes at burde vige for afgørende hensyn til offentlige eller private interesser. Kapitel Side 8/16. April 2013

9 Mht. opbevaring af personoplysninger om ansatte er det hovedregelen, at arbejdsgiveren kan opbevare og anvende de oplysninger, som er relevante og nødvendige for virksomhedens drift. Dette gælder naturligvis navn, adresse, telefonnummer, skatteprocent mv., men også andre oplysninger om f.eks. forfremmelser, tests, påtaler og advarsler mv., som kan opbevares med henblik på dokumentation ved eventuelle senere tvister vedrørende ansættelsesforholdet. På trods af hovedregelen om, at den registrerede kan kræve, at oplysninger bliver slettet, hvis dette er berettiget, er det anerkendt, at arbejdsgiveren kan opbevare oplysninger om f.eks. advarsler mv. til brug for dokumentation i en længere årrække. Rent private forhold, som f.eks. familiemæssige forhold, skilsmisse/separation, adoption samt oplysninger om bortvisning af en ansat, må kun behandles af en privat arbejdsgiver, hvis den ansatte har givet samtykke, eller såfremt en interesseafvejning falder ud til arbejdsgiverens fordel. Offentlige arbejdsgivere har videre adgang til behandling af sådanne oplysninger, idet behandling i det offentlige kan ske uden samtykke, hvis det er nødvendigt til varetagelse af myndighedens opgaver. Adgangen for en arbejdsgiver til at indhente ansattes straffeattester hos Kriminalregisteret er reguleret i bekendtgørelse om behandling af personoplysninger i Det Centrale Kriminalregister. Hovedreglen er, at der for så vidt angår private arbejdsgivere kræves samtykke, eller at arbejdsgiverens interesse klart overstiger den ansattes interesser. For offentlige arbejdsgivere er mulighederne mere begrænsede, og der kan som udgangspunkt kun indhentes straffeattester vedrørende offentligt ansatte, såfremt den ansatte har givet samtykke hertil. En ansat i en privat virksomhed har ikke pligt til at oplyse arbejdsgiveren om afsigelse af en straffedom over den ansatte, medmindre dommen har direkte betydning for den ansattes udførelse af arbejdet. Det er en betingelse for en privat arbejdsgivers adgang til at rekvirere en straffedom, at arbejdsgiveren har en retlig interesse i at få udleveret dommen. Dette kan være tilfældet, hvis der er tale om en forbrydelse mod arbejdspladsen eller ved konkret mistanke om en forbrydelse, som har væsentlig indflydelse på arbejdets udførelse. En straffedom over en offentligt ansat indberettes af politiet til Rigsadvokaten som følge af cirkulære om indberetning af straffesager mod offentligt ansatte. Herefter vurderer Rigsadvokaten, om dommen skal indberettes til arbejdsgiveren. Dette kan ske, såfremt straffesagen må antages at være af væsentlig betydning for ansættelsesmyndigheden, og såfremt en interesseafvejning klart falder ud til arbejdsgiverens fordel. Kapitel Side 9/16. April 2013

10 Arbejdsgiverens brug af den ansattes personnummer uden den ansattes samtykke kræver, at brugen følger af lov, som f.eks. ved arbejdsgiverens pligt til indberetning af skat. I dansk ret betragtes de enkelte selskaber i en koncern som selvstændige virksomheder. Dette medfører blandt andet, at overdragelse af personoplysninger mellem de enkelte selskaber betragtes som videregivelse i persondatalovens forstand, hvorfor de særlige regler herom må overholdes. Ved virksomhedsoverdragelser og de ofte benyttede due dilligence-undersøgelser betragtes overdragelse af oplysninger om de ansatte til en mulig køber som en behandling af personoplysninger. En sådan behandling kan ofte, for så vidt angår ikke-følsomme oplysninger, foretages med hjemmel i det ovenfor under pkt. 5 nævnte proportionalitetsprincip. For følsomme og semi-følsomme oplysninger vil overdragelse til køber derimod kræve samtykke fra den ansatte. 10. Behandling af personoplysninger om tidligere medarbejdere Ved ansættelsesforholdets ophør opstår spørgsmålet, om arbejdsgiveren må opbevare og/eller videregive de oplysninger, som arbejdsgiveren lovligt har registreret om medarbejderen under ansættelsen? Ved opbevaring tillige, i hvor lang tid? Efter ansættelsesforholdets ophør gælder de ansættelsesretlige regler ikke længere, og parternes forhold er således alene reguleret af deres loyalitetspligt og eventuelle klausuler i ansættelseskontrakten. Derfor vil de persondataretlige regler kunne spille en rolle til besvarelse af ovenstående spørgsmål om opbevaring og videregivelse af personoplysninger. Udgangspunktet mht. opbevaring er, at oplysningerne ikke må opbevares længere end nødvendigt af hensyn til de formål, hvortil oplysningerne behandles og altså et krav om, at opbevaringen skal være sagligt begrundet. Såfremt der ikke er indhentet samtykke til opbevaringen, kan arbejdsgiveren alligevel opbevare oplysninger, hvis det er nødvendigt for at overholde en retlig forpligtelse, som påhviler arbejdsgiveren, som f.eks. en forpligtelse ifølge en kollektiv overenskomst eller en pligt til at videregive oplysninger til en a-kasse eller lignende. Det må antages, at offentlige arbejdsgivere må opbevare følgende oplysninger om fratrådte medarbejdere: Oplysninger om sygefravær og sygdomsperioder, oplysninger om begrundelsen for andet fravær fra arbejdet, pensionsforhold, kildeskatteoplysninger, oplysninger om kontonummer, hvortil løn skal anvises, lønindeholdelse, bortset fra oplysninger om begrundelsen for indeholdelsen, og oplysninger om fratrædelsesgrund Kapitel Side 10/16. April 2013

11 Hvorvidt dette også kan antages, for så vidt angår private arbejdsgivere, er uafklaret, men ikke usandsynligt. Følsomme og semi-følsomme oplysninger skal som udgangspunkt slettes ved ansættelsens ophør, medmindre der foreligger samtykke til opbevaring. Dog vil det, f.eks. i tilfælde af en verserende personalesag, være rimeligt, at arbejdsgiveren opbevarer de nødvendige oplysninger til varetagelse af sine interesser i forbindelse med retssagen. Opbevaring af personoplysninger om fratrådte medarbejdere kan som udgangspunkt højst finde sted i 5 år, ofte mindre, afhængigt af forholdene. En fratrådt medarbejders konto må højst være åben i 12 måneder efter fratrædelsen. (Se link til vejledning fra Datatilsynet i pkt. 15) Videregivelse af oplysninger om tidligere medarbejdere til f.eks. andre arbejdsgivere skal overholde en vis loyalitet over for den tidligere medarbejder, og der ses eksempler på, at arbejdsgivere er ifaldet erstatningsansvar på grund af sådan illoyal videregivelse. Skriftligt indhentede referencer fra en medarbejders tidligere arbejdsgiver, f.eks. på , kræver overholdelse af persondatalovens regler, herunder orientering af den registrerede person om, at oplysningerne er blevet indhentet fra den tidligere arbejdsgiver. Såfremt der videregives følsomme eller semi-følsomme oplysninger, kræves det, at medarbejderen har givet samtykke til videregivelse af netop denne type oplysninger, og et alment samtykke til indhentelse af referencer er således ikke tilstrækkeligt. Derimod må videregivelse af ikke-følsomme oplysninger antages at kunne finde sted på baggrund af et forhåndssamtykke fra medarbejderen. 11. Må arbejdsgiver offentliggøre personaleoplysninger på internettet? Det er ifølge Datatilsynets praksis tilladt for en arbejdsgiver at lægge f.eks. oplysninger om medarbejderens navn, arbejdsområder, ansættelsesår, direkte arbejdstelefonnummer eller adresse på arbejdsgiverens hjemmeside. Det vurderes, at sådanne oplysninger er en naturlig del af informationen om arbejdspladsen, hvorfor denne offentliggørelse kan ske uden samtykke. Der foretages imidlertid en sondring mellem forskellige former for ikke-følsomme oplysninger på dette punkt. Ifølge Datatilsynet kræves der således udtrykkeligt samtykke til offentliggørelse af oplysninger af mere privat karakter, som f.eks. billede, privatadresse, privat adresse eller privat telefonnummer. Kapitel Side 11/16. April 2013

12 Den registrerede har ret til at gøre indsigelse mod offentliggørelsen, også selv om der er tale om lovlig offentliggørelse af ikke-følsomme oplysninger. Arbejdsgiveren skal dog kun imødekomme en sådan indsigelse, såfremt tungtvejende grunde taler herfor, som f.eks. hvis medarbejderen på grund af trussel om vold eller lignende har beskyttet adresse og ikke ønsker sin arbejdsplads offentlig kendt. 12. Hjemmearbejdspladser De særlige persondataretlige spørgsmål, der kan opstå ved benyttelse af hjemmearbejdspladser, er i praksis temmelig uafklarede. Det må formodes, at arbejdsgiverens muligheder for kontrol vil være mindre som følge af den ansattes ret til beskyttelse af sit privatliv. Når der arbejdes fra en hjemmearbejdsplads, skal der tages hensyn til, at der arbejdes uden for den almindelige arbejdsplads, og dermed under andre rutiner og anden adfærd end normalt. Arbejdsgiverens normale foranstaltninger til sikring af forsvarlig databehandling finder ikke anvendelse, og der bør fastsættes bestemmelser, som sikrer, at arbejde fra en hjemmearbejdsplads sker under lige så sikre forhold, som på den almindelige arbejdsplads. Datatilsynet har udtalt sig om, hvordan de lovmæssige krav til datasikkerhed uden for den almindelige arbejdsplads kan opfyldes. Disse udtalelser omhandler blandt andet krav til kryptering af data ved lokal lagring, udskrivning på hjemmearbejdspladsen, privat anvendelse, fysisk sikkerhed mod tyveri, hærværk mv. samt anvendelse af opkaldsforbindelser. 13. Hvornår er der anmeldelsespligt? Hovedreglen er, at en privat dataansvarlig forud for behandling af personoplysninger skal foretage anmeldelse til Datatilsynet med henblik på at opnå tilladelse fra Datatilsynet. Herfra findes en række særlige undtagelser. En væsentlig undtagelse er, at en arbejdsgiver er undtaget fra kravet om forudgående anmeldelse, såfremt de oplysninger, der behandles, er ikke-følsomme oplysninger. Foretager en arbejdsgiver behandling af følsomme og/eller semi-følsomme oplysninger, er udgangspunktet, at arbejdsgiveren skal indgive anmeldelse til Datatilsynet og have Datatilsynets tilladelse til behandlingen. Kapitel Side 12/16. April 2013

13 Fritaget fra kravet om anmeldelse er imidlertid følgende: Behandlinger af oplysninger om ansattes helbredsforhold, i det omfang behandlingen af helbredsoplysningerne er nødvendig til opfyldelse af bestemmelser i lov eller forskrifter fastsat i henhold til lov Behandlinger af oplysninger om ansatte eller tidligere ansatte, hvis registrering er nødvendig som følge af kollektiv overenskomst eller kollektiv aftale på arbejdsmarkedet Behandling af oplysninger om, at ansatte er medlem af en bestemt fagforening med henblik på kontingenttræk. Dette medfører eksempelvis, at en arbejdsgivers anvendelse af en personlighedstest i forbindelse med rekruttering, uanset om oplysningerne efterfølgende slettes, er anmeldelsespligtig. Ligeledes kræver det anmeldelse til Datatilsynet, såfremt der anvendes og opbevares oplysninger om, at en ansat er blevet bortvist på grund af mistanke om tyveri. Hvis en virksomhed indhenter oplysninger om kunder eller forretningsforbindelsers helbred eller religiøse forhold, eksempelvis for at kunne tilbyde særlige fysiske forhold/hjælpemidler eller særlige religiøst betingede fødevarer, kræver dette ligeledes forudgående tilladelse fra Datatilsynet. Datatilsynet har udarbejdet en standardformular til elektronisk anmeldelse, som er tilgængelig på Datatilsynets hjemmeside. Der findes en særlig bekendtgørelse, som omhandler undtagelser fra pligten til anmeldelse for offentlige myndigheder. 14. Whistleblowersystemer Mange større og internationale virksomheder har i disse år øget fokus på oprettelse af systemer til indberetning af uregelmæssigheder, ulovligheder og lignende internt i virksomheden de såkaldte whistleblower-systemer. Et whistleblower-system er et internt system i en virksomhed, hvor ansatte (f.eks. pr. telefon eller via internet) kan eller skal indberette mistanke eller viden om uregelmæssigheder til en intern, central enhed, som behandler indberetningen. Kapitel Side 13/16. April 2013

14 En række store finansskandaler og kravene i den efterfølgende regulering i den amerikanske Sarbanes Oxley Act fra 2002 (SOX) har medført et øget behov for indførelse af sådanne systemer, både blandt danske virksomheder og hos danske datterselskaber eller filialer af amerikanske virksomheder i Danmark. Den første tilladelse til et sådant whistleblower-system blev givet af Datatilsynet til DONG Energy A/S i september Iværksættelse af et whistleblower-system medfører, at der indhentes og behandles personoplysninger om både de personer, der anmeldes, og de personer, der anmelder en uregelmæssighed, medmindre disse sidstnævnte optræder anonymt. Derfor skal reglerne i persondataloven iagttages. Datatilsynet har udtalt sig om betingelserne for iværksættelse af whistleblower-systemer og om proceduren ved anmeldelse. Datatilsynets udtalelse indeholder en række betingelser og overvejelser i forbindelse med iværksættelse af et whistleblower-system i Danmark, hvoraf de væsentligste gennemgås nedenfor. Et whistleblower-system bør være et frivilligt alternativ til de normale kommunikationsveje i en virksomhed. Indberetning skal således også kunne foregå via andre kanaler, og brug af et whistleblower-system bør ikke være obligatorisk for medarbejderne. Der må ved brug af whistleblower-systemer som altovervejende hovedregel ikke behandles følsomme eller semi-følsomme oplysninger. De typer af oplysninger, der skal kunne indberettes, skal begrænses og specificeres overfor medarbejderne i whistleblower ordningen. Det er Datatilsynets opfattelse, at der kan ske indberetning i tilfælde, hvor der sker eller er mistanke om alvorlige forseelser, der kan få betydning for koncernen som helhed, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred. Whistleblower-systemer har først og fremmest til hensigt at øge virksomhedens muligheder for at komme økonomisk kriminalitet til livs. Som følge heraf nævnes specifikt som forhold, der kan begrunde indberetning via et whistleblower-system: Mistanke om alvorlig økonomisk kriminalitet, herunder bestikkelse, bedrageri, dokumentfalsk og lignende. Ligeledes nævnes forhold omfattet af den amerikanske Sarbanes Oxley Act, hvilket omfatter uregelmæssigheder inden for regnskabsføring, intern regnskabskontrol, revision samt ved mistanke om korruption og kriminalitet i bank- og finanssektoren. Kapitel Side 14/16. April 2013

15 Hertil kommer forhold som miljøforurening, alvorlige brud på arbejdssikkerheden samt alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb. På den anden side vurderer Datatilsynet, at mindre alvorlige forseelser, som f.eks. tilfælde af mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse af retningslinjer for f.eks. påklædning, rygning/alkohol, brug af e-post/internet og lignende, ikke skal kunne indberettes via et whistleblower-system. Sådanne forhold må rapporteres via de traditionelle kommunikationssystemer. Der må kun ske indberetning af personer med tilknytning til koncernen, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater, leverandører m.fl. Kun ansatte og bestyrelsesmedlemmer må foretage indberetning via whistleblower-systemer. 15. Links Datatilsynet: Vejledning vedrørende behandling af fratrådte medarbejderes konti: -af-en-fratraadt-medarbejders- -konto/ Kåre Wanscher er født i 1969 og er advokat i MAQS Law Firm med speciale i IPR og media/entertainment, arbejds- og ansættelsesret og persondata. Kapitel Side 15/16. April 2013

16 Kapitel Side 16/16. April 2013