FOKUS PERSONOPLYSNINGER I ANSÆTTELSESFORHOLD. En praktisk gennemgang af typiske faldgruber for private arbejdsgivere

Transkript

1 FOKUS PERSONOPLYSNINGER I ANSÆTTELSESFORHOLD En praktisk gennemgang af typiske faldgruber for private arbejdsgivere MAJ 2008

2 INDHOLD HR-området er reguleret af persondataloven 1 Persondatalovens begreber 2 Behandling af oplysninger ved personaleadministration 3 Overvågning af ansatte 4 Whistle-blowing-hotlines 6 Arbejdsgivere kan oprette advarselsregistre 7 Ansatte har ret til information 8 Overførsel til andre lande 9 Private arbejdsgiveres anmeldelsespligt 11 Kontakt 12

3 HR-området er reguleret af persondataloven I dette Bech-Bruun Fokus kan du læse om de persondataretlige problemstillinger, der ofte opstår hos private arbejdsgivere. Inden for HR-området har persondataloven stor betydning, fordi der her altid behandles personoplysninger både i forhold til jobansøgere samt nuværende og tidligere ansatte. Persondataloven (lov nr. 429 af 31. maj 2000 om behandling af personoplysninger) trådte i kraft den 1. juli Loven er baseret på et EU-direktiv, og den afløste de tidligere registerlove (lov om offentlige myndigheders registre og lov om private registre). Direktivets/lovens formål er især at sikre borgernes privatliv og personlige integritet. FOKUS: PERSONDATARET 1

4 Persondatalovens begreber Persondataloven gælder for personoplysninger, som behandles elektronisk. Manuelle oplysninger er også om fattet, når de indgår i et register eller udsættes for ikke-elektronisk, systematisk behandling fx i fysiske personalesager og ringbind. Manuelle oplysninger, der ikke indgår i et register, men behandles systematisk, er kun omfattet af loven, hvis oplysningerne drejer sig om private eller økonomiske forhold eller andre personlige forhold fx oplysninger om løn- og skatteforhold. Personoplysninger er alle oplysninger om en identificeret eller identificerbar fysisk person, det vil også sige oplysninger, hvor man skal kende personnummer eller særlige fysiske kendetegn for at kunne identificere den pågældende person. Behandling omfatter enhver form for håndtering af oplysninger fx indsamling, registrering, systematisering, opbevaring, ændring, søgning, videregivelse, overladelse, sammenstilling og sletning. Personoplysninger inddeles i to overordnede kategorier: Almindelige og følsomme oplysninger. Denne opdeling mellem almindelige og følsomme oplysninger er vigtig, fordi der er skærpede krav til behandlingen af følsomme oplysninger. Følsomme oplysninger er oplysninger om: Almindelige oplysninger er i princippet alle øvrige ikke-følsomme oplysninger, fx oplysninger om: racemæssig eller etnisk baggrund politisk, religiøs eller filosofisk overbevisning fagforeningsmæssige tilhørsforhold helbredsmæssige forhold seksuelle forhold strafbare forhold væsentlige sociale problemer navn, adresse, telefonnummer og fødselsdato uddannelse, eksamensresultater og tidligere beskæftigelse ansættelsesdato, stillingsbetegnelse og arbejds opgaver antal sygedage løn og skatteforhold familieforhold anbefalinger andre rent private forhold (fx oplysning om en bortvisning eller resultatet af en personlighedstest) 2 FOKUS: PERSONDATARET

5 B e h a n d l i n g a f o p ly s n i n g e r ved personaleadministration I hvilket omfang arbejdsgiveren må behandle oplysninger om sine ansatte afhænger som nævnt af oplysningernes karakter. Almindelige oplysninger må som udgangspunkt registreres, hvis arbejdsgiveren har et sagligt behov. Ved arbejdsgiverens behandling af følsomme oplysninger er udgangspunktet, at arbejdsgiveren skal indhente de ansattes udtrykkelige samtykke til behandlingen. Der er dog en række undtagelser, som giver arbejdsgiveren mulighed for at behandle følsomme oplysninger uden samtykke. Fælles for disse undtagelser er, at de enten bygger på en kvalificeret nødvendighedsbetragtning eller en kvalificeret interesseafvejning. Som eksempel kan nævnes, at arbejdsgiveren er berettiget til at behandle oplysninger om fagforeningsmæssige tilhørsforhold, hvis behandlingen er nødvendig for at overholde arbejdsretlige forpligtelser eller specifikke rettigheder i fx kollektive overenskomster. anden lovgivning Særlove, fx helbredsoplysningsloven og forskelsbehandlingsloven, kan begrænse muligheden for at indsamle, registrere eller i øvrigt behandle følsomme oplysninger. jobansøgere En arbejdsgiver må som hovedregel gerne registrere de personoplysninger, som jobansøgeren selv giver i sin ansøgning. Arbejdsgiveren må derimod ikke gemme personoplysningerne om afviste jobansøgere i en jobbank, medmindre der indhentes samtykke. Persondataloven opstiller fem grundprincipper, og de skal overholdes ved enhver behandling af personoplysninger: 1. God databehandlingsskik: Databehandlingen skal være rimelig og lovlig 2. Formålsbestemthed: Indsamlingen skal ske til udtrykkeligt angivne og saglige formål, og senere behandling af indsamlede oplysninger skal være forenelig med disse formål 3. Proportionalitet: Der må udelukkende ske behandling af relevante og tilstrækkelige oplysninger og ikke i videre omfang end det er nødvendigt 4. Datakvalitet: Ajourføring og kontrol skal være tilstrækkelig til at sikre, at der ikke behandles urigtige eller vildledende oplysninger 5. Regelmæssige sletterutiner: Personoplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt at behandle oplysningerne Vær opmærksom på, at det kan være usagligt at behandle oplysninger om de ansatte, hvis oplysningerne ikke længere kan tillægges ansættelsesretlig virkning, fx oplysning om en gammel advarsel. kreditoplysninger Datatilsynet har udtalt, at persondatalovens principper om god databehandlingsskik, formålsbestemthed og proportionalitet sætter grænser for, i hvilke tilfælde der kan indhentes kreditoplysninger på jobansøgere. En arbejdsgiver må derfor kun indhente kreditoplysninger om jobansøgere, hvis der er tale om ansættelse i en særlig betroet stilling. god datahandlingsskik Sø- og Handelsretten har fastslået, at det var i strid med reglerne om god databehandlingsskik og formålsbestemthed, at en arbejdsgiver overvågede en ansat med tv- overvågningsudstyr, der var sat op for at forebygge butikstyveri. FOKUS: PERSONDATARET 3

6 Overvågning af ansatte Mange ansatte bruger hver dag , internet og/eller telefon. De tekniske muligheder for at overvåge de ansattes anvendelse af disse kommunikationsværktøjer er store, og arbejdsgivernes motivation kan være baseret på en mistanke om misbrug eller andre hensyn til driften, fx i forbindelse med ansattes uforudsete fravær. Ansættelsesretlige regler Overvågning af ansatte skal ske i overensstemmelse med den almindelige arbejdsretlige grundsætning. Det vil sige, at sådanne kontrolforanstaltninger ikke må virke krænkende på de ansatte, og at foranstaltningerne skal have et sagligt og driftsmæssigt formål. En arbejdsgivers overvågning af de ansattes brug af og internet er som altovervejende hovedregel i orden, hvis arbejdsgiveren gennemgår: s for at sikre sig information, der er relateret til virksomhedens drift internetbrowser og s, hvis der er mistanke om misbrug af disse faciliteter men ikke blot for at snage i de ansattes private korrespondance internetbrowser og s af tekniske eller sikkerhedsmæssige grunde kollektive overenskomster På DA/LO-området gælder aftalen af 27. oktober 2006 mellem DA og LO om kontrolforanstaltninger. En arbejds giver blev i Arbejdsretten i november 2007 dømt til at betale en bod på kr. for at have overvåget en ansat via videokameraer, som var sat op for at forebygge butiks tyveri. Arbejdsretten fastslog, at den ansattes adfærd ikke havde berettiget, at arbejdsgiveren i minutter havde overvåget hende. Derfor var overvågningen krænkende. Persondatalovens anvendelse Behandling af personoplysninger skal ske i henhold til persondataloven. Når man overvåger ansatte, er der som regel tale om almindelige, ikke-følsomme personoplysninger. Disse oplysninger må behandles, hvis arbejdsgiveren har en berettiget interesse, som er større end hensynet til de ansatte. Dette er som regel tilfældet. tv-overvågning Persondataloven indeholder særlige regler om tv-over vågning, der samtidig er reguleret af lov om tv-overvågning. telefonnumre Registrering af telefonnumre ved indgående samtaler er lovlig, men persondataloven forbyder automatisk registrering af, hvilke telefonnumre der er foretaget opkald til. Reglen forhindrer ikke, at der registreres dele af det opkaldte nummer, og ifølge Datatilsynets praksis er det derfor tilstrækkeligt, at de to sidste cifre i et ottecifret telefon nummer udelades. Straffelovens anvendelse Der er flere regler i straffeloven, som arbejdsgiveren skal være opmærksom på i forbindelse med overvågning af ansatte. I praksis spiller især reglerne om brevhemmeligheden en central rolle. Ifølge disse regler er det ikke tilladt uberet tiget at åbne og/eller læse andres post. Bestemmelsen omfatter også s. Åbner arbejdsgiveren derfor en , der er adresseret til en ansat, fx med angivelsen personligt eller privat i emnefeltet, kan der være tale om en overtrædelse af straffe loven, hvis arbejdsgiveren har handlet uberettiget. En arbejdsgiver er berettiget til at åbne s i situationer, hvor den ansatte typisk må forvente, at det sker. Alt efter virksomhedens karakter og praksis kan det være tilfældet i forbindelse med fravær ved sygdom, ferie eller lignende. Det afgørende er således, hvad den ansatte i den konkrete situation må forvente. 4 FOKUS: PERSONDATARET

7 For at undgå enhver tvivl eller efterfølgende diskussion bør en arbejdsgiver allerede ved ansættelsen sørge for at indhente udtrykkeligt samtykke til, at arbejdsgiveren må åbne personligt stilede s som led i virksomhedens it-politik. It-politik Når en virksomhed overvåger de ansatte, er det særlig relevant at inddrage følgende punkter i virksomhedens it-politik: Anvendelse af s og internet til private formål Hvornår foreligger der misbrug af s og internet? Logning og kontrol af logning Sikkerhedspolitik Den ansattes retsstilling ved ophør af ansættelse Det er vigtigt at håndhæve it-politikken konsekvent over for alle medarbejdere. Den HR-ansvarlige skal dog være opmærksom på, at hvis de ansatte tilsidesætter de interne retningslinjer, så betyder det ikke nødvendigvis, at virksomheden må iværksætte ansættelsesretlige sanktioner. Hver sag skal vurderes separat og i øvrigt under hensyn til den praksis, der findes på området for ansattes forpligtelser. Læs artiklen Big Brother is watching men hvor meget? af advokat Dorte Thyrring, bragt i Jyllands- Posten 11. december Artiklen kan downloades på It-politikken bør udleveres samtidig med ansættelseskontrakten eventuelt som et selvstændigt dokument, som de ansatte skal underskrive. På denne måde sikres det, at de ansatte er bekendt med og har accepteret it-politikken. FOKUS: PERSONDATARET 5

8 Whistle-blowing-hotlines En række personalepolitikker og interne retningslinjer indeholder såkaldte "whistle-blowing-hotlines". Det er procedurer for, hvordan ansatte kan indberette mistanke om andre ansattes overtrædelse af interne regler og/eller gældende lovgivning til arbejdsgiveren. Vær opmærksom på, at persondataloven indeholder begrænsninger og betingelser for sådanne whistle-blowinghotlines. Datatilsynet har over for en privat arbejdsgiver udtalt, at etablering af anonyme whistle-blowing-hotlines er lovlig under særlige betingelser (J.nr , afgørelse af 3. december 2006). I forhold til arbejdsgiverens registrering af oplysninger betyder dette, at: almindelige, ikke-følsomme oplysninger kan registreres af arbejdsgiveren uden samtykke registrering af følsomme oplysninger kan være konkret berettiget, hvis det er nødvendigt for, at et retskrav kan fastlægges, gøres gældende eller forsvares fx hvis en indberetning fører til bortvisning af en ansat oplysninger om strafbare forhold må registreres, hvis det sker for at politianmelde og/eller senere at afgive vidneforklaring for retten Derudover skal registreringssystemet for anonyme anmeldel ser indeholde retningslinjer for: hvordan man begrænser de registrerede oplysninger til kun at tjene saglige og relevante formål. Det skal vurderes i hvert tilfælde før en registrering regelmæssige sletterutiner. Oplysninger om strafbare forhold skal destrueres snarest muligt, det vil sige senest, når sagen er afsluttet hos politiet eller domstolene 6 FOKUS: PERSONDATARET

9 A r b e j d s g i v e r e k a n o p r e t t e a d v a r s e l s r e g i s t r e En arbejdsgiver har ret til selv at opbevare oplysning om bortvisning af en ansat i en periode på fem år især fordi virksomheden på den måde kan varetage sine interesser i tilfælde af et retligt efterspil. Registrering af bortvisninger i et centralt register med henblik på at advare andre koncernforbundne selskaber eller andre særligt interesseforbundne parter mod ansættelse af en tidligere ansat, et såkaldt bortvisningsregister, må kun ske med Datatilsynets forudgående tilladelse. Ifølge Datatilsynets praksis bliver en tilladelse udstedt, hvis formålet med registret er at tage det tidligere ansættelsesforhold i betragtning ved en eventuel ny jobansøgning. Datatilsynet lægger vægt på, at der ikke er tale om egentlige udelukkelsesregistre. Hvilke oplysninger må registreres Kun personoplysninger, som navn, fødsels-, ansættelses- og fratrædelsesdato og personalenummer, må registreres i et bortvisningsregister. At oplysningerne er indeholdt i et bortvisningsregister medfører imidlertid, at oplysningerne har karakter af følsomme oplysninger. Datatilsynet har i en konkret sag afvejet arbejdsgiverens og medarbejdernes interesser over for hinanden. Tilsynet kom frem til, at en videregivelse af oplysningerne skete for at varetage formål, der er anerkendelsesværdige. Arbejds giverens interesse i at videregive oplysninger oversteg klart hensynet til den bortviste ansatte. Tilladelserne indeholder skærpede vilkår i relation til: Sikkerhed ved opbevaring af oplysningerne Betingelser for videregivelse Iagttagelse af den registreredes rettigheder (især oplysningspligt, indsigt i de registrerede oplysninger og berigtigelse af urigtige oplysninger) Regelmæssige sletterutiner ifølge praksis accepteres en frist på fem år, eller når en endelig civil- eller fagretlig afgørelse har fastslået, at bortvisningen ikke var beret tiget FOKUS: PERSONDATARET 7

10 A n s at t e h a r r e t t i l i n f o r m at i o n Persondatalovens overordnede formål er at beskytte de personer, der registreres oplysninger om. Derfor tillægger loven de registrerede visse rettigheder. Oplysningspligten er særlig vigtig. Når en arbejdsgiver indsamler personoplysninger om ansatte, skal arbejdsgiveren blandt andet oplyse om formålene med behandlingen af personoplysningerne, hvem personoplysningerne videregives til og andre oplysninger, der er nødvendige for, at den ansatte kan varetage sine interesser. undtagelser til oplysningspligten Arbejdsgivere skal oplyse om formålet med indsamlingen af personoplysninger. Der er dog nogle undtagelser til oplysningspligten, fx hvis de registrerede allerede kender disse oplysninger. Ansatte og jobansøgere er som regel omfattet af denne undtagelse. Oplysningspligten begynder på det tidspunkt, hvor personoplysningerne indsamles. oplysningspligt ved overvågning af ansatte I forbindelse med overvågning af ansatte skal arbejds giveren som udgangspunkt underrette de ansatte, inden arbejdsgiveren foretager sine kontrolforanstaltninger. Der er ikke nogen formkrav til opfyldelsen af oplysningspligten, og underretningen kan derfor ske mundtligt. Af bevismæssige grunde anbefales det dog, at underretningen sker skriftligt. Persondatalovens beskyttelse af den ansatte er større end oplysningspligten. Persondatalovens beskyttelse giver også ret til: indsigt i de personoplysninger, som behandles indsigelse mod behandlingen berigtigelse/sletning af ukorrekte oplysninger 8 FOKUS: PERSONDATARET

11 Overførsel til andre lande I forbindelse med koncerner er det vigtigt at være opmærksom på, at videregivelse af oplysninger mellem moder- og datterselskaber kan indebære en videregivelse i persondatalovens forstand. Dette er fx tilfældet, hvis oplysninger videregives til en centraliseret HR-afdeling og indbyrdes mellem datterselskaber. Hvis den virksomhed, oplysningerne videregives til, ligger i et andet land inden for EØS, er der ingen problemer i forhold til persondataloven, så længe lovens almindelige behandlingsregler er opfyldt. Særligt hjemmelsgrundlag for overførsel til tredjelande Hvis den anden virksomhed ligger i et såkaldt tredjeland, det vil sige i et land uden for EØS, er det ikke tilstrækkeligt, at lovens almindelige regler for behandling af personoplysninger er opfyldt. I HR-sammenhæng er de mest relevante muligheder for at overføre personoplysninger til tredjelande følgende: Den ansatte har givet samtykke til overførslen Overførsel sker til et sikkert tredjeland Overførsel er nødvendig af hensyn til opfyldelse af en aftale mellem den ansatte og arbejdsgiveren Overførsel er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares Datatilsynet har godkendt en række lande som sikre tredjelande, fordi disse lande opfylder et tilstrækkeligt beskyttelsesniveau. Der gælder derfor mindre strenge regler for overførsel til disse lande, jf. nedenfor. Datatilsynets tilladelse til overførslen af oplysninger Det er ikke nødvendigt at indhente Datatilsynets tilladelse til overførslen, hvis overførslen er baseret på et samtykke fra den registrerede (det gælder både overførsler til sikre og usikre tredjelande). Behandlingen sker med henblik på erhvervsmæssig bistand ved en stillingsbesættelse Behandlingen omfatter følsomme oplysninger Det er lovligt at overføre oplysninger til sikre tredjelande, når det ikke har til formål at etablere advarselregistre, bedømme soliditet eller bistand ved stillingsbesættelse (de tre øverste af de ovenstående punkter). I de tilfælde er det tilladt at overføre almindelige oplysninger til sikre tredjelande uden Datatilsynets tilladelse. Der skal dog altid indhentes tilladelse til overførsel af følsomme personoplysninger til sikre tredjelande, medmindre overførslen er baseret på samtykke. I andre tilfælde skal Datatilsynets tilladelse indhentes, hvis en af følgende betingelser er opfyldt (der er kun nævnt betingelser, der er relevante i HR-sammenhæng): Behandlingen sker for at etablere et advarselsregister Behandlingen sker for erhvervsmæssigt at videregive oplysninger, der skal bruges til at bedømme økonomisk soliditet og kreditværdighed FOKUS: PERSONDATARET 9

12 Sikre tredjelande og andre måder at sikre det påkrævede beskyttelsesniveau EU-Kommissionen har godkendt nogle lande, blandt andre Schweiz og Argentina, som sikre tredjelande. En liste over alle de sikre tredjelande findes på Datatilsynets hjemmeside: USA er ikke godkendt som sikkert tredjeland. Der findes dog en særordning for overførsel af oplysninger til amerikanske virksomheder: Amerikanske virksomheder, der har tilsluttet sig Safe Harbour-ordningen, er ligestillet med sikre tredjelande. Når en virksomhed tilmelder sig Safe Harbourordningen, forpligter virksomheden sig til at leve op til en række principper for persondatabeskyttelse. Hvis modtagerlandet ikke er godkendt som sikkert tredjeland, kan lovlig overførsel ligeledes ske ved, at parterne anvender de særlige standardkontrakter, som EU- Kommissionen har udarbejdet. Man skal dog indhente Datatilsynets tilladelse til at overføre oplysninger, når man anvender standard kontrakterne. Endelig er det muligt at anvende bindende virksomhedsregler for at opnå et tilstrækkeligt beskyttelsesniveau for overførslen. Reglerne skal være bindende for samtlige enheder og virksomheder i koncernen. Datatilsynets tilladelse skal også indhentes før overførslen, når man bruger bindende virksomhedsregler. koncernforhold Hvis en arbejdsgiver ønsker at videregive oplysninger om de ansatte til koncernforbundne selskaber, bør arbejdsgiveren sørge for at få de ansattes samtykke. Samtykket kan med fordel indsættes som en del af ansættelseskontrakten. databehandlingsaftaler Når en arbejdsgiver overlader behandlingen af person oplysninger om de ansatte til en databehandler (en service udbyder der handler på den dataansvar liges vegne), skal der indgås en skriftlig aftale mellem parterne, en såkaldt databehandlingsaftale. Dette er eksempelvis påkrævet, når en privat virksomhed outsourcer lønadministration, datahosting mv. Når en databehandler modtager oplysninger, er der ikke tale om en videregivelse i lovens forstand, fordi data behandleren ikke anvender oplysningerne til egne formål. Databehandlingsaftalen skal sikre, at databehandleren opfylder de nødvendige sikkerhedsforanstaltninger, og den skal indeholde oplysning om, at databehandleren udelukkende er berettiget til at handle i overensstemmelse med den dataansvarliges instruks. En databehandler må således ikke behandle de overladte personoplysninger til sine egne formål. 10 FOKUS: PERSONDATARET

13 P r i v at e a r b e j d s g i v e r e s anmeldelsespligt Persondataloven indeholder regler om, hvornår private arbejdsgivere skal anmelde personaleadministration til Datatilsynet. Behandling af følsomme oplysninger i personaleregistre kræver som hovedregel Datatilsynets forudgående tilladelse. Visse behandlinger af følsomme oplysninger er dog undtaget fra tilladelseskravet. Det er ved oplysninger om: ansattes helbredsforhold, i det omfang behandlingen af helbredsoplysningerne er nødvendig for at kunne opfylde bestemmelser i lov, eller forskrifter der er fastsat i henhold til lov ansatte, eller tidligere ansatte, når registrering er nødvendig som følge af kollektiv overenskomst eller kollektiv aftale på arbejdsmarkedet at ansatte er medlem af en bestemt fagforening for at trække kontingentbetaling Anmeldelsen kan ske elektronisk via Datatilsynets hjemmeside eller via en papirblanket. Datatilsynet har udarbejdet en standard for anmeldelse af personaleadministration, der kan anvendes som kladde. FOKUS: PERSONDATARET 11

14 KONTAKT Bech-Bruun er en højt specialiseret advokatvirksomhed med kontorer i København og Århus. Vi leverer værdiskabende juridiske løsninger til virksomheder, organisationer og offentlige myndigheder i Danmark og i udlandet. Vi rådgiver blandt andet om persondatalovens regler og datasikkerhed. Vi udarbejder databehandlingspolitikker og andre aftaler om databehandling, og vi foretager også anmeldelser til Datatilsynet. Du kan læse mere om persondataret på Du er også altid velkommen til at kontakte en af vores specialister i persondataret: Arly Carlquist Partner T E ac@bechbruun.com Ane Holland Sørensen Advokat T E ahs@bechbruun.com Morten Ulrich Partner T E mu@bechbruun.com Birgitte Toxværd Advokat T E bit@bechbruun.com Anders Etgen Reitz Specialistadvokat T E arm@bechbruun.com Marie Albæk Jacobsen Advokatfuldmægtig T E maja@bechbruun.com 12 FOKUS: PERSONDATARET

15 Bech-Bruun Fokus er udgivet af Bech-Bruun Maj 2008 Design BGRAPHIC Tryk Fihl-Jensen

16 Kontakt Bech-Bruun T E info@bechbruun.com