PERSONDATA FOR OFFENTLIGT ANSATTE

Marianne Lage og Egil Husum

12. oktober 2016

side 2

Ulige styrkeforhold

− Ledelsesretten og dens begrænsninger

− Persondatalovens hovedprincip: Individet har ret til indsigt og kontrol med oplysninger om den pågældende.

− Offentligretlige regler

PERSONDATA OG MEDARBEJDERFORHOLD

side 3

Persondataloven - frem til 25 maj. 2018, som implementerer EU-direktiv.

Supplereret af bekendtgørelser, blandt andet sikkerhedsbekendtgørelsen (gælder for offentlige myndigheder)

Forordningen - fra 25. maj 2018

Muligvis fremtidig supplerende dansk lovgivning.

REGELSÆT

side 4

Enhver information om en identificeret eller identificerbar fysisk person (lovens § 3, nr. 1 og forordningens art. 4 nr. 1)

bl.a. oplysninger om følgende forhold

− Fysiske

− Fysiologiske

− Psykiske

− Økonomiske

− Kulturelle

− Sociale

F.eks. også

− Et billede

− Stemme

− Fingeraftryk

− Andre genetiske kendetegn, som f.eks. DNA

Elektronisk databehandling

(it-systemer, tekstbehandling, regneark, e-mail, kalendersystemer)

(Scanning, udskrivning, samkøring, opslag, elektronisk lagring)

Register

(struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier)

(Kartotek, journalbøger, fortegnelser, systematiske ringbind)

Anden systematisk behandling, f.eks. almindelige papirsager

PERSONOPLYSNING OG BEHANDLING

side 5

− Dataansvarlig: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger

− Databehandler: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne

− Lidt om databehandleraftaler

− Der er også en række andre relevante definitioner, og der kommer flere med forordningen

DATAANSVARLIG OG DATABEHANDLER – DEFINITIONER

side 6

Oplysninger skal behandles i overensstemmelse med god databehandlingsskik:

− Indsamling til udtrykkeligt angivne og saglige formål (formålsbestemthed)

− senere behandling ikke uforenelig hermed

− Oplysninger skal være relevante og tilstrækkelige (proportionalitet)

− og må ikke omfatte mere end nødvendigt

− Fornøden ajourføring og kontrol (datakvalitet)

− urigtige/vildledende oplysninger slettes/berigtiges

− Oplysninger må ikke opbevares længere end nødvendigt (sletning)

− af hensyn til de formål, oplysningerne er indsamlet til

− hvis oplysningerne anonymiseres, gælder denne begrænsning ikke

GRUNDPRINCIPPER § 5

side 7

Almindelige oplysninger § 6

Kan bl.a. behandles når:

−Den registrerede har givet sit udtrykkelige samtykke hertil−Nødvendig for opfyldelse af aftale−Behandlingen er nødvendig, for at overholde en retlig forpligtelse, som påhviler den

dataansvarlige−Behandlingen er nødvendig, for at den dataansvarlige eller den tredjemand, til hvem

oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse. (interesseafvejning)−NB offentlige myndigheder vil ikke efter forordningen kunne henvise hertil ved udførelsen af

deres opgaverEksempler: Ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdag, skat, sygedage, advarsler, opsigelse mv.

MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

side 8

−Følsomme § 7 (art. 9)

−Racemæssig eller etnisk baggrund

−Politisk, religiøs eller filosofisk overbevisning

−Fagforeningsmæssige tilhørsforhold (dog hvis arbejdsretligt forpligtet)

−Oplysninger om helbredsmæssige og seksuelle forhold

−Udgangspunkt: Må ikke behandles

−medmindre den registrerede har givet sit udtrykkelige samtykke.

−behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares(f.eks. opsigelse eller bortvisning).

MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

side 9

−Semi-følsomme § 8 (bortfalder med forordningen)

−Strafbare forhold (muligvis national lovgivning, art. 10)

−Væsentlige sociale problemer

−Andre rent private forhold, f.eks. oplysninger om bortvisning eller resultat af personlighedstest

−Kun behandles, hvis

−den registrerede har givet sit udtrykkelige samtykke hertil.

−det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.

MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

side 10

− Samtykkedefinition, jf. forordningens artikel 4, nr. 11:

”Samtykke" fra den registrerede: Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling”

Den registrerede kan altid trække sit samtykke tilbage.

− Forordningen skærper kravene til samtykke – art. 7 og 8

− Samtykke anses ikke for frivilligt, hvis

− der reelt ikke er et frit valg

− man ikke kan afvise eller tilbagetrække samtykke, uden at det kommer vedkommende til skade

− der er en klar skævhed mellem den registrerede og den dataansvarlige

SAMTYKKE

side 11

Personaleadministration:

− Ved ansættelsen

− Under ansættelsen

− Efter ansættelsen

Generelt gælder for al behandling af medarbejderoplysninger:

− Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse

− Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles

PERSONDATA OG MEDARBEJDERFORHOLD

side 12

− Ansøgningen indeholder personoplysninger:

− Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser

− Bilag (anbefalinger, eksamensbeviser)

− Facebook, LinkedIn, alm. Google søgning (offentliggjort af personen selv?)

− Referencer:

− Få kandidatens samtykke

HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

side 13

− Personlighedstest

− Arbejds- og opholdstilladelse (identifikation af ansøger)

− Kreditoplysninger

− Kun hvis medarbejderen skal varetage en ”særlig betroet stilling” (uanset samtykke), jf. lovens § 5, stk. 1 – 3 (god databehandlingsskik, udtrykkeligt angivne og saglige formål og proportionalitetsprincippet)

− Vurdering om ”særlig betroet stilling” er en arbejdsretlig vurdering. Håndtering af værdier fører ikke i sig selv til at man er betroet

− Straffe- og børneattest

− Samtykke nødvendigt for indhentelse. Spørgsmål er derfor, om det er sagligt og proportionalt. Udtalelse fra datatilsynet

HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

side 14

Helbredsoplysninger

− Samtykke eller at behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

− Helbredsoplysningsloven

− Formål at sikre, at helbredsoplysninger ikke uberettiget anvendes til at begrænse lønmodtageres muligheder, for at opnå eller bevare ansættelse.

− Hvis sygdommen vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde er det muligt at indhente og der er pligt til at oplyse

HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

side 15

Oplysninger om fagforeningsmæssige tilhørsforhold

−Kan indhentes og behandles ved samtykke, og når behandlingen er nødvendig, for at et retskrav kan fastlægges, gøres gældende eller forsvares.

−Herudover kan oplysninger behandles, hvis behandlingen er nødvendig for overholdelsen af arbejdsgiverens arbejdsretlige forpligtelser eller specifikke rettigheder, hvilket kan følge af kollektiv overenskomst.

AFSKEDIGELSE AF BESKYTTEDE MEDARBEJDERE KRÆVER KENDSKAB TIL FAGFORENINGSMÆSSIGE TILHØRSFORHOLD.

HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

OVERENSKOMSTFORPLIGTELSE TIL INDEHOLDELSE AF LØN OG BETALING AF KONTINGENT TIL FAGFORENING.

side 16

− Sagligt formål – til relevant personkreds

− Almindelige oplysninger må behandles:

− Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser

− CPR.nr. må opbevares, jf. § 11 (artikel 87)

− Andre oplysninger:

− Kontaktperson: Ok

− Antal sygedage: Ja

− Årsag til sygedage: Kun hvis samtykke

− Lovbestemte helbredsoplysninger, f.eks. arbejdsskade: OK

− Advarsler:

− Ja, så længe de er relevante

− Hvilke oplysninger om medarbejdernes private forhold får lederen kendskab til i hverdagen, og hvordan skal disse håndteres?

HR-UDFORDRINGER MED PERSONDATA UNDER ANSÆTTELSEN

side 17

Arbejdsrelaterede oplysninger

− Arbejdsrelaterede oplysninger er f.eks. den ansattes navn, arbejdsområder, ansættelsesår, direkte arbejdstelefonnummer eller e-postadresse på arbejdet.

− Sådanne oplysninger er en naturlig del af informationen om arbejdspladsen, og kan derfor som hovedregel offentliggøres uden samtykke.

Oplysninger af mere privat karakter

− Oplysninger af mere privat karakter er for eksempel et billede af den ansatte, en privat adresse, e-mail eller et privat telefonnummer. Arbejdspladsen må kun offentliggøre disse oplysninger, hvis den enkelte ansatte har givet udtrykkeligt samtykke hertil.

Udtrykkeligt samtykke

− Et samtykke kan gives mundtligt eller skriftligt. Det er dog arbejdspladsen, der skal bevise, at der i den konkrete situation er afgivet samtykke, og at det i øvrigt lever op til persondatalovens krav til et samtykke.

− Samtykket skal være udtrykkeligt. Det betyder, at der skal være tale om en aktiv handling fra den registreredes side. Det er altså ikke godt nok, hvis man skriver eller siger til den ansatte, at hvis han/hun ikke protesterer inden f.eks. en uge, går man ud fra, at der foreligger et samtykke.

PERSONALEOPLYSNINGER PÅ INTERNETTET

side 18

− Aftaler om kontrolforanstaltninger: DA/LO og KL/Forhandlingsfællesskabet

− Arbejdsgiver kan indføre kontrolforanstaltninger, hvis det er sagligt begrundet i driftsmæssige forhold og de har et fornuftigt formål.

− Udgangspunkt: 6 ugers varsel før kontrolforanstaltninger kan iværksættes

− Undtagelse: Hvis formålet med kontrolforanstaltningerne vil forspildes

− Undtagelse: Tvingende driftsmæssige grunde er til hinder for at vente

− Hvis 6 ugers fristen ikke kan overholdes, skal arbejdsgiveren underrette lønmodtagerne snarest muligt samt redegøre for årsagen til, at 6-ugers fristen ikke kan overholdes.

KONTROL

side 19

− SMS – dommen

− Afsagt af Retten i Aarhus den 18. september 2015

− Arbejdsgiver betalt telefon

− Adgang til privat brug

− Indleverer telefonen med henblik på udskiftning

− Stærke illoyale beskeder om kollegaer, som fører til afskedigelse

− Fratrædelsesaftale ”til fuld og endelig afgørelse”

KONTROL MED MEDARBEJDERENS IT-BRUG

side 20

− SMS – dommen (fortsat). Retten udtalte:

− Ikke afkald på strafferetlig påtale

− SMS-korrepondance er en ”lukket meddelelse”.

− Aflevering sket med henblik på udskiftning. Ikke sammenligneligt med den situation, hvor modtageren af et brev lader et brev ligge åbent fremme.

− Ingen retningslinjer.

− Udleveret til sikkerhedsrepræsentant. Forventning om privat indhold.

− Ikke særlig konkret mistanke mod den pågældende.

− Ikke på forhånd beskreven proces for at undgå private sms’er

− Strafbart i medfør af straffelovens § 263.

KONTROL MED MEDARBEJDERENS IT-BRUG

side 21

− Dommen blev anket af den daværende direktør til frifindelse, hvor anklagemyndigheden påstod skærpelse.

− I landsretten fandt to dommere derimod, at medarbejderen havde givet bindende afkald på at anmode om offentlig påtale, og at anklagemyndigheden derfor manglede påtaleret, således at der skulle ske frifindelse. En dommer fandt, at direktøren var skyldig i overensstemmelse med byrettens dom.

− På grundlag af flertallets resultat blev alle de tiltalte frifundet, selvom Aarhus Havn, og den ledende medarbejder ikke selv havde anket.

KONTROL MED MEDARBEJDERENS IT-BRUG

side 22

Medarbejdernes brug af internettet

− Registreringen og gennemgangen heraf skal være nødvendig, for at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til de ansatte må ikke overstige disse interesser. Som eksempler på berettigede interesser kan nævnes: Tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet.

− Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom.

KONTROL MED MEDARBEJDERENS IT-BRUG

side 23

Medarbejdernes e-mails

− Sikkerhedskopieringen af e-mails og en eventuel gennemgang af en medarbejders e-mails må kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan f.eks. være hensynet til drift, sikkerhed, genetablering og dokumentationsamt hensynet til kontrol af medarbejderes brug.

− Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-mails.

− Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren ikke læse medarbejderens private e-mails.

KONTROL MED MEDARBEJDERENS IT-BRUG

side 24

− Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e-mailkontoen kun holdes aktiv i en periode, der er så kort som muligt.

− Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder.

− Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto, sættes et auto-svar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information.

− Den aktive e-mailkonto benyttes kun til modtagelse af e-mail – hvis der modtages privat e-mail, kan e-mailkontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private e-mailkonto.

− Oplysninger om den personlige e-mailadresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder.

− Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e-mailkonto.

− Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt mv., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders e-mailkonto åben.

− Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes e-mailkonti og informere medarbejderne herom.

SÆRLIGT OM E-MAILKONTI FRATRÅDTE MEDARBEJDERE

side 25

• Ikke en bestemt (absolut) frist

• Beror på en konkret vurdering af nødvendigheden af fortsat at registrere oplysningerne

• Udtalelse fra Datatilsynet:

− Eksempler på forhold, der kan inddrages i denne sammenhæng, er verserende arbejdsskadesager, uafsluttede retssager eller arbejdsretlige tvister mellem medarbejderen og myndigheden, pensionsforpligtelser, dagpengerefusion og udbetaling af tilgodehavender.

− Den dataansvarlige må ud fra sådanne forhold overveje, hvor længe det generelt vil være nødvendigt for myndigheden at gemme oplysningerne.

• I Datatilsynets kladde til offentlige myndigheders anmeldelse af personaleadministration har tilsynet foreslået en sletningsfrist på maksimalt 20 år for personalesager.

− Ikke før medarbejderen er fratrådt. Datatilsynet har således i praksis lagt til grund, at hensynet til at kunne opbevare dokumentation for historikken i en personalesag må anses for et sagligt formål i personaleadministrativ sammenhæng.

SLETNING AF OPLYSNINGER

side 26

− Oplysningspligten, §§ 28-30

− Oplysningspligt og indsigtsret i personalesag Datatilsynet 10. januar 2012

− Forordningens art. 13-14

− Indsigt § 31, forordningens art. 15

− Indsigelse, § 35, forordningens art. 21.

− Klage til Datatilsynet

DEN REGISTREREDES RETTIGHEDER

side 27

Øgede krav til dokumentation over for registrerede

− Gennemsigtig information, kommunikation mv. – artikel 12: Kommunikation over for registrerede skal være forståelig og i let tilgængelig form

− Oplysningspligt – artikel 13: Krav til den dataansvarlige om oplysninger, der gives på tidspunktet for indsamling

− Oplysningspligt – artikel 14: Hvis personoplysningerne ikke er indsamlet hos den registrerede

UDVIDELSE AF RETTIGHEDER FOR DEN REGISTREREDE

side 28

Fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger, navnlig:

• Organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer.

• Samme krav for databehandlere

• Instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af IT-udstyr.

• Autorisation og adgangskontrol som supplerer tekniske sikkerhedsregler.

• Kontrol med afviste adgangsforsøg og logning for fortrolige og følsomme oplysninger.

• Hvad sker der med sikkerhedsbekendtgørelsen i forhold til forordningen?

Sikkerhedsbekendtgørelsen

side 29

− Lov eller kollektive overenskomster kan fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, herunder:

• Betingelser for behandling af personoplysninger på grund af samtykke (præamblens pkt. 155)

• Ansættelseskontrakter

• Godtgørelse for forpligtelser fastsat ved lov eller kollektive overenskomster

• Ledelse

• Planlægning og tilrettelæggelse af arbejdet

• Ligestilling

• Sikkerhed og sundhed på arbejdspladsen

• Individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold

FORORDNINGENS ART. 88

side 30

− Den dataansvarlige skal sørge for en tilstrækkelig sikkerhed (artikel 24)

− Den dataansvarlige skal kunne påvise, at behandlingen overholder forordningen

− Hvis det står i rimeligt forhold til behandlingsaktiviteter skal foranstaltninger omfatte implementering af passende databeskyttelsespolitikker

− Overholdelse af godkendte codes of conduct eller en godkendt certificering kan være med til at demonstrere den dataansvarliges overholdelse af forpligtelser

DE NYE REGLER I PERSONDATAFORORDNINGENIT-SIKKERHED OG DATABESKYTTELSE – DATAANSVARLIG

side 31

På baggrund af tilgængelig teknologi og omkostninger ved gennemførelse (artikel 25, stk. 1)

− og risikoen for den registreredes rettigheder og frihedsrettigheder

− skal den dataansvarlige gennemføre nødvendige tekniske og organisatoriske foranstaltninger

− som sikrer overholdelse af forordningen

− f.eks. ved at pseudonymisere data

DE NYE REGLER I PERSONDATAFORORDNINGENDATA PROTECTION BY DESIGN – HVAD ER DET?

side 32

− Den dataansvarlige skal have indstillinger, som sikrer, at der kun behandles personoplysninger, som er nødvendige (artikel 25, stk. 2) i forhold til

− mængde, opbevaringstid og tilgængelighed

− mængden af data

− omfanget af behandlingen

− hvor længe data gemmes

− tilgængeligheden af data

DE NYE REGLER I PERSONDATAFORORDNINGENDATA PROTECTION BY DEFAULT – HVAD ER DET?

side 33

− Kun bruge databehandlere, som sørger for tilstrækkelig sikkerhed (artikel 28)

− Brug af underdatabehandlere kræver et konkret eller generelt samtykke fra den dataansvarlige

− Udskiftning af databehandlere kræver underretning af den dataansvarlige

− Krav om kontrakt eller andet retligt dokument

− Efter instruks

− Fortrolighed

− Overholde sikkerhedsforanstaltninger

− Returnere eller slette persondata

− Dokumentere overholdelse af disse krav og mulighed for inspektion

DE NYE REGLER I PERSONDATAFORORDNINGENIT-SIKKERHED OG DATABESKYTTELSE – DATABEHANDLERE

side 34

− Dataansvarlige skal have en fortegnelse (artikel 30) over

− identitet på dataansvarlig og evt. dataansvarliges repræsentant og DPO

− formål

− kategorier af registrerede og persondata

− kategorier af modtagere – særligt i lande uden for EU

− hvor længe data opbevares

− eventuelle sikkerhedsforanstaltninger

− Tilsvarende krav for databehandlere

DE NYE REGLER I PERSONDATAFORORDNINGENFORTEGNELSE OVER BEHANDLING

side 35

Dataansvarlige og databehandlere (artikel 32) skal:

− på baggrund af aktuelle tekniske niveau og omkostninger ved gennemførelse (artikel 25, stk. 1)

− og risikoen for den registreredes rettigheder og frihedsrettigheder

− gennemføre nødvendige tekniske og organisatoriske foranstaltninger

− f.eks. ved at pseudonymisere data

Dette gælder særligt i forhold til risikoen ved uautoriseret adgang

Medarbejdere mv. må kun behandle data efter instruktion

DE NYE REGLER I PERSONDATAFORORDNINGENDATASIKKERHED

side 36

− En dataansvarlig eller databehandler udpeger altid en DPO (artikel 37), når

− behandling foretages af en offentlig myndighed/organ m.m.

− behandlingsaktiviteter i medfør af karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning i stort omfang

− behandling af særlige kategorier af oplysninger, jf. art. 9 og 10.

− Udpeges ud fra

− faglige kvalifikationer

− kendskab til persondataret og praksis og evner til at udføre opgaverne

− Beskyttelse mod afskedigelse (art. 38)

− Medarbejder eller outsourcet

− DPO skal offentliggøres

DE NYE REGLER I PERSONDATAFORORDNINGEN DATA PROTECTION OFFICER

side 37SPØRGSMÅL OG OPSAMLING

Horten AdvokatpartnerselskabPhilip Heymans Allé 7DK-2900 Hellerup, Copenhagen

Tel. 3334 4000Fax 3334 4001info@horten.dk horten.dk